Konfigurování profilů certifikátů v nástroji Configuration Manager

 

Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poznámka

Informace v tomto tématu se vztahují jenom na verze System Center 2012 R2 Configuration Manageru.

Než budete moci použít nástroj Configuration Manager k zápisu certifikátů do zařízení a pro uživatele, proveďte kroky nastavení popsané v tomto tématu.

Postup konfigurace zápisu certifikátu v nástroji Configuration Manager

Následující tabulka uvádí jednotlivé kroky, podrobnosti a další informace k postupu konfigurace zápisu certifikátu v nástroji Configuration Manager. Než začnete, zkontrolujte podmínky uvedené v tématu Nezbytné podmínky pro profily certifikátů v nástroji Configuration Manager.

Po dokončení tohoto postupu a ověření instalace lze nakonfigurovat a nasadit profily certifikátu. Další informace naleznete v části Vytváření profilů certifikátů v Configuration Manageru.

Kroky	Podrobnosti	Další informace
Krok 1: Instalace a konfigurace Služby zápisu síťových zařízení a závislostí	V operačním systému Windows Server 2012 R2 musí být spuštěna služba role Služby zápisu síťových zařízení pro službu AD CS (Active Directory Certificate Services). Důležité Než budete moci použít v nástroji Configuration Manager Službu zápisu síťových zařízení, je třeba provést další kroky konfigurace.	Viz část Krok 1: Instalace a nastavení Služby zápisu síťových zařízení a závislostí v tomto tématu.
Krok 2: Instalace a konfigurace bodu registrace certifikátu	Musí být nainstalován alespoň jeden bod registrace certifikátu. Tento registrační bod se může nacházet v lokalitě centrální správy nebo v primární lokalitě.	Viz část Krok 2: Instalace a konfigurace bodu registrace certifikátu v tomto tématu.
Krok 3: Instalace Modulu zásad nástroje Configuration Manager	Na server, na němž je spuštěna Služba zápisu síťových zařízení, nainstalujte Modul zásad.	Viz část Krok 3: Instalace Modulu zásad nástroje Configuration Manager v tomto tématu.

Doplňkové procedury ke konfiguraci zápisu certifikátu v nástroji Configuration Manager

Pokud kroky v předchozí tabulce vyžadují další postupy, použijte následující informace.

Krok 1: Instalace a nastavení Služby zápisu síťových zařízení a závislostí

Nainstalujte a nakonfigurujte službu role Služby zápisu síťových zařízení pro službu AD CS (Active Directory Certificate Services), změňte oprávnění zabezpečení v šablonách certifikátu, nasaďte certifikát pro ověřování klientů PKI (infrastruktura veřejného klíče) a v registru zvyšte výchozí limit velikosti URL Internetové informační služby (IIS). Je-li to nutné, nakonfigurujte také vydávající certifikační autoritu (CA) tak, aby umožňovala vlastní období platnosti.

Důležité
Než nakonfigurujete nástroj Configuration Manager ke spolupráci se Službou zápisu síťových zařízení, zkontrolujte instalaci a konfiguraci Služby zápisu síťových zařízení. Pokud tyto závislosti nefungují správně, bude obtížné vyřešit problémy v zápisu certifikátu pomocí nástroje Configuration Manager.

Instalace a nastavení Služby zápisu síťových zařízení a závislostí

1. Na serveru se systémem Windows Server 2012 R2 nainstalujte a nastavte službu role Služby zápisu síťových zařízení pro roli serveru služby AD CS. Další informace naleznete v tématu Síťové zařízení pro zápis služby vedení v knihovně služby Active Directory Certificate Services v knihovně TechNet.

2. Zkontrolujte a v případě potřeby upravte oprávnění zabezpečení pro šablony certifikátu, které Služba zápisu síťových zařízení využívá:

   • Pro účet, který spouští konzolu Configuration Manager: oprávnění Číst.

     Toto oprávnění je vyžadováno, abyste po spuštění Průvodce vytvořením profilu certifikátu mohli vyhledat šablonu certifikátu, kterou chcete použít při vytváření profilu nastavení certifikátu SCEP. Výběr šablony certifikátu znamená, že některá nastavení se v průvodci vyplní automaticky. Konfigurace je tak jednodušší a hrozí menší riziko, že budou zvolena nastavení nekompatibilní s šablonami certifikátu, které používá Služba zápisu síťových zařízení.

