Részletes példa a PKI-tanúsítványok üzembe helyezésére Configuration Manager: Windows Server 2008 hitelesítésszolgáltató
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ez a Windows Server 2008 hitelesítésszolgáltatót (CA) használó részletes példatelepítés olyan eljárásokat tartalmaz, amelyek bemutatják, hogyan hozhatja létre és helyezheti üzembe a nyilvános kulcsú infrastruktúra (PKI) tanúsítványait, amelyeket Configuration Manager használ. Ezek az eljárások vállalati hitelesítésszolgáltatót (CA) és tanúsítványsablonokat használnak. A lépések csak teszthálózathoz megfelelőek, mint megvalósíthatósági vizsgálat.
Mivel a szükséges tanúsítványokhoz nincs egyetlen üzembe helyezési módszer, tekintse meg a PKI központi telepítésének dokumentációját az éles környezetben szükséges tanúsítványok üzembe helyezéséhez szükséges eljárásokról és ajánlott eljárásokról. További információ a tanúsítványkövetelményekről: PKI-tanúsítványkövetelmények Configuration Manager.
Tipp
A jelen témakörben található utasításokat a Hálózati követelmények tesztelése szakaszban nem dokumentált operációs rendszerekhez igazíthatja. Ha azonban a kiállító hitelesítésszolgáltatót Windows Server 2012 futtatja, a rendszer nem kéri a tanúsítványsablon verzióját. Ehelyett adja meg ezt a sablontulajdonságok Kompatibilitás lapján:
- Hitelesítésszolgáltató: Windows Server 2003
- Tanúsítvány címzettje: Windows XP / Server 2003
Hálózati követelmények tesztelése
A részletes utasítások a következő követelményekkel rendelkeznek:
A teszthálózat a Windows Server 2008 Active Directory tartományi szolgáltatások fut, és egyetlen tartományként, egyetlen erdőként van telepítve.
Windows Server 2008 Enterprise kiadás rendszert futtató tagkiszolgálóval rendelkezik, amelyen telepítve van az Active Directory tanúsítványszolgáltatás szerepkör, és vállalati legfelső szintű hitelesítésszolgáltatóként (CA) van beállítva.
Egy olyan számítógéppel rendelkezik, amelyen telepítve van a Windows Server 2008 (Standard Edition vagy Enterprise kiadás, R2 vagy újabb), a számítógép tagkiszolgálóként van kijelölve, és az Internet Information Services (IIS) telepítve van rajta. Ez a számítógép lesz a Configuration Manager helyrendszer-kiszolgáló, amelyet intranetes teljes tartománynévvel (FQDN) fog konfigurálni az intranetes ügyfélkapcsolatok és az internetes teljes tartománynév támogatásához, ha támogatnia kell az Configuration Manager és az interneten lévő ügyfelek által regisztrált mobileszközöket.
Van egy Windows Vista-ügyfele, amelyen telepítve van a legújabb szervizcsomag, és ez a számítógép egy ASCII-karakterekből álló számítógépnévvel van beállítva, és csatlakozik a tartományhoz. Ez a számítógép egy Configuration Manager ügyfélszámítógép lesz.
Bejelentkezhet egy legfelső szintű tartományi rendszergazdai fiókkal vagy egy vállalati tartományi rendszergazdai fiókkal, és ezt a fiókot használhatja a példában szereplő összes eljáráshoz.
A tanúsítványok áttekintése
Az alábbi táblázat felsorolja azokat a PKI-tanúsítványtípusokat, amelyekre szükség lehet Configuration Manager, és ismerteti a használatuk módját.
Tanúsítványkövetelmény | Tanúsítvány leírása |
---|---|
Webkiszolgáló-tanúsítvány IIS-t futtató helyrendszerekhez | Ez a tanúsítvány az adatok titkosítására és a kiszolgáló ügyfelek általi hitelesítésére szolgál. A Configuration Manager kívülről kell telepíteni az Internet Information Servicest (IIS) futtató helyrendszer-kiszolgálókon, amelyek a HTTPS használatára Configuration Manager vannak beállítva. A tanúsítvány beállításának és telepítésének lépéseit a jelen témakör A webkiszolgáló-tanúsítvány telepítése IIS-t futtató helyrendszerekhez című szakaszában találja. |
Szolgáltatástanúsítvány az ügyfelek számára a felhőalapú terjesztési pontokhoz való csatlakozáshoz | A tanúsítvány konfigurálásának és telepítésének lépéseit a jelen témakör Szolgáltatástanúsítvány üzembe helyezése felhőalapú terjesztési pontokhoz című szakaszában találja. Fontos: Ez a tanúsítvány a Windows Azure felügyeleti tanúsítvánnyal együtt használatos. További információ a felügyeleti tanúsítványról: Felügyeleti tanúsítvány létrehozása és Felügyeleti tanúsítvány hozzáadása Windows Azure-előfizetéshez. |
Ügyféltanúsítvány Windows rendszerű számítógépekhez | Ezzel a tanúsítvánnyal hitelesítheti Configuration Manager ügyfélszámítógépeket a HTTPS használatára beállított helyrendszereken. A felügyeleti pontokhoz és az állapotmigrálási pontokhoz is használható a működési állapotuk figyelésére, amikor a HTTPS használatára vannak beállítva. A számítógép Configuration Manager kívülről kell telepíteni. A tanúsítvány beállításának és telepítésének lépéseit a jelen témakör Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken című szakaszában találja. |
