Freigeben über

Erhalten eines Zertifikats für die Verwendung mit Windows-Servern und System Center Operations Manager

  • Artikel

In diesem Artikel wird beschrieben, wie Sie ein Zertifikat erhalten und dieses mit Operations Manager Management Server, Gateway oder Agent verwenden, indem Sie entweder einen eigenständigen oder einen Server der Zertifizierungsstelle (ZS) für Enterprise-Active Directory-Zertifikatsdienst (AD CS) auf der Windows-Plattform verwenden.

  • Verwenden Sie das Befehlszeilen-Hilfsprogramm certreq, um ein Zertifikat anzufordern und zu akzeptieren. Verwenden Sie zum Senden und Abrufen eines Zertifikats eine Webschnittstelle.

Voraussetzungen

Stellen Sie sicher, dass Sie über Folgendes verfügen:

  • AD-CS ist in der Umgebung mit Webdiensten oder einer Zertifizierungsstelle eines Drittanbieters mit Zertifikaten, die den angezeigten erforderlichen Einstellungen entsprechen, installiert und konfiguriert.
  • HTTPS-Bindung und das zugehörige Zertifikat sind installiert. Informationen zum Erstellen einer HTTPS-Bindung finden Sie unter Konfigurieren einer HTTPS-Bindung für eine Windows Server-Zertifizierungsstelle.
  • Eine typische Desktopumgebung und keine Core-Server.

Wichtig

Kryptografie-API-Schlüsselspeicheranbieter (KSP) wird für Operations Manager-Zertifikate nicht unterstützt.

Hinweis

Wenn Ihre Organisation AD CS nicht verwendet oder eine externe Zertifizierungsstelle verwendet, erstellen Sie anhand der Anweisungen für diese Anwendung ein Zertifikat und stellen Sie sicher, dass es den folgenden Anforderungen für Operations Manager entspricht. Befolgen Sie dann die Schritte zum Importieren und Installieren:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Wichtig

Für dieses Thema sind die Standardeinstellungen für AD-CS folgende:

  • Standardschlüssellänge: 2048
  • Kryptografie-API: Kryptografiedienstanbieter (CSP)
  • Secure-Hash-Algorithmus: 256 (SHA256) Prüfen Sie diese Auswahl anhand der Anforderungen der Sicherheitsrichtlinie Ihres Unternehmens.

Allgemeines Verfahren zum Abrufen eines Zertifikats:

  1. Laden Sie das Stammzertifikat von einer Zertifizierungsstelle herunter.

  2. Importieren Sie das Stammzertifikat zu einem Clientserver.

  3. Erstellen Sie eine Zertifikatvorlage.

  4. Fügen Sie dem Ordner „Certificate Templates“ die Vorlage hinzu.

  5. Erstellen Sie eine Setupinformationsdatei für die Verwendung mit dem <certreq>-Befehlszeilenprogramm.

  6. Erstellen Sie eine Anforderungsdatei (oder verwenden Sie das Webportal).

  7. Senden Sie eine Anforderung an die Zertifizierungsstelle.

  8. Importieren Sie das Zertifikat in den Zertifikatsspeicher.

  9. Importieren Sie das Zertifikat mithilfe von <MOMCertImport> in Operations Manager.

Herunterladen und Importieren des Stammzertifikats von der Zertifizierungsstelle

Um Zertifikaten, die von Unternehmens‑ oder eigenständigen Zertifizierungsstellen erstellt wurden, zu vertrauen und sie zu validieren, muss der Zielcomputer eine Kopie des Stammzertifikats in seinem vertrauenswürdigen Stammspeicher haben. Die meisten Computer, die einer Domäne angehören, müssen der Unternehmenszertifizierungsstelle vertrauen. Allerdings vertraut kein Computer einem Zertifikat von einer eigenständigen Zertifizierungsstelle, ohne dass das Stammzertifikat installiert ist.

Wenn Sie eine Drittanbieter-Zertifizierungsstelle verwenden, unterscheidet sich der Downloadprozess. Der Importvorgang bleibt jedoch unverändert.

Herunterladen des vertrauenswürdigen Stammzertifikats von einer Zertifizierungsstelle

Führen Sie die folgenden Schritte aus, um das vertrauenswürdige Stammzertifikat herunterzuladen:

  1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten. Beispielsweise ein Gatewayserver oder Verwaltungsserver.

