Példa a Configuration Manager PKI tanúsítványainak központi telepítési lépéseire: Windows Server 2008 tanúsítványszolgáltató
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Ez a központi telepítési példa a Windows Server 2008 hitelesítésszolgáltatót használja, és lépésről lépésre bemutatja, hogyan hozhatja létre és hogyan telepítheti a nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat, amelyeket a Microsoft System Center 2012 Configuration Manager használ. Ezek a műveletek vállalati hitelesítésszolgáltatót és tanúsítványsablonokat tartalmaznak. A lépéseket csak tesztelési célú hálózatban ajánlott végrehajtani megvalósíthatósági példaként.
Mivel nincs egységes módszer a szükséges tanúsítványok telepítéséhez, az adott PKI központi telepítési dokumentációjában kell tájékozódnia a tanúsítványok termelési környezetben való telepítéséhez használható eljárásokról és legjobb megoldásokról. További információ a tanúsítványkövetelményekről: PKI-tanúsítványkövetelmények a Configuration Managerben.
Tipp |
---|
A jelen témakörben található útmutatás alapelvei A tesztelési célú hálózat követelményei című részben ismertetett operációs rendszerektől eltérő operációs rendszerekre is érvényesek. Ha azonban a kiállító hitelesítésszolgáltatót a Windows Server 2012 rendszerben futtatja, a rendszer nem kéri a tanúsítványsablon verziójának megadását. Ehelyett a következő adatokat adja meg a tanúsítvány tulajdonságainak Kompatibilitás lapján:
|
A szakasz tartalma
A következő részek lépésről lépésre végigvezetik a System Center 2012 Configuration Manager alkalmazással használható következő tanúsítványok létrehozásának és telepítésének folyamatán:
A tesztelési célú hálózat követelményei
A tanúsítványok áttekintése
A webkiszolgáló-tanúsítvány telepítése az IIS-t futtató helyrendszereken
A szolgáltatástanúsítvány központi telepítése felhőalapú terjesztési pontokhoz
Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken
Az ügyféltanúsítvány központi telepítése terjesztési pontokon
A mobileszközök beléptetési tanúsítványának központi telepítése
Tanúsítványok központi telepítése AMT-hez
Az ügyféltanúsítvány központi telepítése Mac rendszerű számítógépeken
A tesztelési célú hálózat követelményei
A lépésenkénti útmutatás követelményei a következők:
A tesztelési célú hálózat az Active Directory tartományi szolgáltatásokat és a Windows Server 2008 rendszert futtatja, egyetlen tartományként és egyetlen erdőként van telepítve.
Szükség van egy Windows Server 2008 Enterprise Edition rendszerű tagkiszolgálóra, amelyen telepítve van az Active Directory tanúsítványszolgáltatások szerepkör, és amely vállalati hitelesítésszolgáltatóként van konfigurálva.
Szükség van egy Windows Server 2008 (Standard Edition vagy Enterprise Edition) rendszerű számítógépre, amely tagkiszolgálóként van beállítva, és amelyen telepítve van az Internet Information Services (IIS) szoftver. Ez a számítógép lesz a Configuration Manager helyrendszer-kiszolgáló, amelyhez meg kell adnia egy intranetes teljes tartománynevet (az intranetes ügyfélkapcsolatok támogatásához) és egy internetes teljes tartománynevet, ha olyan mobileszközök támogatására is szüksége van, amelyeket a Configuration Manager és az interneten lévő ügyfelek léptettek be.
Szükség van egy Windows Vista-ügyfélre a legújabb szervizcsomaggal, és ehhez a számítógéphez ASCII-karakterekből álló számítógépnevet kell megadni, és csatlakoztatni kell a tartományhoz. Ez a számítógép lesz a Configuration Manager ügyfélszámítógépe.
Bejelentkezhet gyökértartományi rendszergazdai fiókkal vagy vállalati tartományi rendszergazdai fiókkal, és ezt a fiókot használhatja a telepítési példában szereplő összes művelethez.
A tanúsítványok áttekintése
A következő táblázat tartalmazza a System Center 2012 Configuration Manager alkalmazáshoz szükséges PKI-tanúsítványtípusokat és a használatuk leírását.
Szükséges tanúsítvány |
Tanúsítvány leírása |
||
---|---|---|---|
Webkiszolgáló-tanúsítvány az IIS-t futtató helyrendszerekhez |
Ez a tanúsítvány használható az adatok titkosítására és a kiszolgáló hitelesítésére az ügyfeleken. A tanúsítványt kívülről kell telepíteni a Configuration Manager alkalmazásból az IIS-t futtató és a Configuration Manager alkalmazásban a HTTPS használatára beállított helyrendszer-kiszolgálókra. A System Center 2012 Configuration Manager SP1 és újabb verziók esetén: A tanúsítványra szükség lehet a felügyeleti pontokon is, amikor az ügyfél-értesítési forgalom visszaáll a HTTPS használatára. Ezen tanúsítvány konfigurálásáról és telepítéséről jelen témakör A webkiszolgáló-tanúsítvány telepítése az IIS-t futtató helyrendszereken szakaszában tájékozódhat. |
||
Az ügyfelek szolgáltatástanúsítványai a felhőalapú terjesztési pontokhoz való csatlakozáshoz |
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén: Ez a tanúsítvány használható az adatok titkosítására és a felhőalapú terjesztési pont szolgáltatásának hitelesítésére az ügyfeleken. A tanúsítványt kívülről kell igényelni, telepíteni és exportálni a Configuration Manager alkalmazásból, hogy importálható legyen a felhőalapú terjesztési pont létrehozásakor. Ezen tanúsítvány konfigurálásáról és telepítéséről jelen témakör A szolgáltatástanúsítvány központi telepítése felhőalapú terjesztési pontokhoz szakaszában tájékozódhat.
