Comment exporter des certificats pour les utiliser avec le déploiement du système d'exploitation
Mis à jour: août 2013
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Quand le site Configuration Manager 2007 fonctionne en mode natif, les déploiements du système d'exploitation qui nécessitent une communication avec le point de gestion doivent être configurés pour utiliser un certificat d'infrastructure de clé publique (PKI). Pour plus d'informations sur les exigences relatives au certificat pour le déploiement du système d'exploitation, consultezÀ propos des certificats en mode natif et du déploiement du système d'exploitation.
Pour configurer les déploiements du système d'exploitation avec le certificat requis, importez un fichier standard de certificat de clé publique (PKCS #12). La création de ce fichier est extérieure à Configuration Manager 2007 ; toutefois, vous pouvez utiliser les procédures suivantes pour créer ce fichier.
Avant cela, le certificat doit déjà être déployé vers un ordinateur. Les spécifications du certificat sont les suivantes :
L'utilisation prévue doit inclure l'authentification du client.
L'exportation de la clé privée doit être autorisée.
Pour plus d'informations sur le déploiement de certificats d'ordinateur pour la communication en mode natif de Configuration Manager, consultez Déploiement des certificats de l'ordinateur client vers des clients et le point de gestion.
Important
Le certificat d'ordinateur nécessaire aux déploiements du système d'exploitation est différent du certificat d'ordinateur requis pour les clients Configuration Manager 2007 sur un site en mode natif..
Considérations relatives à la création et au déploiement du certificat pour les déploiements de systèmes d'exploitation :
Si vous utilisez une solution Microsoft PKI, et si vous utilisez les services de certificat Enterprise Edition de Windows Server 2003 avec des modèles pour l'inscription automatique, vous pouvez utiliser le modèle de l'ordinateur ou le modèle de la station de travail. Toutefois, vous devez modifier le modèle (le dupliquer ou modifier sa copie) de sorte que l'option Autoriser l'exportation de clé privée est activée sur l'onglet Traitement de la demande du modèle de certificat.
À la différence de la plupart des certificats d'ordinateur, ce certificat ne se limite pas à un ordinateur précis, il n'en est pas non plus la propriété, mais il est partagé temporairement par tous les ordinateurs qui sont ciblés avec des déploiements de systèmes d'exploitation sur le site en mode natif. C'est pour cette raison que vous devez penser à créer le certificat avec un attribut unique d'identification (tel qu'un nom d'objet personnalisé ou un autre nom d'objet), et vous devez utiliser ce nom uniquement pour le déploiement de systèmes d'exploitation. Si le certificat devait être détourné, il pourrait être facilement identifié et annulé sans que cela affecte d'autres ordinateurs.
Vous devez penser à définir une période de validité supérieure à la moyenne pour réduire le travail administratif lié à la reconfiguration des déploiements de systèmes d'exploitation en fonction de la date d'expiration du certificat.
Lorsque le certificat est déployé sur un ordinateur, les procédures suivantes vous permettent de l'exporter pour l'utiliser avec les déploiements de système d'exploitation. Si vous utilisez un point de service PXE, importez le certificat exporté en tant que propriétés de configuration de base de données. Si vous créez un support de démarrage, importez le certificat exporté dans la page Sécurité de l'Assistant Média de séquence de tâches.
Pour exporter un certificat à utiliser avec un déploiement de système d'exploitation - à partir d'ordinateurs exécutant Windows 7 ou Windows Vista
Sur un ordinateur fonctionnant sous Windows 7 ou Windows Vista sur lequel le certificat est installé, ouvrez une session en tant qu'administrateur local, cliquez sur Démarrer, tapez mmc dans le champ Rechercher, puis appuyez sur ENTRÉE.
Dans la console vide, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, sélectionnez Certificats, puis cliquez sur Ajouter.
Sur la page Composant logiciel enfichable Certificats, sélectionnez Compte d'ordinateur, puis cliquez sur Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que l'option Ordinateur local : (l'ordinateur sur lequel cette console s'exécute) est sélectionnée, puis cliquez sur Terminer.
Pour fermer la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur OK.
Dans la console, double-cliquez sur Certificats (ordinateur local).
Dans la console, développez Personnel.
Recherchez le certificat à utiliser avec les déploiements de système d'exploitation.
Cliquez avec le bouton droit sur le certificat requis, cliquez sur Toutes les tâches, puis cliquez sur Exporter pour démarrer l'Assistant Exportation de certificat.