  2. Öffnen Sie einen Webbrowser, und stellen Sie eine Verbindung mit der Zertifikatsserver-Webadresse her. Beispiel: https://<servername>/certsrv.

  3. Wählen Sie auf der Seite Willkommen eine der Optionen Ein Zertifikat einer Zertifizierungsstelle herunterladen, Zertifikatkette oder CRL aus.

    a. Wenn Sie mit einer Webzugriffsbestätigung aufgefordert werden, überprüfen Sie den Server und die URL, und wählen Sie Ja aus.

    b. Überprüfen Sie die verschiedenen Optionen unter Zertifizierungsstellenzertifikat , und bestätigen Sie die Auswahl.

  4. Ändern Sie die Codierungsmethode in Base 64 und wählen Sie dann ZS-Zertifikatkette herunterladen aus.

  5. Speichern Sie das Zertifikat, und geben Sie einen Anzeigenamen an.

Importieren des vertrauenswürdigen Stammzertifikats von der Zertifizierungsstelle auf dem Client

Hinweis

Um ein vertrauenswürdiges Stammzertifikat zu importieren, müssen Sie über Administrationsrechte auf dem Zielcomputer verfügen.

Gehen Sie folgendermaßen vor, um das vertrauenswürdige Stammzertifikat zu importieren:

  1. Kopieren Sie die im vorherigen Schritt erstellte Datei auf den Client.
  2. Öffnen Sie den Zertifikat-Manager.
    1. Geben Sie auf der Befehlszeile, von PowerShell oder von der Ausführung certlm.msc ein, und drücken Sie die Eingabetaste.
    2. Wählen Sie „>-Ausführung starten“ aus und geben Sie mmc ein, um die Microsoft Management Console (mmc.exe) zu suchen.
      1. Wechseln Sie zu Datei>Hinzufügen/Entfernen von Snap in ….
      2. Wählen Sie im Dialogfeld „Snap-Ins hinzufügen oder entfernen“ die Option Zertifikate und dann Hinzufügen aus.
      3. Im Dialogfeld "Zertifikat-Snap-In"
        1. Wählen Sie Computerkonto und dann Weiter aus. Das Dialogfeld „Computer auswählen“ wird geöffnet.
        2. Wählen Sie Lokaler Computer und dann Fertig stellen aus.
      4. Wählen Sie OK aus.
      5. Erweitern Sie unter Konsolenstamm Zertifikate (lokaler Computer).
  3. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und wählen Sie dann Zertifikate aus.
  4. Wählen Sie Alle Aufgaben aus.
  5. Lassen Sie im Zertifikatimport-Assistenten die erste Seite als Standard, und wählen Sie Weiter aus.
    1. Navigieren Sie zu dem Speicherort, an dem Sie die ZS-Zertifikatdatei heruntergeladen haben, und wählen Sie die vertrauenswürdige Stammzertifikatdatei aus, die von der ZS kopiert wurde.
    2. Wählen Sie Weiter aus.
    3. Belassen Sie am Speicherort des Zertifikatspeichers die vertrauenswürdigen Stammzertifizierungsstellen als Standard.
    4. Klicken Sie auf Weiter und dann auf Fertig stellen.
  6. Bei erfolgreicher Ausführung wird das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle unter Vertrauenswürdige Stammzertifizierungsstellen>Zertifikate angezeigt.

Erstellen einer Zertifikatvorlage: Unternehmenszertifizierungsstellen

Unternehmenszertifizierungsstelle

  • Integriert mit Active Directory Domain Services (AD-DS).
  • Veröffentlicht Zertifikate und Zertifikatsperrlisten (CRLs) in AD-DS.
  • Verwendet Informationen zu Konten von Benutzenden und Sicherheitsgruppen, die in AD-DS gespeichert sind, um Zertifikatsanfragen zu genehmigen oder abzulehnen.
  • Verwendet Zertifikatsvorlagen.

Um ein Zertifikat auszustellen, verwendet die Unternehmenszertifizierungsstelle Informationen in der Zertifikatsvorlage, um ein Zertifikat mit den entsprechenden Attributen für diesen Zertifikatstyp zu generieren.

Eigenständige Zertifizierungsstellen:

  • Benötigen AD-DS nicht.
  • Verwenden Sie keine Zertifikatvorlagen.

