Konfigurieren von MVE für die automatische Zertifikatsverwaltung

Klicken Sie in der oberen rechten Ecke der Seite auf .

Klicken Sie auf Zertifizierungsstelle > Zertifizierungsstellen-Server verwenden.

Hinweis:  Die Schaltfläche Zertifizierungsstellen-Server verwenden wird nur angezeigt, wenn die Zertifizierungsstelle zum ersten Mal konfiguriert oder wenn das Zertifikat gelöscht wird.

Konfigurieren Sie die Serverendpunkte.

• CA-Server: Der CA-Server (Certificate Authority), der die Druckerzertifikate generiert. Sie können eine der folgenden Optionen auswählen:
• OpenXPKI CA
• Microsoft CA- Enterprise

Hinweis:  Der Benutzer kann auch einen CA-Server konfigurieren, der das Enrollment over Secure Transport (EST)-Protokoll unterstützt.

• Der CA-Server muss das in RFC 7030 definierte EST-Protokoll implementieren.

Hinweis:  Jede Abweichung von der Spezifikation kann zu einer ungültigen Installation führen.

• EST ist das empfohlene Protokoll für die Verbindung mit dem OpenXPKI CA-Server.

Hinweis:  Der Microsoft CA Enterprise-Server unterstützt das EST-Protokoll nicht.

• CA-Serveradresse: Geben Sie die IP-Adresse oder den Hostnamen Ihres CA-Servers ein. Dieses Feld gilt nur für SCEP- und EST-Protokolle.

Hinweis:  Geben Sie eine der folgenden Optionen ein:

• Für MSCA-Server (mit SCEP): <Server-IP-Adresse oder Hostname>/certsrv/mscep/mscep.dll
• Für OpenXPKI-Server (mit SCEP): <Server-IP-Adresse oder Hostname>/scep/scep
• Geben Sie für EST eine der folgenden Optionen ein:
• https://172.87.95.240
• https://estserver.com
• estserver.com
• CA-Server-Kennzeichnung (Optional) – Wenn der Benutzer einen neuen Bereich erstellt, muss derselbe Bereichsname in dieses Feld eingefügt werden.
• CEP-Serveradresse – Dieses Feld gilt nur für das MSCEWS-Protokoll.

Hinweis:  Geben Sie eine der folgenden Optionen ein:

• Für die Authentifizierung mit Benutzername und Kennwort: https://democep.com/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
• Für die integrierte Windows-Authentifizierung: https://democep.com/ADPolicyProvider_CEP_Kerberos/service.svc/CEP
• Für die Clientzertifikat-Authentifizierung: https://democep.com/ADPolicyProvider_CEP_Certificate/service.svc/CEP
• CA-Server-Hostname – Geben Sie die IP-Adresse oder den Hostnamen Ihres CA-Servers ein.

Hinweis:  Für das MSCEWS-Protokoll kann der Benutzer beispielsweise democa.lexmark.com auswählen.

• CES-Server-Hostname – Geben Sie die IP-Adresse oder den Hostnamen Ihres CES-Servers ein.

Hinweis:  Für das MSCEWS-Protokoll kann der Benutzer beispielsweise democes.lexmark.com auswählen.

• Abfrage-Kennwort: Das Abfrage-Kennwort, das erforderlich ist, um die Identität von MVE beim CA-Server zu bestätigen. Dieses Kennwort ist nur für OpenXPKI CA erforderlich. Es wird in Microsoft CA Enterprise nicht unterstützt.

Hinweis:  Je nach CA-Server müssen Sie den Authentifizierungsmodus des Servers konfigurieren. Führen Sie einen der folgenden Schritte aus:

• Wenn Sie das EST-Protokoll auswählen, wählen Sie im Menü Authentifizierungsmodus des CA-Servers eine der folgenden Optionen aus:
• Authentifizierung mit Benutzername und Kennwort
• Clientzertifikat-Authentifizierung
• Wenn Sie das MSCEWS-Protokoll auswählen, wählen Sie im Menü Authentifizierungsmodus des CA-Servers eine der folgenden Optionen aus:
• Authentifizierung mit Benutzername und Kennwort
• Clientzertifikat-Authentifizierung
• Integrierte Windows-Authentifizierung
• Das SCEP-Protokoll unterstützt nur den Authentifizierungsmodus Kennwortabfrage.

Hinweis:  Je nach CA-Server finden Sie in den folgenden Abschnitten weitere Informationen:

• Verwalten von Zertifikaten mit OpenXPKI Certificate Authority über SCEP
• Verwalten von Zertifikaten mit Microsoft Certificate Authority über SCEP
• Verwalten von Zertifikaten mit Microsoft Certificate Authority über MSCEWS
• Verwalten von Zertifikaten mit OpenXPKI Certificate Authority über EST

Klicken Sie auf Änderungen speichern und validieren > OK.

Hinweise:

• Die Option Änderungen verwerfen funktioniert nur, wenn die Änderungen noch nicht gespeichert oder gespeichert und validiert wurden.
• Der Benutzer kann Daten nicht aus einer ungültigen Konfiguration heraus wiederherstellen, da MVE den letzten gültigen Status von Konfigurationen nicht speichert. MVE speichert jeweils nur eine einzelne Zertifikatskonfiguration, die gültig sein kann oder nicht.

Hinweise:

• Die Verbindung zwischen MVE und den CA-Servern muss validiert werden. Während der Validierung kommuniziert MVE mit dem CA-Server, um die Zertifikatskette und die Zertifikatsperrliste (Certificate Revocation List, CRL) herunterzuladen. Das Zertifikat des Anmeldeagenten oder Testzertifikat wird ebenfalls generiert. Mit diesem Zertifikat kann der CA-Server MVE vertrauen.
• Sie können eine oder mehrere CEP-Vorlagen auswählen, wenn Sie das MSCEWS-Protokoll verwenden. Gehen Sie folgendermaßen vor:

1. Nachdem Sie auf Änderungen speichern und validieren geklickt haben, wird das Fenster zur CEP-Vorlagenauswahl angezeigt.



2. Wählen Sie eine oder mehrere Vorlagen aus den verfügbaren Vorlagen aus.

   • Das Dialogfeld „Zertifizierungsstellen-Server verwenden“ ruft die Zertifikatsrückrufliste ab.
   • Ein Dialogfeld bestätigt, dass die Zertifikatsüberprüfung erfolgreich war.


3. Sie können die ausgewählten CEP-Vorlagen auf der Konfigurationsseite des CA-Servers anzeigen.

Hinweis:  Wenn Sie diese Konfiguration für ein beliebiges Gerät erzwingen, wird ein Zertifikat entsprechend der ausgewählten Vorlage erstellt.

Navigieren Sie zurück zur Seite Systemkonfiguration, und überprüfen Sie anschließend das CA-Zertifikat.

Hinweis:  Sie können ein CA-Zertifikat auch herunterladen oder löschen.