|
||
Ügyféltanúsítvány a Windows rendszerű számítógépekhez |
Ez a tanúsítvány a Configuration Manager ügyfélszámítógépeinek hitelesítésére is használható a HTTPS használatára konfigurált helyrendszereken. A felügyeleti pontokhoz és az állapotáttelepítési pontokhoz is használható a működésük állapotának figyelésére, amikor a HTTPS használatára vannak konfigurálva. A számítógépekre kívülről kell telepíteni a Configuration Manager alkalmazásból. Ezen tanúsítvány konfigurálásáról és telepítéséről jelen témakör Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken szakaszában tájékozódhat. |
||
Ügyféltanúsítvány a terjesztési pontokhoz |
Ennek a tanúsítványnak két célja van:
Ezen tanúsítvány konfigurálásáról és telepítéséről jelen témakör Az ügyféltanúsítvány központi telepítése terjesztési pontokon szakaszában tájékozódhat. |
||
Beléptetési tanúsítvány a mobileszközökhöz |
Ez a tanúsítvány a Configuration Manager mobileszközös ügyfeleinek hitelesítésére is használható a HTTPS használatára konfigurált helyrendszereken. A tanúsítványt a mobileszköz beléptetésének részeként kell telepíteni a Configuration Manager alkalmazásban, és a konfigurált tanúsítványsablon kiválasztható a mobileszközök ügyfélbeállításaként. Ezen tanúsítvány konfigurálásáról jelen témakör A mobileszközök beléptetési tanúsítványának központi telepítése szakaszában tájékozódhat. |
||
Az Intel AMT tanúsítványai |
Három olyan tanúsítvány van, amelyek az Intel AMT-alapú számítógépek sávon kívüli felügyeletéhez kapcsolódik: egy AMT kiépítési tanúsítvány, egy AMT webkiszolgáló-tanúsítvány és választhatóan egy ügyfél-hitelesítési tanúsítvány a 802.1X-hitelesítésű vezetékes vagy vezeték nélküli hálózatokhoz. Az AMT kiépítési tanúsítványt kívülről kell telepíteni a Configuration Manager alkalmazásban a sávon kívüli szolgáltatási pont számítógépén, majd a telepített tanúsítványt ki kell választani a sávon kívüli szolgáltatási pont tulajdonságainál. Az AMT webkiszolgáló-tanúsítvány és az ügyfél-hitelesítési tanúsítvány az AMT kiépítése és felügyelete közben telepíthető, majd a konfigurált tanúsítványt ki kell választani a sávon kívüli felügyelet összetevőjének tulajdonságainál. Ezen tanúsítványok konfigurálásáról jelen témakör Tanúsítványok központi telepítése AMT-hez szakaszában tájékozódhat. |
||
Ügyféltanúsítvány a Mac rendszerű számítógépekhez |
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén: Ezzel a tanúsítvánnyal hitelesíthetők a Configuration Manager Mac számítógépek a HTTPS támogatására konfigurált felügyeleti pontokon és terjesztési pontokon. Ezt a tanúsítványt Mac rendszerű számítógépről igényelheti és telepítheti, amikor a Configuration Manager beléptetését használja, és a konfigurált tanúsítványsablont választja a mobileszközök ügyfélbeállításaként. Ezen tanúsítvány konfigurálásáról jelen témakör Az ügyféltanúsítvány központi telepítése Mac rendszerű számítógépeken szakaszában tájékozódhat. |
A webkiszolgáló-tanúsítvány telepítése az IIS-t futtató helyrendszereken
Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:
A webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
A webkiszolgáló-tanúsítvány igénylése
Az IIS konfigurálása a webkiszolgáló-tanúsítvány használatára
A webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
Ez az eljárás tanúsítványsablont hoz létre a Configuration Manager helyrendszerei számára, és hozzáadja azt a hitelesítésszolgáltatóhoz.
Webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
-
Hozzon létre egy ConfigMgr IIS-kiszolgálók nevű biztonsági csoportot, amely azokat a tagkiszolgálókat tartalmazza, amelyre az IIS-t futtató System Center 2012 Configuration Manager-helyrendszereket kell telepíteni.
-
Azon a tagkiszolgálón, amelyen telepítve van a hitelesítésszolgáltatás, kattintson a jobb gombbal a Hitelesítésszolgáltató konzolon a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktábláján kattintson a jobb gombbal arra a tételre, amelynél a Sablon megjelenítendő neve oszlopban a Webkiszolgáló érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanel Általános lapján adja meg a sablon nevét a Configuration Manager helyrendszerein használni kívánt ügyféltanúsítványok előállításához, ez például ConfigMgr webhelykiszolgáló-tanúsítvány lehet.
