Megosztás a következőn keresztül:

Részletes példa a PKI-tanúsítványok üzembe helyezésére Configuration Manager: Windows Server 2008 hitelesítésszolgáltató

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ez a Windows Server 2008 hitelesítésszolgáltatót (CA) használó részletes példatelepítés olyan eljárásokat tartalmaz, amelyek bemutatják, hogyan hozhatja létre és helyezheti üzembe a nyilvános kulcsú infrastruktúra (PKI) tanúsítványait, amelyeket Configuration Manager használ. Ezek az eljárások vállalati hitelesítésszolgáltatót (CA) és tanúsítványsablonokat használnak. A lépések csak teszthálózathoz megfelelőek, mint megvalósíthatósági vizsgálat.

Mivel a szükséges tanúsítványokhoz nincs egyetlen üzembe helyezési módszer, tekintse meg a PKI központi telepítésének dokumentációját az éles környezetben szükséges tanúsítványok üzembe helyezéséhez szükséges eljárásokról és ajánlott eljárásokról. További információ a tanúsítványkövetelményekről: PKI-tanúsítványkövetelmények Configuration Manager.

Tipp

A jelen témakörben található utasításokat a Hálózati követelmények tesztelése szakaszban nem dokumentált operációs rendszerekhez igazíthatja. Ha azonban a kiállító hitelesítésszolgáltatót Windows Server 2012 futtatja, a rendszer nem kéri a tanúsítványsablon verzióját. Ehelyett adja meg ezt a sablontulajdonságok Kompatibilitás lapján:

  • Hitelesítésszolgáltató: Windows Server 2003
    • Tanúsítvány címzettje: Windows XP / Server 2003

Hálózati követelmények tesztelése

A részletes utasítások a következő követelményekkel rendelkeznek:

  • A teszthálózat a Windows Server 2008 Active Directory tartományi szolgáltatások fut, és egyetlen tartományként, egyetlen erdőként van telepítve.

  • Windows Server 2008 Enterprise kiadás rendszert futtató tagkiszolgálóval rendelkezik, amelyen telepítve van az Active Directory tanúsítványszolgáltatás szerepkör, és vállalati legfelső szintű hitelesítésszolgáltatóként (CA) van beállítva.

  • Egy olyan számítógéppel rendelkezik, amelyen telepítve van a Windows Server 2008 (Standard Edition vagy Enterprise kiadás, R2 vagy újabb), a számítógép tagkiszolgálóként van kijelölve, és az Internet Information Services (IIS) telepítve van rajta. Ez a számítógép lesz a Configuration Manager helyrendszer-kiszolgáló, amelyet intranetes teljes tartománynévvel (FQDN) fog konfigurálni az intranetes ügyfélkapcsolatok és az internetes teljes tartománynév támogatásához, ha támogatnia kell az Configuration Manager és az interneten lévő ügyfelek által regisztrált mobileszközöket.

  • Van egy Windows Vista-ügyfele, amelyen telepítve van a legújabb szervizcsomag, és ez a számítógép egy ASCII-karakterekből álló számítógépnévvel van beállítva, és csatlakozik a tartományhoz. Ez a számítógép egy Configuration Manager ügyfélszámítógép lesz.

  • Bejelentkezhet egy legfelső szintű tartományi rendszergazdai fiókkal vagy egy vállalati tartományi rendszergazdai fiókkal, és ezt a fiókot használhatja a példában szereplő összes eljáráshoz.

A tanúsítványok áttekintése

Az alábbi táblázat felsorolja azokat a PKI-tanúsítványtípusokat, amelyekre szükség lehet Configuration Manager, és ismerteti a használatuk módját.

Tanúsítványkövetelmény Tanúsítvány leírása
Webkiszolgáló-tanúsítvány IIS-t futtató helyrendszerekhez Ez a tanúsítvány az adatok titkosítására és a kiszolgáló ügyfelek általi hitelesítésére szolgál. A Configuration Manager kívülről kell telepíteni az Internet Information Servicest (IIS) futtató helyrendszer-kiszolgálókon, amelyek a HTTPS használatára Configuration Manager vannak beállítva.

A tanúsítvány beállításának és telepítésének lépéseit a jelen témakör A webkiszolgáló-tanúsítvány telepítése IIS-t futtató helyrendszerekhez című szakaszában találja.
Szolgáltatástanúsítvány az ügyfelek számára a felhőalapú terjesztési pontokhoz való csatlakozáshoz A tanúsítvány konfigurálásának és telepítésének lépéseit a jelen témakör Szolgáltatástanúsítvány üzembe helyezése felhőalapú terjesztési pontokhoz című szakaszában találja.

Fontos: Ez a tanúsítvány a Windows Azure felügyeleti tanúsítvánnyal együtt használatos. További információ a felügyeleti tanúsítványról: Felügyeleti tanúsítvány létrehozása és Felügyeleti tanúsítvány hozzáadása Windows Azure-előfizetéshez.
Ügyféltanúsítvány Windows rendszerű számítógépekhez Ezzel a tanúsítvánnyal hitelesítheti Configuration Manager ügyfélszámítógépeket a HTTPS használatára beállított helyrendszereken. A felügyeleti pontokhoz és az állapotmigrálási pontokhoz is használható a működési állapotuk figyelésére, amikor a HTTPS használatára vannak beállítva. A számítógép Configuration Manager kívülről kell telepíteni.

A tanúsítvány beállításának és telepítésének lépéseit a jelen témakör Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken című szakaszában találja.
Terjesztési pontok ügyféltanúsítványa Ennek a tanúsítványnak két célja van:

A tanúsítvány használatával hitelesíti a terjesztési pontot egy HTTPS-kompatibilis felügyeleti ponton, mielőtt a terjesztési pont állapotüzeneteket küld.