Terjesztési pontok ügyféltanúsítványa | Ennek a tanúsítványnak két célja van: A tanúsítvány használatával hitelesíti a terjesztési pontot egy HTTPS-kompatibilis felügyeleti ponton, mielőtt a terjesztési pont állapotüzeneteket küld. Ha a PXE-támogatás engedélyezése az ügyfelek számára terjesztési pont beállítás be van jelölve, a rendszer elküldi a tanúsítványt azoknak a számítógépeknek, amelyek PXE-rendszerindítást végeznek, hogy csatlakozni tudjanak egy HTTPS-kompatibilis felügyeleti ponthoz az operációs rendszer telepítése során. A tanúsítvány beállításának és telepítésének lépéseit a jelen témakör Az ügyféltanúsítvány központi telepítése terjesztési pontokhoz című szakaszában találja. |
Regisztrációs tanúsítvány mobileszközökhöz | Ez a tanúsítvány Configuration Manager mobileszköz-ügyfelek hitelesítésére szolgál a HTTPS használatára beállított helyrendszereken. A mobileszköz-regisztráció részeként kell telepíteni a Configuration Manager- és a konfigurált tanúsítványsablont mobileszköz-ügyfélbeállításként. A tanúsítvány beállításának lépéseit a jelen témakör Regisztrációs tanúsítvány telepítése mobileszközökhöz című szakaszában találja. |
Ügyféltanúsítvány Mac számítógépekhez | Ezt a tanúsítványt mac számítógépről is kérheti és telepítheti, amikor Configuration Manager-regisztrációt használ, és mobileszköz-ügyfélbeállításként kiválasztja a konfigurált tanúsítványsablont. A tanúsítvány beállításának lépéseit a jelen témakör Az ügyféltanúsítvány telepítése Mac számítógépeken című szakaszában találja. |
A webkiszolgáló-tanúsítvány üzembe helyezése IIS-t futtató helyrendszerekhez
A tanúsítványtelepítés a következő eljárásokkal rendelkezik:
A webkiszolgáló tanúsítványsablonjának létrehozása és kiállítása a hitelesítésszolgáltatón
Webkiszolgáló-tanúsítvány igénylése
Az IIS konfigurálása a webkiszolgáló-tanúsítvány használatára
A webkiszolgáló tanúsítványsablonjának létrehozása és kiállítása a hitelesítésszolgáltatón
Ez az eljárás létrehoz egy tanúsítványsablont Configuration Manager helyrendszerekhez, és hozzáadja azt a hitelesítésszolgáltatóhoz.
A webkiszolgáló tanúsítványsablonjának létrehozása és kiállítása a hitelesítésszolgáltatón
Hozzon létre egy ConfigMgr IIS-kiszolgálók nevű biztonsági csoportot, amely az IIS-t futtató Configuration Manager helyrendszerek telepítéséhez szükséges tagkiszolgálókkal rendelkezik.
A tanúsítványszolgáltatásokat tartalmazó tagkiszolgálón a Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok konzol betöltéséhez.
Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelyben a Webkiszolgáló szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása parancsot.
A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.
Fontos
Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.
Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet (például ConfigMgr webkiszolgáló-tanúsítvány) a Configuration Manager helyrendszereken használt webes tanúsítványok létrehozásához.
Válassza a Tulajdonos neve lapot, és győződjön meg arról, hogy a Kérelemben a Kínálat lehetőség van kiválasztva.
Válassza a Biztonság lapot, majd távolítsa el a Regisztrálás engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportokból.
Válassza a Hozzáadás lehetőséget, írja be a ConfigMgr IIS-kiszolgálók kifejezést a szövegmezőbe, majd kattintson az OK gombra.
Válassza a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.
A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr webkiszolgáló-tanúsítványt, majd kattintson az OK gombra.
Ha nem kell további tanúsítványokat létrehoznia és kibocsátania, zárja be a hitelesítésszolgáltatót.
Webkiszolgáló-tanúsítvány igénylése
Ez az eljárás lehetővé teszi az intranetes és internetes teljes tartománynév azon értékeinek megadását, amelyek a helyrendszer-kiszolgáló tulajdonságaiban lesznek beállítva, majd telepíti a webkiszolgáló-tanúsítványt az IIS-t futtató tagkiszolgálóra.
A webkiszolgáló tanúsítványának lekérése
Indítsa újra az IIS-t futtató tagkiszolgálót, hogy a számítógép hozzáférhessen a konfigurált Olvasás és beléptetés engedélyekkel létrehozott tanúsítványsablonhoz.
Válassza a Start menüFuttatás parancsát, majd írja be ammc.exe. Az üres konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.
A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.
A konzolon bontsa ki a Tanúsítványok (helyi számítógép) elemet, majd válassza a Személyes lehetőséget.
Kattintson a jobb gombbal a Tanúsítványok elemre, válassza a Minden feladat, majd az Új tanúsítvány kérése parancsot.
A Kezdés előtt lapon válassza a Tovább gombot.
Ha megjelenik a Tanúsítványigénylési szabályzat kiválasztása lap, válassza a Tovább gombot.
A Tanúsítványok kérése lapon azonosítsa a ConfigMgr webkiszolgáló-tanúsítványt az elérhető tanúsítványok listájából, majd válassza a További információ szükséges a tanúsítvány regisztrálásához lehetőséget. Kattintson ide a beállítások konfigurálásához.