Dans la page de bienvenue de l'Assistant Exportation de certificat, cliquez sur Suivant.
Dans la page Exporter la clé privée, sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant.
Notes
Si cette option n'est pas disponible, cela signifie que le certificat a été créé sans l'option permettant d'exporter la clé privée. Dans ce scénario, vous ne pouvez pas exporter le certificat dans le format requis.
Sur la page Format de fichier d'exportation, vérifiez que l'option Échange d'informations personnelles - PKCS #12 (.PFX) est sélectionnée.
Notes
Vous pouvez également sélectionner Supprimer la clé privée si l'exportation s'effectue correctement, ce qui garantit que le certificat ne peut pas être utilisé sur l'ordinateur après l'avoir exporté. Cela vous garantit que le certificat est utilisé uniquement pour les déploiements de systèmes d'exploitation. Vous pouvez également supprimer manuellement le certificat sur l'ordinateur à la fin de la procédure d'exportation.
Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Suivant.
Dans la page Fichier à exporter, spécifiez le nom du fichier que vous voulez exporter, puis cliquez sur Suivant.
Pour fermer l'assistant, cliquez sur Terminer dans la boîte de dialogue Assistant Exportation de certificat.
Stockez le fichier de façon sécurisée et vérifiez que vous pouvez y accéder à partir de la console Configuration Manager.
Pour exporter un certificat à utiliser avec le déploiement du système d'exploitation - à partir d'ordinateurs exécutant Windows XP Professionnel, ou Windows Server 2003 :
Sur l'ordinateur Windows XP Professionnel ou sur l'ordinateur Windows Server 2003 dont le certificat est installé, cliquez sur Démarrer, cliquez sur Exécuter, tapez MMC dans la boîte de dialogue Exécuter, puis cliquez sur OK.
Dans la console vide, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter/Supprimer des composants logiciels enfichables, cliquez sur Ajouter.
Sélectionnez Certificats dans la boîte de dialogue Composants logiciels enfichables disponibles, puis cliquez sur Ajouter.
Dans la boîte de dialogue Composant logiciel enfichable des certificats, cliquez sur Compte d'ordinateur, puis cliquez sur Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que l'option L'ordinateur local : (l'ordinateur sur lequel cette console s'exécute) est sélectionnée, puis cliquez sur Terminer.
Dans la boîte de dialogue Ajouter/Supprimer des composants logiciels enfichables, cliquez sur OK.
Dans la console, développez Certificats (ordinateur local).
Développez Personnel, puis cliquez sur Certificats.
Dans le volet de résultats, recherchez le certificat dont vous avez besoin pour les déploiements de système d'exploitation.
Cliquez avec le bouton droit sur le certificat requis, cliquez sur Toutes les tâches, puis cliquez sur Exporter.
Dans l'Assistant Exportation de certificat, cliquez sur Suivant.
Dans la page Exporter la clé privée, sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant.
Notes
Si cette option n'est pas disponible, cela signifie que le certificat a été créé sans l'option permettant d'exporter la clé privée. Dans ce scénario, vous ne pouvez pas exporter le certificat dans le format requis.
Sur la pageFormat de fichier d'exportation, vérifiez que l'option Échange d'informations personnelles - PKCS #12 (.PFX) est sélectionnée.
Notes
Vous pouvez également sélectionner Supprimer la clé privée si l'exportation s'effectue correctement, ce qui garantit que le certificat ne peut pas être utilisé sur l'ordinateur après l'avoir exporté. Cela vous garantit que le certificat est utilisé uniquement pour les déploiements de systèmes d'exploitation. Vous pouvez également supprimer manuellement le certificat sur l'ordinateur à la fin de la procédure d'exportation.
Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Suivant.
Dans la page Fichier à exporter, spécifiez le nom du fichier que vous voulez exporter, puis cliquez sur Suivant.
Dans la boîte de dialogueAssistant Exportation de certificat, cliquez sur OK pour fermer l'assistant.
Stockez le fichier de façon sécurisée et vérifiez que vous pouvez y accéder à partir de la console Configuration Manager.
Voir aussi
Tâches
Concepts
Modes du site Configuration Manager
À propos des certificats en mode natif et du déploiement du système d'exploitation
Déploiement des certificats de l'ordinateur client vers des clients et le point de gestion
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.