   • Pro účet služby SCEP, který využívá fond aplikací Služby zápisu síťových zařízení: Oprávnění Číst a Zapsat.

     Toto nastavení se netýká pouze nástroje Configuration Manager, ale je součástí konfigurace Služby zápisu síťových zařízení. Další informace naleznete v tématu Síťové zařízení pro zápis služby vedení v knihovně služby Active Directory Certificate Services v knihovně TechNet.

   Tip

   Pokud chcete zjistit, které šablony certifikátu Služba zápisu síťových zařízení používá, podívejte se do následujícího klíče registru na serveru, na kterém je spuštěná Služba zápisu síťových zařízení: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Poznámka

   Toto jsou výchozí oprávnění zabezpečení, která budou vhodná pro většinu prostředí. Můžete však použít také alternativní konfiguraci zabezpečení. Další informace naleznete v části Plánování oprávnění šablon certifikátů pro profily certifikátů v nástroji Configuration Manager.

3. Nasaďte na tento server certifikát PKI, který podporuje ověřování klientů. V počítači již můžete mít nainstalován vhodný certifikát, který lze použít, nebo může být nutné (nebo vhodnější) nasadit certifikát speciálně pro tento účel. Další informace o požadavcích na tento certifikát najdete v podrobnostech pro „Servery používající Modul zásad nástroje Configuration Manager se službou role Služby zápisu síťových zařízení“ v části Certifikáty PKI pro servery tématu Požadavky na certifikát PKI pro nástroj Configuration Manager.

   Tip

   Pokud potřebujete pomoc s nasazením tohoto certifikátu, můžete použít pokyny v části Nasazení klientského certifikátu pro distribuční body tématu Podrobný příklad nasazení certifikátů PKI pro nástroj Configuration Manager: certifikační autorita systému Windows Server 2008, protože požadavky na tento certifikát jsou až na jednu výjimku stejné:

   • Na kartě Vyřízení žádosti ve vlastnostech šablony certifikátu nezaškrtávejte políčko Umožnit export privátního klíče.

   Tento certifikát není nutné exportovat s privátním klíčem, protože pokud nakonfigurujete Modul zásad nástroje Configuration Manager, bude možné procházet úložiště místního počítače a certifikát vybrat.

4. Vyhledejte kořenový certifikát, k němuž vede řetěz certifikátu pro ověřování klientů. Poté exportujte tento certifikát CA do souboru certifikátu (.cer). Uložte tento soubor do bezpečného umístění, k němuž budete mít bezpečný přístup, až budete později instalovat a konfigurovat server systému lokality pro bod registrace certifikátu.

5. Na stejném serveru zvyšte pomocí editoru registru výchozí limit velikosti URL služby IIS nastavením následujících hodnot DWORD klíčů registru v HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   • Klíč MaxFieldLength nastavte na hodnotu 65534.

   • Klíč MaxRequestBytes nastavte na hodnotu 16777216.

   Další informace najdete v článku 820129: Nastavení registru HTTP.sys Windows ve znalostní bázi Microsoft Knowledge Base

6. Na stejném serveru změňte ve Správci Internetové informační služby (IIS) nastavení filtrování požadavků pro aplikaci /certsrv/mscep a poté server restartujte. V dialogovém okně Upravit nastavení filtrování požadavků by nastavení Omezení počtu požadavků mělo být:

   • Maximální povolená délka obsahu (bajty):: 30000000

   • Maximální délka adresy URL (bajty): 65534

   • Maximální délka řetězce dotazu (bajty): 65534

   Další informace o těchto nastaveních a jejich konfiguraci naleznete v tématu Requests Limits (Omezení počtu požadavků) v Knihovně odkazů ke službě IIS.

7. Pokud chcete mít možnost požádat o certifikát s kratším obdobím platnosti, než má šablona certifikátu, kterou používáte: Toto nastavení je pro podnikovou CA standardně zakázáno. Chcete-li tuto možnost pro podnikovou CA povolit, použijte nástroj příkazového řádku Certutil a poté pomocí následujících příkazů zastavte a restartujte certifikační službu:

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

   Další informace naleznete v tématu Certificate Services Tools and Settings (Nástroje a nastavení certifikačních služeb) v knihovně technologií PKI v knihovně TechNet.

