Bedeutung der Funktion zur automatisierten Zertifikatsverwaltung

Sie können MVE so konfigurieren, dass Druckerzertifikate automatisch verwaltet werden, und Sie können diese anschließend über die Konfigurationsdurchsetzung auf den Druckern installieren. Das folgende Diagramm beschreibt den End-to-End-Prozess der automatischen Zertifikatsverwaltung.

Die Endpunkte der Zertifizierungsstelle, zum Beispiel der CA-Server und die Serveradresse, müssen in MVE definiert werden.

Die folgenden CA-Server werden unterstützt:

• OpenXPKI CA : Benutzer können eines der folgenden Protokolle verwenden:

  • Sicheres Zertifikatverschlüsselungsprotokoll (Secure Certificate Encryption Protocol, SCEP)

  • EST-Anschluss

  Hinweise:

  • EST ist die empfohlene Methode, um eine Verbindung zum OpenXPKI-Server herzustellen.
  • Weitere Informationen zum Konfigurieren von OpenXPKI CA mit dem EST-Protokoll finden Sie unter Verwalten von Zertifikaten mit OpenXPKI Certificate Authority über EST .
  • Weitere Informationen zum Konfigurieren von OpenXPKI CA mit dem SCEP-Protokoll finden Sie unter Verwalten von Zertifikaten mit OpenXPKI Certificate Authority über SCEP .

• Microsoft CA Enterprise : Benutzer können eines der folgenden Protokolle verwenden

  • Sicheres Zertifikatverschlüsselungsprotokoll (Secure Certificate Encryption Protocol, SCEP)

  • Microsoft Certificate Enrollment Web Services (MSCEWS)

  Hinweise:

  • MSCEWS ist die empfohlene Methode, um eine Verbindung zum Microsoft CA Enterprise-Server herzustellen.
  • Weitere Informationen zum Konfigurieren von Microsoft CA mit dem MSCEWS-Protokoll finden Sie unter Verwalten von Zertifikaten mit Microsoft Certificate Authority über MSCEWS .
  • Weitere Informationen zum Konfigurieren von Microsoft CA mit dem SCEP-Protokoll finden Sie unter Verwalten von Zertifikaten mit Microsoft Certificate Authority über SCEP .

Die Verbindung zwischen MVE und den CA-Servern muss validiert werden. Während der Validierung kommuniziert MVE mit dem CA-Server, um die Zertifikatskette und die Zertifikatsperrliste (Certificate Revocation List, CRL) herunterzuladen. Das Zertifikat des Anmeldeagenten oder Testzertifikat wird ebenfalls generiert. Mit diesem Zertifikat kann der CA-Server MVE vertrauen.

Weitere Informationen zur Definition der Endpunkte und zur Validierung finden Sie unter Konfigurieren von MVE für die automatische Zertifikatsverwaltung .

Eine Konfiguration, die für die Verwendung von Markvision zur Verwaltung von Gerätezertifikaten eingerichtet ist, muss dem Drucker zugewiesen und durchgesetzt werden.

Weitere Informationen finden Sie in den folgenden Themenabschnitten:

• Erstellen einer Konfiguration

• Durchsetzen von Konfigurationen

Während der Durchsetzung überprüft MVE den Drucker auf Konformität.

Für Standardgerätezertifikat

• Das Zertifikat wird anhand der Zertifikatskette validiert, die vom CA-Server heruntergeladen wurde.

• Wenn der Drucker nicht konform ist, wird eine Zertifikatssignierungsanforderung (CSR) für den Drucker angefordert.

Für Benanntes Gerätezertifikat

• Das Zertifikat wird anhand der Zertifikatskette validiert, die vom CA-Server heruntergeladen wurde.

• MVE erstellt ein selbstsigniertes, benanntes Gerätezertifikat auf dem Gerät.

• Wenn der Drucker nicht konform ist, wird eine CSR für den Drucker angefordert.

Hinweise:

• MVE kommuniziert mit dem CA-Server unter Verwendung eines konfigurierten Protokolls.
• Der CA-Server generiert das neue Zertifikat und sendet das Zertifikat anschließend an den Drucker.
• Wenn ein benanntes Zertifikat im Drucker vorhanden ist, wird kein neues benanntes Zertifikat erstellt, aber für den Drucker wird eine CSR erstellt.