A Tanúsítvány tulajdonságai párbeszédpanel Tulajdonos lapján ne módosítsa a Tulajdonos nevét. Ez azt jelenti, hogy a Tulajdonos neve szakasz Érték mezője üres marad. Ehelyett az Alternatív név szakaszban válassza a Típus legördülő listát, majd a DNS lehetőséget.
Az Érték mezőben adja meg a Configuration Manager helyrendszer tulajdonságaiban megadott FQDN-értékeket, majd kattintson az OK gombra a Tanúsítvány tulajdonságai párbeszédpanel bezárásához.
Példák:
Ha a helyrendszer csak az intranetről fogad ügyfélkapcsolatokat, és a helyrendszer-kiszolgáló intranetes teljes tartománynevét server1.internal.contoso.com, írja be a server1.internal.contoso.com, majd válassza a Hozzáadás lehetőséget.
Ha a helyrendszer fogadja az intranetről és az internetről érkező ügyfélkapcsolatokat, és a helyrendszer-kiszolgáló intranetes teljes tartománynevét server1.internal.contoso.com , és a helyrendszer-kiszolgáló internetes teljes tartománynevét server.contoso.com:
Írja be server1.internal.contoso.com, majd válassza a Hozzáadás lehetőséget.
Írja be server.contoso.com, majd válassza a Hozzáadás lehetőséget.
Megjegyzés:
A Configuration Manager teljes tartományneveit bármilyen sorrendben megadhatja. Ellenőrizze azonban, hogy a tanúsítványt használó összes eszköz, például a mobileszközök és a proxy webkiszolgálók használhatnak-e tanúsítványtulajdonos alternatív nevet (SAN) és több értéket a SAN-ban. Ha az eszközök korlátozottan támogatják a tanúsítványok SAN-értékeit, előfordulhat, hogy módosítania kell a teljes tartománynevek sorrendjét, vagy inkább a Tulajdonos értéket kell használnia.
A Tanúsítványok kérése lapon válassza a ConfigMgr webkiszolgáló-tanúsítvány lehetőséget az elérhető tanúsítványok listájából, majd válassza a Regisztráció lehetőséget.
A Tanúsítványok telepítési eredményei lapon várja meg, amíg a tanúsítvány telepítve van, majd válassza a Befejezés gombot.
Zárja be a Tanúsítványok (helyi számítógép) elemet.
Az IIS konfigurálása a webkiszolgáló-tanúsítvány használatára
Ez az eljárás a telepített tanúsítványt az IIS alapértelmezett webhelyéhez köti.
Az IIS beállítása a webkiszolgáló-tanúsítvány használatára
Azon a tagkiszolgálón, amelyen telepítve van az IIS, válassza a Start gombot, a Programok, a Felügyeleti eszközök, majd az Internet Information Services (IIS) kezelője lehetőséget.
Bontsa ki a Webhelyek csomópontot, kattintson a jobb gombbal az Alapértelmezett webhely elemre, majd válassza a Kötések szerkesztése parancsot.
Válassza ki a https-bejegyzést , majd válassza a Szerkesztés lehetőséget.
A Webhelykötés szerkesztése párbeszédpanelen válassza ki a ConfigMgr webkiszolgálói tanúsítványok sablonnal kért tanúsítványt, majd kattintson az OK gombra.
Megjegyzés:
Ha nem biztos abban, hogy melyik a megfelelő tanúsítvány, válasszon egyet, majd válassza a Nézet lehetőséget. Így összehasonlíthatja a kiválasztott tanúsítvány részleteit a Tanúsítványok beépülő modulban található tanúsítványokkal. A Tanúsítványok beépülő modul például a tanúsítvány igényléséhez használt tanúsítványsablont jeleníti meg. Ezután összehasonlíthatja a ConfigMgr webkiszolgálói tanúsítványok sablonnal kért tanúsítvány ujjlenyomatát a Webhelykötés szerkesztése párbeszédpanelen jelenleg kiválasztott tanúsítvány ujjlenyomatával.
Kattintson az OK gombra a Webhelykötés szerkesztése párbeszédpanelen, majd válassza a Bezárás gombot.
Zárja be az Internet Information Services (IIS) kezelőjét.
A tagkiszolgáló most már Configuration Manager webkiszolgáló-tanúsítvánnyal van beállítva.
Fontos
Amikor telepíti a Configuration Manager helyrendszer-kiszolgálót erre a számítógépre, győződjön meg arról, hogy ugyanazokat a teljes tartományneveket adja meg a helyrendszer tulajdonságaiban, amelyeket a tanúsítvány kérelmezésekor adott meg.
A szolgáltatástanúsítvány üzembe helyezése felhőalapú terjesztési pontokhoz
A tanúsítványtelepítés a következő eljárásokkal rendelkezik:
Egyéni webkiszolgáló-tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltató számára
Egyéni webkiszolgáló-tanúsítvány exportálása felhőalapú terjesztési pontokhoz
Egyéni webkiszolgáló-tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltató számára
Ez az eljárás létrehoz egy egyéni tanúsítványsablont, amely a webkiszolgáló tanúsítványsablonján alapul. A tanúsítvány Configuration Manager felhőalapú terjesztési pontokhoz készült, és a titkos kulcsnak exportálhatónak kell lennie. A tanúsítványsablon létrehozása után a rendszer hozzáadja a hitelesítésszolgáltatóhoz.
