Schritt 1: Neues Zertifikat über eigene Zertifizierungsstelle herausgeben

Die spezifischen Aktionen zum Ausstellen eines neuen Zertifikats einer untergeordneten Zertifizierungsstelle sind von der jeweiligen Umgebung abhängig.

Möglichkeit A: Wenn Ihre Zertifizierungsstelle über das Netzwerk erreichbar ist

  1. Schließen Sie Security Controls.
  2. Verwenden Sie die Funktionen Ihres lokalen Systems, um das neue Zertifikat Ihrer Zertifizierungsstelle auszustellen.
    Stellen Sie sicher, dass das Zertifikat alle Anforderungen erfüllt.
  3. Speichern Sie das neue Zertifikat im Speicher für die Zwischenzertifizierungsstellen des Konsolencomputers.
  4. Öffnen Sie auf der Konsole ein Administrator-Eingabeaufforderungsfenster und wechseln Sie in das Security Controls-Installationsverzeichnis.
    Das Standardinstallationsverzeichnis lautet: C:\Programme\Ivanti\Security Controls.
  5. Geben Sie in der STMgmt-Befehlszeile den Befehl select_subauthority -thumbprint <thumbprint> ein, um festzulegen, dass das neue Zertifikat als Zertifikat einer untergeordneten Zertifizierungsstelle verwendet werden soll.

    6. Beispiel: stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e

    Achten Sie darauf, das Argument "-thumbprint" anzufügen, damit Security Controls weiß, dass das Zertifikat als Zertifikat einer untergeordneten Zertifizierungsstelle fungieren soll. Eine Methode zum Abrufen des Fingerabdrucks:

    1. Kopieren Sie den Fingerabdruck aus dem neuen Zertifikat in eine Anwendung wie Texteditor.
    2. Entfernen Sie alle Leerzeichen und Sonderzeichen.
    3. Speichern Sie die Datei in einem ANSI-kodierten Format.
    4. Fügen Sie das Fingerabdruckzeichen aus der Texteditordatei in den Befehl select_subauthority ein.

    Für weitere Informationen zum Verwenden von STMgmt geben Sie in einer Administrator-Eingabeaufforderung auf dem Konsolencomputer Folgendes ein:

    C:\Programme\Ivanti\Security Controls>stmgmt

  6. Weitere Informationen dazu, ob Sie 30 Tage warten müssen, bevor das Zertifikat übernommen werden kann, finden Sie unter Benötigte Zeit für das Zertifikat, um das System zu durchdringen.

Möglichkeit B: Ihre Zertifizierungsstelle ist nicht über das Netzwerk erreichbar (die Zertifizierungsstelle ist offline oder befindet sich in einem nicht verbundenen Netzwerk)

  1. Öffnen Sie auf der Konsole ein Administrator-Eingabeaufforderungsfenster und wechseln Sie zum Security Controls-Installationsverzeichnis.
    Das Standardinstallationsverzeichnis lautet C:\Programme\Ivanti\Security Controls.
  2. Geben Sie in der STMgmt-Befehlszeile den Befehl request_subauthority -of <requestfile> ein, um eine Anforderung für eine untergeordnete Zertifizierungsstelle zu erstellen.

    3. Beispiel: stmgmt.exe -request_subauthority -of samplerequestfilename.req

    Das ist die Anforderung, um das neue Security Controls Zertifikat einer untergeordneten Zertifizierungsstelle auszustellen. Sie erstellt alle erforderlichen Informationen für eine Zertifizierungsstelle, um ein Zertifikat auszustellen und in einer Datei zu speichern. Diese Datei ist eine PKCS10-Zertifikatanforderung im Binärformat und wird verwendet, um das Zertifikat in der Zertifizierungsstelle zu generieren. Je nach Zertifizierungsstelle (CA) müssen Sie diese Datei möglicherweise für die Base64-Verschlüsselung konvertieren.

  3. Übertragen Sie die Datei an die Zertifizierungsstelle.
  4. Jetzt kann Ihre Zertifizierungsstelle das neue Zertifikat einer untergeordneten Zertifizierungsstelle ausstellen und in einer Datei speichern.
    Stellen Sie sicher, dass das Zertifikat alle Anforderungen erfüllt.
  5. Übertragen Sie die Datei auf den Konsolencomputer und speichern Sie sie in einem lokalen Verzeichnis.
  6. Geben Sie in der STMgmt-Befehlszeile den Befehl accept_subauthority -if <issuedcert> ein.

    7. Beispiel: stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer

    Dieser Befehl erledigt mehrere Dinge. Der Befehl:

    • Akzeptiert das neue Zertifikat, das von der vertrauenswürdigen Zertifizierungsstelle generiert wurde
    • Verbindet es wieder mit dem privaten Schlüssel auf der Konsole
    • Legt fest, dass Security Controls das Zertifikat als Zertifikat einer untergeordneten Zertifizierungsstelle verwenden soll
    • Verwaltet die Installation des neuen Zertifikats
  7. Weitere Informationen zur Frage, ob Sie 30 Tage warten müssen, bevor das Zertifikat übernommen werden kann, finden Sie unter Benötigte Zeit für das Zertifikat, um das System zu durchdringen.