Déploiement d'une autorité de certification approuvée vers les ordinateurs Configuration Manager
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Une autorité de certification racine est l'autorité de certification qui possède le plus haut niveau de confiance. Elle se trouve en haut de la hiérarchie de certification de l'infrastructure de clé publique (PKI). Pour que les communications en mode natif soient exécutées correctement dans un site Configuration Manager 2007, les certificats PKI utilisés pour l'authentification, le chiffrement et la signature doivent être publiés par une autorité de certification racine approuvée par les autres ordinateurs et périphériques du site.
Tous les ordinateurs et périphériques qui communiquent au moyen de certificats doivent posséder un certificat racine en commun. Si tous les ordinateurs de votre hiérarchie Configuration Manager 2007 utilisent des certificats de la même autorité de certification, il suffit de déployer une seule autorité de certification racine approuvée. Toutefois, il n'est pas obligatoire d'utiliser la même autorité de certification et vous pouvez donc installer plusieurs autorités de certification racine.
Les ordinateurs Microsoft Windows et certains périphériques sont configurés automatiquement avec des certificats racine tiers connus. En revanche, si vous utilisez votre propre infrastructure de clé publique, vous devez installer le certificat racine. Il existe plusieurs méthodes pour cela, notamment :
Si vous utilisez une autorité de certification racine Microsoft Enterprise, le certificat racine est automatiquement installé sur les ordinateurs dans la forêt grâce aux services de domaine Active Directory.
Si vous n'utilisez pas d'autorité de certification racine Microsoft Enterprise mais que vous voulez que tous les ordinateurs dans la forêt approuvent automatiquement l'autorité de certification racine, vous pouvez publier le certificat racine dans le magasin d'approbations de l'entreprise en utilisant Stratégie de groupe ou la commande Certutil.
Si vous n'utilisez pas d'autorité de certification racine Microsoft Enterprise et que vous souhaitez que seuls des groupes d'ordinateurs dans la forêt approuvent automatiquement l'autorité de certification racine, vous pouvez publier le certificat racine sur des domaines ou des unités d’organisation en utilisant Stratégie de groupe. Seuls les ordinateurs sur lesquels est appliquée la Stratégie de groupe approuvent automatiquement l'autorité de certification racine. Ajoutez le certificat racine à l'objet de stratégie de groupe Autorités de certification racine de confiance sous le dossier Stratégies de clé publique du conteneur Configuration de l'ordinateur.
Si vous utilisez les services de certificats Microsoft avec Internet Information Services (IIS), vous pouvez demander et installer le certificat racine avec le service d'inscription Web.
Vous pouvez demander et extraire le certificat à l'aide de l'utilitaire de ligne de commande Certreq de Microsoft.
Vous pouvez exporter le certificat dans un fichier et l'importer si l'exportation de la clé publique est autorisée dans le certificat.
Si vous utilisez la fonction de déploiement de système d'exploitation, vous devez spécifier les autorités de certification racine dans Configuration Manager 2007 en tant que propriété du site. Pour plus d'informations, consultez la rubrique Comment spécifier les certificats de l'autorité de certification racine pour des clients de déploiement du système d'exploitation.
Voir aussi
Concepts
Certificats requis pour le mode natif
Autres ressources
Déploiement des certificats d'infrastructure à clés publiques requis pour le mode natif.
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.