Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

Sie können das benutzerdefinierte Zertifikat des Administrationsservers beispielsweise für eine bessere Integration in die vorhandene Public-Key-Infrastruktur (PKI) Ihres Unternehmens oder für eine benutzerdefinierte Konfiguration der Zertifikatfelder angeben. Es ist zweckmäßig, das Zertifikat sofort nach der Installation des Administrationsservers vor dem Abschluss des Schnellstartassistenten zu ersetzen.

Die maximale Gültigkeitsdauer für jedes Zertifikat des Administrationsservers beträgt 397 Tage.

Erforderliche Vorrausetzungen

Das neue Zertifikat muss im PKCS#12-Format erstellt werden (z. B. mittels PKI der Organisation) und von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt werden. Außerdem muss das neue Zertifikat die gesamte Vertrauenskette und einen privaten Schlüssel enthalten, welcher in der Datei mit der pfx- oder p12-Erweiterung gespeichert werden muss. Für das neue Zertifikat müssen unten aufgeführten Voraussetzungen erfüllt sein.

Zertifikatstyp: Gewöhnliches Zertifikat, gewöhnliches Reservezertifikat ("C", "CR")

Voraussetzungen:

• Minimale Schlüssellänge: 2048
• Basic constraints:
  • CA: true
  • Path Length Constraint: None

    Der Wert von "Path Length Constraint" (Einschränkung der Pfadlänge) kann eine von "None" abweichende ganze Zahl sein, darf aber nicht kleiner als 1 sein.

• Schlüsselverwendung:
  • Digital signature
  • Certificate signing
  • Key encipherment
  • CRL Signing
• Extended Key Usage (EKU): Serverauthentifizierung und Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten für Server und Client in der EKU angegeben werden.

Von einer öffentlichen Zertifizierungsstelle ausgestellte Zertifikate verfügen nicht über die Berechtigung zum Signieren von Zertifikaten. Um solche Zertifikate zu verwenden, stellen Sie sicher, dass Sie den Administrationsagenten ab Version 13 auf den Verteilungspunkten oder Verbindungsgateways in Ihrem Netzwerk installiert haben. Andernfalls können Sie Zertifikate ohne die Berechtigung zum Signieren nicht verwenden.

Schritte

Das Angeben des Zertifikats des Administrationsservers erfolgt schrittweise:

1. Ersetzen des Zertifikat des Administrationsservers

   Verwenden Sie dafür das Befehlszeilendienstprogramm klsetsrvcert.

2. Angeben eines neuen Zertifikats und Wiederherstellen der Verbindung der Administrationsagenten zum Administrationsserver

   Wenn das Zertifikat ersetzt wird, verlieren alle Administrationsagenten, die zuvor mittels SSL mit Administrationsserver verbunden waren, die Verbindung zum Server und geben den Fehler "Fehler bei der Authentifizierung des Administrationsservers" zurück. Verwenden Sie das Befehlszeilendienstprogramm klmover, um das neue Zertifikat zu spezifizieren und die Verbindung wiederherzustellen.

Ergebnisse

Wenn Sie das Szenario abgeschlossen haben, wurde das Zertifikat des Administrationsservers ersetzt und der Server wurde durch Administrationsagenten auf den Client-Geräten authentifiziert.