Wenn Sie eigenständige Zertifizierungsstellen verwenden, geben Sie alle Informationen zum angeforderten Zertifikatstyp in der Zertifikatsanforderung an.

Weitere Informationen finden Sie unter Zertifikatvorlagen.

Erstellen einer Zertifikatvorlage für System Center Operations Manager

  1. Melden Sie sich bei einem Domänenserver mit AD CS in Ihrer Umgebung (Ihrer Zertifizierungsstelle) an.

  2. Wählen Sie auf dem Windows-Desktop Starten>Windows-Verwaltungstools>Zertifizierungsstelle aus.

  3. Erweitern Sie im rechten Navigationsbereich die Zertifizierungsstelle, und klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

  4. Klicken Sie mit der rechten Maustaste auf IPSec (Offlineanforderung),, und wählen Sie Vorlage duplizieren aus.

  5. Das Dialogfeld Eigenschaften der neuen Vorlage wird geöffnet. Treffen Sie die Auswahl wie folgt:

    Tab Beschreibung
    Kompatibilität 1. Zertifizierungsstelle: Windows Server 2008 (oder die niedrigste AD-Funktionsebene in der Umgebung).
    2. Zertifikatempfänger: Windows Server 2012 (oder das niedrigste Betriebssystem in der Umgebung).
    Allgemein 1. Vorlage für Anzeigename:Geben Sie einen Anzeigenamen an, wie Operations Manager.
    2. Vorlagenname: Geben Sie den gleichen Namen wie den Anzeigenamen ein.
    3. Gültigkeitsdauer: Geben Sie den Gültigkeitszeitraum ein, um den Anforderungen Ihrer Organisation zu entsprechen.
    4. Wählen Sie Zertifikat in Active Directory veröffentlichen und die Kontrollkästchen Nicht automatisch erneut registrieren, wenn ein Duplikat des Zertifikats in Active Directory vorhanden ist aus.
    Anforderungsverarbeitung 1. Zweck: Wählen Sie Signatur und Verschlüsselung aus der Dropdownliste aus.
    2. Wählen Sie die Checkbox Export des privaten Schlüssels zulassen aus.
    Kryptografie 1. Anbieterkategorie: Älteren Kryptografiedienstanbieter
    2 auswählen. Algorithmusname: Wählen Sie aus der Dropdownliste „Durch CSP bestimmt“ aus.
    3. Mindestschlüsselgröße: 2048 oder 4096 gemäß Sicherheitsanforderung der Organisation.
    4. Anbieter: Wählen Sie Microsoft RSA channel Cryptographic Provider und Microsoft Enhanced Cryptographic Provider v1.0 aus der Dropdownliste aus.
    Erweiterungen 1. Wählen Sie unter Erweiterungen in dieser Vorlage die Option Anwendungsrichtlinien aus, und klicken Sie dann auf Bearbeiten
    2. Das Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten wird geöffnet.
    3. Wählen Sie unter Anwendungsrichtlinien: die Option IP-Sicherheits-IKE-Zwischenstufe und dann Entfernen aus.
    4. Wählen Sie Hinzufügen und dann Clientauthentifizierung und Serverauthentifizierung unter Anwendungsrichtlinienaus.
    5. Klicken Sie auf OK.
    6. Klicken Sie auf Schlüsselverwendung und Bearbeiten.
    7. Stellen Sie sicher, dass Digitale Signatur und Schlüsselaustausch nur mit Schlüsselverschlüsselung zulassen (Schlüsselchiffrierung) ausgewählt sind.
    8. Wählen Sie die Checkbox Diese Erweiterung kritisch machen und dann OK aus.
    Sicherheit 1. Stellen Sie sicher, dass die Gruppe Authentifizierte Benutzer (oder Computerobjekt) über Lese‑ und Registrierungs-Berechtigungen verfügt, und wählen Sie Übernehmen aus, um die Vorlage zu erstellen.

Hinzufügen der Vorlage zum Ordner „Certificate Templates“

  1. Melden Sie sich bei einem Domänenserver mit AD CS in Ihrer Umgebung (Ihrer Zertifizierungsstelle) an.
  2. Wählen Sie auf dem Windows-Desktop Starten>Windows-Verwaltungstools>Zertifizierungsstelle aus.
  3. Erweitern Sie im rechten Navigationsbereich die Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Neu>Zertifikatvorlagen für die Ausgabe aus.
  4. Wählen Sie die neue Vorlage aus, die in den obigen Schritten erstellt wurde, und klicken Sie auf OK.