Megjegyzés:
Ez az eljárás az IIS-t futtató helyrendszerekhez létrehozott webkiszolgáló-tanúsítványsablontól eltérő tanúsítványsablont használ. Bár mindkét tanúsítványhoz kiszolgálóhitelesítési képesség szükséges, a felhőalapú terjesztési pontok tanúsítványához egyénileg definiált értéket kell megadnia a Tulajdonos neve mezőben, a titkos kulcsot pedig exportálni kell. Ajánlott biztonsági megoldásként ne állítson be tanúsítványsablonokat úgy, hogy a titkos kulcs exportálható legyen, hacsak nincs szükség erre a konfigurációra. A felhőalapú terjesztési pontnak szüksége van erre a konfigurációra, mert a tanúsítványt fájlként kell importálnia, nem pedig a tanúsítványtárolóból kell kiválasztania.
Amikor új tanúsítványsablont hoz létre ehhez a tanúsítványhoz, korlátozhatja azokat a számítógépeket, amelyek olyan tanúsítványt igényelhetnek, amelynek titkos kulcsa exportálható. Éles hálózaton a következő módosításokat is érdemes lehet hozzáadni ehhez a tanúsítványhoz:
- A további biztonság érdekében jóváhagyás szükséges a tanúsítvány telepítéséhez.
- Növelje a tanúsítvány érvényességi időtartamát. Mivel a tanúsítványt a lejárata előtt minden alkalommal exportálnia és importálnia kell, az érvényességi idő növelése csökkenti, hogy milyen gyakran kell megismételnie ezt az eljárást. Az érvényességi idő növelése azonban csökkenti a tanúsítvány biztonságát is, mivel több időt biztosít a támadók számára a titkos kulcs visszafejtésére és a tanúsítvány ellopására.
- A tanúsítvány tulajdonos alternatív neve (SAN) egyéni értékével azonosíthatja ezt a tanúsítványt az IIS-sel használt szabványos webkiszolgáló-tanúsítványokból.
Az egyéni webkiszolgáló-tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón
Hozzon létre egy ConfigMgr helykiszolgálók nevű biztonsági csoportot, amely tagkiszolgálókkal rendelkezik Configuration Manager felhőalapú terjesztési pontokat kezelő elsődleges helykiszolgálók telepítéséhez.
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.
Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelyben a Webkiszolgáló szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása parancsot.
A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.
Fontos
Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.
Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet( például ConfigMgr Cloud-Based terjesztésipont-tanúsítványt) a felhőalapú terjesztési pontok webkiszolgálói tanúsítványának létrehozásához.
Válassza a Kérelemkezelés lapot, majd válassza a Titkos kulcs exportálásának engedélyezése lehetőséget.
Válassza a Biztonság lapot, majd távolítsa el a Regisztráció engedélyt a Vállalati rendszergazdák biztonsági csoportból.
Válassza a Hozzáadás lehetőséget, írja be a ConfigMgr-helykiszolgálók kifejezést a szövegmezőbe, majd kattintson az OK gombra.
Válassza ki a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.
Válassza a Titkosítás lapot, és győződjön meg arról, hogy a Minimális kulcsméret2048 értékre van állítva.
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.
A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr Cloud-Based a terjesztésipont-tanúsítványt, majd kattintson az OK gombra.
Ha nem kell további tanúsítványokat létrehoznia és kiadnia, zárja be a Hitelesítésszolgáltatót.
Egyéni webkiszolgáló-tanúsítvány igénylése
Ez az eljárás kéri, majd telepíti az egyéni webkiszolgáló-tanúsítványt a helykiszolgálót futtató tagkiszolgálóra.
Az egyéni webkiszolgáló-tanúsítvány kérése
A ConfigMgr helykiszolgálók biztonsági csoport létrehozása és konfigurálása után indítsa újra a tagkiszolgálót, hogy a számítógép hozzáférhessen a konfigurált Olvasási és regisztrálási engedélyekkel létrehozott tanúsítványsablonhoz.
Válassza a Start menüFuttatás parancsát, majd írja be ammc.exe. Az üres konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.
A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.
A konzolon bontsa ki a Tanúsítványok (helyi számítógép) elemet, majd válassza a Személyes lehetőséget.
Kattintson a jobb gombbal a Tanúsítványok elemre, válassza a Minden feladat, majd az Új tanúsítvány kérése parancsot.
A Kezdés előtt lapon válassza a Tovább gombot.
Ha megjelenik a Tanúsítványigénylési szabályzat kiválasztása lap, válassza a Tovább gombot.
A Tanúsítványok kérése lapon keresse meg a ConfigMgr Cloud-Based terjesztésipont-tanúsítványt az elérhető tanúsítványok listájából, majd válassza a További információ szükséges a tanúsítvány regisztrálásához lehetőséget. A beállítások konfigurálásához kattintson ide.
A Tanúsítvány tulajdonságai párbeszédpanel Tulajdonos lapján a Tulajdonos neve mezőben válassza a Köznapi névtípust.
Az Érték mezőben adja meg a szolgáltatásnevet és a tartománynevet FQDN formátumban. Például: clouddp1.contoso.com.