8. Pomocí odkazu následujícího typu zkontrolujte, že Služba zápisu síťových zařízení funguje: https://server.contoso.com/certsrv/mscep/mscep.dll. Měla by se zobrazit vestavěná webová stránka Služby zápisu síťových zařízení. Tato webová stránka vysvětluje princip služby a obsahuje informaci, že síťová zařízení používají adresu URL k odesílání žádostí o certifikát.

Nyní je nakonfigurována Služba zápisu síťových zařízení a závislosti a lze nainstalovat a nakonfigurovat bod registrace certifikátu.

Krok 2: Instalace a konfigurace bodu registrace certifikátu

V hierarchii Configuration Manager musí být nainstalován a nakonfigurován alespoň jeden bod registrace certifikátu. Tuto roli systému lokality lze nainstalovat do lokality centrální správy nebo do primární lokality.

Důležité
Než nainstalujete bod registrace certifikátu, přečtěte si část tématu , kde najdete požadavky na operační systém a závislosti pro bod registrace certifikátu.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Instalace a konfigurace bodu registrace certifikátu

1. V konzole aplikace Configuration Manager klikněte na položku Správa.

2. V pracovním prostoru Správa rozbalte položku Konfigurace lokality, klikněte na možnost Servery a role systému lokality a pak vyberte server, který chcete použít pro bod registrace certifikátu.

3. Na kartě Domů ve skupině Server klikněte na možnost Přidat role systému lokality.

4. Na stránce Obecné definujte obecné nastavení systému lokalit a klikněte na Další.

5. Na stránce Proxy klikněte na tlačítko Další. Bod registrace certifikátu nepoužívá nastavení proxy Internetu.

6. Na stránce Výběr role systému vyberte ze seznamu dostupných rolí položku Bod registrace certifikátu a klikněte na tlačítko Další.

7. Na stránce Bod registrace certifikátu potvrďte nebo změňte výchozí nastavení a klikněte na tlačítko Přidat.

8. V dialogovém okně Přidat adresu URL a kořenový certifikát CA zadejte následující informace a klikněte na tlačítko OK:

   1. Adresa URL Služby zápisu síťových zařízení: Zadejte adresu URL v tomto formátu: https://<server_FQDN>/certsrv/mscep/mscep.dll. Například: Pokud je název FQDN serveru, na kterém je spuštěná Služba zápisu síťových zařízení, server1.contoso.com, zadejte adresu https://server1.contoso.com/certsrv/mscep/mscep.dll.

   2. Kořenový certifikát certifikační autority: Vyhledejte a vyberte soubor certifikátu (.cer), který jste vytvořili a uložili v Kroku 1: Instalace a nastavení Služby zápisu síťových zařízení a závislostí. Tento kořenový certifikát CA umožňuje, aby bod registrace certifikátu ověřil certifikát pro ověřování klientů, který bude používat Modul zásad nástroje Configuration Manager.

   Poznámka

   Pokud používáte více než jeden server, na němž je spuštěna Služba zápisu síťových zařízení, klikněte na tlačítko Přidat a zadejte podrobnosti pro ostatní servery.

9. Klikněte na tlačítko Další a dokončete průvodce.

10. Počkejte několik minut, než bude dokončena instalace, a poté některou z následujících metod ověřte, že byl bod registrace certifikátu úspěšně nainstalován:

    • V pracovním prostoru Sledování rozbalte položku Stav systému, klikněte na možnost Stav součásti a podívejte se na stavové zprávy ze součásti SMS_CERTIFICATE_REGISTRATION_POINT.

    • Na serveru systému lokality použijte soubor <Instalační cesta Správce konfigurace>\Logs\crpsetup.log a <Instalační cesta Správce konfigurace>\Logs\crpmsi.log. Úspěšná instalace vrátí ukončovací kód 0.

    • Pomocí prohlížeče zkontrolujte, zda se můžete připojit k adrese URL bodu registrace certifikátu – např. https://server1.contoso.com/CMCertificateRegistration. Měla by se zobrazit stránka Chyba serveru pro název aplikace a popis chyby HTTP 404.