Ha a PXE-támogatás engedélyezése az ügyfelek számára terjesztési pont beállítás be van jelölve, a rendszer elküldi a tanúsítványt azoknak a számítógépeknek, amelyek PXE-rendszerindítást végeznek, hogy csatlakozni tudjanak egy HTTPS-kompatibilis felügyeleti ponthoz az operációs rendszer telepítése során.

A tanúsítvány beállításának és telepítésének lépéseit a jelen témakör Az ügyféltanúsítvány központi telepítése terjesztési pontokhoz című szakaszában találja.
Regisztrációs tanúsítvány mobileszközökhöz Ez a tanúsítvány Configuration Manager mobileszköz-ügyfelek hitelesítésére szolgál a HTTPS használatára beállított helyrendszereken. A mobileszköz-regisztráció részeként kell telepíteni a Configuration Manager- és a konfigurált tanúsítványsablont mobileszköz-ügyfélbeállításként.

A tanúsítvány beállításának lépéseit a jelen témakör Regisztrációs tanúsítvány telepítése mobileszközökhöz című szakaszában találja.
Ügyféltanúsítvány Mac számítógépekhez Ezt a tanúsítványt mac számítógépről is kérheti és telepítheti, amikor Configuration Manager-regisztrációt használ, és mobileszköz-ügyfélbeállításként kiválasztja a konfigurált tanúsítványsablont.

A tanúsítvány beállításának lépéseit a jelen témakör Az ügyféltanúsítvány telepítése Mac számítógépeken című szakaszában találja.

A webkiszolgáló-tanúsítvány üzembe helyezése IIS-t futtató helyrendszerekhez

A tanúsítványtelepítés a következő eljárásokkal rendelkezik:

  • A webkiszolgáló tanúsítványsablonjának létrehozása és kiállítása a hitelesítésszolgáltatón

  • Webkiszolgáló-tanúsítvány igénylése

  • Az IIS konfigurálása a webkiszolgáló-tanúsítvány használatára

A webkiszolgáló tanúsítványsablonjának létrehozása és kiállítása a hitelesítésszolgáltatón

Ez az eljárás létrehoz egy tanúsítványsablont Configuration Manager helyrendszerekhez, és hozzáadja azt a hitelesítésszolgáltatóhoz.

A webkiszolgáló tanúsítványsablonjának létrehozása és kiállítása a hitelesítésszolgáltatón

  1. Hozzon létre egy ConfigMgr IIS-kiszolgálók nevű biztonsági csoportot, amely az IIS-t futtató Configuration Manager helyrendszerek telepítéséhez szükséges tagkiszolgálókkal rendelkezik.

  2. A tanúsítványszolgáltatásokat tartalmazó tagkiszolgálón a Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok konzol betöltéséhez.

  3. Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelyben a Webkiszolgáló szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása parancsot.

  4. A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.

    Fontos

    Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.

  5. Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet (például ConfigMgr webkiszolgáló-tanúsítvány) a Configuration Manager helyrendszereken használt webes tanúsítványok létrehozásához.

  6. Válassza a Tulajdonos neve lapot, és győződjön meg arról, hogy a Kérelemben a Kínálat lehetőség van kiválasztva.

  7. Válassza a Biztonság lapot, majd távolítsa el a Regisztrálás engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportokból.

  8. Válassza a Hozzáadás lehetőséget, írja be a ConfigMgr IIS-kiszolgálók kifejezést a szövegmezőbe, majd kattintson az OK gombra.

  9. Válassza a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.

  10. Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.

  11. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.

  12. A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr webkiszolgáló-tanúsítványt, majd kattintson az OK gombra.

  13. Ha nem kell további tanúsítványokat létrehoznia és kibocsátania, zárja be a hitelesítésszolgáltatót.

Webkiszolgáló-tanúsítvány igénylése

Ez az eljárás lehetővé teszi az intranetes és internetes teljes tartománynév azon értékeinek megadását, amelyek a helyrendszer-kiszolgáló tulajdonságaiban lesznek beállítva, majd telepíti a webkiszolgáló-tanúsítványt az IIS-t futtató tagkiszolgálóra.

A webkiszolgáló tanúsítványának lekérése

  1. Indítsa újra az IIS-t futtató tagkiszolgálót, hogy a számítógép hozzáférhessen a konfigurált Olvasás és beléptetés engedélyekkel létrehozott tanúsítványsablonhoz.

  2. Válassza a Start menüFuttatás parancsát, majd írja be ammc.exe. Az üres konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.

  3. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.

  4. A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.

  5. A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.

  6. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.

  7. A konzolon bontsa ki a Tanúsítványok (helyi számítógép) elemet, majd válassza a Személyes lehetőséget.

  8. Kattintson a jobb gombbal a Tanúsítványok elemre, válassza a Minden feladat, majd az Új tanúsítvány kérése parancsot.

  9. A Kezdés előtt lapon válassza a Tovább gombot.

  10. Ha megjelenik a Tanúsítványigénylési szabályzat kiválasztása lap, válassza a Tovább gombot.

  11. A Tanúsítványok kérése lapon azonosítsa a ConfigMgr webkiszolgáló-tanúsítványt az elérhető tanúsítványok listájából, majd válassza a További információ szükséges a tanúsítvány regisztrálásához lehetőséget. Kattintson ide a beállítások konfigurálásához.

  12. A Tanúsítvány tulajdonságai párbeszédpanel Tulajdonos lapján ne módosítsa a Tulajdonos nevét. Ez azt jelenti, hogy a Tulajdonos neve szakasz Érték mezője üres marad. Ehelyett az Alternatív név szakaszban válassza a Típus legördülő listát, majd a DNS lehetőséget.