-
Kattintson a Tulajdonos neve lapra, és ellenőrizze, hogy meg van-e adva A kérelem fogja tartalmazni beállítás.
-
Kattintson a Biztonság fülre, távolítsa el a Beléptetés engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportból.
-
Kattintson a Hozzáadás gombra, a szövegmezőbe írja be a ConfigMgr IIS-kiszolgálók értéket, majd kattintson az OK gombra.
-
Ehhez a csoporthoz adja meg a Beléptetés engedélyt, és ne törölje az Olvasás engedélyt.
-
Kattintson az OK gombra, és zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon lehetőségre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr webkiszolgáló-tanúsítvány nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványt létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató párbeszédpanelt.
A webkiszolgáló-tanúsítvány igénylése
Ezzel a művelettel meghatározhatja azt az intranetes és internetes teljes tartománynevet, amelyet a helyrendszer-kiszolgáló tulajdonságainál kell használni, és ezekkel a nevekkel telepíthető a webkiszolgáló-tanúsítvány az IIS-t futtató tagkiszolgálóra.
A webkiszolgáló-tanúsítvány igénylésének lépései
-
Indítsa újra az IIS-t futtató tagkiszolgálót, hogy a számítógép biztosan hozzáférhessen a létrehozott tanúsítványsablonhoz a beállított Olvasás és Beléptetés engedély használatával.
-
Kattintson a Start gombra, a Futtatás pontra, majd írja be az mmc.exe parancsot. Az üres konzolban kattintson a Fájl pontra, majd a Beépülő modul hozzáadása/eltávolítása elemre.
-
A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen válassza ki a Tanúsítványok lehetőséget az Elérhető beépülő modulok listájából, majd kattintson a Hozzáadás gombra.
-
A Tanúsítványkezelő beépülő modul párbeszédpanelen válassza ki a Számítógépfiók lehetőséget, majd kattintson a Tovább gombra.
-
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (a számítógép, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés elemre.
-
Kattintson a Beépülő modul hozzáadása/eltávolítása párbeszédpanelen az OK gombra.
-
A konzolon bontsa ki a Tanúsítványok (Helyi számítógép) csomópontot, majd kattintson a Személyes elemre.
-
Kattintson a jobb gombbal a Tanúsítványok elemre, kattintson Az összes feladat elemre, majd az Új tanúsítvány kérése lehetőségre.
-
Az Alapismeretek lapon kattintson a Tovább gombra.
-
Ha megjelenik a Tanúsítványigénylési házirend kiválasztása lap, kattintson a Tovább gombra.
-
A Tanúsítványok kérése lapon a tanúsítványok listáján keresse meg a ConfigMgr webkiszolgáló-tanúsítvány elemet, majd kattintson A tanúsítvány igényléséhez több információ szükséges. Kattintson ide a beállítások konfigurálásához beállításra.
-
A Tanúsítvány tulajdonsága párbeszédpanel Tulajdonos lapján ne módosítsa a Tulajdonos neve beállítás tartalmát. Ez azt jelenti, hogy a Tulajdonos neve szakasz Érték mezőjének üresen kell maradnia. Ehelyett a Tulajdonos alternatív neve szakasz Típus legördülő listáján válassza a DNS lehetőséget.
-
Az Érték mezőben adja meg azokat a teljes tartományneveket, amelyeket a Configuration Manager-helyrendszer tulajdonságainál fog használni, majd az OK gombra kattintva zárja be a Tanúsítvány tulajdonságai párbeszédpanelt.
Példák:
Ha a helyrendszer csak az intranetről érkező ügyfélkapcsolatokat fog fogadni, a helyrendszer intranetes teljes tartományneve server1.internal.contoso.com: Írja be a server1.internal.contoso.com értéket, és kattintson a Hozzáadás gombra.
Ha a helyrendszer az intranetről és az internetről is fog ügyfélkapcsolatokat fogadni, az intranetes helyrendszer-kiszolgáló teljes tartományneve server1.internal.contoso.com, az internetes helyrendszer-kiszolgáló teljes tartományneve pedig server.contoso.com:
Írja be a server1.internal.contoso.com értéket, és kattintson a Hozzáadás gombra.
Írja be a server.contoso.com értéket, és kattintson a Hozzáadás gombra.
Megjegyzés Nem lényeges, hogy milyen sorrendben adja meg a teljes tartományneveket a Configuration Manager számára. Azt azonban ellenőrizze. hogy a tanúsítványt felhasználó összes eszköz (például a mobileszközök és a proxy-webkiszolgálók) használni tudja-e a tanúsítványok tulajdonosának alternatív nevét, illetve a tulajdonos alternatív nevének több értékét. Ha az eszközök csak korlátozottan támogatják a tanúsítványok tulajdonosának alternatív nevét megadó értékeket, lehetséges, hogy meg kell változtatnia a teljes tartománynevek sorrendjét, vagy a Tulajdonos neve beállítás értékét kell használnia.
