Tanúsítványprofilok konfigurálása a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Megjegyzés |
---|
A jelen témakörben található információk csak a System Center 2012 R2 Configuration Manager verzióira vonatkoznak. |
Ahhoz, hogy a Configuration Manager segítségével igényelhessen tanúsítványokat eszközök és felhasználók számára, végre kell hajtania a jelen témakörben leírt konfigurációs lépéseket.
A tanúsítványigénylés konfigurálásának lépései a Configuration Managerben
Az alábbi táblázat a tanúsítványigénylés konfigurálásának lépéseit és részleteit ismerteti a Configuration Managerben, és további tudnivalókkal is szolgál a folyamatról. Mielőtt elkezdené a konfigurálást, olvassa el az előfeltételeket a következő témakörben: A tanúsítványprofilokra vonatkozó előfeltételek a Configuration Managerben.
A lépések végrehajtása és a telepítés ellenőrzése után már konfigurálhat és telepíthet tanúsítványprofilokat. További információ: Tanúsítványprofilok létrehozása a Configuration Managerben.
Lépések |
Részletek |
További információ |
||
---|---|---|---|---|
1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és a függőségek telepítése és konfigurálása |
A Windows Server 2012 R2 operációs rendszeren az Active Directory tanúsítványszolgáltatásokhoz (AD CS) tartozó Hálózati eszközök tanúsítványigénylési szolgáltatásának kell futnia.
|
Lásd: a jelen témakör 1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása című szakasza. |
||
2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása |
Telepítenie kell legalább egy tanúsítványregisztrációs pontot. A regisztrációs pont központi adminisztrációs helyen vagy elsődleges helyen lehet. |
Lásd: a jelen témakör 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása című szakasza. |
||
3. lépés A Configuration Manager Házirend moduljának telepítése |
Telepítse a házirendmodult a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón. |
Lásd: a jelen témakör 3. lépés: A Configuration Manager-házirendmodul telepítése című szakasza. |
További eljárások a tanúsítványigénylés konfigurálásához a Configuration Managerben
A következő információkra támaszkodhat, amennyiben az előbbi táblázat lépéseihez további eljárások szükségesek.
1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása
Telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkört az Active Directory tanúsítványszolgáltatásokhoz (AD CS), módosítsa a tanúsítványsablonokra vonatkozó biztonsági engedélyeket, telepítsen egy nyilvános kulcsú infrastruktúrára (PKI) épülő ügyfél-hitelesítési tanúsítványt, majd a beállításjegyzék szerkesztésével növelje meg az Internet Information Services (IIS) alapértelmezett URL-méretének korlátját. Emellett ha szükséges, a kiállító hitelesítésszolgáltató konfigurálásával engedélyezze az egyéni érvényességi időt is.
Fontos |
---|
A Configuration Manager és a Hálózati eszközök tanúsítványigénylési szolgáltatása közötti együttműködés konfigurálása előtt ellenőrizze az utóbbi telepítését és konfigurációját. Amennyiben ezek a függőségi viszonyok nem működnek megfelelően, abban az esetben problémái lesznek a tanúsítványigénylés hibaelhárításával a Configuration Manager segítségével. |
A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása
-
A Windows Server 2012 R2-t futtató kiszolgálón telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatások kiszolgálói szerepkörhöz. További információért olvassa el az Útmutató a Hálózati eszközök tanúsítványigénylési szolgáltatásához című cikket az Active Directory tanúsítványszolgáltatások dokumentumtárában a TechNet webhelyen.
-
Ellenőrizze, és szükség esetén módosítsa a Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok biztonsági engedélyeit:
- A Configuration Manager konzolt futtató fiók esetén: **Olvasás** engedély. Ez az engedély szükséges ahhoz, hogy a Tanúsítványprofil létrehozása varázsló futtatásakor tallózással kiválaszthassa az SCEP-beállításprofil létrehozásakor használni kívánt tanúsítványsablont. Tanúsítványsablon választásakor a rendszer a varázsló egyes beállításait automatikusan meghatározza, így kevesebb beállítást kell konfigurálni, és kisebb a veszélye annak, hogy a Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonokkal nem kompatibilis beállításokat választ. - A Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete által használt SCEP-szolgáltatásfiókhoz: **Olvasás** és **Beléptetés** engedélyek. Ez a követelmény nem a Configuration Managerre vonatkozik, ugyanakkor része a Hálózati eszközök tanúsítványigénylési szolgáltatása konfigurálásának. További információért olvassa el az [Útmutató a Hálózati eszközök tanúsítványigénylési szolgáltatásához](https://go.microsoft.com/fwlink/p/?linkid=309016) című cikket az Active Directory tanúsítványszolgáltatások dokumentumtárában a TechNet webhelyen.