  13. Az Érték mezőben adja meg a Configuration Manager helyrendszer tulajdonságaiban megadott FQDN-értékeket, majd kattintson az OK gombra a Tanúsítvány tulajdonságai párbeszédpanel bezárásához.

    Példák:

    • Ha a helyrendszer csak az intranetről fogad ügyfélkapcsolatokat, és a helyrendszer-kiszolgáló intranetes teljes tartománynevét server1.internal.contoso.com, írja be a server1.internal.contoso.com, majd válassza a Hozzáadás lehetőséget.

    • Ha a helyrendszer fogadja az intranetről és az internetről érkező ügyfélkapcsolatokat, és a helyrendszer-kiszolgáló intranetes teljes tartománynevét server1.internal.contoso.com , és a helyrendszer-kiszolgáló internetes teljes tartománynevét server.contoso.com:

      1. Írja be server1.internal.contoso.com, majd válassza a Hozzáadás lehetőséget.

      2. Írja be server.contoso.com, majd válassza a Hozzáadás lehetőséget.

      Megjegyzés:

      A Configuration Manager teljes tartományneveit bármilyen sorrendben megadhatja. Ellenőrizze azonban, hogy a tanúsítványt használó összes eszköz, például a mobileszközök és a proxy webkiszolgálók használhatnak-e tanúsítványtulajdonos alternatív nevet (SAN) és több értéket a SAN-ban. Ha az eszközök korlátozottan támogatják a tanúsítványok SAN-értékeit, előfordulhat, hogy módosítania kell a teljes tartománynevek sorrendjét, vagy inkább a Tulajdonos értéket kell használnia.

  14. A Tanúsítványok kérése lapon válassza a ConfigMgr webkiszolgáló-tanúsítvány lehetőséget az elérhető tanúsítványok listájából, majd válassza a Regisztráció lehetőséget.

  15. A Tanúsítványok telepítési eredményei lapon várja meg, amíg a tanúsítvány telepítve van, majd válassza a Befejezés gombot.

  16. Zárja be a Tanúsítványok (helyi számítógép) elemet.

Az IIS konfigurálása a webkiszolgáló-tanúsítvány használatára

Ez az eljárás a telepített tanúsítványt az IIS alapértelmezett webhelyéhez köti.

Az IIS beállítása a webkiszolgáló-tanúsítvány használatára

  1. Azon a tagkiszolgálón, amelyen telepítve van az IIS, válassza a Start gombot, a Programok, a Felügyeleti eszközök, majd az Internet Information Services (IIS) kezelője lehetőséget.

  2. Bontsa ki a Webhelyek csomópontot, kattintson a jobb gombbal az Alapértelmezett webhely elemre, majd válassza a Kötések szerkesztése parancsot.

  3. Válassza ki a https-bejegyzést , majd válassza a Szerkesztés lehetőséget.

  4. A Webhelykötés szerkesztése párbeszédpanelen válassza ki a ConfigMgr webkiszolgálói tanúsítványok sablonnal kért tanúsítványt, majd kattintson az OK gombra.

    Megjegyzés:

    Ha nem biztos abban, hogy melyik a megfelelő tanúsítvány, válasszon egyet, majd válassza a Nézet lehetőséget. Így összehasonlíthatja a kiválasztott tanúsítvány részleteit a Tanúsítványok beépülő modulban található tanúsítványokkal. A Tanúsítványok beépülő modul például a tanúsítvány igényléséhez használt tanúsítványsablont jeleníti meg. Ezután összehasonlíthatja a ConfigMgr webkiszolgálói tanúsítványok sablonnal kért tanúsítvány ujjlenyomatát a Webhelykötés szerkesztése párbeszédpanelen jelenleg kiválasztott tanúsítvány ujjlenyomatával.

  5. Kattintson az OK gombra a Webhelykötés szerkesztése párbeszédpanelen, majd válassza a Bezárás gombot.

  6. Zárja be az Internet Information Services (IIS) kezelőjét.

    A tagkiszolgáló most már Configuration Manager webkiszolgáló-tanúsítvánnyal van beállítva.

Fontos

Amikor telepíti a Configuration Manager helyrendszer-kiszolgálót erre a számítógépre, győződjön meg arról, hogy ugyanazokat a teljes tartományneveket adja meg a helyrendszer tulajdonságaiban, amelyeket a tanúsítvány kérelmezésekor adott meg.

A szolgáltatástanúsítvány üzembe helyezése felhőalapú terjesztési pontokhoz

A tanúsítványtelepítés a következő eljárásokkal rendelkezik:

Egyéni webkiszolgáló-tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltató számára

Ez az eljárás létrehoz egy egyéni tanúsítványsablont, amely a webkiszolgáló tanúsítványsablonján alapul. A tanúsítvány Configuration Manager felhőalapú terjesztési pontokhoz készült, és a titkos kulcsnak exportálhatónak kell lennie. A tanúsítványsablon létrehozása után a rendszer hozzáadja a hitelesítésszolgáltatóhoz.

Megjegyzés:

Ez az eljárás az IIS-t futtató helyrendszerekhez létrehozott webkiszolgáló-tanúsítványsablontól eltérő tanúsítványsablont használ. Bár mindkét tanúsítványhoz kiszolgálóhitelesítési képesség szükséges, a felhőalapú terjesztési pontok tanúsítványához egyénileg definiált értéket kell megadnia a Tulajdonos neve mezőben, a titkos kulcsot pedig exportálni kell. Ajánlott biztonsági megoldásként ne állítson be tanúsítványsablonokat úgy, hogy a titkos kulcs exportálható legyen, hacsak nincs szükség erre a konfigurációra. A felhőalapú terjesztési pontnak szüksége van erre a konfigurációra, mert a tanúsítványt fájlként kell importálnia, nem pedig a tanúsítványtárolóból kell kiválasztania.