Megjegyzés:
A szolgáltatás nevének egyedivé tétele a névtérben. A DNS használatával létre fog hozni egy aliast (CNAME rekordot) a szolgáltatás nevének automatikusan generált azonosítóra (GUID) és EGY IP-címre való leképezéséhez a Windows Azure-ból.
Válassza a Hozzáadás, majd az OK gombot a Tanúsítvány tulajdonságai párbeszédpanel bezárásához.
A Tanúsítványok kérése lapon válassza a ConfigMgr Cloud-Based terjesztésipont-tanúsítvány lehetőséget az elérhető tanúsítványok listájából, majd válassza a Regisztráció lehetőséget.
A Tanúsítványok telepítési eredményei lapon várja meg, amíg a tanúsítvány telepítve van, majd válassza a Befejezés gombot.
Zárja be a Tanúsítványok (helyi számítógép) elemet.
Egyéni webkiszolgáló-tanúsítvány exportálása felhőalapú terjesztési pontokhoz
Ez az eljárás exportálja az egyéni webkiszolgáló-tanúsítványt egy fájlba, hogy importálható legyen a felhőalapú terjesztési pont létrehozásakor.
Az egyéni webkiszolgáló-tanúsítvány exportálása felhőalapú terjesztési pontokhoz
A Tanúsítványok (helyi számítógép) konzolon kattintson a jobb gombbal az imént telepített tanúsítványra, válassza a Minden feladat, majd az Exportálás parancsot.
A Tanúsítványok exportálása varázslóban válassza a Tovább gombot.
A Titkos kulcs exportálása lapon válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd válassza a Tovább gombot.
Megjegyzés:
Ha ez a beállítás nem érhető el, a tanúsítvány a titkos kulcs exportálásának lehetősége nélkül lett létrehozva. Ebben az esetben nem exportálhatja a tanúsítványt a szükséges formátumban. A tanúsítványsablont úgy kell beállítania, hogy a titkos kulcs exportálható legyen, majd kérje újra a tanúsítványt.
A Fájlformátum exportálása lapon győződjön meg arról, hogy a Személyes információcsere – PKCS #12 (. A PFX) lehetőség van kiválasztva.
A Jelszó lapon adjon meg egy erős jelszót az exportált tanúsítvány titkos kulccsal való védelméhez, majd válassza a Tovább gombot.
Az Exportálandó fájl lapon adja meg az exportálni kívánt fájl nevét, majd kattintson a Tovább gombra.
A varázsló bezárásához kattintson a Befejezés gombra a Tanúsítványexportáló varázsló lapon, majd válassza az OK gombot a megerősítést kérő párbeszédpanelen.
Zárja be a Tanúsítványok (helyi számítógép) elemet.
Biztonságosan tárolja a fájlt, és győződjön meg arról, hogy az Configuration Manager konzolról is elérhető.
A tanúsítvány most már importálható felhőalapú terjesztési pont létrehozásakor.
Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken
A tanúsítványtelepítés a következő eljárásokkal rendelkezik:
A Munkaállomás-hitelesítés tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón
A Munkaállomás-hitelesítés sablon automatikus regisztrációjának konfigurálása a Csoportházirend használatával
A munkaállomás-hitelesítési tanúsítvány automatikus regisztrálása és telepítése számítógépeken
A Munkaállomás-hitelesítés tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón
Ez az eljárás létrehoz egy tanúsítványsablont Configuration Manager ügyfélszámítógépekhez, és hozzáadja azt a hitelesítésszolgáltatóhoz.
Munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.
Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelynél a Munkaállomás-hitelesítés szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása lehetőséget.
A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.
Fontos
Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.
Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet (például ConfigMgr ügyféltanúsítvány) az Configuration Manager ügyfélszámítógépeken használt ügyféltanúsítványok létrehozásához.
Válassza a Biztonság lapot, válassza a Tartományi számítógépek csoportot, majd az Olvasás és automatikus regisztráció további engedélyeit. Ne törölje a Regisztráció elemet.
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.
A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr ügyféltanúsítványt, majd kattintson az OK gombra.
Ha nem kell további tanúsítványokat létrehoznia és kibocsátania, zárja be a hitelesítésszolgáltatót.
A Munkaállomás-hitelesítés sablon automatikus regisztrációjának konfigurálása a Csoportházirend használatával
Ez az eljárás beállítja Csoportházirend, hogy automatikusan regisztrálja az ügyféltanúsítványt a számítógépeken.
A Munkaállomás-hitelesítés sablon automatikus regisztrációjának beállítása a Csoportházirend használatával
A tartományvezérlőn válassza a Start menü Felügyeleti eszközök elemét, majd a Csoportházirend Felügyelet lehetőséget.
Nyissa meg a tartományt, kattintson a jobb gombbal a tartományra, majd válassza a Csoportházirend-objektum létrehozása ebben a tartományban lehetőséget, és csatolja ide.
Megjegyzés:
Ez a lépés az ajánlott eljárás szerint új Csoportházirend hoz létre az egyéni beállításokhoz ahelyett, hogy a Active Directory tartományi szolgáltatások telepített alapértelmezett tartományi házirendet szerkeszti. Ha tartományszinten rendeli hozzá ezt a Csoportházirend, azt a tartomány összes számítógépére alkalmazni fogja. Éles környezetben korlátozhatja az automatikus regisztrációt, hogy az csak a kijelölt számítógépekre legyen regisztrálva. A Csoportházirend hozzárendelheti egy szervezeti egység szintjén, vagy szűrheti a tartományt Csoportházirend egy biztonsági csoporttal, hogy az csak a csoport számítógépeire vonatkozzon. Ha korlátozza az automatikus regisztrációt, ne felejtse el a felügyeleti pontként beállított kiszolgálót is belefoglalni.
