Konfigurieren der Rolle „Unit Assistant“ für das Zertifikatsmanagement - Security Center 5.11

Security Center – Administratorhandbuch 5.11

Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
Handbücher > Administrator-Handbücher
Language
Deutsch
Product
Security Center
Version
5.11

Bevor die Unit Assistant-Rolle Einheitenzertifikate effektiv verwalten kann, müssen Sie die Einstellungen für das Zertifikatsmanagement und das Zertifikatsprofil konfigurieren.

Prozedur

  1. Melden Sie sich bei Security Center mit auf dem Server, der die Unit-Assistant-Rolle, installiertem Config Tool an.
  2. Öffnen Sie auf der Config Tool-Startseite den Task System und klicken Sie auf die Ansicht Rollen.
  3. Wählen Sie die Unit-Assistant-Rolle aus und klicken Sie auf die Registerkarte Eigenschaften.
  4. Konfigurieren Sie im Abschnitt Sicherheit die Einstellungen für das Zertifikatsmanagement.
    Sicherheitsrichtlinien
    Erneuerung abgelaufener Zertifikate zulassen
    Aktivieren Sie diese Einstellung (standardmäßig aktiviert), um dem System zu erlauben, die Einheitenzertifikate automatisch zu erneuern, auch nachdem sie abgelaufen sind. Deaktivieren Sie diese Einstellung, wenn Sie nicht möchten, dass abgelaufene Zertifikate automatisch erneuert werden. Sie können abgelaufene Zertifikate jederzeit manuell über den Task Hardwareinventar erneuern.
    HTTPS nach erfolgreicher Zertifikatsinstallation auf Einheiten aktivieren
    Aktivieren Sie diese Einstellung (standardmäßig aktiviert), um die Einheit zu zwingen, nach erfolgreicher Installation des Zertifikats zu HTTPS zu wechseln. Die in Security Center für die Einheiten konfigurierten HTTPS-Ports können sich während des Vorgangs ändern, wenn der Unit Assistant den richtigen Port erkennen kann.
    Benachrichtigungen
    Geben Sie – in Tagen – an, wie früh das System eine Warnung veranlassen soll, bevor ein Zertifikat abläuft (Standard = 7 Tage).

    Wenn Sie Ihr System so konfiguriert haben, dass es Zertifikate automatisch X Tage vor ihrem Ablauf erneuert, legen Sie diesen Wert auf X minus N fest, wobei N die Anzahl von Tagen ist, die Sie dem System geben, eine Erneuerung des Zertifikats automatisch zu versuchen, bevor eine Warnung veranlasst wird. Nehmen Sie sich auch ausreichend Zeit, um zu untersuchen, wieso ein Zertifikat nicht erneuert wurde, nachdem Sie die Warnung erhalten haben.

    Zertifikatsinformationen
    Gültigkeitszeitraum
    Das ist der Gültigkeitszeitraum eines Zertifikats nach einer Erneuerung. Dieser Wert wird von der Zertifizierungsstelle übernommen. Er kann nur über die Seite Zertifikatsprofil bearbeitet werden.
    Erweiterte anzeigen
    Klicken Sie auf diese Schaltfläche, um die optionalen Eigenschaften anzuzeigen, die Sie von Ihrem System erstellten Zertifikaten zuweisen können. Land, Bundesland, Ort, Organisation und Organisationseinheit dienen dazu, die Zertifikate, die für Ihr Unternehmen ausgestellt werden, zu identifizieren. Diese Werte können auf bestimmten Zertifikatserneuerungen überschrieben werden.
  5. Klicken Sie in der Public-Key-Infrastruktur auf Benutzerdefinierten Endpunkt festlegen und geben Sie im Feld Endpunkt die URL Ihres Zertifizierungsinstanz.
    BEMERKUNG: Für Security Center 5.11 ist die Zertifizierungsstelle die Certificate-Signing-Rolle.
    Die Syntax der URL lautet wie folgt:
    https://hostname:port/management
    Hostname ist der Hostname oder die IP-Adresse der Servers, der die Certificate-Signing-Rolle hostet, und Port ist die Portnummer, die auf der Seite Eigenschaften der Certificate-Signing-Rolle konfiguriert ist. Stellen Sie sicher, dass der Server, der die Unit-Assistant-Rolle hostet, auf diese URL zugreifen kann.
    WICHTIG: Um die Failover-Konfiguration zu vereinfachen, ist die URL standardmäßig auf https://localhost:port/management festgelegt. Dadurch wird angenommen, dass die Unit-Assistant-Rolle und die Certificate-Signing-Rolle immer auf dem gleichen Server gehostet werden. Wenn Sie die zwei Rollen auf separaten Servern hosten möchten und dann ein Failover auftritt, müssen Sie hier den Wert der URL manuell ändern und die Unit-Assistant-Rolle neu starten.
  6. Klicken Sie auf Anwenden.
  7. Starten Sie die Unit-Assistant-Rolle neu.
    1. Klicken Sie im linken Bereich mit der rechten Maustaste auf Unit Assistant und klicken Sie dann auf Wartung > Rolle deaktivieren.
    2. Nachdem die Rolle rot geworden ist, klicken Sie mit der rechten Maustaste auf Unit Assistant und klicken Sie dann auf Wartung > Rolle aktivieren.
  8. Klicken Sie auf Zertifikatsprofil, um die Richtlinien und Beschränkungen für Zertifikatsanforderungen zu konfigurieren, die von der Zertifizierungsstelle angewendet werden.
    Zulässiger Domainname
    Muss mit Ihrem Netzwerkdomainnamen übereinstimmen. Lassen Sie das Feld leer, wenn Sie den Domainnamen nicht in die Zertifikate aufnehmen möchten.
    Zulässiger IPv4-Bereich
    Geben Sie den IPv4 -Bereich der Einheiten ein, mit denen Sie eine Verbindung in Ihrem Netzwerk herstellen möchten. Lassen Sie das Feld leer, wenn die Einheiten IPv4 nicht verwenden sollen.