Amikor új tanúsítványsablont hoz létre ehhez a tanúsítványhoz, korlátozhatja azokat a számítógépeket, amelyek olyan tanúsítványt igényelhetnek, amelynek titkos kulcsa exportálható. Éles hálózaton a következő módosításokat is érdemes lehet hozzáadni ehhez a tanúsítványhoz:

  • A további biztonság érdekében jóváhagyás szükséges a tanúsítvány telepítéséhez.
    • Növelje a tanúsítvány érvényességi időtartamát. Mivel a tanúsítványt a lejárata előtt minden alkalommal exportálnia és importálnia kell, az érvényességi idő növelése csökkenti, hogy milyen gyakran kell megismételnie ezt az eljárást. Az érvényességi idő növelése azonban csökkenti a tanúsítvány biztonságát is, mivel több időt biztosít a támadók számára a titkos kulcs visszafejtésére és a tanúsítvány ellopására.
    • A tanúsítvány tulajdonos alternatív neve (SAN) egyéni értékével azonosíthatja ezt a tanúsítványt az IIS-sel használt szabványos webkiszolgáló-tanúsítványokból.
Az egyéni webkiszolgáló-tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón

  1. Hozzon létre egy ConfigMgr helykiszolgálók nevű biztonsági csoportot, amely tagkiszolgálókkal rendelkezik Configuration Manager felhőalapú terjesztési pontokat kezelő elsődleges helykiszolgálók telepítéséhez.

  2. A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.

  3. Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelyben a Webkiszolgáló szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása parancsot.

  4. A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.

    Fontos

    Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.

  5. Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet( például ConfigMgr Cloud-Based terjesztésipont-tanúsítványt) a felhőalapú terjesztési pontok webkiszolgálói tanúsítványának létrehozásához.

  6. Válassza a Kérelemkezelés lapot, majd válassza a Titkos kulcs exportálásának engedélyezése lehetőséget.

  7. Válassza a Biztonság lapot, majd távolítsa el a Regisztráció engedélyt a Vállalati rendszergazdák biztonsági csoportból.

  8. Válassza a Hozzáadás lehetőséget, írja be a ConfigMgr-helykiszolgálók kifejezést a szövegmezőbe, majd kattintson az OK gombra.

  9. Válassza ki a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.

  10. Válassza a Titkosítás lapot, és győződjön meg arról, hogy a Minimális kulcsméret2048 értékre van állítva.

  11. Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.

  12. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.

  13. A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr Cloud-Based a terjesztésipont-tanúsítványt, majd kattintson az OK gombra.

  14. Ha nem kell további tanúsítványokat létrehoznia és kiadnia, zárja be a Hitelesítésszolgáltatót.

Egyéni webkiszolgáló-tanúsítvány igénylése

Ez az eljárás kéri, majd telepíti az egyéni webkiszolgáló-tanúsítványt a helykiszolgálót futtató tagkiszolgálóra.

Az egyéni webkiszolgáló-tanúsítvány kérése

  1. A ConfigMgr helykiszolgálók biztonsági csoport létrehozása és konfigurálása után indítsa újra a tagkiszolgálót, hogy a számítógép hozzáférhessen a konfigurált Olvasási és regisztrálási engedélyekkel létrehozott tanúsítványsablonhoz.

  2. Válassza a Start menüFuttatás parancsát, majd írja be ammc.exe. Az üres konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.

  3. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.

  4. A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.

  5. A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.

  6. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.

  7. A konzolon bontsa ki a Tanúsítványok (helyi számítógép) elemet, majd válassza a Személyes lehetőséget.

  8. Kattintson a jobb gombbal a Tanúsítványok elemre, válassza a Minden feladat, majd az Új tanúsítvány kérése parancsot.

  9. A Kezdés előtt lapon válassza a Tovább gombot.

  10. Ha megjelenik a Tanúsítványigénylési szabályzat kiválasztása lap, válassza a Tovább gombot.

  11. A Tanúsítványok kérése lapon keresse meg a ConfigMgr Cloud-Based terjesztésipont-tanúsítványt az elérhető tanúsítványok listájából, majd válassza a További információ szükséges a tanúsítvány regisztrálásához lehetőséget. A beállítások konfigurálásához kattintson ide.

  12. A Tanúsítvány tulajdonságai párbeszédpanel Tulajdonos lapján a Tulajdonos neve mezőben válassza a Köznapi névtípust.

  13. Az Érték mezőben adja meg a szolgáltatásnevet és a tartománynevet FQDN formátumban. Például: clouddp1.contoso.com.

    Megjegyzés:

    A szolgáltatás nevének egyedivé tétele a névtérben. A DNS használatával létre fog hozni egy aliast (CNAME rekordot) a szolgáltatás nevének automatikusan generált azonosítóra (GUID) és EGY IP-címre való leképezéséhez a Windows Azure-ból.

  14. Válassza a Hozzáadás, majd az OK gombot a Tanúsítvány tulajdonságai párbeszédpanel bezárásához.

  15. A Tanúsítványok kérése lapon válassza a ConfigMgr Cloud-Based terjesztésipont-tanúsítvány lehetőséget az elérhető tanúsítványok listájából, majd válassza a Regisztráció lehetőséget.

  16. A Tanúsítványok telepítési eredményei lapon várja meg, amíg a tanúsítvány telepítve van, majd válassza a Befejezés gombot.