Az Új csoportházirend-objektum párbeszédpanelen adjon meg egy nevet az új Csoportházirend, például a Tanúsítványok automatikus regisztrációja nevet, majd kattintson az OK gombra.
Az eredmények ablaktábláján a Csatolt Csoportházirend objektumok lapon kattintson a jobb gombbal az új Csoportházirend, majd válassza a Szerkesztés parancsot.
A Csoportházirend Felügyeleti szerkesztőben bontsa ki a Házirendek elemet a Számítógép konfigurációja területen, majd lépjen a Windows-beállítások / Biztonsági beállítások / nyilvános kulcsszabályzatok területre.
Kattintson a jobb gombbal a Tanúsítványszolgáltatások ügyfél – Automatikus regisztráció nevű objektumtípusra, majd válassza a Tulajdonságok parancsot.
A Konfigurációs modell legördülő listában válassza az Engedélyezve lehetőséget, válassza a Lejárt tanúsítványok megújítása, a függőben lévő tanúsítványok frissítése, a visszavont tanúsítványok eltávolítása, a Tanúsítványsablonokat használó tanúsítványok frissítése, majd az OK gombot.
Zárja be Csoportházirend felügyeletét.
A munkaállomás-hitelesítési tanúsítvány automatikus regisztrálása és telepítése számítógépeken
Ez az eljárás telepíti az ügyféltanúsítványt a számítógépekre, és ellenőrzi a telepítést.
A munkaállomás-hitelesítési tanúsítvány automatikus regisztrálása és a telepítés ellenőrzése az ügyfélszámítógépen
Indítsa újra a munkaállomás számítógépét, és várjon néhány percet, mielőtt bejelentkezik.
Megjegyzés:
A számítógép újraindítása a legmegbízhatóbb módszer a tanúsítvány automatikus regisztrációjának sikerességének biztosítására.
Jelentkezzen be rendszergazdai jogosultságokkal rendelkező fiókkal.
A keresőmezőbe írja be a mmc.exe. kifejezést, majd nyomja le az Enter billentyűt.
Az üres felügyeleti konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.
A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.
A konzolon bontsa ki a Tanúsítványok (helyi számítógép) csomópontot, bontsa ki a Személyes csomópontot, majd válassza a Tanúsítványok lehetőséget.
Az eredmények ablaktábláján győződjön meg arról, hogy egy tanúsítvány ügyfél-hitelesítéssel rendelkezik a Kívánt cél oszlopban, és hogy a ConfigMgr ügyféltanúsítvány a Tanúsítványsablon oszlopban található.
Zárja be a Tanúsítványok (helyi számítógép) elemet.
Ismételje meg az 1–11. lépést a tagkiszolgáló esetében annak ellenőrzéséhez, hogy a felügyeleti pontként beállítani kívánt kiszolgáló is rendelkezik-e ügyféltanúsítvánnyal.
A számítógép most már Configuration Manager ügyféltanúsítvánnyal van beállítva.
Az ügyféltanúsítvány üzembe helyezése terjesztési pontokhoz
Megjegyzés:
Ez a tanúsítvány olyan médiaképekhez is használható, amelyek nem használnak PXE-rendszerindítást, mivel a tanúsítványkövetelmények megegyeznek.
A tanúsítványtelepítés a következő eljárásokkal rendelkezik:
Egyéni munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltató számára
Egyéni munkaállomás-hitelesítési tanúsítvány kérése
Terjesztési pontok ügyféltanúsítványának exportálása
Egyéni munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltató számára
Ez az eljárás létrehoz egy egyéni tanúsítványsablont Configuration Manager terjesztési pontokhoz, hogy a titkos kulcs exportálható legyen, és hozzáadja a tanúsítványsablont a hitelesítésszolgáltatóhoz.
Megjegyzés:
Ez az eljárás az ügyfélszámítógépekhez létrehozott tanúsítványsablontól eltérő tanúsítványsablont használ. Bár mindkét tanúsítványhoz ügyfél-hitelesítési képesség szükséges, a terjesztési pontok tanúsítványának exportálnia kell a titkos kulcsot. Ajánlott biztonsági megoldásként ne állítson be tanúsítványsablonokat, hogy a titkos kulcs exportálható legyen, hacsak nincs szükség erre a konfigurációra. A terjesztési pontnak szüksége van erre a konfigurációra, mert a tanúsítványt fájlként kell importálnia, és nem a tanúsítványtárolóból kell kiválasztania.
Amikor új tanúsítványsablont hoz létre ehhez a tanúsítványhoz, korlátozhatja azokat a számítógépeket, amelyek olyan tanúsítványt igényelhetnek, amelynek titkos kulcsa exportálható. A példánkban ez lesz az a biztonsági csoport, amelyet korábban Configuration Manager IIS-t futtató helyrendszer-kiszolgálókhoz hozott létre. Az IIS-helyrendszerszerepköröket elosztó éles hálózatokon érdemes lehet létrehozni egy új biztonsági csoportot a terjesztési pontokat futtató kiszolgálók számára, hogy a tanúsítványt csak ezekre a helyrendszer-kiszolgálókra korlátozhassa. Érdemes lehet a következő módosításokat is hozzáadni ehhez a tanúsítványhoz:
- A további biztonság érdekében jóváhagyás szükséges a tanúsítvány telepítéséhez.