Konfigurieren von MVE für die automatische Zertifikatsverwaltung

1. Klicken Sie in der oberen rechten Ecke der Seite auf .

2. Klicken Sie auf Zertifizierungsstelle > Zertifizierungsstellen-Server verwenden .

   Hinweis:  Die Schaltfläche Zertifizierungsstellen-Server verwenden wird nur angezeigt, wenn die Zertifizierungsstelle zum ersten Mal konfiguriert oder wenn das Zertifikat gelöscht wird.

3. Konfigurieren Sie die Serverendpunkte.

   • CA-Server : Der CA-Server (Certificate Authority), der die Druckerzertifikate generiert. Sie können eine der folgenden Optionen auswählen:

     • OpenXPKI CA

     • Microsoft CA- Enterprise

     Hinweis:  Der Benutzer kann auch einen CA-Server konfigurieren, der das Enrollment over Secure Transport (EST) -Protokoll unterstützt.

     • Der CA-Server muss das in RFC 7030 definierte EST-Protokoll implementieren.

       Hinweis:  Jede Abweichung von der Spezifikation kann zu einer ungültigen Installation führen.

     • EST ist das empfohlene Protokoll für die Verbindung mit dem OpenXPKI CA-Server.

       Hinweis:  Der Microsoft CA Enterprise-Server unterstützt das EST-Protokoll nicht.

   • CA-Serveradresse : Geben Sie die IP-Adresse oder den Hostnamen Ihres CA-Servers ein. Dieses Feld gilt nur für SCEP- und EST-Protokolle.

     Hinweis:  Geben Sie eine der folgenden Optionen ein:

     • Für MSCA-Server (mit SCEP): <Server-IP-Adresse oder Hostname>/certsrv/mscep/mscep.dll

     • Für OpenXPKI-Server (mit SCEP): <Server-IP-Adresse oder Hostname>/scep/scep

     • Geben Sie für EST eine der folgenden Optionen ein:

       • https://172.87.95.240

       • https://estserver.com

       • estserver.com

   • CA-Server-Kennzeichnung (Optional)  – Wenn der Benutzer einen neuen Bereich erstellt, muss derselbe Bereichsname in dieses Feld eingefügt werden.

   • CEP-Serveradresse  – Dieses Feld gilt nur für das MSCEWS-Protokoll.

     Hinweis:  Geben Sie eine der folgenden Optionen ein:

     • Für die Authentifizierung mit Benutzername und Kennwort: https://democep.com/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP

     • Für die integrierte Windows-Authentifizierung: https://democep.com/ADPolicyProvider_CEP_Kerberos/service.svc/CEP

     • Für die Clientzertifikat-Authentifizierung: https://democep.com/ADPolicyProvider_CEP_Certificate/service.svc/CEP

   • CA-Server-Hostname  – Geben Sie die IP-Adresse oder den Hostnamen Ihres CA-Servers ein.

     Hinweis:  Für das MSCEWS-Protokoll kann der Benutzer beispielsweise democa.lexmark.com auswählen.

   • CES-Server-Hostname  – Geben Sie die IP-Adresse oder den Hostnamen Ihres CES-Servers ein.

     Hinweis:  Für das MSCEWS-Protokoll kann der Benutzer beispielsweise democes.lexmark.com auswählen.

   • Abfrage-Kennwort : Das Abfrage-Kennwort, das erforderlich ist, um die Identität von MVE beim CA-Server zu bestätigen. Dieses Kennwort ist nur für OpenXPKI CA erforderlich. Es wird in Microsoft CA Enterprise nicht unterstützt.

   Hinweis:  Je nach CA-Server müssen Sie den Authentifizierungsmodus des Servers konfigurieren. Führen Sie einen der folgenden Schritte aus:

   • Wenn Sie das EST -Protokoll auswählen, wählen Sie im Menü Authentifizierungsmodus des CA-Servers eine der folgenden Optionen aus:

     • Authentifizierung mit Benutzername und Kennwort

     • Clientzertifikat-Authentifizierung

   • Wenn Sie das MSCEWS -Protokoll auswählen, wählen Sie im Menü Authentifizierungsmodus des CA-Servers eine der folgenden Optionen aus:

     • Authentifizierung mit Benutzername und Kennwort

     • Clientzertifikat-Authentifizierung

     • Integrierte Windows-Authentifizierung

   • Das SCEP -Protokoll unterstützt nur den Authentifizierungsmodus Kennwortabfrage .