Anfordern eines Zertifikats mithilfe einer Anforderungsdatei

Erstellen einer Datei für Setupinformation (.inf)

  1. Öffnen Sie auf dem Computer, auf dem die Operations Manager-Funktion installiert ist, für die Sie ein Zertifikat anfordern, eine neue Textdatei in einem Text-Editor.

  2. Erstellen Sie eine Textdatei mit folgendem Inhalt:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Speichern Sie die Datei mit einer .inf-Dateierweiterung. Beispiel: CertRequestConfig.inf.

  4. Schließen Sie den Text-Editor.

Erstellen einer Zertifikatsanforderungsdatei

Dieser Prozess kodiert die in unserer Konfigurationsdatei angegebenen Informationen in Base64 und gibt sie in einer neuen Datei aus.

  1. Öffnen Sie auf dem Computer, auf dem die Operations Manager-Funktion gehostet wird, für die Sie ein Zertifikat anfordern, eine Administratoreingabeaufforderung.

  2. Wechseln Sie zu dem Verzeichnis, in dem sich die .inf-Datei befindet.

  3. Führen Sie den folgenden Befehl aus, um den .inf-Dateinamen zu ändern, um sicherzustellen, dass er dem zuvor erstellten Dateinamen entspricht. Belassen Sie den .req-Dateinamen wie folgt:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Öffnen Sie die neu erstellte Datei, und kopieren Sie den Inhalt.

Übermitteln eines neuen Zertifikatsantrags unter Verwendung der Antragsdatei im AD CS-Webportal

  1. Öffnen Sie auf dem Computer, auf dem die Operations Manager-Funktion gehostet wird, für die Sie ein Zertifikat anfordern, einen Webbrowser und stellen Sie eine Verbindung zum Computer her, auf dem die Webadresse des Zertifikatservers gehostet wird. Beispiel: https://<servername>/certsrv.

  2. Wählen Sie auf der Willkommensseite Microsoft Active Directory-Zertifikatsdienste die Option Zertifikat anfordern aus.

  3. Wählen Sie auf der Seite Zertifikat anfordern die Option Erweiterte Zertifikatanforderung aus.

  4. Wählen Sie auf der Seite Erweiterte Zertifikatanforderung die Option Eine Zertifikatsanfrage einreichen, indem Sie eine Base-64-codierte CMC- oder PKCS #10-Datei verwenden oder Einen Verlängerungsantrag mithilfe einer Base-64-codierten PKCS #7-Datei einreichen aus.

  5. Fügen Sie auf der Seite Einreichen einer Zertifikatanforderung oder eines Antrags auf Verlängerung im Textfeld Gespeicherte Anforderung den Inhalt der Datei CertRequest.req ein, die Sie in Schritt 4 im vorherigen Verfahren kopiert haben.

  6. Wählen Sie in der Zertifikatvorlage die Zertifikatvorlage aus, die Sie erstellt haben. Beispielsweise OperationsManagerCert, und wählen Sie dann Übermitteln aus.

  7. Wenn dies erfolgreich ist, wählen Sie auf der Seite Ausgestelltes Zertifikat das Base64-codierte>Downloadzertifikat aus.

  8. Speichern Sie das Zertifikat, und geben Sie einen Anzeigenamen an. Speichern Sie dies beispielsweise als SCOM-MS01.cer.

  9. Schließen Sie den Webbrowser.

Verwenden des AD-CS-Webportals zum Anfordern eines Zertifikats

Abgesehen von der Anforderungsdatei können Sie eine Zertifikatanforderung über das Zertifikatdienste-Webportal erstellen. Dieser Schritt wird auf dem Zielcomputer abgeschlossen, um die Zertifikatinstallation zu vereinfachen. Wenn die Zertifikatsanforderung über das AD-CS-Webportal nicht möglich ist, stellen Sie sicher, dass Sie das Zertifikat wie unten angegeben exportieren:

  1. Öffnen Sie auf dem Computer, auf dem die Operations Manager-Funktion gehostet wird, für die Sie ein Zertifikat anfordern, einen Webbrowser, und stellen Sie eine Verbindung mit dem Computer her, auf dem die Webadresse des Zertifikatservers gehostet wird. Beispiel: https://<servername>/certsrv.
  2. Wählen Sie auf der Willkommensseite Microsoft Active Directory-Zertifikatsdienste die Option Zertifikat anfordern aus.
  3. Wählen Sie auf der Seite Zertifikat anfordern die Option Erweiterte Zertifikatanforderung aus.
  4. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus.
  5. Es wird eine erweiterte Zertifikatanforderung geöffnet. Gehen Sie folgendermaßen vor:
    1. Zertifikatvorlage: Verwenden Sie die zuvor erstellte Vorlage oder eine Vorlage, die für Operations Manager festgelegt wurde.
    2. Identifizieren von Informationen für die Offlinevorlage:
      1. Name: FQDN des Servers oder wie er in DNS angezeigt wird
      2. Bereitstellen anderer Informationen entsprechend Ihrer Organisation
    3. Schlüsseloptionen:
      1. Aktivieren der Checkbox für „Schlüssel als exportierbar markieren“
    4. Zusätzliche Optionen:
      1. Anzeigename: FQDN des Servers oder wie er in DNS angezeigt wird
  6. Klicken Sie auf Senden.
  7. Nach erfolgreichem Abschluss der Aufgabe wird die Seite Ausgestelltes Zertifikat mit einem Link zu Dieses Zertifikat installieren geöffnet.
  8. Wählen Sie Dieses Zertifikat installieren aus.
  9. Auf dem Server wird das Zertifikat von Persönlicher Zertifikatspeicher gespeichert.
  10. Laden Sie die Konsolen MMC oder CertMgr, und wechseln Sie zu Persönliche>Zertifikate. Suchen Sie dann das neu erstellte Zertifikat.
  11. Wenn diese Aufgabe auf dem Zielserver nicht abgeschlossen ist, exportieren Sie das Zertifikat:
    1. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie >Alle Aufgaben>Exportieren aus.
    2. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.
    3. Wählen Sie Ja, privaten Schlüssel exportieren und dann Weiter aus.
    4. Wählen Sie Personal Information Exchange – PKCS #12 (.PFX) aus.
    5. Wählen Sie die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen und Alle erweiterten Eigenschaften exportieren aus, und klicken Sie dann auf Weiter.
    6. Geben Sie ein Kennwort an, um die ruhende Zertifikatdatei zu verschlüsseln, und wählen Sie Weiter aus.
    7. Speichern Sie die exportierte Datei, und geben Sie einen Anzeigenamen an.
    8. Klicken Sie auf Weiter und dann auf Fertig stellen.
    9. Suchen Sie die exportierte Zertifikatdatei, und prüfen Sie das Symbol für die Datei.
      1. Wenn das Symbol einen Schlüssel enthält, müssen Sie den privaten Schlüssel angefügt haben.
      2. Wenn das Symbol keinen Schlüssel enthält, exportieren Sie das Zertifikat erneut mit dem privaten Schlüssel, wie Sie es für die spätere Verwendung benötigen.
    10. Kopieren Sie die exportierte Datei auf den Zielcomputer.
  12. Schließen Sie den Webbrowser.

Anfordern eines Zertifikats mithilfe des Zertifikat-Managers

Bei Unternehmenszertifizierungsstellen mit einer definierten Zertifikatvorlage können Sie möglicherweise ein neues Zertifikat von einem in eine Domäne eingebundenen Clientcomputer mithilfe des Zertifikat-Managers anfordern. Da dafür Vorlagen verwendet werden, gilt diese Methode nicht für eigenständige Zertifizierungsstellen.

  1. Melden Sie sich mit Adminrechten (Verwaltungsserver, Gateway, Agent usw.) beim Zielcomputer an.
  2. Verwenden Sie die Administratoreingabeaufforderung oder das PowerShell-Fenster, um den Zertifikat-Manager zu öffnen.
    1. certlm.msc – öffnet den Zertifikatspeicher des lokalen Computers.
    2. mmc.msc – öffnet die Microsoft Management Console.
      1. Laden Sie das Zertifikat-Manager-Snap-In.
      2. Navigieren Sie zu Datei>Snap-In hinzufügen/entfernen.
      3. Wählen Sie Zertifikateaus.
      4. Wählen Sie Hinzufügen.
      5. Wählen Sie Computerkonto und dann Weiter aus.
      6. Wählen Sie Lokaler Computer und dann Fertig stellen aus.
      7. Wählen Sie OK aus, um den Assistenten zu schließen.
  3. Starten Sie die Zertifikatanforderung:
    1. Erweitern Sie unter „Zertifikate“ den Ordner „Personal“.
    2. Klicken Sie mit der rechten Maustaste auf Zertifikate>Alle Aufgaben>Neues Zertifikat anfordern.
  4. Zertifikatregistrierungs-Assistent