  17. Zárja be a Tanúsítványok (helyi számítógép) elemet.

Egyéni webkiszolgáló-tanúsítvány exportálása felhőalapú terjesztési pontokhoz

Ez az eljárás exportálja az egyéni webkiszolgáló-tanúsítványt egy fájlba, hogy importálható legyen a felhőalapú terjesztési pont létrehozásakor.

Az egyéni webkiszolgáló-tanúsítvány exportálása felhőalapú terjesztési pontokhoz

  1. A Tanúsítványok (helyi számítógép) konzolon kattintson a jobb gombbal az imént telepített tanúsítványra, válassza a Minden feladat, majd az Exportálás parancsot.

  2. A Tanúsítványok exportálása varázslóban válassza a Tovább gombot.

  3. A Titkos kulcs exportálása lapon válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd válassza a Tovább gombot.

    Megjegyzés:

    Ha ez a beállítás nem érhető el, a tanúsítvány a titkos kulcs exportálásának lehetősége nélkül lett létrehozva. Ebben az esetben nem exportálhatja a tanúsítványt a szükséges formátumban. A tanúsítványsablont úgy kell beállítania, hogy a titkos kulcs exportálható legyen, majd kérje újra a tanúsítványt.

  4. A Fájlformátum exportálása lapon győződjön meg arról, hogy a Személyes információcsere – PKCS #12 (. A PFX) lehetőség van kiválasztva.

  5. A Jelszó lapon adjon meg egy erős jelszót az exportált tanúsítvány titkos kulccsal való védelméhez, majd válassza a Tovább gombot.

  6. Az Exportálandó fájl lapon adja meg az exportálni kívánt fájl nevét, majd kattintson a Tovább gombra.

  7. A varázsló bezárásához kattintson a Befejezés gombra a Tanúsítványexportáló varázsló lapon, majd válassza az OK gombot a megerősítést kérő párbeszédpanelen.

  8. Zárja be a Tanúsítványok (helyi számítógép) elemet.

  9. Biztonságosan tárolja a fájlt, és győződjön meg arról, hogy az Configuration Manager konzolról is elérhető.

    A tanúsítvány most már importálható felhőalapú terjesztési pont létrehozásakor.

Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken

A tanúsítványtelepítés a következő eljárásokkal rendelkezik:

  • A Munkaállomás-hitelesítés tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón

  • A Munkaállomás-hitelesítés sablon automatikus regisztrációjának konfigurálása a Csoportházirend használatával

  • A munkaállomás-hitelesítési tanúsítvány automatikus regisztrálása és telepítése számítógépeken

A Munkaállomás-hitelesítés tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón

Ez az eljárás létrehoz egy tanúsítványsablont Configuration Manager ügyfélszámítógépekhez, és hozzáadja azt a hitelesítésszolgáltatóhoz.

Munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón

  1. A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.

  2. Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelynél a Munkaállomás-hitelesítés szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása lehetőséget.

  3. A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.

    Fontos

    Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.

  4. Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet (például ConfigMgr ügyféltanúsítvány) az Configuration Manager ügyfélszámítógépeken használt ügyféltanúsítványok létrehozásához.

  5. Válassza a Biztonság lapot, válassza a Tartományi számítógépek csoportot, majd az Olvasás és automatikus regisztráció további engedélyeit. Ne törölje a Regisztráció elemet.

  6. Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.

  7. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.

  8. A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr ügyféltanúsítványt, majd kattintson az OK gombra.

  9. Ha nem kell további tanúsítványokat létrehoznia és kibocsátania, zárja be a hitelesítésszolgáltatót.

A Munkaállomás-hitelesítés sablon automatikus regisztrációjának konfigurálása a Csoportházirend használatával

Ez az eljárás beállítja Csoportházirend, hogy automatikusan regisztrálja az ügyféltanúsítványt a számítógépeken.

A Munkaállomás-hitelesítés sablon automatikus regisztrációjának beállítása a Csoportházirend használatával

  1. A tartományvezérlőn válassza a Start menü Felügyeleti eszközök elemét, majd a Csoportházirend Felügyelet lehetőséget.

  2. Nyissa meg a tartományt, kattintson a jobb gombbal a tartományra, majd válassza a Csoportházirend-objektum létrehozása ebben a tartományban lehetőséget, és csatolja ide.

    Megjegyzés:

    Ez a lépés az ajánlott eljárás szerint új Csoportházirend hoz létre az egyéni beállításokhoz ahelyett, hogy a Active Directory tartományi szolgáltatások telepített alapértelmezett tartományi házirendet szerkeszti. Ha tartományszinten rendeli hozzá ezt a Csoportházirend, azt a tartomány összes számítógépére alkalmazni fogja. Éles környezetben korlátozhatja az automatikus regisztrációt, hogy az csak a kijelölt számítógépekre legyen regisztrálva. A Csoportházirend hozzárendelheti egy szervezeti egység szintjén, vagy szűrheti a tartományt Csoportházirend egy biztonsági csoporttal, hogy az csak a csoport számítógépeire vonatkozzon. Ha korlátozza az automatikus regisztrációt, ne felejtse el a felügyeleti pontként beállított kiszolgálót is belefoglalni.

  3. Az Új csoportházirend-objektum párbeszédpanelen adjon meg egy nevet az új Csoportházirend, például a Tanúsítványok automatikus regisztrációja nevet, majd kattintson az OK gombra.

  4. Az eredmények ablaktábláján a Csatolt Csoportházirend objektumok lapon kattintson a jobb gombbal az új Csoportházirend, majd válassza a Szerkesztés parancsot.

  5. A Csoportházirend Felügyeleti szerkesztőben bontsa ki a Házirendek elemet a Számítógép konfigurációja területen, majd lépjen a Windows-beállítások / Biztonsági beállítások / nyilvános kulcsszabályzatok területre.

  6. Kattintson a jobb gombbal a Tanúsítványszolgáltatások ügyfél – Automatikus regisztráció nevű objektumtípusra, majd válassza a Tulajdonságok parancsot.

  7. A Konfigurációs modell legördülő listában válassza az Engedélyezve lehetőséget, válassza a Lejárt tanúsítványok megújítása, a függőben lévő tanúsítványok frissítése, a visszavont tanúsítványok eltávolítása, a Tanúsítványsablonokat használó tanúsítványok frissítése, majd az OK gombot.

  8. Zárja be Csoportházirend felügyeletét.

A munkaállomás-hitelesítési tanúsítvány automatikus regisztrálása és telepítése számítógépeken

Ez az eljárás telepíti az ügyféltanúsítványt a számítógépekre, és ellenőrzi a telepítést.

A munkaállomás-hitelesítési tanúsítvány automatikus regisztrálása és a telepítés ellenőrzése az ügyfélszámítógépen

  1. Indítsa újra a munkaállomás számítógépét, és várjon néhány percet, mielőtt bejelentkezik.

    Megjegyzés:

    A számítógép újraindítása a legmegbízhatóbb módszer a tanúsítvány automatikus regisztrációjának sikerességének biztosítására.

  2. Jelentkezzen be rendszergazdai jogosultságokkal rendelkező fiókkal.

  3. A keresőmezőbe írja be a mmc.exe. kifejezést, majd nyomja le az Enter billentyűt.

  4. Az üres felügyeleti konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.

  5. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.

  6. A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.

  7. A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.

  8. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.

  9. A konzolon bontsa ki a Tanúsítványok (helyi számítógép) csomópontot, bontsa ki a Személyes csomópontot, majd válassza a Tanúsítványok lehetőséget.

  10. Az eredmények ablaktábláján győződjön meg arról, hogy egy tanúsítvány ügyfél-hitelesítéssel rendelkezik a Kívánt cél oszlopban, és hogy a ConfigMgr ügyféltanúsítvány a Tanúsítványsablon oszlopban található.

  11. Zárja be a Tanúsítványok (helyi számítógép) elemet.

  12. Ismételje meg az 1–11. lépést a tagkiszolgáló esetében annak ellenőrzéséhez, hogy a felügyeleti pontként beállítani kívánt kiszolgáló is rendelkezik-e ügyféltanúsítvánnyal.

    A számítógép most már Configuration Manager ügyféltanúsítvánnyal van beállítva.

Az ügyféltanúsítvány üzembe helyezése terjesztési pontokhoz

Megjegyzés:

Ez a tanúsítvány olyan médiaképekhez is használható, amelyek nem használnak PXE-rendszerindítást, mivel a tanúsítványkövetelmények megegyeznek.

A tanúsítványtelepítés a következő eljárásokkal rendelkezik:

  • Egyéni munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltató számára

  • Egyéni munkaállomás-hitelesítési tanúsítvány kérése

  • Terjesztési pontok ügyféltanúsítványának exportálása

Egyéni munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltató számára

Ez az eljárás létrehoz egy egyéni tanúsítványsablont Configuration Manager terjesztési pontokhoz, hogy a titkos kulcs exportálható legyen, és hozzáadja a tanúsítványsablont a hitelesítésszolgáltatóhoz.

Megjegyzés:

Ez az eljárás az ügyfélszámítógépekhez létrehozott tanúsítványsablontól eltérő tanúsítványsablont használ. Bár mindkét tanúsítványhoz ügyfél-hitelesítési képesség szükséges, a terjesztési pontok tanúsítványának exportálnia kell a titkos kulcsot. Ajánlott biztonsági megoldásként ne állítson be tanúsítványsablonokat, hogy a titkos kulcs exportálható legyen, hacsak nincs szükség erre a konfigurációra. A terjesztési pontnak szüksége van erre a konfigurációra, mert a tanúsítványt fájlként kell importálnia, és nem a tanúsítványtárolóból kell kiválasztania.

Amikor új tanúsítványsablont hoz létre ehhez a tanúsítványhoz, korlátozhatja azokat a számítógépeket, amelyek olyan tanúsítványt igényelhetnek, amelynek titkos kulcsa exportálható. A példánkban ez lesz az a biztonsági csoport, amelyet korábban Configuration Manager IIS-t futtató helyrendszer-kiszolgálókhoz hozott létre. Az IIS-helyrendszerszerepköröket elosztó éles hálózatokon érdemes lehet létrehozni egy új biztonsági csoportot a terjesztési pontokat futtató kiszolgálók számára, hogy a tanúsítványt csak ezekre a helyrendszer-kiszolgálókra korlátozhassa. Érdemes lehet a következő módosításokat is hozzáadni ehhez a tanúsítványhoz:

  • A további biztonság érdekében jóváhagyás szükséges a tanúsítvány telepítéséhez.
    • Növelje a tanúsítvány érvényességi időtartamát. Mivel a tanúsítványt a lejárata előtt minden alkalommal exportálnia és importálnia kell, az érvényességi idő növelése csökkenti, hogy milyen gyakran kell megismételnie ezt az eljárást. Az érvényességi idő növelése azonban csökkenti a tanúsítvány biztonságát is, mivel több időt biztosít a támadók számára a titkos kulcs visszafejtésére és a tanúsítvány ellopására.
    • A tanúsítványt a tanúsítvány tulajdonosának mezőjében vagy a Tulajdonos alternatív neve (SAN) mezőben használva azonosíthatja ezt a tanúsítványt a standard ügyféltanúsítványokból. Ez különösen hasznos lehet, ha ugyanazt a tanúsítványt több terjesztési ponthoz is használni fogja.
Az egyéni munkaállomás-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatón

  1. A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.

  2. Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelynél a Munkaállomás-hitelesítés szerepel a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása lehetőséget.