-
A Tanúsítványok kérése lapon a tanúsítványok listáján válassza ki a ConfigMgr webkiszolgáló-tanúsítvány elemet, majd kattintson a Beléptetés elemre.
-
A Tanúsítványtelepítés – Eredmények oldalon várja meg a tanúsítvány telepítését, majd kattintson a Befejezés gombra.
-
Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.
Az IIS konfigurálása a webkiszolgáló-tanúsítvány használatára
Ez az eljárás összeköti a telepített tanúsítványt az IIS Alapértelmezett webhely beállításával.
Az IIS konfigurálása a webkiszolgáló-tanúsítvány használatára
-
A telepített IIS-t tartalmazó tagkiszolgálón kattintson a Start gombra, majd kattintson a Programok, a Felügyeleti eszközök, végül az Internet Information Services (IIS) kezelője elemre.
-
Bontsa ki a Helyek elemet, kattintson az egér jobb gombjával az alapértelmezett webhely elemre, és válassza a Kötések szerkesztése lehetőséget.
-
Kattintson a https, majd a Szerkesztés elemre.
-
A Hely kötésének szerkesztése párbeszédpanelen válassza ki a ConfigMgr webkiszolgáló-tanúsítványok használatával igényelt tanúsítványt, és kattintson az OK gombra.
Megjegyzés Ha nem tudja, melyik a megfelelő tanúsítvány, válasszon ki egyet, majd kattintson a Nézet elemre. Ez lehetővé teszi a kiválasztott tanúsítvány adatainak összehasonlítását a Tanúsítványok beépülő modulban megjelenített tanúsítványokkal. A Tanúsítványok beépülő modul például megjeleníti a tanúsítvány kéréséhez használt tanúsítványsablont. Ezután összehasonlíthatja a ConfigMgr webkiszolgáló-tanúsítványok sablonnal igényelt tanúsítvány ujjlenyomatát a Hely kötésének szerkesztése párbeszédpanelen aktuálisan kiválasztott tanúsítvány ujjlenyomatával.
-
Kattintson az OK gombra a Hely kötésének szerkesztése párbeszédpanelen, majd kattintson a Bezárás gombra.
-
Zárja be az Internet Information Services (IIS) kezelője eszközt.
A tagkiszolgálón ezzel ki van építve a Configuration Manager webkiszolgáló-tanúsítványa.
Fontos! |
---|
Amikor telepíti a Configuration Manager helyrendszer-kiszolgálót ezen a számítógépen, ügyeljen arra, hogy a helyrendszer tulajdonságainál ugyanazokat a teljes tartományneveket adja meg, mint a tanúsítvány igénylésekor. |
A szolgáltatástanúsítvány központi telepítése felhőalapú terjesztési pontokhoz
Megjegyzés |
---|
A felhőalapú terjesztési pontok szolgáltatástanúsítványa a Configuration Manager SP1 és az újabb verziókra érvényes. |
Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:
Egyéni webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
Az egyéni webkiszolgáló-tanúsítvány igénylése
Az egyéni webkiszolgáló-tanúsítvány exportálása felhőalapú terjesztési pontokhoz
Egyéni webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
Ez az eljárás egyéni tanúsítványsablont hoz létre a webkiszolgáló-tanúsítvány sablonja alapján. Ez a tanúsítvány a Configuration Manager felhőalapú terjesztési pontjaira vonatkozik, és a titkos kulcsnak exportálhatónak kell lennie. Létrehozása után a tanúsítványsablon a hitelesítésszolgáltató részévé válik.
Megjegyzés |
---|
Ez az eljárás eltérő tanúsítványsablont használ: nem a webkiszolgáló-tanúsítvány sablonját használja, amelyet a helyrendszerekhez hozott létre az IIS rendszer futtatásához, mert bár mindkét tanúsítványnak kiszolgálóhitelesítési funkcióval kell rendelkeznie, de a felhőalapú terjesztési pontokra vonatkozó tanúsítványnál egyénileg definiált értéket kell beírnia a Tulajdonos neve mezőbe, és a titkos kulcsot exportálni kell. Ajánlott biztonsági eljárásként csak akkor konfigurálja úgy a tanúsítványsablonokat, hogy engedélyezzék a titkos kulcs exportálását, ha ez feltétlenül szükséges. A felhőalapú terjesztési pontoknál ez a beállítás szükséges, mivel a tanúsítványt fájlként kell importálnia, nem választhatja azt a tanúsítványtárolóból. Ehhez a tanúsítványhoz új tanúsítványsablon létrehozásával korlátozhatja, hogy mely számítógépek igényelnek olyan tanúsítványt, amely lehetővé teszi a titkos kulcs exportálását. Éles hálózati környezetben megfontolhatja a következő módosítások végrehajtását is ennél a tanúsítványnál:
|
Egyéni webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
-
Hozza létre a ConfigMgr helykiszolgálók nevű biztonsági csoportot, amely a tagkiszolgálókat tartalmazza a Configuration Manager azon elsődleges helykiszolgálóinak telepítéséhez, amelyek a felhőalapú terjesztési pontokat fogják kezelni.