- Növelje a tanúsítvány érvényességi időtartamát. Mivel a tanúsítványt a lejárata előtt minden alkalommal exportálnia és importálnia kell, az érvényességi idő növelése csökkenti, hogy milyen gyakran kell megismételnie ezt az eljárást. Az érvényességi idő növelése azonban csökkenti a tanúsítvány biztonságát is, mivel több időt biztosít a támadók számára a titkos kulcs visszafejtésére és a tanúsítvány ellopására.
- A tanúsítványt a tanúsítvány tulajdonosának mezőjében vagy a Tulajdonos alternatív neve (SAN) mezőben használva azonosíthatja ezt a tanúsítványt a standard ügyféltanúsítványokból. Ez különösen hasznos lehet, ha ugyanazt a tanúsítványt több terjesztési ponthoz is használni fogja.
Az egyéni munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.
Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelynél a Munkaállomás-hitelesítés szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása lehetőséget.
A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.
Fontos
Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.
Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet , például ConfigMgr ügyfél terjesztésipont-tanúsítványt a terjesztési pontok ügyfél-hitelesítési tanúsítványának létrehozásához.
Válassza a Kérelemkezelés lapot, majd válassza a Titkos kulcs exportálásának engedélyezése lehetőséget.
Válassza a Biztonság lapot, majd távolítsa el a Regisztráció engedélyt a Vállalati rendszergazdák biztonsági csoportból.
Válassza a Hozzáadás lehetőséget, írja be a ConfigMgr IIS-kiszolgálók kifejezést a szövegmezőbe, majd kattintson az OK gombra.
Válassza ki a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.
A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr ügyfélterjesztési pont tanúsítványát, majd kattintson az OK gombra.
Ha nem kell további tanúsítványokat létrehoznia és kiadnia, zárja be a Hitelesítésszolgáltatót.
Egyéni munkaállomás-hitelesítési tanúsítvány kérése
Ez az eljárás kéri, majd telepíti az egyéni ügyféltanúsítványt az IIS-t futtató tagkiszolgálóra, amely terjesztési pontként lesz beállítva.
Az egyéni munkaállomás-hitelesítési tanúsítvány kérése
Válassza a Start menüFuttatás parancsát, majd írja be ammc.exe. Az üres konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.
A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.
A konzolon bontsa ki a Tanúsítványok (helyi számítógép) elemet, majd válassza a Személyes lehetőséget.
Kattintson a jobb gombbal a Tanúsítványok elemre, válassza a Minden feladat, majd az Új tanúsítvány kérése parancsot.
A Kezdés előtt lapon válassza a Tovább gombot.
Ha megjelenik a Tanúsítványigénylési szabályzat kiválasztása lap, válassza a Tovább gombot.
A Tanúsítványok kérése lapon válassza a ConfigMgr ügyfélterjesztési pont tanúsítványa elemet az elérhető tanúsítványok listájából, majd válassza a Regisztráció lehetőséget.
A Tanúsítványok telepítési eredményei lapon várja meg, amíg a tanúsítvány telepítve van, majd válassza a Befejezés gombot.
Az eredmények ablaktábláján győződjön meg arról, hogy egy tanúsítvány ügyfél-hitelesítéssel rendelkezik a Kívánt cél oszlopban, és hogy a ConfigMgr ügyfélterjesztési pont tanúsítványa a Tanúsítványsablon oszlopban található.
Ne zárja be a Tanúsítványok (helyi számítógép) elemet.
Terjesztési pontok ügyféltanúsítványának exportálása
Ez az eljárás exportálja az egyéni munkaállomás-hitelesítési tanúsítványt egy fájlba, hogy importálható legyen a terjesztési pont tulajdonságaiba.
A terjesztési pontok ügyféltanúsítványának exportálása
A Tanúsítványok (helyi számítógép) konzolon kattintson a jobb gombbal az imént telepített tanúsítványra, válassza a Minden feladat, majd az Exportálás parancsot.
A Tanúsítványok exportálása varázslóban válassza a Tovább gombot.
A Titkos kulcs exportálása lapon válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd válassza a Tovább gombot.
Megjegyzés:
Ha ez a beállítás nem érhető el, a tanúsítvány a titkos kulcs exportálásának lehetősége nélkül lett létrehozva. Ebben az esetben nem exportálhatja a tanúsítványt a szükséges formátumban. A tanúsítványsablont úgy kell beállítania, hogy a titkos kulcs exportálható legyen, majd kérje újra a tanúsítványt.
A Fájlformátum exportálása lapon győződjön meg arról, hogy a Személyes információcsere – PKCS #12 (. A PFX) lehetőség van kiválasztva.
A Jelszó lapon adjon meg egy erős jelszót az exportált tanúsítvány titkos kulccsal való védelméhez, majd válassza a Tovább gombot.
Az Exportálandó fájl lapon adja meg az exportálni kívánt fájl nevét, majd kattintson a Tovább gombra.
A varázsló bezárásához kattintson a Befejezés gombra a Tanúsítványexportáló varázsló lapján, és válassza az OK gombot a megerősítést kérő párbeszédpanelen.