    1. Wählen Sie auf der Seite Vorbereitung die Option Weiter.

    2. Wählen Sie die entsprechende Zertifikatregistrierungsrichtlinie aus (standardmäßig ist dies möglicherweise die Active Directory-Registrierungsrichtlinie) und klicken Sie dann auf Weiter.

    3. Wählen Sie die gewünschte Registrierungsrichtlinienvorlage aus, um das Zertifikat zu erstellen.

      1. Wenn die Vorlage nicht sofort verfügbar ist, wählen Sie unter der Liste die Option Alle Vorlagen anzeigen aus.
      2. Wenn die benötigte Vorlage mit einem roten „X“ daneben verfügbar ist, wenden Sie sich an Ihr Active Directory‑ oder Zertifikatteam.

    4. In den meisten Umgebungen finden Sie unter der Zertifikatsvorlage eine Warnmeldung mit einem Hyperlink. Wählen Sie den Link aus, und füllen Sie die Informationen für das Zertifikat weiter aus.

    5. Assistent für Zertifikateigenschaften:

      Tab Beschreibung
      Betreff 1. Wählen Sie unter „Antragstellername“ Allgemeiner Name oder Full DN aus, geben Sie den Wert „Hostname“ oder den BIOS-Namen des Zielservers an, und klicken Sie dann auf Hinzufügen.
      Allgemein 1. Geben Sie einen Anzeigenamen für das generierte Zertifikat ein.
      2. Geben Sie bei Bedarf eine Beschreibung des Zwecks dieses Tickets an.
      Erweiterungen 1. Stellen Sie unter „Schlüsselverwendung“ sicher, dass Sie Digitale Signatur und Schlüsselchiffrierung auswählen, und aktivieren Sie das Kontrollkästchen Diese Schlüsselverwendungen kritisch machen.
      2. Stellen Sie unter „Erweiterte Schlüsselverwendung“ sicher, dass Sie die Optionen Serverauthentifizierung und Clientauthentifizierung auswählen.
      Privater Schlüssel 1. Stellen Sie unter „Schlüsseloptionen“ sicher, dass die Schlüsselgröße mindestens 1024 oder 2048 beträgt, und aktivieren Sie das Kontrollkästchen Privaten Schlüssel exportierbar machen .
      2. Stellen Sie unter Schlüsseltyp sicher, dass Sie die Option Exchange auswählen.
      Zertifizierungsstelle-Registerkarte Stellen Sie sicher, dass Sie das Zertifizierungsstelle-Kontrollkästchen auswählen.
      Signature Wenn Ihre Organisation eine Registrierungsstelle benötigt, stellen Sie ein Signaturzertifikat für diese Anforderung bereit.

    6. Nachdem die Informationen im Assistenten für Zertifikateigenschaften bereitgestellt wurden, wird der Warnungs-Hyperlink von vorher ausgeblendet.

    7. Wählen Sie Zum Erstellen des Zertifikats registrieren aus. Wenn ein Fehler auftritt, wenden Sie sich an Ihr AD‑ oder Zertifikatteam.

    8. Bei erfolgreicher Ausführung wird der Status als Erfolgreich angegeben, und ein neues Zertifikat wird im Speicher „Persönlich/Zertifikate“ abgelegt.

  5. Wenn diese Aktionen für den vorgesehenen Empfänger des Zertifikats ausgeführt wurden, fahren Sie mit den nächsten Schritten fort.
  6. Exportieren Sie andernfalls das neue Zertifikat vom Computer, und kopieren Sie es zum nächsten.
    1. Öffnen Sie das Zertifikat-Manager-Fenster, und navigieren Sie zu Persönliche>Zertifikate.
    2. Wählen Sie die zu exportierenden Zertifikate aus.
    3. Klicken Sie mit der rechten Maustaste auf Alle Aufgaben>exportieren.
    4. Im Zertifikatexport-Assistenten.
      1. Wählen Sie auf der Startseite Weiter aus.
      2. Wählen Sie Ja, privaten Schlüssel exportieren aus.
      3. Wählen Sie Personal Information Exchange – PKCS #12 (.PFX) aus den Formatoptionen aus.
        1. Wählen Sie die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen und Alle erweiterten Eigenschaften exportieren aus.
      4. Wählen Sie Weiter aus.
      5. Geben Sie ein bekanntes Kennwort an, um die Zertifikatdatei zu verschlüsseln.
      6. Wählen Sie Weiter aus.
      7. Geben Sie einen barrierefreien Pfad und einen erkennbaren Dateinamen für das Zertifikat an.
    5. Kopieren Sie die neu erstellte Zertifikatdatei auf den Zielcomputer.

