Nezbytné podmínky pro profily certifikátů v nástroji Configuration Manager

 

Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poznámka

Informace v tomto tématu se vztahují jenom na verze System Center 2012 R2 Configuration Manageru.

Profily certifikátů v nástroji System Center 2012 Configuration Manager mají vnější závislosti a závislosti v rámci produktu.

Vnější závislosti nástroje Configuration Manager

Závislost	Další informace
Podnik vydávající certifikační autoritu (CA) používající službu AD CS (Active Directory Certificate Services). Aby bylo možné odvolat certifikáty, musí být vydávající CA nakonfigurována s oprávněním Vydávat a spravovat certifikáty pro server lokality na nejvyšší úrovni hierarchie. Poznámka Je podporováno schválení správce pro žádosti o certifikát. Nicméně šablony certifikátů používané k vydávání certifikátů musí být nakonfigurovány s předmětem certifikátu Dodán v žádosti, aby nástroj Configuration Manager mohl tuto hodnotu automaticky doplnit.	Další informace o službě AD CS (Active Directory Certificate Services) naleznete v dokumentaci k systému Windows Server: U systému Windows Server 2012: Přehled služby AD CS (Active Directory Certificate Services) U systému Windows Server 2008: Služba AD CS v systému Windows Server 2008
Služba role Služby zápisu síťových zařízení pro službu AD CS (Active Directory Certificate Services) spuštěná v systému Windows Server 2012 R2. Navíc platí: Pro komunikaci mezi klientem a Službou zápisu síťových zařízení nejsou podporována jiná čísla portů než TCP 443 (pro HTTPS) nebo TCP 80 (pro HTTP). Server, na kterém je spuštěna Služba zápisu síťových zařízení, musí být jiný než server vydávající CA.	Nástroj Configuration Manager komunikuje se Službou zápisu síťových zařízení v systému Windows Server 2012 R2 za účelem generování a ověřování žádostí protokolu SCEP (Simple Certificate Enrollment Protocol). Pokud vydáte certifikáty uživatelům nebo zařízením, která se připojují z Internetu, jako jsou například mobilní zařízení spravovaná službou Microsoft Intune, musí být tato zařízení schopna získat z Internetu přístup k serveru, který používá Službu zápisu síťových zařízení. Nainstalujte server například v hraniční síti (rovněž známé jako monitorovaná podsíť). Pokud máte bránu firewall mezi serverem, na němž je spuštěna Služba zápisu síťových zařízení, a vydávající CA, musíte bránu firewall nakonfigurovat tak, aby umožňovala přenos (DCOM) mezi oběma servery. Tento požadavek na bránu firewall platí také pro server, na němž je spuštěn server lokality nástroje Configuration Manager, a vydávající CA, aby nástroj Configuration Manager mohl odvolávat certifikáty. Je-li Služba zápisu síťových zařízení nakonfigurována tak, aby vyžadovala protokol SSL, což je z důvodu zabezpečení doporučený postup, ujistěte se, že připojující se zařízení mají přístup k seznamu odvolaných certifikátů (CRL) za účelem ověření certifikátu serveru. Další informace týkající se Služby zápisu síťových zařízení v systému Windows Server 2012 R2 naleznete v tématu Using a Policy Module with the Network Device Enrollment Service (Použití modulu zásad se Službou zápisu síťových zařízení).
Pokud vydávající CA používá systém Windows Server 2008 R2, vyžaduje tento server opravu hotfix pro požadavky na obnovení certifikátu SCEP.	Není-li oprava hotfix dosud instalována v počítači vydávající CA, instalujte ji. Další informace naleznete v článku 2483564: Renewal request for an SCEP certificate fails in Windows Server 2008 R2 if the certificate is managed by using NDES (Žádost o obnovení certifikátu SCEP v systému Windows Server 2008 R2 selže, pokud je certifikát spravován pomocí služby NDES) ve znalostní bázi Microsoft Knowledge Base.
Certifikát ověřování klienta PKI a exportovaný certifikát od kořenové certifikační autority.	Tento certifikát ověřuje server, na němž je spuštěna Služba zápisu síťových zařízení, pro nástroj Configuration Manager. Další informace najdete v tématu Požadavky na certifikát PKI pro nástroj Configuration Manager.
Podporované operační systémy zařízení.	Profily certifikátů lze nasadit do zařízení používajících operační systémy iOS, Windows 8.1, Windows RT 8.1 a Android.

