Planen von PKI-Zertifikaten in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Configuration Manager verwendet PKI-basierte digitale Zertifikate (Public Key Infrastructure), sofern verfügbar. Die Verwendung dieser Zertifikate wird für eine höhere Sicherheit empfohlen, ist aber für die meisten Szenarien nicht erforderlich. Sie müssen diese Zertifikate unabhängig von Configuration Manager bereitstellen und verwalten.

Dieser Artikel enthält Informationen zu PKI-Zertifikaten in Configuration Manager, die Sie bei der Planung Ihrer Implementierung unterstützen. Allgemeine Informationen zur Verwendung von Zertifikaten in Configuration Manager finden Sie unter Zertifikate in Configuration Manager.

PKI-Zertifikatsperrung

Wenn Sie PKI-Zertifikate mit Configuration Manager verwenden, planen Sie die Verwendung einer Zertifikatsperrliste (Certificate Revocation List, CRL). Geräte verwenden die Zertifikatsperrliste, um das Zertifikat auf dem computer zu überprüfen, der eine Verbindung herstellt. Die Zertifikatsperrliste ist eine Datei, die von einer Zertifizierungsstelle erstellt und signiert wird. Es enthält eine Liste der Zertifikate, die die Zertifizierungsstelle ausgestellt, aber widerrufen hat. Wenn ein Zertifikatadministrator Zertifikate widerruft, wird dessen Fingerabdruck der Zertifikatsperrliste hinzugefügt. Beispielsweise, wenn ein ausgestelltes Zertifikat bekannt ist oder verdächtigt wird, kompromittiert zu sein.

Wichtig

Da der Speicherort der Zertifikatsperrliste einem Zertifikat hinzugefügt wird, wenn eine Zertifizierungsstelle sie ausstellt, stellen Sie sicher, dass Sie die Zertifikatsperrliste planen, bevor Sie PKI-Zertifikate bereitstellen, die Configuration Manager verwendet.

IIS überprüft die Zertifikatsperrliste immer auf Clientzertifikate, und Sie können diese Konfiguration in Configuration Manager nicht ändern. Standardmäßig überprüfen Configuration Manager Clients immer die Zertifikatsperrliste für Standortsysteme. Deaktivieren Sie diese Einstellung, indem Sie eine Standorteigenschaft und eine CCMSetup-Eigenschaft angeben.

Computer, die die Zertifikatsperrüberprüfung verwenden, aber die Zertifikatsperrliste nicht finden können, verhalten sich so, als ob alle Zertifikate in der Zertifizierungskette widerrufen würden. Dieses Verhalten liegt daran, dass sie nicht überprüfen können, ob die Zertifikate in der Zertifikatsperrliste enthalten sind. In diesem Szenario schlagen alle Verbindungen fehl, die Zertifikate erfordern und die Zertifikatsperrlistenüberprüfung enthalten. Wenn Sie überprüfen, ob auf Ihre Zertifikatsperrliste zugegriffen werden kann, indem Sie zu ihrem HTTP-Speicherort navigieren, ist es wichtig zu beachten, dass der Configuration Manager Client als LOCAL SYSTEM ausgeführt wird. Das Testen der CRL-Barrierefreiheit mit einem Webbrowser unter einem Benutzerkontext kann erfolgreich sein, aber das Computerkonto wird möglicherweise blockiert, wenn versucht wird, eine HTTP-Verbindung mit derselben CRL-URL herzustellen. Sie kann z. B. aufgrund einer internen Webfilterlösung wie einem Proxy blockiert werden. Fügen Sie die Zertifikatsperrlisten-URL der Genehmigten Liste für alle Webfilterlösungen hinzu.

Die Überprüfung der Zertifikatsperrliste bei jeder Verwendung eines Zertifikats bietet mehr Sicherheit gegenüber der Verwendung eines gesperrten Zertifikats. Dies führt zu einer Verbindungsverzögerung und mehr Verarbeitung auf dem Client. Für Ihre organization ist diese Sicherheitsüberprüfung möglicherweise für Clients im Internet oder in einem nicht vertrauenswürdigen Netzwerk erforderlich.

Wenden Sie sich an Ihre PKI-Administratoren, bevor Sie entscheiden, ob Configuration Manager Clients die Zertifikatsperrliste überprüfen müssen. Wenn die beiden folgenden Bedingungen erfüllt sind, sollten Sie diese Option in Configuration Manager aktiviert lassen:

  • Ihre PKI-Infrastruktur unterstützt eine Zertifikatsperrliste und wird dort veröffentlicht, wo sie von allen Configuration Manager Clients gefunden werden kann. Diese Clients können Geräte im Internet und Geräte in nicht vertrauenswürdigen Gesamtstrukturen enthalten.

  • Die Anforderung, die Zertifikatsperrliste für jede Verbindung mit einem Standortsystem zu überprüfen, das für die Verwendung eines PKI-Zertifikats konfiguriert ist, ist höher als die folgenden Anforderungen:

    • Schnellere Verbindungen
    • Effiziente Verarbeitung auf dem Client
    • Das Risiko, dass Clients keine Verbindung mit Servern herstellen können, wenn sie die Zertifikatsperrliste nicht finden können

Vertrauenswürdige PKI-Stammzertifikate

Wenn Ihre IIS-Standortsysteme PKI-Clientzertifikate für die Clientauthentifizierung über HTTP oder für die Clientauthentifizierung und -verschlüsselung über HTTPS verwenden, müssen Sie möglicherweise Stammzertifizierungsstellenzertifikate als Standorteigenschaft importieren. Dies sind die beiden Szenarien:

  • Sie stellen Betriebssysteme mithilfe von Configuration Manager bereit, und die Verwaltungspunkte akzeptieren nur HTTPS-Clientverbindungen.

  • Sie verwenden PKI-Clientzertifikate, die nicht mit einem Stammzertifikat verkettet sind, dem die Verwaltungspunkte vertrauen.

    Hinweis

    Wenn Sie Client-PKI-Zertifikate aus derselben Zertifizierungsstellenhierarchie ausstellen, die die Serverzertifikate ausstellt, die Sie für Verwaltungspunkte verwenden, müssen Sie dieses Zertifikat der Stammzertifizierungsstelle nicht angeben. Wenn Sie jedoch mehrere Zertifizierungsstellenhierarchien verwenden und nicht sicher sind, ob sie sich gegenseitig vertrauen, importieren Sie die Stammzertifizierungsstelle für die Zertifizierungsstellenhierarchie der Clients.

Wenn Sie Stammzertifizierungsstellenzertifikate für Configuration Manager importieren müssen, exportieren Sie sie von der ausstellenden Zertifizierungsstelle oder vom Clientcomputer. Wenn Sie das Zertifikat von der ausstellenden Zertifizierungsstelle exportieren, die auch die Stammzertifizierungsstelle ist, exportieren Sie den privaten Schlüssel nicht. Speichern Sie die exportierte Zertifikatdatei an einem sicheren Speicherort, um Manipulationen zu verhindern. Sie benötigen Zugriff auf die Datei, wenn Sie die Website einrichten. Wenn Sie über das Netzwerk auf die Datei zugreifen, stellen Sie sicher, dass die Kommunikation mit IPsec vor Manipulationen geschützt ist.

Wenn ein von Ihnen importiertes Stammzertifizierungsstellenzertifikat erneuert wird, importieren Sie das erneuerte Zertifikat.

Diese importierten Stammzertifizierungsstellenzertifikate und das Zertifikat der Stammzertifizierungsstelle jedes Verwaltungspunkts erstellen die Zertifikatausstellerliste. Configuration Manager Computer verwenden diese Liste wie folgt:

  • Wenn Clients eine Verbindung mit Verwaltungspunkten herstellen, überprüft der Verwaltungspunkt, ob das Clientzertifikat mit einem vertrauenswürdigen Stammzertifikat in der Zertifikatausstellerliste des Standorts verkettet ist. Andernfalls wird das Zertifikat abgelehnt, und die PKI-Verbindung schlägt fehl.

  • Wenn Clients ein PKI-Zertifikat auswählen und über eine Zertifikatausstellerliste verfügen, wählen sie in der Liste der Zertifikataussteller ein Zertifikat aus, das mit einem vertrauenswürdigen Stammzertifikat verkettet ist. Wenn keine Übereinstimmung vorliegt, wählt der Client kein PKI-Zertifikat aus. Weitere Informationen finden Sie unter PKI-Clientzertifikatauswahl.

Auswahl des PKI-Clientzertifikats

Wenn Ihre IIS-Standortsysteme PKI-Clientzertifikate für die Clientauthentifizierung über HTTP oder für die Clientauthentifizierung und -verschlüsselung über HTTPS verwenden, planen Sie, wie Windows-Clients das Zertifikat auswählen, das für Configuration Manager verwendet werden soll.

Hinweis

Einige Geräte unterstützen keine Zertifikatauswahlmethode. Stattdessen wählen sie automatisch das erste Zertifikat aus, das die Zertifikatanforderungen erfüllt. Beispielsweise unterstützen Clients auf macOS-Computern und mobilen Geräten keine Zertifikatauswahlmethode.

