17.3 Einrichten von Windows-Arbeitsstationen für die Verwendung von SSL und Zertifikaten

Dieser Abschnitt enthält Informationen zum Einrichten einer Windows 98/NT/2000/XP-Arbeitsstation für die Verwendung von SSL und Sicherheitszertifikaten. Folgende Abschnitte sind enthalten:

17.3.1 Importieren eines Zertifikats auf der Windows-Arbeitsstation

Wenn das gewünschte SSL-Zertifikat von einer Zertifizierungsstelle erteilt wurde, die sich nicht in der Liste für die Herkunftsverbürgung befindet, müssen Sie das selbstsignierte Zertifikat von der Zertifizierungsstelle auf der Arbeitsstation installieren. Dadurch wird jedes Zertifikat, das von der Zertifizierungsstelle erteilt wurde, von der Arbeitsstation als verbürgt eingestuft. Dies können Sie vor oder nach der Installation des Desktop Management-Agenten durchführen.

Ein Zertifikat kann auf der Windows-Arbeitsstation über ein Benutzerkonto, ein Computerkonto oder ein Servicekonto importiert werden. Weitere Informationen zum Importieren eines Zertifikats finden Sie im Abschnitt “To Import a Certificate” (Importieren eines Zertifikats) auf der Windows XP Professional-Produktdokumentations-Website.

SSL-Beispiel-Setup

Die folgenden Schritte zeigen beispielhaft, wie ein Zertifikat auf eine Arbeitsstation importiert wird:

  1. Stellen Sie sicher, dass auf dem Webserver, auf dem ZENworks Middle Tier Server installiert ist, SSL funktioniert.

    1. Öffnen Sie auf der Arbeitsstation, auf der der ZENworks Desktop Management-Agent installiert ist, einen HTML-Browser.

    2. Verwenden Sie im Browser zum Zugriff auf eine sichere Website das HTTPS-Protokoll (https://Middle_Tier_Server_DNS_Name).

      Je nach vorheriger Konfiguration der Arbeitsstation und des Zugriffs auf diese Site kann ein Dialogfeld mit einer Sicherheitsmeldung angezeigt werden:

      Dialogfeld mit Sicherheitsmeldung

    3. Führen Sie, je nachdem, ob Sie bereits zuvor auf diese Site zugegriffen haben, einen der folgenden Schritte aus:

      • Wenn Sie noch nicht auf diese Site zugegriffen haben, zeigt die Sicherheitsmeldung drei Sicherheitsprüfungen an, die der Browser durchführt, bevor er den Zugriff auf die sichere Site zulässt. Der Status des ersten Elements sollte eine Warnung und der Status der anderen beiden Elemente sollte ein grünes Kontrollhäkchen zeigen. Wenn die Warnmeldung diesem Status nicht entspricht, lösen Sie das Problem mit dem Zertifikat, bevor Sie mit Schritt 2 fortfahren.
      • Wenn Sie das Sicherheitszertifikat des Servers zuvor bereits akzeptiert haben (d. h., Sie haben das Datum und den Namen des Zertifikats validiert und die Zertifizierungsstelle als vertrauenswürdig angegeben), wird diese Sicherheitsmeldung nicht angezeigt. Dies bedeutet jedoch nicht, dass die Arbeitsstation für den Desktop Management-Agenten ordnungsgemäß konfiguriert ist. Wenn der Agent nicht über den Middle Tier-Server authentifiziert wird (siehe Schritt 5), müssen Sie das auf der Arbeitsstation vorhandene Stammzertifikat löschen und anschließend mit Schritt 2 fortfahren.

  2. Überprüfen Sie, ob der Desktop Management-Agent authentifiziert und über Anschluss 80 verbunden ist. (Die Agenten-Anmeldung erfolgt standardmäßig über Anschluss 80, sodass für die Middle Tier-Adresse nur der DNS-Name erforderlich ist.)

  3. Importieren Sie das Fremdhersteller-Stammzertifikat als Computer-Benutzerkonto auf die Arbeitsstation.

    Das Importieren des Stammzertifikats über den Browser an den Standardspeicherort reicht nicht aus, damit der Desktop Management-Agent das Zertifikat finden kann. Die folgenden Unterschritte zeigen beispielhaft, wie ein Fremdhersteller-Stammzertifikat von einem NetWare 6.5 Middle Tier-Server an einen Speicherort importiert wird, an dem der Agent auf das Zertifikat zugreifen kann.

    1. Verwenden Sie wie in Schritt 1 das HTTPS-Protokoll, um auf eine sichere Website zuzugreifen (https://Middle_Tier_Server_DNS_Name) und das Dialogfeld mit der Sicherheitsmeldung anzuzeigen.

    2. Klicken Sie im Dialogfeld auf Zertifikat anzeigen, klicken Sie auf Zertifizierungspfad, wählen Sie Zertifizierungstelle der Organisation und klicken Sie anschließend auf Zertifikat anzeigen.

    3. Wählen Sie Zertifikat installieren, um den Assistenten zum Importieren von Zertifikaten zu starten.

    4. Klicken Sie im Assistenten zum Importieren von Zertifikaten auf Weiter, klicken Sie auf Alle Zertifikate in folgendem Speicher ablegen, klicken Sie auf Durchsuchen und aktivieren Sie anschließend das Kontrollkästchen Physische Speicher anzeigen.

    5. Blättern Sie im Fenster nach oben und erweitern Sie das Listenelement Vertrauenswürdige Stammzertifikatsstellen.

    6. Wählen Sie Lokaler Computer, klicken Sie auf OK, klicken Sie auf Weiter und klicken Sie anschließend auf Fertig stellen.

  4. Testen Sie den Import, indem Sie den Browser schließen und erneut öffnen und anschließend zur Website https://Middle_Tier_Server_DNS_Name wechseln.

    Das Dialogfeld mit der Sicherheitsmeldung sollte nicht angezeigt werden. Wenn die Sicherheitsmeldung angezeigt wird, liegt möglicherweise ein Problem mit dem Webserver und SSL vor.

  5. Konfigurieren Sie Desktop Management für SSL und stellen Sie sicher, dass der Agent den Benutzer authentifizieren kann.

    1. Fügen Sie :443 zum DNS-Namen des Middle Tier-Servers hinzu. Beispiel:

      Möglicherweise müssen Sie regedit.exe verwenden, um die Einstellungen für den Middle Tier-Server zu ändern, wenn der Desktop Management-Agent so konfiguriert ist, dass er Änderungen an der Middle Tier-Adresse nicht zulässt.

    2. Starten Sie die Arbeitsstation ggf. neu.

17.3.2 Desktop Management-Agenten für die Abfrage des Zertifikats konfigurieren

Wenn das Installationsprogramm für den Desktop Management-Agenten einen Eintrag für die IP-Adresse oder den DNS-Namen des Middle Tier-Servers benötigt, müssen Sie den Eigennamen eingeben, den Sie bei der Erstellung der Zertifikatsanfrage verwendet haben. Weitere Informationen hierzu finden Sie in Schritt 5.f.