Závislosti nástroje Configuration Manager

Závislost	Další informace
Role serveru bodu registrace certifikátu	Aby bylo možné používat profily certifikátů, je nejprve nutné instalovat roli serveru bodu registrace certifikátu. Tato role komunikuje s databází nástroje Configuration Manager, se serverem lokality nástroje Configuration Manager a s modulem zásad nástroje Configuration Manager. Další informace týkající se požadavků na systém pro tuto roli serveru, jakož i vhodného místa pro instalaci role v hierarchii, naleznete v následujících částech: v tématu .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq Plánování umístění, do kterého se nainstalují role systému lokality v hierarchii v tématu Plánování systémů lokalit ve Správci konfigurace. Důležité Registrační místo certifikátu nesmí být instalované na stejném serveru, na kterém běží Služba zápisu síťových zařízení.
Modul zásad nástroje Configuration Manager instalovaný na serveru, na němž je spuštěna služba role Služby zápisu síťových zařízení pro službu AD CS (Active Directory Certificate Services)	Aby bylo možné nasadit profily certifikátů, je nutné instalovat modul zásad nástroje Configuration Manager. Tento modul zásad naleznete na instalačním médiu nástroje Configuration Manager.
Data zjišťování	Hodnoty pro předmět certifikátu a alternativní název předmětu doplní nástroj Configuration Manager, který je načte z informací shromážděných při zjišťování. Pro certifikáty uživatelů: Zjišťování uživatele aktivního adresáře Pro certifikáty počítačů: Zjišťování systémových prostředků služby Active Directory a Zjištění sítě Další informace o zjišťování naleznete v tématu Plánování zjišťování v nástroji Configuration Manager.
Specifická oprávnění zabezpečení pro správu profilů certifikátů	Aby bylo možné spravovat nastavení přístupu k prostředkům společnosti, jako jsou například profily certifikátů, profily sítě Wi-Fi a profily sítě VPN, musíte mít následující oprávnění zabezpečení: Zobrazení a správa výstrah a sestav pro profily certifikátů: Vytvořit, Odstranit, Změnit, Změnit sestavu, Číst a Spustit sestavu pro objekt Výstrahy. Vytvoření a správa profilů certifikátů: Autorské zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profil certifikátu. Správa nasazení profilů sítě Wi-Fi, profilů certifikátů a profilů sítě VPN: Nasadit zásady konfigurace, Upravit upozornění stavu klienta, Číst a Číst prostředek pro objekt Kolekce. Správa všech zásad konfigurace: Vytvořit, Odstranit, Změnit, Číst a Nastavit obor zabezpečení pro objekt Zásady konfigurace. Spuštění dotazů souvisejících s profily certifikátů: Oprávnění Číst pro objekt Dotaz. Zobrazení informací o profilech certifikátů v konzole nástroje Configuration Manager: Oprávnění Číst pro objekt Lokalita. Zobrazení stavových zpráv pro profily certifikátů: Oprávnění Číst pro objekt Stavové zprávy. Vytvoření a změna profilu certifikátu od důvěryhodného certifikačního úřadu: Autorské zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profil certifikátu důvěryhodné certifikační autority. Vytvoření a správa profilů sítě VPN: Autorské zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profil sítě VPN. Vytvoření a správa profilů sítě Wi-Fi: Autorské zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profil sítě Wi-Fi. Tato oprávnění požadovaná pro správu profilů certifikátů v nástroji Configuration Manager jsou zahrnuta v roli zabezpečení Správce přístupu k prostředkům společnosti. Další informace najdete v části Konfigurace správy na základě rolí v tématu Konfigurace zabezpečení v nástroji Configuration Manager.

Viz také

Plánování profilů certifikátů v nástroji Configuration Manager