Tanúsítványprofilok konfigurálása a Configuration Managerben

 

Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Megjegyzés
A jelen témakörben található információk csak a System Center 2012 R2 Configuration Manager verzióira vonatkoznak.

Ahhoz, hogy a Configuration Manager segítségével igényelhessen tanúsítványokat eszközök és felhasználók számára, végre kell hajtania a jelen témakörben leírt konfigurációs lépéseket.

A tanúsítványigénylés konfigurálásának lépései a Configuration Managerben

Az alábbi táblázat a tanúsítványigénylés konfigurálásának lépéseit és részleteit ismerteti a Configuration Managerben, és további tudnivalókkal is szolgál a folyamatról. Mielőtt elkezdené a konfigurálást, olvassa el az előfeltételeket a következő témakörben: A tanúsítványprofilokra vonatkozó előfeltételek a Configuration Managerben.

A lépések végrehajtása és a telepítés ellenőrzése után már konfigurálhat és telepíthet tanúsítványprofilokat. További információ: Tanúsítványprofilok létrehozása a Configuration Managerben.

Lépések	Részletek	További információ
1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és a függőségek telepítése és konfigurálása	A Windows Server 2012 R2 operációs rendszeren az Active Directory tanúsítványszolgáltatásokhoz (AD CS) tartozó Hálózati eszközök tanúsítványigénylési szolgáltatásának kell futnia. Fontos Emellett további konfigurációs lépések is szükségesek ahhoz, hogy használhassa a Hálózati eszközök tanúsítványigénylési szolgáltatását a Configuration Managerrel.	Lásd: a jelen témakör 1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása című szakasza.
2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása	Telepítenie kell legalább egy tanúsítványregisztrációs pontot. A regisztrációs pont központi adminisztrációs helyen vagy elsődleges helyen lehet.	Lásd: a jelen témakör 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása című szakasza.
3. lépés A Configuration Manager Házirend moduljának telepítése	Telepítse a házirendmodult a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón.	Lásd: a jelen témakör 3. lépés: A Configuration Manager-házirendmodul telepítése című szakasza.

További eljárások a tanúsítványigénylés konfigurálásához a Configuration Managerben

A következő információkra támaszkodhat, amennyiben az előbbi táblázat lépéseihez további eljárások szükségesek.

1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása

Telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkört az Active Directory tanúsítványszolgáltatásokhoz (AD CS), módosítsa a tanúsítványsablonokra vonatkozó biztonsági engedélyeket, telepítsen egy nyilvános kulcsú infrastruktúrára (PKI) épülő ügyfél-hitelesítési tanúsítványt, majd a beállításjegyzék szerkesztésével növelje meg az Internet Information Services (IIS) alapértelmezett URL-méretének korlátját. Emellett ha szükséges, a kiállító hitelesítésszolgáltató konfigurálásával engedélyezze az egyéni érvényességi időt is.

Fontos
A Configuration Manager és a Hálózati eszközök tanúsítványigénylési szolgáltatása közötti együttműködés konfigurálása előtt ellenőrizze az utóbbi telepítését és konfigurációját. Amennyiben ezek a függőségi viszonyok nem működnek megfelelően, abban az esetben problémái lesznek a tanúsítványigénylés hibaelhárításával a Configuration Manager segítségével.

A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása

1. A Windows Server 2012 R2-t futtató kiszolgálón telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatások kiszolgálói szerepkörhöz. További információért olvassa el az Útmutató a Hálózati eszközök tanúsítványigénylési szolgáltatásához című cikket az Active Directory tanúsítványszolgáltatások dokumentumtárában a TechNet webhelyen.

2. Ellenőrizze, és szükség esetén módosítsa a Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok biztonsági engedélyeit:

   - A Configuration Manager konzolt futtató fiók esetén: **Olvasás** engedély.
   
     Ez az engedély szükséges ahhoz, hogy a Tanúsítványprofil létrehozása varázsló futtatásakor tallózással kiválaszthassa az SCEP-beállításprofil létrehozásakor használni kívánt tanúsítványsablont. Tanúsítványsablon választásakor a rendszer a varázsló egyes beállításait automatikusan meghatározza, így kevesebb beállítást kell konfigurálni, és kisebb a veszélye annak, hogy a Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonokkal nem kompatibilis beállításokat választ.
   
   - A Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete által használt SCEP-szolgáltatásfiókhoz: **Olvasás** és **Beléptetés** engedélyek.
   
     Ez a követelmény nem a Configuration Managerre vonatkozik, ugyanakkor része a Hálózati eszközök tanúsítványigénylési szolgáltatása konfigurálásának. További információért olvassa el az [Útmutató a Hálózati eszközök tanúsítványigénylési szolgáltatásához](https://go.microsoft.com/fwlink/p/?linkid=309016) című cikket az Active Directory tanúsítványszolgáltatások dokumentumtárában a TechNet webhelyen.
   

   Tipp
   A Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok azonosításához keresse meg a következő beállításkulcsot a szolgáltatást futtató kiszolgálón: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Megjegyzés
   Ezek az alapértelmezett biztonsági engedélyek, amelyek a legtöbb környezetben megfelelő megoldást nyújtanak – ehelyett azonban alternatív biztonsági konfigurációt is használhat. További információ: Tanúsítványsablonok engedélyeinek tervezése a Configuration Manager tanúsítványprofiljaihoz.

3. Telepítsen a kiszolgálón egy PKI-tanúsítványt, amely támogatja az ügyfél-hitelesítést. Előfordulhat, hogy már használható tanúsítvány van telepítve a számítógépen, de az is lehet, hogy kifejezetten erre a célra szolgáló tanúsítványt kell (vagy célszerű) telepítenie. A tanúsítványra vonatkozó követelményekről további tudnivalókért olvassa el „A Configuration Manager-házirendmodult és a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálók” című részt a következő témakör A kiszolgálók PKI-tanúsítványai című szakaszában: PKI-tanúsítványkövetelmények a Configuration Managerben.

   Tipp

   Ha segítségre van szüksége a tanúsítvány telepítéséhez, olvassa el a Az ügyféltanúsítvány központi telepítése terjesztési pontokon című témakörPélda a Configuration Manager PKI tanúsítványainak központi telepítési lépéseire: Windows Server 2008 tanúsítványszolgáltató című szakaszát, mivel a tanúsítványkövetelmények azonosak, egy kivétellel: A tanúsítványsablon tulajdonságai között a Kérelmek kezelése lapon ne jelölje be A titkos kulcs exportálható négyzetet. Ezt a tanúsítványt nem kell exportálni a titkos kulccsal, ugyanis a Configuration Manager-házirendmodul konfigurálásakor a helyi számítógéptárolóból kiválasztható.

4. Keresse meg azt a legfelső szintű tanúsítványt, amelyhez az ügyfél-hitelesítési tanúsítvány kapcsolódik, majd exportálja ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt egy tanúsítványfájlba (.cer). Mentse ezt a fájlt védett helyre, amelyet később biztonságosan elérhet a tanúsítványregisztrációs pont helyrendszer-kiszolgálójának telepítésekor és konfigurálásakor.

5. Ugyanezen a kiszolgálón a Beállításszerkesztő segítségével növelje meg az IIS alapértelmezett URL-méretkorlátját. Ehhez a következő beállításkulcs DWORD értékét kell módosítania a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters csomópont alatt:

   - A **MaxFieldLength** kulcs értékét állítsa **65534**-re.
   
   - A **MaxRequestBytes** kulcs értékét állítsa **16777216**-ra.
   

   További információ: 820129: A Http.sys beállításjegyzék-beállításai a Windowsban (Microsoft tudásbázis).

6. Ugyanezen a kiszolgálón az Internet Information Services (IIS) kezelőjében módosítsa a /certsrv/mscep alkalmazás kérelemszűrési beállításait, majd indítsa újra a kiszolgálót. A Kérelemszűrési beállítások szerkesztése párbeszédpanelen a Kérelmekre vonatkozó korlátok az alábbiak legyenek:

   - **Tartalom engedélyezett maximális hossza (bájt)**: **30000000**
   
   - **URL-cím maximális hossza (bájt)**: **65534**
   
   - **Lekérdezés-karakterlánc maximális hossza (bájt)**: **65534**
   

   A fenti beállításokról és konfigurálásukról további információt a Lekérdezési korlátok című cikkben olvashat az IIS referenciatárában.

7. Ha szeretne a jelenleg használt tanúsítványsablonnál rövidebb érvényességi idejű tanúsítványt igényelni: Ez a konfiguráció a vállalati hitelesítésszolgáltatók esetében alapértelmezés szerint le van tiltva. Ha vállalati hitelesítésszolgáltatón szeretné engedélyezni ezt a beállítást, a Certutil parancssori eszközzel állítsa le és indítsa újra a tanúsítványszolgáltatást, az alábbi parancsokkal:

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

   További információért olvassa el a Tanúsítványszolgáltatások – Eszközök és beállítások című cikket a PKI-technológiák dokumentumtárában a TechNet webhelyen.

8. A következő hivatkozással ellenőrizze, hogy működik-e a Hálózati eszközök tanúsítványigénylési szolgáltatása: https://server.contoso.com/certsrv/mscep/mscep.dll. Ha a szolgáltatás működik, a Hálózati eszközök tanúsítványigénylési szolgáltatásának beépített weblapja jelenik meg. A weblap bemutatja a szolgáltatást és leírja, hogy a hálózati eszközök az URL segítségével küldenek tanúsítványkérelmeket.

Most, hogy végzett a Hálózati eszközök tanúsítványigénylési szolgáltatása és függőségei konfigurálásával, készen áll a tanúsítványregisztrációs pont telepítésére és konfigurálására.

2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása

A Configuration Manager-hierarchiában legalább egy tanúsítványregisztrációs pontot kell telepítenie és konfigurálnia; ez a helyrendszerszerepkör a központi adminisztrációs helyen vagy egy elsődleges helyen telepíthető.

Fontos
A telepítés előtt ismerje meg a tanúsítványregisztrációs pont operációsrendszer-követelményeit és függőségeit a a következő témakör című szakaszában: .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

A tanúsítványregisztrációs pont telepítése és konfigurálása

1. A Configuration Manager konzolján kattintson az Adminisztráció elemre.

2. Az Adminisztráció munkaterületen bontsa ki a Helykonfiguráció csomópontot, kattintson a Kiszolgálók és helyrendszerszerepkörök elemre, majd jelölje ki a kiszolgálót, amelyet a tanúsítványregisztrációs pontként használni kíván.

3. A KezdőlapKiszolgáló csoportjában kattintson a Helyrendszerszerepkörök hozzáadása elemre.

4. Az Általános lapon adja meg a helyrendszer általános beállításait, majd kattintson a Tovább gombra.

5. A Proxy lapon kattintson a Tovább gombra. A tanúsítványregisztrációs pont nem használ internetes proxybeállításokat.

6. A Rendszerszerepkör kiválasztása lapon az elérhető szerepkörök listájából válassza a Tanúsítványregisztrációs pont elemet, majd kattintson a Tovább gombra.

7. A Tanúsítványregisztrációs pont oldalon fogadja el vagy módosítsa az alapértelmezett beállításokat, majd kattintson a Hozzáadás gombra.

8. Az URL és a legfelső szintű hitelesítésszolgáltató tanúsítványának megadása párbeszédpanelen határozza meg az alábbiakat, majd kattintson az OK gombra:

   1. A Hálózati eszközök tanúsítványigénylési szolgáltatásához tartozó URL: Az URL-t a következő formátumban adja meg: https://<server_FQDN>/certsrv/mscep/mscep.dll. Ha például a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló teljes tartományneve server1.contoso.com, a következőt gépelje be: https://server1.contoso.com/certsrv/mscep/mscep.dll.

   2. Legfelső szintű hitelesítésszolgáltató tanúsítványa: Keresse meg és válassza ki az 1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása során létrehozott és mentett tanúsítványfájlt (.cer). Ez a legfelső szintű hitelesítésszolgáltatói tanúsítvány lehetővé teszi a tanúsítványregisztrációs pont számára a Configuration Manager-házirendmodul által használt ügyfél-hitelesítési tanúsítvány ellenőrzését.

   Megjegyzés
   Ha több kiszolgálón is futtatja a Hálózati eszközök tanúsítványigénylési szolgáltatását, kattintson a Hozzáadás gombra, és adja meg a többi kiszolgáló adatait.

9. Kattintson a Tovább gombra, és fejezze be a varázslót.

10. Várjon néhány percet, míg a telepítés befejeződik, majd az alábbi módszerek egyikével ellenőrizze, hogy a tanúsítványregisztrációs pont telepítése sikeres volt-e:

    • A Figyelés munkaterületen bontsa ki a Rendszer állapota elemet, kattintson az Összetevő állapota lehetőségre, és keresse meg az SMS_CERTIFICATE_REGISTRATION_POINT összetevőtől származó állapotüzeneteket.

    • A helyrendszer-kiszolgálón tekintse meg a <ConfigMgr telepítési útvonala>\Logs\crpsetup.log és a <ConfigMgr telepítési útvonala>\Logs\crpmsi.log fájlt. Sikeres telepítés esetén a kilépési kód „0”.

    • Egy böngészővel ellenőrizze, hogy tud-e kapcsolódni a tanúsítványregisztrációs pont URL-éhez – például: https://server1.contoso.com/CMCertificateRegistration. Ha a telepítés sikeres volt, egy Kiszolgálóhiba oldal jelenik meg az alkalmazás nevével és a HTTP 404-es hiba leírásával.