Zárja be a Tanúsítványok (helyi számítógép) elemet.
Biztonságosan tárolja a fájlt, és győződjön meg arról, hogy az Configuration Manager konzolról is elérhető.
A tanúsítvány most már importálható a terjesztési pont beállításakor.
Tipp
Ugyanazt a tanúsítványfájlt használhatja, ha olyan operációs rendszer központi telepítéséhez állít be médiaképeket, amely nem használ PXE-rendszerindítást, és a lemezkép telepítéséhez szükséges feladatütemezésnek https-ügyfélkapcsolatokat igénylő felügyeleti ponttal kell felvennie a kapcsolatot.
A regisztrációs tanúsítvány üzembe helyezése mobileszközökhöz
Ez a tanúsítványtelepítés egyetlen eljárással hozza létre és bocsátja ki a tanúsítványsablont a hitelesítésszolgáltató számára.
A beléptetési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltató számára
Ez az eljárás létrehoz egy regisztrációs tanúsítványsablont Configuration Manager mobileszközökhöz, és hozzáadja azt a hitelesítésszolgáltatóhoz.
A beléptetési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltató számára
Hozzon létre egy biztonsági csoportot, amelynek felhasználói mobileszközöket regisztrálnak Configuration Manager.
A tanúsítványszolgáltatásokat tartalmazó tagkiszolgálón a Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.
Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelynél a Sablon megjelenítendő neve oszlopban a hitelesített munkamenet szerepel, majd válassza a Sablon duplikálása parancsot.
A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.
Fontos
Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.
Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet (például ConfigMgr mobileszköz-beléptetési tanúsítvány) a Configuration Manager által felügyelt mobileszközök regisztrációs tanúsítványainak létrehozásához.
Válassza a Tulajdonos neve lapot, győződjön meg arról, hogy a Build from this Active Directory information (Összeállítás ebből az Active Directory-információból ) beállítás be van jelölve, válassza a Köznapi név lehetőséget a Tulajdonosnév formátuma: mezőben, majd törölje az Egyszerű felhasználónév (UPN) jelölést az Ezen adatok felvétele másodlagos tulajdonosnévbe beállításból.
Válassza a Biztonság lapot, válassza ki azt a biztonsági csoportot, amelyben a mobileszközökkel rendelkező felhasználók regisztrálhatók, majd válassza ki a Regisztráció további engedélyét. Ne törölje az Olvasás elemet.
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.
A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr mobileszköz-beléptetési tanúsítványt, majd kattintson az OK gombra.
Ha nem kell további tanúsítványokat létrehoznia és kibocsátania, zárja be a Hitelesítésszolgáltató konzolt.
A mobileszköz-beléptetési tanúsítvány sablonja mostantól kiválasztható, amikor beállít egy mobileszköz-regisztrációs profilt az ügyfélbeállításokban.
Az ügyféltanúsítvány telepítése Mac számítógépeken
Ez a tanúsítványtelepítés egyetlen eljárással hozza létre és bocsátja ki a tanúsítványsablont a hitelesítésszolgáltató számára.
Mac ügyféltanúsítvány-sablon létrehozása és kiállítása a hitelesítésszolgáltatón
Ez az eljárás létrehoz egy egyéni tanúsítványsablont Configuration Manager Mac számítógépekhez, és hozzáadja a tanúsítványsablont a hitelesítésszolgáltatóhoz.
Megjegyzés:
Ez az eljárás a Windows-ügyfélszámítógépekhez vagy terjesztési pontokhoz esetleg létrehozott tanúsítványsablontól eltérő tanúsítványsablont használ.
Amikor új tanúsítványsablont hoz létre ehhez a tanúsítványhoz, korlátozhatja a tanúsítványkérelmet a jogosult felhasználókra.
A Mac-ügyféltanúsítvány-sablon létrehozása és kiállítása a hitelesítésszolgáltatón
Hozzon létre egy biztonsági csoportot, amely felhasználói fiókokkal rendelkezik azoknak a rendszergazda felhasználóknak, akik a tanúsítványt a Mac számítógépen regisztrálják a Configuration Manager használatával.
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.
Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amely a Hitelesített munkamenetet jeleníti meg a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása lehetőséget.
A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.
Fontos
Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.
Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet( például ConfigMgr Mac ügyféltanúsítvány) a Mac ügyféltanúsítvány létrehozásához.
Válassza a Tulajdonos neve lapot, győződjön meg arról, hogy a Build from this Active Directory information (Összeállítás ebből az Active Directory-információból ) beállítás be van jelölve, válassza a Köznapi név lehetőséget a Tulajdonosnév formátuma: mezőben, majd törölje az Egyszerű felhasználónév (UPN) jelölést Az információ felvétele másodlagos tulajdonosnévbe beállításból.
Válassza a Biztonság lapot, majd távolítsa el a Regisztrálás engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportokból.
Válassza a Hozzáadás lehetőséget, adja meg az első lépésben létrehozott biztonsági csoportot, majd kattintson az OK gombra.
Válassza a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.
A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr Mac ügyféltanúsítványt, majd kattintson az OK gombra.
Ha nem kell további tanúsítványokat létrehoznia és kiadnia, zárja be a Hitelesítésszolgáltatót.
A Mac ügyféltanúsítvány-sablon most már készen áll a kiválasztásra a regisztráció ügyfélbeállításainak beállításakor.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: