Konfigurieren des Richtlinienmoduls für die Verwendung eines neuen Clientzertifikats in Configuration Manager
Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Auf Servern, auf denen das Configuration Manager-Richtlinienmodul mit dem Rollendienst „Registrierungsdienst für Netzwerkgeräte“ ausgeführt wird, wird in System Center 2012 Configuration Manager ein Clientzertifikat für die Authentifizierung des Richtlinienmoduls gegenüber dem Standortsystemserver für den Zertifikatregistrierungspunkt verwendet. In der Regel ist ein Clientauthentifizierungszertifikat ein Jahr lang gültig. Erneuern Sie das Zertifikat vor dessen Ablauf, aktualisieren Sie die Registrierung des neuen Zertifikats, und führen Sie einen Neustart des Webservers durch, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird.
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Falls das Zertifikat bereits abgelaufen ist, finden Sie in der Datei "NDESPlugin.log" auf dem Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, die Meldung FEHLER (HTTP-Anforderung <Fingerabdruck> konnte nicht gesendet werden. Fehler 12037. Die Angabe <Fingerabdruck> in der Fehlermeldung wird durch einen Fingerabdruck des abgelaufenen Zertifikats ersetzt. |
Zertifikat erneuern:
Wenn Sie dieses Clientzertifikat manuell angefordert haben, müssen Sie das neue Zertifikat ebenfalls manuell anfordern. Falls Sie Hilfe bei der Bereitstellung dieses Zertifikats benötigen, können Sie die Anweisungen unter Bereitstellen des Clientzertifikats für Verteilungspunkte im Thema Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle bis auf eine Ausnahme verwenden: Aktivieren Sie nicht das Kontrollkästchen Exportieren von privatem Schlüssel zulassen auf der Registerkarte Anforderungsverarbeitung.
Falls dieses Clientzertifikat im Rahmen der Registrierung über eine Gruppenrichtlinie automatisch bereitgestellt wurde, wird gemäß der geltenden Standardkonfiguration vor Ablauf des ursprünglichen Zertifikats automatisch ein neues angefordert.
Nach der Bereitstellung des neuen Zertifikats auf dem Server, auf dem der Registrierungsdienst für Netzwerkgeräte und das Configuration Manager-Richtlinienmodul ausgeführt werden, gehen Sie wie folgt vor, um den Server für die Verwendung des neuen Zertifikats zu konfigurieren.
So konfigurieren Sie das Richtlinienmodul für die Verwendung des neuen Clientzertifikats
-
Öffnen Sie auf dem Server, auf dem der Registrierungsdienst für Netzwerkgeräte und das Configuration Manager-Richtlinienmodul ausgeführt werden, den Registrierungs-Editor, und ersetzen Sie den Fingerabdruck des alten Zertifikats durch den des neuen. Verwenden Sie hierzu den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.
.jpeg "System_CAPS_tip")
TippZur Identifizierung des Fingerabdrucks des neuen Zertifikats bestimmen Sie mithilfe des Snap-Ins "Zertifikate" das Zertifikat im Computerspeicher. Klicken Sie dann mit der rechten Maustaste auf das Zertifikat, und wählen Sie Eigenschaften aus. Klicken Sie auf Zertifikat anzeigen, dann auf die Registerkarte Details, und wählen Sie Fingerabdruck aus. Anschließend wird die Hexadezimalzeichenfolge des Zertifikatfingerabdrucks angezeigt, die Sie kopieren können.
-
Führen Sie einen Neustart der Dienste für den Webserver nach einer der folgenden Methoden durch:
Aus dem Internetinformationsdienste-Manager: Navigieren Sie zum Webserverknoten in der Struktur. Klicken Sie im Bereich Aktionen auf Neu starten.
Von der Befehlszeile aus: Geben Sie iisreset/restart ein, und drücken Sie die EINGABETASTE.
Weitere Informationen finden Sie in der Windows Server-Bibliothek auf Technet unter Start or Stop the Web Server (IIS 8) (Starten oder Beenden des Webservers).
Sie können überprüfen, ob das neue Zertifikat vom Richtlinienmodul verwendet wird, indem Sie die Datei „NDESPlugin.log“ auf dem Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, auf folgenden Eintrag hin durchsuchen: INFO("NDES thumbprint is <Fingerabdruck>.", wszBuffer);