11. Vyhledejte exportovaný soubor certifikátu pro kořenovou certifikační autoritu, který automaticky vytvořil bod registrace certifikátu v následující složce na počítači serveru primární lokality: <ConfigMgr Installation Path>\inboxes\certmgr.box. Uložte tento soubor do bezpečného umístění, k němuž budete mít bezpečný přístup, až budete později instalovat Modul zásad nástroje Configuration Manager na server, na kterém je spuštěná Služba zápisu síťových zařízení.

    Tip

    Certifikát není ve složce přítomen okamžitě. Než nástroj Configuration Manager zkopíruje soubor do tohoto umístění, budete muset chvíli počkat (např. půl hodiny).

Nyní je nainstalován a nakonfigurován bod registrace certifikátu a lze nainstalovat Modul zásad nástroje Configuration Manager pro Službu zápisu síťových zařízení.

Krok 3: Instalace Modulu zásad nástroje Configuration Manager

Modul zásad nástroje Configuration Manager je třeba nainstalovat a nakonfigurovat na všech serverech zadaných v Kroku 2: Instalace a konfigurace bodu registrace certifikátu jako Adresa URL Služby zápisu síťových zařízení ve vlastnostech bodu registrace certifikátu.

Instalace Modulu zásad

1. Na serveru, na kterém je spuštěná Služba zápisu síťových zařízení, se přihlaste jako správce domény a do dočasné složky zkopírujte ze složky <InstalačníMédiaSprávceKonfigurace>\SMSSETUP\POLICYMODULE\X64 na instalačním médiu nástroje Configuration Manager následující soubory:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Pokud je na instalačním médiu složka LanguagePack, zkopírujte také tuto složku a její obsah.

2. V dočasné složce spusťte soubor PolicyModuleSetup.exe, jímž spustíte průvodce instalací Modulu zásad nástroje Configuration Manager.

3. Na úvodní stránce průvodce klikněte na tlačítko Další, přijměte licenční podmínky a klikněte na tlačítko Další.

4. Na stránce Instalační složka potvrďte výchozí instalační složku pro modul zásad nebo zadejte jinou složku a klikněte na tlačítko Další.

5. Na stránce Bod registrace certifikátu zadejte adresu URL bodu registrace certifikátu pomocí názvu FQDN serveru systému lokality a názvu virtuální aplikace, která je zadána ve vlastnostech bodu registrace certifikátu. Výchozí název virtuální aplikace je CMCertificateRegistration. Například: Pokud má server systému lokality název FQDN „server1.contoso.com“ a použili jste výchozí název virtuální aplikace, zadejte adresu https://server1.contoso.com/CMCertificateRegistration.

6. Potvrďte výchozí port 443 nebo zadejte jiné číslo portu, které bod registrace certifikátu používá, a klikněte na tlačítko Další.

7. Na stránce Klientský certifikát pro Modul zásad vyhledejte a vyberte certifikát pro ověřování klientů, který jste nasadili v Kroku 1: Instalace a nastavení Služby zápisu síťových zařízení a závislostí, a klikněte na tlačítko Další.

8. Na stránce Certifikát bodu registrace certifikátu klikněte na tlačítko Procházet a vyberte exportovaný soubor certifikátu pro kořenovou certifikační autoritu, který jste vyhledali a uložili na konci Kroku 2: Instalace a konfigurace bodu registrace certifikátu.

   Poznámka

   Pokud jste tento soubor certifikátu v předchozím kroku neuložili, je umístěný ve složce <Instalační cesta Správce konfigurace>\inboxes\certmgr.box v počítači serveru lokality.

9. Klikněte na tlačítko Další a dokončete průvodce.

Nyní je dokončena instalace Služby zápisu síťových zařízení a závislostí, bodu registrace certifikátu a Modulu zásad nástroje Configuration Manager a vytvořením a nasazením profilů certifikátů lze nasadit certifikáty do zařízení a pro uživatele. Další informace o vytváření profilů certifikátu naleznete v tématu Vytváření profilů certifikátů v Configuration Manageru.

Pokud budete chtít odinstalovat Modul zásad nástroje Configuration Manager, použijte Programy a funkce v Ovládacích panelech.

Viz také

Profily certifikátů v nástroji Configuration Manager