Tipp A Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok azonosításához keresse meg a következő beállításkulcsot a szolgáltatást futtató kiszolgálón: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
Megjegyzés Ezek az alapértelmezett biztonsági engedélyek, amelyek a legtöbb környezetben megfelelő megoldást nyújtanak – ehelyett azonban alternatív biztonsági konfigurációt is használhat. További információ: Tanúsítványsablonok engedélyeinek tervezése a Configuration Manager tanúsítványprofiljaihoz.
-
Telepítsen a kiszolgálón egy PKI-tanúsítványt, amely támogatja az ügyfél-hitelesítést. Előfordulhat, hogy már használható tanúsítvány van telepítve a számítógépen, de az is lehet, hogy kifejezetten erre a célra szolgáló tanúsítványt kell (vagy célszerű) telepítenie. A tanúsítványra vonatkozó követelményekről további tudnivalókért olvassa el „A Configuration Manager-házirendmodult és a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálók” című részt a következő témakör A kiszolgálók PKI-tanúsítványai című szakaszában: PKI-tanúsítványkövetelmények a Configuration Managerben.
Tipp Ha segítségre van szüksége a tanúsítvány telepítéséhez, olvassa el a Az ügyféltanúsítvány központi telepítése terjesztési pontokon című témakörPélda a Configuration Manager PKI tanúsítványainak központi telepítési lépéseire: Windows Server 2008 tanúsítványszolgáltató című szakaszát, mivel a tanúsítványkövetelmények azonosak, egy kivétellel:
A tanúsítványsablon tulajdonságai között a Kérelmek kezelése lapon ne jelölje be A titkos kulcs exportálható négyzetet.
Ezt a tanúsítványt nem kell exportálni a titkos kulccsal, ugyanis a Configuration Manager-házirendmodul konfigurálásakor a helyi számítógéptárolóból kiválasztható.
-
Keresse meg azt a legfelső szintű tanúsítványt, amelyhez az ügyfél-hitelesítési tanúsítvány kapcsolódik, majd exportálja ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt egy tanúsítványfájlba (.cer). Mentse ezt a fájlt védett helyre, amelyet később biztonságosan elérhet a tanúsítványregisztrációs pont helyrendszer-kiszolgálójának telepítésekor és konfigurálásakor.
-
Ugyanezen a kiszolgálón a Beállításszerkesztő segítségével növelje meg az IIS alapértelmezett URL-méretkorlátját. Ehhez a következő beállításkulcs DWORD értékét kell módosítania a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters csomópont alatt:
- A **MaxFieldLength** kulcs értékét állítsa **65534**-re. - A **MaxRequestBytes** kulcs értékét állítsa **16777216**-ra.
További információ: 820129: A Http.sys beállításjegyzék-beállításai a Windowsban (Microsoft tudásbázis).
-
Ugyanezen a kiszolgálón az Internet Information Services (IIS) kezelőjében módosítsa a /certsrv/mscep alkalmazás kérelemszűrési beállításait, majd indítsa újra a kiszolgálót. A Kérelemszűrési beállítások szerkesztése párbeszédpanelen a Kérelmekre vonatkozó korlátok az alábbiak legyenek:
- **Tartalom engedélyezett maximális hossza (bájt)**: **30000000** - **URL-cím maximális hossza (bájt)**: **65534** - **Lekérdezés-karakterlánc maximális hossza (bájt)**: **65534**
A fenti beállításokról és konfigurálásukról további információt a Lekérdezési korlátok című cikkben olvashat az IIS referenciatárában.
-
Ha szeretne a jelenleg használt tanúsítványsablonnál rövidebb érvényességi idejű tanúsítványt igényelni: Ez a konfiguráció a vállalati hitelesítésszolgáltatók esetében alapértelmezés szerint le van tiltva. Ha vállalati hitelesítésszolgáltatón szeretné engedélyezni ezt a beállítást, a Certutil parancssori eszközzel állítsa le és indítsa újra a tanúsítványszolgáltatást, az alábbi parancsokkal:
certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
További információért olvassa el a Tanúsítványszolgáltatások – Eszközök és beállítások című cikket a PKI-technológiák dokumentumtárában a TechNet webhelyen.