In vielen Fällen sind die Standardkonfiguration und das Standardverhalten ausreichend. Der Configuration Manager-Client auf Windows-Computern filtert mehrere Zertifikate anhand der folgenden Kriterien in der folgenden Reihenfolge:

  1. Die Zertifikatausstellerliste: Das Zertifikat wird mit einer Stammzertifizierungsstelle verkettet, der der Verwaltungspunkt vertraut.

  2. Das Zertifikat befindet sich im Standardzertifikatspeicher persönlich.

  3. Das Zertifikat ist gültig, nicht widerrufen und nicht abgelaufen. Die Gültigkeitsprüfung überprüft auch, ob auf den privaten Schlüssel zugegriffen werden kann.

  4. Das Zertifikat verfügt über eine Clientauthentifizierungsfunktion.

  5. Der Antragstellername des Zertifikats enthält den Namen des lokalen Computers als Teilzeichenfolge.

  6. Das Zertifikat hat die längste Gültigkeitsdauer.

Konfigurieren Sie Clients mithilfe der folgenden Mechanismen für die Verwendung der Zertifikatausstellerliste:

Wenn Clients bei der ersten Installation nicht über die Liste der Zertifikataussteller verfügen und dem Standort noch nicht zugewiesen sind, überspringen sie diese Überprüfung. Wenn Clients über die Liste der Zertifikataussteller verfügen und kein PKI-Zertifikat, das mit einem vertrauenswürdigen Stammzertifikat in der Liste der Zertifikataussteller verkettet ist, schlägt die Zertifikatauswahl fehl. Clients fahren nicht mit den anderen Zertifikatauswahlkriterien fort.

In den meisten Fällen identifiziert der Configuration Manager Client ordnungsgemäß ein eindeutiges und geeignetes PKI-Zertifikat. Wenn dieses Verhalten nicht der Fall ist, können Sie zwei alternative Auswahlmethoden einrichten, anstatt das Zertifikat basierend auf der Clientauthentifizierungsfunktion auszuwählen:

  • Eine partielle Zeichenfolgen-Übereinstimmung für den Antragstellernamen des Clientzertifikats. Bei dieser Methode wird die Groß-/Kleinschreibung nicht beachtet. Dies ist geeignet, wenn Sie den vollqualifizierten Domänennamen (FQDN) eines Computers im Betrefffeld verwenden und die Zertifikatauswahl auf dem Domänensuffix basieren soll, z. B. contoso.com. Sie können diese Auswahlmethode verwenden, um eine beliebige Zeichenfolge sequenzieller Zeichen im Namen des Zertifikatantragstellers zu identifizieren, die das Zertifikat von anderen im Clientzertifikatspeicher unterscheidet.

    Hinweis

    Sie können die partielle Zeichenfolgen-Übereinstimmung mit dem alternativen Antragstellernamen (Subject Alternative Name, SAN) nicht als Websiteeinstellung verwenden. Obwohl Sie mithilfe von CCMSetup eine partielle Zeichenfolgenübereinstimmung für das SAN angeben können, wird sie in den folgenden Szenarien von den Standorteigenschaften überschrieben:

    • Clients rufen Standortinformationen ab, die in Active Directory Domain Services veröffentlicht werden.
    • Clients werden mithilfe der Clientpushinstallation installiert.

    Verwenden Sie eine partielle Zeichenfolgen-Übereinstimmung im SAN nur, wenn Sie Clients manuell installieren und keine Standortinformationen aus Active Directory Domain Services abrufen. Diese Bedingungen gelten z. B. nur für Internetclients.

  • Eine Übereinstimmung mit den Attributwerten des Antragstellernamens des Clientzertifikats oder den SAN-Attributwerten (Subject Alternative Name). Bei dieser Methode wird die Groß-/Kleinschreibung beachtet. Dies ist geeignet, wenn Sie einen X500 Distinguished Name oder gleichwertige Objektbezeichner (OIDs) gemäß RFC 3280 verwenden und die Zertifikatauswahl auf den Attributwerten basieren soll. Sie können nur die Attribute und deren Werte angeben, die Sie benötigen, um das Zertifikat eindeutig zu identifizieren oder zu überprüfen und das Zertifikat von anderen im Zertifikatspeicher zu unterscheiden.