-
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok kezelése konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktábláján kattintson a jobb gombbal arra a tételre, amelynél a Sablon megjelenítendő neve oszlopban a Webkiszolgáló érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanelen az Általános lapon adja meg a sablon nevét a webkiszolgáló-tanúsítvány előállításához a felhőalapú terjesztési pontok számára, ez például ConfigMgr felhőalapú terjesztési pont tanúsítványa lehet.
-
Jelenítse meg a Kérelmek kezelése lapot, és jelölje be A titkos kulcs exportálható beállítást.
-
A Biztonság lapon távolítsa el a Beléptetés engedélyt a Vállalati rendszergazdák biztonsági csoportból.
-
Kattintson a Hozzáadás gombra, a szövegmezőbe írja be ConfigMgr helykiszolgálók értéket, majd kattintson az OK gombra.
-
Ehhez a csoporthoz adja meg a Beléptetés engedélyt, és ne törölje az Olvasás engedélyt.
-
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon lehetőségre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr felhőalapú terjesztési pont tanúsítványa nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványokat létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató párbeszédpanelt.
Az egyéni webkiszolgáló-tanúsítvány igénylése
Ez az eljárás igényli az egyéni webkiszolgáló-tanúsítványt, majd telepíti azt arra a tagkiszolgálóra, amely a helykiszolgálót fogja futtatni.
Az egyéni webkiszolgáló-tanúsítvány igénylésének lépései
-
A ConfigMgr helykiszolgálók biztonsági csoport létrehozása és konfigurálása után indítsa újra a tagkiszolgálót annak biztosításához, hogy a számítógép hozzáférhessen az Olvasás és Beléptetés engedéllyel létrehozott tanúsítványsablonhoz.
-
Kattintson a Start gombra, a Futtatás pontra, majd írja be az mmc.exe parancsot. Az üres konzolban kattintson a Fájl pontra, majd a Beépülő modul hozzáadása/eltávolítása elemre.
-
A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen válassza ki a Tanúsítványok lehetőséget az Elérhető beépülő modulok listájából, majd kattintson a Hozzáadás gombra.
-
A Tanúsítványkezelő beépülő modul párbeszédpanelen válassza ki a Számítógépfiók lehetőséget, majd kattintson a Tovább gombra.
-
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (a számítógép, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés elemre.
-
Kattintson a Beépülő modul hozzáadása/eltávolítása párbeszédpanelen az OK gombra.
-
A konzolon bontsa ki a Tanúsítványok (Helyi számítógép) csomópontot, majd kattintson a Személyes elemre.
-
Kattintson a jobb gombbal a Tanúsítványok elemre, kattintson Az összes feladat elemre, majd az Új tanúsítvány kérése lehetőségre.
-
Az Alapismeretek lapon kattintson a Tovább gombra.
-
Ha megjelenik a Tanúsítványigénylési házirend kiválasztása lap, kattintson a Tovább gombra.
-
A Tanúsítványok kérése lapon a tanúsítványok listáján keresse meg a ConfigMgr felhőalapú terjesztési pont tanúsítványa elemet, majd kattintson A tanúsítvány igényléséhez több információ szükséges. Kattintson ide a beállítások konfigurálásához beállításra.
-
A Tanúsítvány tulajdonságai párbeszédpanelen a Tulajdonos lapon a Tulajdonos neve mezőnél válassza a Köznapi név elemet a Típus megadásakor.
-
Az Érték mezőben adja meg a szolgáltatás és a tartomány választott nevét teljes tartománynév (FQDN) formátumban. Példa: clouddp1.contoso.com.
Megjegyzés A szolgáltatásnév tetszőleges lehet, de ennek egyedinek kell lennie a névterében. A DNS szolgáltatást fogja használni alias (CNAME rekord) létrehozásánál ennek a szolgáltatásnévnek a leképezéséhez automatikusan előállított azonosítóra (GUID) és egy IP-címre a Windows Azure rendszerből.
-
Kattintson a Hozzáadás, majd az OK gombra a Tanúsítvány tulajdonságai párbeszédpanel bezárásához.
-
A Tanúsítványok kérése oldalon a tanúsítványok listáján jelölje ki ConfigMgr felhőalapú terjesztési pont tanúsítványa elemet, majd kattintson a Beléptetés elemre.
-
A Tanúsítványtelepítés – Eredmények oldalon várja meg a tanúsítvány telepítését, majd kattintson a Befejezés gombra.
-
Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.
Az egyéni webkiszolgáló-tanúsítvány exportálása felhőalapú terjesztési pontokhoz
Ez az eljárás fájlba exportálja az egyéni webkiszolgáló-tanúsítványt, így az importálható lesz, amikor létrehozza a felhőalapú terjesztési pontot.
Az egyéni webkiszolgáló-tanúsítvány exportálásának lépései felhőalapú terjesztési pontokhoz
-
A Tanúsítványok (Helyi számítógép) konzolon kattintson a jobb gombbal az imént telepített tanúsítványra, és válassza Az összes feladat, majd az Exportálás elemet.
-
A Tanúsítványexportáló varázslóban kattintson a Tovább gombra.
-
A Titkos kulcs exportálása lapon jelölje be az Igen, a titkos kulcs exportálását választom beállítást, majd kattintson a Tovább gombra.