    Der IP-Bereich muss der CIDR-Konvention entsprechen. Alle Einheiten müssen sich innerhalb dieses IP-Adressbereichs befinden. Wir unterstützen keine separaten IP-Adressbereiche.

    Zulässiger IPv6-Bereich
    Geben Sie den IPv6-Bereich der Einheiten ein, mit denen Sie eine Verbindung in Ihrem Netzwerk herstellen möchten. Lassen Sie das Feld leer, wenn die Einheiten IPv6 nicht verwenden sollen.

    Der IP-Bereich muss der CIDR-Konvention entsprechen. Alle Einheiten müssen sich innerhalb dieses IP-Adressbereichs befinden. Wir unterstützen keine separaten IP-Adressbereiche.

    Gültigkeitszeitraum
    Geben Sie die Gültigkeitsdauer der erneuerten Zertifikate in Tagen oder Monaten oder Jahren an – abhängig von Ihren Sicherheitsrichtlinien. Wir empfehlen einen Zeitraum zwischen sechs Monaten und einem Jahr.
  9. Klicken Sie auf Anwenden.
  10. Wählen Sie die zertifikatsbezogenen Systemintegritätsereignisse aus, die Sie überwachen möchten.
    Die zertifikatsbezogenen Systemintegritätsereignisse, die Sie überwachen können, sind folgende:
    Zertifikatswarnung
    Das Zertifikat läuft ab.
    Zertifikatsfehler
    Es gibt einen Fehler, der die Kommunikation mit der Einheit unsicher macht.
    Zertifikat gültig
    Der Status des Zertifikats ist zu „gültig“ zurückgekehrt, nachdem er „Fehler“ oder „Warnung“ lautete.
    Diese Ereignisse befinden sich unter der Gruppe Zutrittskontrolleinheit und der Gruppe Videoeinheit.
    BEST-PRACTICE: Es ist empfehlenswert, dass Sie Event-to-Actions erstellen, um Ihren Administrator darüber zu informieren, wenn zertifikatsbezogene Probleme aufkommen.

Nach Durchführen dieser Schritte

Wenn Sie diese Änderungen später ändern möchten, müssen Sie dies zu einem Zeitpunkt machen, wenn die Unit-Assistant-Rolle keine Zertifikate aktualisiert.
WICHTIG: Wenn Sie den Kommunikationsport der Zertifizierungsstelle (Certificate-Signing-Rolle) oder eine beliebige Einstellung auf der Seite Zertifikatsprofil ändern möchten, müssen Sie die Unit-Assistant-Rolle neu starten, um die Änderungen zu übernehmen. Wenn Sie zu einer neuen Zertifizierungsinstanz wechseln, muss jede Einheit, deren Zertifikat von der alten Zertifizierungsinstanz signiert. ist, so schnell wie möglich erneuert werden. Andererseits, wenn Sie Ihre Einheit zu einer neuen Rolle verschieben, funktioniert die Einheit möglicherweise nicht mehr, da das Stammzertifikat der alten Zertifizierungsstelle nicht auf dem Server bereitgestellt wird, der die neue Rolle hostet.

Beachten. Sie auch, dass das Stammzertifikat der alten Zertifizierungsinstanz nicht automatisch entfernt wird, wenn es nicht länger verwendet wird. Nachdem alle Einheitenzertifikate erneuert wurden, können Sie es manuell aus dem Windows Certificate Store entfernen, falls erforderlich.