In der folgenden Tabelle sind die Attributwerte aufgeführt, die Configuration Manager für die Auswahlkriterien für Clientzertifikate unterstützt:

OID-Attribut Distinguished Name-Attribut Attributdefinition
0.9.2342.19200300.100.1.25 Gleichstrom Domänenkomponente
1.2.840.113549.1.9.1 E oder E-Mail E-Mail-Adresse
2.5.4.3 CN Allgemeiner Name
2.5.4.4 SN Antragstellername
2.5.4.5 SERIALNUMBER Seriennummer
2.5.4.6 C Landeskennzahl
2.5.4.7 L Ort
2.5.4.8 S oder ST Name des Bundesstaats oder der Provinz
2.5.4.9 STREET Adresse
2.5.4.10 O Name der Organisation
2.5.4.11 ORGANISATIONSEINHEIT Organisationseinheit
2.5.4.12 T oder Titel Titel
2.5.4.42 G oder GN oder GivenName Vorname
2.5.4.43 I oder Initialen Initialen
2.5.29.17 (kein Wert) Alternativer Antragstellername

Hinweis

Wenn Sie eine der oben genannten alternativen Methoden für die Zertifikatauswahl konfigurieren, muss der Antragstellername des Zertifikats nicht den Namen des lokalen Computers enthalten.

Wenn mehrere geeignete Zertifikate gefunden werden, nachdem die Auswahlkriterien angewendet wurden, können Sie die Standardkonfiguration überschreiben, um das Zertifikat auszuwählen, das den längsten Gültigkeitszeitraum aufweist. Stattdessen können Sie angeben, dass kein Zertifikat ausgewählt ist. In diesem Szenario kann der Client nicht mit IIS-Standortsystemen mit einem PKI-Zertifikat kommunizieren. Der Client sendet eine Fehlermeldung an den zugewiesenen Fallback, status Sie auf den Fehler bei der Zertifikatauswahl aufmerksam machen. Anschließend können Sie Ihre Zertifikatauswahlkriterien ändern oder verfeinern.

Das Clientverhalten hängt dann davon ab, ob die fehlgeschlagene Verbindung über HTTPS oder HTTP erfolgte:

  • Wenn die verbindungsfehler über HTTPS hergestellt wurde: Der Client versucht, eine Verbindung über HTTP herzustellen, und verwendet das selbstsignierte Clientzertifikat.

  • Wenn die verbindung nicht erfolgreich über HTTP hergestellt wurde: Der Client versucht, mithilfe des selbstsignierten Clientzertifikats erneut eine Verbindung über HTTP herzustellen.

Um ein eindeutiges PKI-Clientzertifikat zu identifizieren, können Sie auch einen anderen benutzerdefinierten Speicher als den Standardwert Persönlich im Computerspeicher angeben. Erstellen Sie einen benutzerdefinierten Zertifikatspeicher außerhalb von Configuration Manager. Sie müssen In der Lage sein, Zertifikate in diesem benutzerdefinierten Speicher bereitzustellen und zu verlängern, bevor der Gültigkeitszeitraum abläuft.

Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Client-PKI-Zertifikate.

Übergangsstrategie für PKI-Zertifikate

Mit den flexiblen Konfigurationsoptionen in Configuration Manager können Sie Clients und den Standort schrittweise auf PKI-Zertifikate umstellen, um Clientendpunkte zu schützen. PKI-Zertifikate bieten eine bessere Sicherheit und ermöglichen die Verwaltung von Internetclients.

Dieser Plan führt zuerst PKI-Zertifikate für die Authentifizierung nur über HTTP und dann für die Authentifizierung und Verschlüsselung über HTTPS ein. Wenn Sie diesen Plan zur schrittweisen Einführung dieser Zertifikate befolgen, verringern Sie das Risiko, dass Clients nicht verwaltet werden. Außerdem profitieren Sie von der höchsten Sicherheit, die Configuration Manager unterstützt.

Aufgrund der Anzahl von Konfigurationsoptionen und Optionen in Configuration Manager gibt es keine möglichkeit, einen Standort so zu übertragen, dass alle Clients HTTPS-Verbindungen verwenden. Die folgenden Schritte bieten allgemeine Anleitungen:

  1. Installieren Sie den Configuration Manager Standort, und konfigurieren Sie ihn so, dass Standortsysteme Clientverbindungen über HTTPS und HTTP akzeptieren.

  2. Konfigurieren Sie die Registerkarte Kommunikationssicherheit in den Standorteigenschaften. Legen Sie Standortsystemeinstellungen auf HTTP oder HTTPS fest, und wählen Sie PKI-Clientzertifikat verwenden (Clientauthentifizierungsfunktion) aus, falls verfügbar. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Client-PKI-Zertifikate.