Installieren des Zertifikats auf dem Zielcomputer

Um das neu erstellte Zertifikat zu verwenden, importieren Sie es in den Zertifikatspeicher auf dem Clientcomputer.

Hinzufügen des Zertifikats zum Zertifikatspeicher

  1. Melden Sie sich beim Computer an, auf dem die Zertifikate für Verwaltungsserver, Gateway oder Agent erstellt werden.

  2. Kopieren Sie das oben erstellte Zertifikat an einen barrierefreien Speicherort auf diesem Computer.

  3. Öffnen Sie eine Administratoreingabeaufforderung oder ein PowerShell-Fenster und navigieren Sie zu dem Ordner, in dem sich die Zertifikatdatei befindet.

  4. Führen Sie den folgenden Befehl aus, und stellen Sie sicher, dass NewCertificate.cer durch den richtigen Namen/Pfad der Datei ersetzt wird:

    CertReq -Accept -Machine NewCertificate.cer

  5. Dieses Zertifikat sollte jetzt im persönlichen Speicher des lokalen Computers auf diesem Computer vorhanden sein.

Alternativ können Sie mit der rechten Maustaste auf die Zertifikatdatei „>Installieren> Lokaler Computer“ klicken und das Ziel des persönlichen Speichers auswählen, um das Zertifikat zu installieren.

Hinweis

Wenn Sie ein Zertifikat mit dem privaten Schlüssel dem Zertifikatspeicher hinzufügen und es zu einem späteren Zeitpunkt aus dem Speicher löschen, enthält das Zertifikat beim erneuten Importieren nicht mehr den privaten Schlüssel. Die Operations Manager-Kommunikation erfordert privaten Schlüssel, da die ausgehenden Daten verschlüsselt werden müssen. Sie können das Zertifikat mithilfe von certutil reparieren. Sie müssen die Seriennummer des Zertifikats angeben. Um beispielsweise den privaten Schlüssel wiederherzustellen, verwenden Sie den folgenden Befehl in der Administratoreingabeaufforderung oder in einem PowerShell-Fenster:

certutil -repairstore my <certificateSerialNumber>

Importieren des Zertifikats in Operations Manager

Abgesehen von der Installation des Zertifikats im System müssen Sie Operations Manager aktualisieren, um das Zertifikat zu kennen, das Sie verwenden möchten. Die folgenden Aktionen starten den Microsoft Monitoring Agent-Dienst neu.

Verwenden Sie das Hilfsprogramm MOMCertImport.exe im Ordner SupportTools in den Operations Manager-Installationsmedium. Kopieren Sie die Datei auf Ihren Server.

Führen Sie die folgenden Schritte aus, um das Zertifikat mithilfe von MOMCertImport in Operations Manager zu importieren:

  1. Melden Sie sich beim Zielcomputer an.

  2. Öffnen Sie eine Administratoreingabeaufforderung oder ein PowerShell-Fenster und navigieren Sie zum Ordner des Hilfsprogramms MOMCertImport.exe.

  3. Ausführen des Hilfsprogramms MomCertImport.exe

    1. In CMD: MOMCertImport.exe
    2. In PowerShell: .\MOMCertImport.exe

  4. Ein GUI-Fenster wird angezeigt für Zertifikat auszuwählen

    1. Sie können eine Liste von Zertifikaten sehen. Wenn Ihnen nicht sofort eine Liste angezeigt wird, klicken Sie auf Weitere Optionen.

  5. Wählen Sie in der Liste das neue Zertifikat für den Computer aus.

    1. Sie können das Zertifikat überprüfen, indem Sie es auswählen. Nach der Auswahl können Sie die Zertifikateigenschaften anzeigen.