   Hinweis:  Je nach CA-Server finden Sie in den folgenden Abschnitten weitere Informationen:

   • Verwalten von Zertifikaten mit OpenXPKI Certificate Authority über SCEP

   • Verwalten von Zertifikaten mit Microsoft Certificate Authority über SCEP

   • Verwalten von Zertifikaten mit Microsoft Certificate Authority über MSCEWS

   • Verwalten von Zertifikaten mit OpenXPKI Certificate Authority über EST

4. Klicken Sie auf Änderungen speichern und validieren > OK .

   Hinweise:

   • Die Option Änderungen verwerfen funktioniert nur, wenn die Änderungen noch nicht gespeichert oder gespeichert und validiert wurden.
   • Der Benutzer kann Daten nicht aus einer ungültigen Konfiguration heraus wiederherstellen, da MVE den letzten gültigen Status von Konfigurationen nicht speichert. MVE speichert jeweils nur eine einzelne Zertifikatskonfiguration, die gültig sein kann oder nicht.

   Hinweise:

   • Die Verbindung zwischen MVE und den CA-Servern muss validiert werden. Während der Validierung kommuniziert MVE mit dem CA-Server, um die Zertifikatskette und die Zertifikatsperrliste (Certificate Revocation List, CRL) herunterzuladen. Das Zertifikat des Anmeldeagenten oder Testzertifikat wird ebenfalls generiert. Mit diesem Zertifikat kann der CA-Server MVE vertrauen.
   • Sie können eine oder mehrere CEP-Vorlagen auswählen, wenn Sie das MSCEWS-Protokoll verwenden. Gehen Sie folgendermaßen vor:

   1. Nachdem Sie auf Änderungen speichern und validieren geklickt haben, wird das Fenster zur CEP-Vorlagenauswahl angezeigt.

   2. Wählen Sie eine oder mehrere Vorlagen aus den verfügbaren Vorlagen aus.

      • Das Dialogfeld „Zertifizierungsstellen-Server verwenden“ ruft die Zertifikatsrückrufliste ab.

      • Ein Dialogfeld bestätigt, dass die Zertifikatsüberprüfung erfolgreich war.

   3. Sie können die ausgewählten CEP-Vorlagen auf der Konfigurationsseite des CA-Servers anzeigen.

   Hinweis:  Wenn Sie diese Konfiguration für ein beliebiges Gerät erzwingen, wird ein Zertifikat entsprechend der ausgewählten Vorlage erstellt.

5. Navigieren Sie zurück zur Seite Systemkonfiguration, und überprüfen Sie anschließend das CA-Zertifikat.

   Hinweis:  Sie können ein CA-Zertifikat auch herunterladen oder löschen.

Übersicht

Im folgenden Bereitstellungsszenario basieren alle Berechtigungen auf Berechtigungen, die auf Zertifikatsvorlagen festgelegt sind, die im Domänen-Controller veröffentlicht werden. Die an die Zertifizierungsstelle gesendeten Zertifikatsanforderungen basieren auf Zertifikatsvorlagen.

Stellen Sie bei dieser Einrichtung sicher, dass Sie über Folgendes verfügen:

• Gerät, das die untergeordnete CA hostet

• Gerät, auf dem der NDES-Service gehostet wird

• Domänen-Controller

Erforderliche Benutzer

Erstellen Sie die folgenden Benutzer im Domänen-Controller:

• Service-Administrator

  • Benannt als SCEPAdmin

  • Muss Mitglied der Gruppen lokaler Admin - und Enterprise-Admin sein

  • Muss lokal protokolliert werden, wenn die Installation der NDES-Rolle ausgelöst wird

  • Verfügt über Registrierungsberechtigung für die Zertifikatvorlagen

  • Verfügt über Berechtigung zum Hinzufügen von Vorlagen für CA

• Dienstkonto

  • Benannt als SCEPSvc

  • Muss Mitglied der lokalen Gruppe IIS_IUSRS sein

  • Muss ein Domänenbenutzer sein und über Lese- und Registrierungsberechtigungen für die konfigurierten Vorlagen verfügen

  • Verfügt über Anforderungsberechtigung für CA

• CA-Administrator des Unternehmens

  • Benannt als CAAdmin

  • Mitglied der Admin -Gruppe des Unternehmens

  • Muss Teil der lokalen Admin -Gruppe sein