  3. Führen Sie einen Pilotversuch für einen PKI-Rollout für Clientzertifikate durch. Eine Beispielbereitstellung finden Sie unter Bereitstellen des Clientzertifikats für Windows-Computer.

  4. Installieren Sie Clients mithilfe der Clientpushinstallationsmethode. Weitere Informationen finden Sie unter Installieren Configuration Manager Clients mithilfe von Clientpush.

  5. Überwachen Sie die Clientbereitstellung und status mithilfe der Berichte und Informationen in der Configuration Manager-Konsole.

  6. Verfolgen Sie, wie viele Clients ein Client-PKI-Zertifikat verwenden, indem Sie die Spalte Clientzertifikat im Arbeitsbereich Bestand und Kompatibilität , Knoten Geräte anzeigen.

    Hinweis

    Für Clients, die auch über ein PKI-Zertifikat verfügen, zeigt die Configuration Manager-Konsole die Eigenschaft Clientzertifikat als Selbstsigniert an. Die Client-Systemsteuerung Clientzertifikateigenschaft zeigt PKI an.

    Sie können auch das Configuration Manager HTTPS Readiness Assessment Tool (CMHttpsReadiness.exe) auf Computern bereitstellen. Verwenden Sie dann die Berichte, um anzuzeigen, wie viele Computer ein PKI-Clientzertifikat mit Configuration Manager verwenden können.

    Hinweis

    Wenn Sie den Configuration Manager-Client installieren, wird das toolCMHttpsReadiness.exe im %windir%\CCM Ordner installiert. Die folgenden Befehlszeilenoptionen sind verfügbar, wenn Sie dieses Tool ausführen:

    • /Store:<Certificate store name>: Diese Option ist identisch mit der CCMCERTSTORE client.msi -/Issuers:<Case-sensitive issuer common name>: Diese Option ist identisch mit der CCMCERTISSUERS client.msi-Eigenschaft.
    • /Criteria:<Selection criteria>: Diese Option ist identisch mit der CCMCERTSEL client.msi-Eigenschaft.
    • /SelectFirstCert: Diese Option ist identisch mit der eigenschaft CCMFIRSTCERT client.msi

    Das Tool gibt Informationen an cmHttpsReadiness.log im CCM\Logs Verzeichnis aus.

    Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften.

  7. Wenn Sie sicher sind, dass genügend Clients ihr Client-PKI-Zertifikat für die Authentifizierung über HTTP erfolgreich verwenden, führen Sie die folgenden Schritte aus:

    1. Stellen Sie ein PKI-Webserverzertifikat auf einem Mitgliedsserver bereit, auf dem ein anderer Verwaltungspunkt für den Standort ausgeführt wird, und konfigurieren Sie dieses Zertifikat in IIS. Weitere Informationen finden Sie unter Bereitstellen des Webserverzertifikats für Standortsysteme, auf denen IIS ausgeführt wird.

    2. Installieren Sie die Verwaltungspunktrolle auf diesem Server. Konfigurieren Sie die Option Clientverbindungen in den Verwaltungspunkteigenschaften für HTTPS.

  8. Überwachen und überprüfen Sie mithilfe von HTTPS, ob Clients mit einem PKI-Zertifikat den neuen Verwaltungspunkt verwenden. Sie können die IIS-Protokollierung oder Leistungsindikatoren verwenden, um dies zu überprüfen.

  9. Konfigurieren Sie andere Standortsystemrollen neu, um HTTPS-Clientverbindungen zu verwenden. Wenn Sie Clients im Internet verwalten möchten, stellen Sie sicher, dass Standortsysteme über einen FQDN für das Internet verfügen. Konfigurieren Sie einzelne Verwaltungspunkte und Verteilungspunkte, um Clientverbindungen aus dem Internet zu akzeptieren.

    Wichtig

    Bevor Sie Standortsystemrollen einrichten, um Verbindungen aus dem Internet zu akzeptieren, überprüfen Sie die Planungsinformationen und Voraussetzungen für die internetbasierte Clientverwaltung. Weitere Informationen finden Sie unter Kommunikation zwischen Endpunkten.

  10. Erweitern Sie den Rollout des PKI-Zertifikats für Clients und für Standortsysteme, auf denen IIS ausgeführt wird. Richten Sie die Standortsystemrollen für HTTPS-Clientverbindungen und Internetverbindungen nach Bedarf ein.

  11. Für höchste Sicherheit: Wenn Sie sicher sind, dass alle Clients ein Client-PKI-Zertifikat für die Authentifizierung und Verschlüsselung verwenden, ändern Sie die Standorteigenschaften so, dass nur HTTPS verwendet wird.

Nächste Schritte