  6. Wählen Sie OK aus.

  7. Bei erfolgreicher Ausführung zeigt ein Popup-Fenster die folgende Meldung an:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Wechseln Sie zur Überprüfung zu Ereignisanzeige>Anwendungs- und Dienstprotokolle>Operations Manager für eine Ereignis-ID 20053. Dies zeigt an, dass das Authentifizierungszertifikat erfolgreich geladen wurde.

  9. Wenn die Ereignis-ID 20053 nicht im System vorhanden ist, suchen Sie nach einer der folgenden Ereignis-IDs nach Fehlern und nehmen Sie entsprechende Korrekturen vor:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport aktualisiert diesen Registrierungsort so, dass er den Wert enthält, der der Rückseite der auf dem Zertifikat angegebenen Seriennummer entspricht:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Verlängern eines Zertifikats

Der Operations Manager generiert eine Warnung, wenn ein importiertes Zertifikat für Verwaltungsserver und Gateways bald abläuft. Wenn Sie eine Warnung erhalten, erneuern Sie das Zertifikat für die Server oder erstellen Sie ein neues vor dem Ablaufdatum. Dies funktioniert nur, wenn das Zertifikat Vorlageninformationen (von einer Unternehmenszertifizierungsstelle) enthält.

  1. Melden Sie sich mit dem ablaufenden Zertifikat beim Server an, und starten Sie den Zertifikatkonfigurations-Manager (certlm.msc).
  2. Suchen Sie das ablaufende Operations Manager-Zertifikat.
  3. Wenn Sie das Zertifikat nicht finden, wurde es möglicherweise entfernt oder über eine Datei und nicht über den Zertifikatspeicher importiert. Möglicherweise müssen Sie für dieses Gerät ein neues Zertifikat von der Zertifizierungsstelle ausstellen. Weitere Informationen dazu finden Sie in den obigen Anweisungen.
  4. Wenn Sie das Zertifikat finden, befinden sich unten die Optionen zur Verlängerung des Zertifikats:
    1. Anfordern eines Zertifikats mit neuem Schlüssel
    2. Verlängern eines Zertifikats mit neuem Schlüssel
    3. Verlängern eines Zertifikats mit gleichem Schlüssel
  5. Wählen Sie die Option aus, die ihren Anforderungen am besten entspricht, und folgen Sie dem Assistenten.
  6. Führen Sie das Tool MOMCertImport.exe nach Abschluss aus, um sicherzustellen, dass Operations Manager die neue Seriennummer (in umgekehrter Reihenfolge) des Zertifikats hat, falls diese geändert wurde. Weitere Informationen finden Sie im obigen Abschnitt.

Wenn die Zertifikatverlängerung über diese Methode nicht verfügbar ist, verwenden Sie die vorherigen Schritte, um ein neues Zertifikat anzufordern, oder verwenden Sie die Zertifizierungsstelle der Organisation. Installieren und importieren (MOMCertImport) Sie das neue Zertifikat für die Verwendung durch Operations Manager.

Optional: Konfigurieren der automatischen Registrierung und Verlängerung von Zertifikaten

Verwenden Sie die Unternehmenszertifizierungsstelle, um die automatische Zertifikatsregistrierung und ‑verlängerung bei Ablauf zu konfigurieren. Dadurch wird das vertrauenswürdige Stammzertifikat an alle in die Domäne eingebundenen Systeme verteilt.

Die Konfiguration der automatischen Zertifikatsregistrierung und ‑erneuerung funktioniert nicht mit eigenständigen oder Drittanbieter-Zertifizierungsstellen. Für Systeme in einer Arbeitsgruppe oder einer separaten Domäne werden Zertifikatsverlängerungen und ‑registrierungen weiterhin manuell durchgeführt.

Weitere Informationen finden Sie unter Windows Server-Leitfaden.

Hinweis

Durch die automatische Registrierung und Verlängerung wird Operations Manager nicht automatisch für die Verwendung des neuen Zertifikats konfiguriert. Wenn das Zertifikat automatisch mit dem gleichen Schlüssel verlängert wird, kann auch der Fingerabdruck gleich bleiben und es ist keine Aktion durch die Administration erforderlich. Wenn ein neues Zertifikat generiert wird oder sich der Fingerabdruck ändert, muss das aktualisierte Zertifikat wie oben beschrieben mit dem MOMCertImport-Tool in Operations Manager importiert werden.