  3. A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.

    Fontos

    Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.

  4. Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet , például ConfigMgr ügyfél terjesztésipont-tanúsítványt a terjesztési pontok ügyfél-hitelesítési tanúsítványának létrehozásához.

  5. Válassza a Kérelemkezelés lapot, majd válassza a Titkos kulcs exportálásának engedélyezése lehetőséget.

  6. Válassza a Biztonság lapot, majd távolítsa el a Regisztráció engedélyt a Vállalati rendszergazdák biztonsági csoportból.

  7. Válassza a Hozzáadás lehetőséget, írja be a ConfigMgr IIS-kiszolgálók kifejezést a szövegmezőbe, majd kattintson az OK gombra.

  8. Válassza ki a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.

  9. Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.

  10. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.

  11. A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr ügyfélterjesztési pont tanúsítványát, majd kattintson az OK gombra.

  12. Ha nem kell további tanúsítványokat létrehoznia és kiadnia, zárja be a Hitelesítésszolgáltatót.

Egyéni munkaállomás-hitelesítési tanúsítvány kérése

Ez az eljárás kéri, majd telepíti az egyéni ügyféltanúsítványt az IIS-t futtató tagkiszolgálóra, amely terjesztési pontként lesz beállítva.

Az egyéni munkaállomás-hitelesítési tanúsítvány kérése

  1. Válassza a Start menüFuttatás parancsát, majd írja be ammc.exe. Az üres konzolon válassza a Fájl, majd a Beépülő modul hozzáadása/eltávolítása lehetőséget.

  2. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok elemet az Elérhető beépülő modulok listájából, majd válassza a Hozzáadás lehetőséget.

  3. A Tanúsítvány beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább gombot.

  4. A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (azon a számítógépen, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés gombra.

  5. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra.

  6. A konzolon bontsa ki a Tanúsítványok (helyi számítógép) elemet, majd válassza a Személyes lehetőséget.

  7. Kattintson a jobb gombbal a Tanúsítványok elemre, válassza a Minden feladat, majd az Új tanúsítvány kérése parancsot.

  8. A Kezdés előtt lapon válassza a Tovább gombot.

  9. Ha megjelenik a Tanúsítványigénylési szabályzat kiválasztása lap, válassza a Tovább gombot.

  10. A Tanúsítványok kérése lapon válassza a ConfigMgr ügyfélterjesztési pont tanúsítványa elemet az elérhető tanúsítványok listájából, majd válassza a Regisztráció lehetőséget.

  11. A Tanúsítványok telepítési eredményei lapon várja meg, amíg a tanúsítvány telepítve van, majd válassza a Befejezés gombot.

  12. Az eredmények ablaktábláján győződjön meg arról, hogy egy tanúsítvány ügyfél-hitelesítéssel rendelkezik a Kívánt cél oszlopban, és hogy a ConfigMgr ügyfélterjesztési pont tanúsítványa a Tanúsítványsablon oszlopban található.

  13. Ne zárja be a Tanúsítványok (helyi számítógép) elemet.

Terjesztési pontok ügyféltanúsítványának exportálása

Ez az eljárás exportálja az egyéni munkaállomás-hitelesítési tanúsítványt egy fájlba, hogy importálható legyen a terjesztési pont tulajdonságaiba.

A terjesztési pontok ügyféltanúsítványának exportálása

  1. A Tanúsítványok (helyi számítógép) konzolon kattintson a jobb gombbal az imént telepített tanúsítványra, válassza a Minden feladat, majd az Exportálás parancsot.

  2. A Tanúsítványok exportálása varázslóban válassza a Tovább gombot.

  3. A Titkos kulcs exportálása lapon válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd válassza a Tovább gombot.

    Megjegyzés:

    Ha ez a beállítás nem érhető el, a tanúsítvány a titkos kulcs exportálásának lehetősége nélkül lett létrehozva. Ebben az esetben nem exportálhatja a tanúsítványt a szükséges formátumban. A tanúsítványsablont úgy kell beállítania, hogy a titkos kulcs exportálható legyen, majd kérje újra a tanúsítványt.

  4. A Fájlformátum exportálása lapon győződjön meg arról, hogy a Személyes információcsere – PKCS #12 (. A PFX) lehetőség van kiválasztva.

  5. A Jelszó lapon adjon meg egy erős jelszót az exportált tanúsítvány titkos kulccsal való védelméhez, majd válassza a Tovább gombot.

  6. Az Exportálandó fájl lapon adja meg az exportálni kívánt fájl nevét, majd kattintson a Tovább gombra.

  7. A varázsló bezárásához kattintson a Befejezés gombra a Tanúsítványexportáló varázsló lapján, és válassza az OK gombot a megerősítést kérő párbeszédpanelen.

  8. Zárja be a Tanúsítványok (helyi számítógép) elemet.

  9. Biztonságosan tárolja a fájlt, és győződjön meg arról, hogy az Configuration Manager konzolról is elérhető.

    A tanúsítvány most már importálható a terjesztési pont beállításakor.

Tipp

Ugyanazt a tanúsítványfájlt használhatja, ha olyan operációs rendszer központi telepítéséhez állít be médiaképeket, amely nem használ PXE-rendszerindítást, és a lemezkép telepítéséhez szükséges feladatütemezésnek https-ügyfélkapcsolatokat igénylő felügyeleti ponttal kell felvennie a kapcsolatot.

A regisztrációs tanúsítvány üzembe helyezése mobileszközökhöz

Ez a tanúsítványtelepítés egyetlen eljárással hozza létre és bocsátja ki a tanúsítványsablont a hitelesítésszolgáltató számára.

A beléptetési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltató számára

Ez az eljárás létrehoz egy regisztrációs tanúsítványsablont Configuration Manager mobileszközökhöz, és hozzáadja azt a hitelesítésszolgáltatóhoz.

A beléptetési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltató számára

  1. Hozzon létre egy biztonsági csoportot, amelynek felhasználói mobileszközöket regisztrálnak Configuration Manager.

  2. A tanúsítványszolgáltatásokat tartalmazó tagkiszolgálón a Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.

  3. Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amelynél a Sablon megjelenítendő neve oszlopban a hitelesített munkamenet szerepel, majd válassza a Sablon duplikálása parancsot.

  4. A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.

    Fontos

    Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.

  5. Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet (például ConfigMgr mobileszköz-beléptetési tanúsítvány) a Configuration Manager által felügyelt mobileszközök regisztrációs tanúsítványainak létrehozásához.

  6. Válassza a Tulajdonos neve lapot, győződjön meg arról, hogy a Build from this Active Directory information (Összeállítás ebből az Active Directory-információból ) beállítás be van jelölve, válassza a Köznapi név lehetőséget a Tulajdonosnév formátuma: mezőben, majd törölje az Egyszerű felhasználónév (UPN) jelölést az Ezen adatok felvétele másodlagos tulajdonosnévbe beállításból.

  7. Válassza a Biztonság lapot, válassza ki azt a biztonsági csoportot, amelyben a mobileszközökkel rendelkező felhasználók regisztrálhatók, majd válassza ki a Regisztráció további engedélyét. Ne törölje az Olvasás elemet.

  8. Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.

  9. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.

  10. A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr mobileszköz-beléptetési tanúsítványt, majd kattintson az OK gombra.

  11. Ha nem kell további tanúsítványokat létrehoznia és kibocsátania, zárja be a Hitelesítésszolgáltató konzolt.

    A mobileszköz-beléptetési tanúsítvány sablonja mostantól kiválasztható, amikor beállít egy mobileszköz-regisztrációs profilt az ügyfélbeállításokban.

Az ügyféltanúsítvány telepítése Mac számítógépeken

Ez a tanúsítványtelepítés egyetlen eljárással hozza létre és bocsátja ki a tanúsítványsablont a hitelesítésszolgáltató számára.

Mac ügyféltanúsítvány-sablon létrehozása és kiállítása a hitelesítésszolgáltatón

Ez az eljárás létrehoz egy egyéni tanúsítványsablont Configuration Manager Mac számítógépekhez, és hozzáadja a tanúsítványsablont a hitelesítésszolgáltatóhoz.

Megjegyzés:

Ez az eljárás a Windows-ügyfélszámítógépekhez vagy terjesztési pontokhoz esetleg létrehozott tanúsítványsablontól eltérő tanúsítványsablont használ.

Amikor új tanúsítványsablont hoz létre ehhez a tanúsítványhoz, korlátozhatja a tanúsítványkérelmet a jogosult felhasználókra.

A Mac-ügyféltanúsítvány-sablon létrehozása és kiállítása a hitelesítésszolgáltatón

  1. Hozzon létre egy biztonsági csoportot, amely felhasználói fiókokkal rendelkezik azoknak a rendszergazda felhasználóknak, akik a tanúsítványt a Mac számítógépen regisztrálják a Configuration Manager használatával.

  2. A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kezelés lehetőséget a Tanúsítványsablonok felügyeleti konzol betöltéséhez.

  3. Az eredmények ablaktábláján kattintson a jobb gombbal arra a bejegyzésre, amely a Hitelesített munkamenetet jeleníti meg a Sablon megjelenítendő neve oszlopban, majd válassza a Sablon duplikálása lehetőséget.

  4. A Sablon duplikálása párbeszédpanelen győződjön meg arról, hogy a Windows 2003 Server, Enterprise kiadás van kiválasztva, majd kattintson az OK gombra.

    Fontos

    Ne válassza a Windows 2008 Server Enterprise kiadás lehetőséget.

  5. Az Új sablon tulajdonságai párbeszédpanel Általános lapján adjon meg egy sablonnevet( például ConfigMgr Mac ügyféltanúsítvány) a Mac ügyféltanúsítvány létrehozásához.

  6. Válassza a Tulajdonos neve lapot, győződjön meg arról, hogy a Build from this Active Directory information (Összeállítás ebből az Active Directory-információból ) beállítás be van jelölve, válassza a Köznapi név lehetőséget a Tulajdonosnév formátuma: mezőben, majd törölje az Egyszerű felhasználónév (UPN) jelölést Az információ felvétele másodlagos tulajdonosnévbe beállításból.

  7. Válassza a Biztonság lapot, majd távolítsa el a Regisztrálás engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportokból.

  8. Válassza a Hozzáadás lehetőséget, adja meg az első lépésben létrehozott biztonsági csoportot, majd kattintson az OK gombra.

  9. Válassza a Csoport Regisztráció engedélyét, és ne törölje az Olvasás engedélyt.

  10. Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.

  11. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, válassza az Új, majd a Kibocsátandó tanúsítványsablon lehetőséget.

  12. A Tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott új sablont, a ConfigMgr Mac ügyféltanúsítványt, majd kattintson az OK gombra.

  13. Ha nem kell további tanúsítványokat létrehoznia és kiadnia, zárja be a Hitelesítésszolgáltatót.

    A Mac ügyféltanúsítvány-sablon most már készen áll a kiválasztásra a regisztráció ügyfélbeállításainak beállításakor.