-
A következő hivatkozással ellenőrizze, hogy működik-e a Hálózati eszközök tanúsítványigénylési szolgáltatása: https://server.contoso.com/certsrv/mscep/mscep.dll. Ha a szolgáltatás működik, a Hálózati eszközök tanúsítványigénylési szolgáltatásának beépített weblapja jelenik meg. A weblap bemutatja a szolgáltatást és leírja, hogy a hálózati eszközök az URL segítségével küldenek tanúsítványkérelmeket.
Most, hogy végzett a Hálózati eszközök tanúsítványigénylési szolgáltatása és függőségei konfigurálásával, készen áll a tanúsítványregisztrációs pont telepítésére és konfigurálására.
2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása
A Configuration Manager-hierarchiában legalább egy tanúsítványregisztrációs pontot kell telepítenie és konfigurálnia; ez a helyrendszerszerepkör a központi adminisztrációs helyen vagy egy elsődleges helyen telepíthető.
Fontos |
---|
A telepítés előtt ismerje meg a tanúsítványregisztrációs pont operációsrendszer-követelményeit és függőségeit a a következő témakör című szakaszában: .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
A tanúsítványregisztrációs pont telepítése és konfigurálása
-
A Configuration Manager konzolján kattintson az Adminisztráció elemre.
-
Az Adminisztráció munkaterületen bontsa ki a Helykonfiguráció csomópontot, kattintson a Kiszolgálók és helyrendszerszerepkörök elemre, majd jelölje ki a kiszolgálót, amelyet a tanúsítványregisztrációs pontként használni kíván.
-
A KezdőlapKiszolgáló csoportjában kattintson a Helyrendszerszerepkörök hozzáadása elemre.
-
Az Általános lapon adja meg a helyrendszer általános beállításait, majd kattintson a Tovább gombra.
-
A Proxy lapon kattintson a Tovább gombra. A tanúsítványregisztrációs pont nem használ internetes proxybeállításokat.
-
A Rendszerszerepkör kiválasztása lapon az elérhető szerepkörök listájából válassza a Tanúsítványregisztrációs pont elemet, majd kattintson a Tovább gombra.
-
A Tanúsítványregisztrációs pont oldalon fogadja el vagy módosítsa az alapértelmezett beállításokat, majd kattintson a Hozzáadás gombra.
-
Az URL és a legfelső szintű hitelesítésszolgáltató tanúsítványának megadása párbeszédpanelen határozza meg az alábbiakat, majd kattintson az OK gombra:
A Hálózati eszközök tanúsítványigénylési szolgáltatásához tartozó URL: Az URL-t a következő formátumban adja meg: https://<server_FQDN>/certsrv/mscep/mscep.dll. Ha például a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló teljes tartományneve server1.contoso.com, a következőt gépelje be: https://server1.contoso.com/certsrv/mscep/mscep.dll.
Legfelső szintű hitelesítésszolgáltató tanúsítványa: Keresse meg és válassza ki az 1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása során létrehozott és mentett tanúsítványfájlt (.cer). Ez a legfelső szintű hitelesítésszolgáltatói tanúsítvány lehetővé teszi a tanúsítványregisztrációs pont számára a Configuration Manager-házirendmodul által használt ügyfél-hitelesítési tanúsítvány ellenőrzését.
Megjegyzés Ha több kiszolgálón is futtatja a Hálózati eszközök tanúsítványigénylési szolgáltatását, kattintson a Hozzáadás gombra, és adja meg a többi kiszolgáló adatait.
-
Kattintson a Tovább gombra, és fejezze be a varázslót.
-
Várjon néhány percet, míg a telepítés befejeződik, majd az alábbi módszerek egyikével ellenőrizze, hogy a tanúsítványregisztrációs pont telepítése sikeres volt-e:
A Figyelés munkaterületen bontsa ki a Rendszer állapota elemet, kattintson az Összetevő állapota lehetőségre, és keresse meg az SMS_CERTIFICATE_REGISTRATION_POINT összetevőtől származó állapotüzeneteket.
A helyrendszer-kiszolgálón tekintse meg a <ConfigMgr telepítési útvonala>\Logs\crpsetup.log és a <ConfigMgr telepítési útvonala>\Logs\crpmsi.log fájlt. Sikeres telepítés esetén a kilépési kód „0”.
Egy böngészővel ellenőrizze, hogy tud-e kapcsolódni a tanúsítványregisztrációs pont URL-éhez – például: https://server1.contoso.com/CMCertificateRegistration. Ha a telepítés sikeres volt, egy Kiszolgálóhiba oldal jelenik meg az alkalmazás nevével és a HTTP 404-es hiba leírásával.