11. Keresse meg a tanúsítványregisztrációs pont által exportált legfelső szintű hitelesítésszolgáltatói tanúsítványfájlt az elsődleges hely kiszolgálóján a következő mappában: <ConfigMgr Installation Path>\inboxes\certmgr.box. Mentse ezt a fájlt védett helyre, amelyet később biztonságosan elérhet a Configuration Manager-házirend telepítésekor a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón.

    Tipp
    A tanúsítvány nem érhető el azonnal a mappában; valószínűleg várnia kell valamennyit (körülbelül fél órát), amíg a Configuration Manager a fájlt erre a helyre másolja.

Most, hogy végzett a tanúsítványregisztrációs pont telepítésével és konfigurálásával, készen áll a Configuration Manager-házirendmodul telepítésére a Hálózati eszközök tanúsítványigénylési szolgáltatásához.

3. lépés: A Configuration Manager-házirendmodul telepítése

A Configuration Manager Házirend modulját minden olyan kiszolgálón telepítenie és konfigurálnia kell, amelyet a 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása során Hálózati eszközök tanúsítványigénylési szolgáltatásához tartozó URL beállításhoz megadott a tanúsítványregisztrációs pont tulajdonságai között.

A házirendmodul telepítése

1. A Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón jelentkezzen be tartományi rendszergazdaként, és a Configuration Manager telepítési adathordozóján található <ConfigMgrTelepítési Adathordozó>\SMSSETUP\POLICYMODULE\X64 mappából másolja a következő fájlokat egy ideiglenes mappába:

   - PolicyModule.msi
   
   - PolicyModuleSetup.exe
   

   Emellett ha a telepítési adathordozón egy LanguagePack mappa is található, másolja azt is, a tartalmával együtt.

2. Az ideiglenes mappából futtassa a PolicyModuleSetup.exe fájlt a Configuration Manager-házirendmodul telepítővarázslójának elindításához.

3. A varázsló kezdőlapján kattintson a Tovább gombra, fogadja el a licencfeltételeket, majd kattintson ismét a Tovább gombra.

4. A Telepítési mappa lapon fogadja el a házirendmodul alapértelmezett telepítési mappáját, vagy adjon meg egy másik mappát, majd kattintson a Tovább gombra.

5. A Tanúsítványregisztrációs pont lapon a helyrendszer-kiszolgáló teljes tartományneve és a tanúsítványregisztrációs pont tulajdonságai között megadott virtuális alkalmazásnév használatával adja meg a tanúsítványregisztrációs pont URL-jét. Az alapértelmezett virtuális alkalmazásnév: CMCertificateRegistration. Ha például a helyrendszer-kiszolgáló teljes tartományneve server1.contoso.com, és az alapértelmezett virtuális alkalmazásnevet használta, a következő URL-t adja meg: https://server1.contoso.com/CMCertificateRegistration.

6. Fogadja el az alapértelmezett 443-as portot, vagy ha a tanúsítványregisztrációs pont másik portot használ, adja meg annak a számát, majd kattintson a Tovább gombra.

7. A Házirend modul ügyfél-tanúsítványa lapon keresse meg és adja meg az 1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és a függőségek telepítése és konfigurálása során telepített ügyfél-hitelesítési tanúsítványt, majd kattintson a ovább gombra.

8. A Tanúsítványregisztrációs pont tanúsítványa lapon kattintson a Tallózás gombra a 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása során megkeresett és mentett, a legfelső szintű hitelesítésszolgáltatóhoz tartozó exportált tanúsítványfájl kiválasztásához.

   Megjegyzés
   Ha korábban nem mentette a tanúsítványfájlt, a következő útvonalon találhatja meg a helykiszolgálón: <ConfigMgr Telepítési Útvonala>\inboxes\certmgr.box.

9. Kattintson a Tovább gombra, és fejezze be a varázslót.

Most, hogy végzett a Hálózati eszközök tanúsítványigénylési szolgáltatása és függőségei, a tanúsítványregisztrációs pont és a Configuration Manager-házirendmodul telepítésére szolgáló konfigurációs lépésekkel, készen áll arra, hogy tanúsítványprofilok létrehozásával és telepítésével tanúsítványokat telepítsen felhasználók és eszközök számára. További információ a tanúsítványprofilok létrehozásáról: Tanúsítványprofilok létrehozása a Configuration Managerben.

A Configuration Manager-házirendmodul eltávolításához használja a Vezérlőpult Programok és szolgáltatások elemét.

Lásd még

Tanúsítványprofilok kezelése a Configuration Managerben