Megjegyzés Ha ez a beállítás nem érhető el, a tanúsítványt a titkos kulcs exportálásának engedélyezése nélkül hozták létre. Ebben az esetben nem exportálhatja a tanúsítványt a megkívánt formátumban. Újból konfigurálnia kell a tanúsítványsablont a titkos kulcs exportálásának engedélyezésével, majd újból igényelnie kell a tanúsítványt.
-
Az Exportfájlformátum lapon ellenőrizze, hogy be van-e jelölve a Személyes információcsere - PKCS #12 (.PFX) beállítás.
-
A Jelszó lapon adjon meg egy erős jelszót a titkos kulcsot tartalmazó exportált tanúsítvány védelméhez, majd kattintson a Tovább gombra.
-
Az Exportálandó fájl lapon adja meg az exportálni kívánt fájl nevét, majd kattintson a Tovább gombra.
-
A varázsló bezárásához kattintson a Befejezés gombra a Tanúsítványexportáló varázsló lapon, majd a művelet megerősítését kérő párbeszédpanelen kattintson az OK gombra.
-
Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.
-
Tárolja a fájlt biztonságos helyen, és ellenőrizze, hogy el tudja érni azt a Configuration Manager konzoljáról.
A tanúsítvány ezzel készen áll az importálásra, amikor felhőalapú terjesztési pontot hoz létre.
Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken
Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:
Munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
A munkaállomás-hitelesítési sablon automatikus igénylésének konfigurálása csoportházirend használatával
A munkaállomás-hitelesítési tanúsítvány automatikus igénylése és telepítésének ellenőrzése a számítógépeken
Munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
Ez az eljárás tanúsítványsablont hoz létre a System Center 2012 Configuration Manager ügyfélszámítógépei számára, és hozzáadja azt a hitelesítésszolgáltatóhoz.
A munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
-
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok kezelése konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktábláján kattintson a jobb gombbal arra a tételre, amelynél a Sablon megjelenítendő neve oszlopban a Munkaállomás hitelesítése érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanelen az Általános lapon adja meg a sablon nevét a Configuration Manager ügyfélszámítógépein használni kívánt ügyféltanúsítványok előállításához (például ConfigMgr ügyféltanúsítvány).
-
Jelenítse meg a Biztonság lapot, jelölje ki a Tartományi számítógépek csoportot, és további engedélyként válassza az Olvasás és az Automatikus igénylés elemet. Ne törölje a Beléptetés engedélyt.
-
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon lehetőségre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr ügyféltanúsítvány nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványt létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató párbeszédpanelt.
A munkaállomás-hitelesítési sablon automatikus igénylésének konfigurálása csoportházirend használatával
Ez az eljárás csoportházirendet konfigurál az ügyféltanúsítvány automatikus igénylésére a számítógépeken.
A munkaállomás-hitelesítési sablon automatikus igénylésének konfigurálása csoportházirend használatával
-
A tartományvezérlőn kattintson a Start gombra, és válassza a Felügyeleti eszközök, majd a Csoportházirend kezelése elemet.
-
Keresse meg tartományát, kattintson a jobb gombbal a tartományra, és válassza a Csoportházirend-objektum létrehozása ebben a tartományban, és hivatkozás létrehozása itt parancsot.
Megjegyzés Ez a lépés ajánlott eljárásként használja új csoportházirend létrehozását az egyéni beállításokhoz, és nem az Active Directory tartományi szolgáltatásaival telepített alapértelmezett tartományi házirendet szerkeszti. Ennek a csoportházirendnek tartományi szinten való hozzárendelésével a tartomány összes számítógépére alkalmazza azt. Éles környezetben azonban korlátozhatja az automatikus igénylést, hogy az csak a kijelölt számítógépekre vonatkozzon, ehhez a csoportházirendet adott szervezeti egység szintjén rendelheti hozzá, vagy biztonsági csoporttal szűrheti a tartomány csoportházirendjét, és így az csak a csoport számítógépeire lesz érvényes. Ha korlátozza az automatikus igénylést, ne felejtse el bevenni a felügyeleti pontként konfigurált kiszolgálót.
-
Az Új csoportházirend-objektum párbeszédpanelen adjon nevet az új csoportházirendnek, ez például Automatikus igénylés tanúsítványai lehet, majd kattintson az OK gombra.
-
Az eredmények ablaktáblájában a Hivatkozott csoportházirend-objektumok lapon kattintson a jobb gombbal az új csoportházirendre, és válassza a Szerkesztés parancsot.
-
A Csoportházirendkezelés-szerkesztő ablakában bontsa ki Házirendek elemet a Számítógép konfigurációja szakaszban, majd lépjen A Windows beállításai / Biztonsági beállítások / Nyilvános kulcs házirendjei elemre.
-
Kattintson a jobb gombbal a Tanúsítványszolgáltatások ügyfele - automatikus igénylés elemre, és válassza a Tulajdonságok parancsot.
-
A Konfigurációs modell legördülő listán válassza az Engedélyezve, a Lejárt tanúsítványok megújítása, folyamatban lévő tanúsítványok frissítése és visszavont tanúsítványok eltávolítása és a Tanúsítványsablonokat használó tanúsítványok frissítése elemet, majd kattintson az OK gombra.