-
Keresse meg a tanúsítványregisztrációs pont által exportált legfelső szintű hitelesítésszolgáltatói tanúsítványfájlt az elsődleges hely kiszolgálóján a következő mappában: <ConfigMgr Installation Path>\inboxes\certmgr.box. Mentse ezt a fájlt védett helyre, amelyet később biztonságosan elérhet a Configuration Manager-házirend telepítésekor a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón.
Tipp A tanúsítvány nem érhető el azonnal a mappában; valószínűleg várnia kell valamennyit (körülbelül fél órát), amíg a Configuration Manager a fájlt erre a helyre másolja.
Most, hogy végzett a tanúsítványregisztrációs pont telepítésével és konfigurálásával, készen áll a Configuration Manager-házirendmodul telepítésére a Hálózati eszközök tanúsítványigénylési szolgáltatásához.
3. lépés: A Configuration Manager-házirendmodul telepítése
A Configuration Manager Házirend modulját minden olyan kiszolgálón telepítenie és konfigurálnia kell, amelyet a 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása során Hálózati eszközök tanúsítványigénylési szolgáltatásához tartozó URL beállításhoz megadott a tanúsítványregisztrációs pont tulajdonságai között.
A házirendmodul telepítése
-
A Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón jelentkezzen be tartományi rendszergazdaként, és a Configuration Manager telepítési adathordozóján található <ConfigMgrTelepítési Adathordozó>\SMSSETUP\POLICYMODULE\X64 mappából másolja a következő fájlokat egy ideiglenes mappába:
- PolicyModule.msi - PolicyModuleSetup.exe
Emellett ha a telepítési adathordozón egy LanguagePack mappa is található, másolja azt is, a tartalmával együtt.
-
Az ideiglenes mappából futtassa a PolicyModuleSetup.exe fájlt a Configuration Manager-házirendmodul telepítővarázslójának elindításához.
-
A varázsló kezdőlapján kattintson a Tovább gombra, fogadja el a licencfeltételeket, majd kattintson ismét a Tovább gombra.
-
A Telepítési mappa lapon fogadja el a házirendmodul alapértelmezett telepítési mappáját, vagy adjon meg egy másik mappát, majd kattintson a Tovább gombra.
-
A Tanúsítványregisztrációs pont lapon a helyrendszer-kiszolgáló teljes tartományneve és a tanúsítványregisztrációs pont tulajdonságai között megadott virtuális alkalmazásnév használatával adja meg a tanúsítványregisztrációs pont URL-jét. Az alapértelmezett virtuális alkalmazásnév: CMCertificateRegistration. Ha például a helyrendszer-kiszolgáló teljes tartományneve server1.contoso.com, és az alapértelmezett virtuális alkalmazásnevet használta, a következő URL-t adja meg: https://server1.contoso.com/CMCertificateRegistration.
-
Fogadja el az alapértelmezett 443-as portot, vagy ha a tanúsítványregisztrációs pont másik portot használ, adja meg annak a számát, majd kattintson a Tovább gombra.
-
A Házirend modul ügyfél-tanúsítványa lapon keresse meg és adja meg az 1. lépés: A Hálózati eszközök tanúsítványigénylési szolgáltatásának és a függőségek telepítése és konfigurálása során telepített ügyfél-hitelesítési tanúsítványt, majd kattintson a ovább gombra.
-
A Tanúsítványregisztrációs pont tanúsítványa lapon kattintson a Tallózás gombra a 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása során megkeresett és mentett, a legfelső szintű hitelesítésszolgáltatóhoz tartozó exportált tanúsítványfájl kiválasztásához.
Megjegyzés Ha korábban nem mentette a tanúsítványfájlt, a következő útvonalon találhatja meg a helykiszolgálón: <ConfigMgr Telepítési Útvonala>\inboxes\certmgr.box.
-
Kattintson a Tovább gombra, és fejezze be a varázslót.
Most, hogy végzett a Hálózati eszközök tanúsítványigénylési szolgáltatása és függőségei, a tanúsítványregisztrációs pont és a Configuration Manager-házirendmodul telepítésére szolgáló konfigurációs lépésekkel, készen áll arra, hogy tanúsítványprofilok létrehozásával és telepítésével tanúsítványokat telepítsen felhasználók és eszközök számára. További információ a tanúsítványprofilok létrehozásáról: Tanúsítványprofilok létrehozása a Configuration Managerben.
A Configuration Manager-házirendmodul eltávolításához használja a Vezérlőpult Programok és szolgáltatások elemét.