-
Zárja be a Csoportházirend kezelése ablakot.
A munkaállomás-hitelesítési tanúsítvány automatikus igénylése és telepítésének ellenőrzése a számítógépeken
Ez az eljárás az ügyféltanúsítványt telepíti a számítógépeken, és ellenőrzi a telepítést.
A munkaállomás-hitelesítési tanúsítvány automatikus igénylése és telepítésének ellenőrzése az ügyfélszámítógépen
-
Indítsa újra munkaállomás számítógépét, és néhány perces várakozás után jelentkezzen be.
Megjegyzés A számítógép újraindítása a legbiztonságosabb módszer annak biztosítására, hogy sikeres legyen a tanúsítvány automatikus igénylése.
-
Jelentkezzen be rendszergazdai jogosultságokkal rendelkező fiókkal.
-
Írja be a keresőmezőbe az mmc.exe parancsot, majd nyomja meg az Enter billentyűt.
-
Az üres kezelőkonzolon kattintson a Fájl, majd a Beépülő modul hozzáadása/eltávolítása elemre.
-
A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen válassza ki a Tanúsítványok lehetőséget az Elérhető beépülő modulok listájából, majd kattintson a Hozzáadás gombra.
-
A Tanúsítványkezelő beépülő modul párbeszédpanelen válassza ki a Számítógépfiók lehetőséget, majd kattintson a Tovább gombra.
-
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép (az a számítógép, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés elemre.
-
Kattintson a Beépülő modul hozzáadása/eltávolítása párbeszédpanelen az OK gombra.
-
A konzolon bontsa ki a Tanúsítványok (Helyi számítógép), Személyes csomópontot, majd kattintson a Tanúsítványok elemre.
-
Az eredmények ablaktáblájában ellenőrizze, hogy megjelenik-e tanúsítvány Ügyfél-hitelesítés beállítással a Kívánt felhasználási cél oszlopban, és hogy a ConfigMgr ügyféltanúsítvány megjelenik a Tanúsítványsablon oszlopban.
-
Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.
-
Ismételje meg az 1–11. lépéseket a tagkiszolgálóra annak ellenőrzéséhez, hogy a felügyeleti pontként konfigurálandó kiszolgáló szintén rendelkezik ügyféltanúsítvánnyal.
A számítógépen ezzel ki van építve a Configuration Manager ügyféltanúsítványa.
Az ügyféltanúsítvány központi telepítése terjesztési pontokon
Megjegyzés |
---|
Ez a tanúsítvány olyan adathordozó programkódjára is használható, amely nem PXE-rendszerindítást használ, mivel a tanúsítvánnyal szembeni követelmények azonosak. |
Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:
Egyéni munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
Az egyéni munkaállomás-hitelesítési tanúsítvány igénylése
Az ügyféltanúsítvány exportálása terjesztési pontokhoz
Egyéni munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
Ez az eljárás olyan egyéni tanúsítványsablont hoz létre a Configuration Manager terjesztési pontjaihoz, amely engedélyezi a titkos kulcs exportálását, és a tanúsítványsablont hozzáadja a hitelesítésszolgáltatóhoz.
Megjegyzés |
---|
Ez az eljárás nem az ügyfélszámítógépekhez létrehozott tanúsítványsablont használja, mert bár mindkét tanúsítványnak ügyfél-hitelesítési funkcióval kell rendelkeznie, de a terjesztési pontokhoz tartozó tanúsítványnál követelmény a titkos kulcs exportálása. Ajánlott biztonsági eljárásként csak akkor konfigurálja úgy a tanúsítványsablonokat, hogy engedélyezzék a titkos kulcs exportálását, ha ez feltétlenül szükséges. A terjesztési pontoknál ez a beállítás szükséges, mivel a tanúsítványt fájlként kell importálnia, nem választhatja azt a tanúsítványtárolóból. Ehhez a tanúsítványhoz új tanúsítványsablon létrehozásával korlátozhatja, hogy mely számítógépek igényelnek olyan tanúsítványt, amely lehetővé teszi a titkos kulcs exportálását. Központi telepítési példánkban ez a korábban az IIS rendszert futtató, Configuration Manager helyrendszeri kiszolgálókhoz létrehozott biztonsági csoport lesz. Olyan éles hálózati környezetben, amely az IIS helyrendszerszerepköreit terjeszti, érdemes megfontolnia a terjesztési pontokat futtató kiszolgálókhoz új biztonsági csoport létrehozását, így a tanúsítványt kizárólag ezekre a helyrendszeri kiszolgálókra korlátozhatja. Emellett szóba jöhet a következő módosítások végrehajtása is ennél a tanúsítványnál:
|
Az egyéni munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
-
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok kezelése konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktábláján kattintson a jobb gombbal arra a tételre, amelynél a Sablon megjelenítendő neve oszlopban a Munkaállomás hitelesítése érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanel Általános lapján adja meg a sablon nevét az ügyfél-hitelesítési tanúsítvány előállításához a felhőalapú terjesztési pontok számára, ez például ConfigMgr-ügyfél terjesztési pontjának tanúsítványa lehet.
-
Jelenítse meg a Kérelmek kezelése lapot, és jelölje be A titkos kulcs exportálható beállítást.
-
A Biztonság lapon távolítsa el a Beléptetés engedélyt a Vállalati rendszergazdák biztonsági csoportból.
-
Kattintson a Hozzáadás gombra, a szövegmezőbe írja be a ConfigMgr IIS-kiszolgálók értéket, majd kattintson az OK gombra.
-
Ehhez a csoporthoz adja meg a Beléptetés engedélyt, és ne törölje az Olvasás engedélyt.
-
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon lehetőségre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr-ügyfél terjesztési pontjának tanúsítványa nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványokat létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató párbeszédpanelt.
Az egyéni munkaállomás-hitelesítési tanúsítvány igénylése
Ez az eljárás igényli az egyéni ügyféltanúsítványt, majd telepíti azt arra a tagkiszolgálóra, amely az IIS-t futatja, és amely terjesztési pontként lesz konfigurálva.
Az egyéni munkaállomás-hitelesítési tanúsítvány igénylésének lépései
-
Kattintson a Start gombra, a Futtatás pontra, majd írja be az mmc.exe parancsot. Az üres konzolban kattintson a Fájl pontra, majd a Beépülő modul hozzáadása/eltávolítása elemre.
-
A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen válassza ki a Tanúsítványok lehetőséget az Elérhető beépülő modulok listájából, majd kattintson a Hozzáadás gombra.
-
A Tanúsítványkezelő beépülő modul párbeszédpanelen válassza ki a Számítógépfiók lehetőséget, majd kattintson a Tovább gombra.
-
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (a számítógép, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés elemre.
-
Kattintson a Beépülő modul hozzáadása/eltávolítása párbeszédpanelen az OK gombra.
-
A konzolon bontsa ki a Tanúsítványok (Helyi számítógép) csomópontot, majd kattintson a Személyes elemre.
-
Kattintson a jobb gombbal a Tanúsítványok elemre, kattintson Az összes feladat elemre, majd az Új tanúsítvány kérése lehetőségre.
-
Az Alapismeretek lapon kattintson a Tovább gombra.
-
Ha megjelenik a Tanúsítványigénylési házirend kiválasztása lap, kattintson a Tovább gombra.
-
A Tanúsítványok kérése lapon a tanúsítványok listáján jelölje ki a ConfigMgr-ügyfél terjesztési pontjának tanúsítványa elemet, majd kattintson a Beléptetés elemre.
-
A Tanúsítványtelepítés – Eredmények oldalon várja meg a tanúsítvány telepítését, majd kattintson a Befejezés gombra.
-
Az eredmények ablaktáblájában győződjön meg arról, hogy egy tanúsítvány megjelenik Ügyfél-hitelesítés beállítással a Kívánt felhasználási cél oszlopban, és hogy a ConfigMgr-ügyfél terjesztési pontjának tanúsítványa megjelenik a Tanúsítványsablon oszlopban.
-
Ne zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.
Az ügyféltanúsítvány exportálása terjesztési pontokhoz
Ez az eljárás fájlba exportálja az egyéni munkaállomás-hitelesítési tanúsítványt, így az importálható lesz a terjesztési pont tulajdonságainál.
A terjesztési pontok ügyféltanúsítványának exportálása
-
A Tanúsítványok (Helyi számítógép) konzolon kattintson a jobb gombbal az imént telepített tanúsítványra, és válassza Az összes feladat, majd az Exportálás elemet.
-
A Tanúsítványexportáló varázslóban kattintson a Tovább gombra.
-
A Titkos kulcs exportálása lapon jelölje be az Igen, a titkos kulcs exportálását választom beállítást, majd kattintson a Tovább gombra.
Megjegyzés Ha ez a beállítás nem érhető el, a tanúsítványt a titkos kulcs exportálásának engedélyezése nélkül hozták létre. Ebben az esetben nem exportálhatja a tanúsítványt a megkívánt formátumban. Újból konfigurálnia kell a tanúsítványsablont a titkos kulcs exportálásának engedélyezésével, majd újból igényelnie kell a tanúsítványt.
-
Az Exportfájlformátum lapon ellenőrizze, hogy be van-e jelölve a Személyes információcsere - PKCS #12 (.PFX) beállítás.
-
A Jelszó lapon adjon meg egy erős jelszót a titkos kulcsot tartalmazó exportált tanúsítvány védelméhez, majd kattintson a Tovább gombra.
-
Az Exportálandó fájl lapon adja meg az exportálni kívánt fájl nevét, majd kattintson a Tovább gombra.
-
A varázsló bezárásához kattintson a Befejezés gombra a Tanúsítványexportáló varázsló lapon, majd a művelet megerősítését kérő párbeszédpanelen kattintson az OK gombra.
-
Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.
-
Tárolja a fájlt biztonságos helyen, és ellenőrizze, hogy el tudja érni azt a Configuration Manager konzoljáról.
A tanúsítvány ezzel készen áll az importálásra, amikor konfigurálja a terjesztési pontot.
Tipp |
---|
Ugyanezt a tanúsítványfájlt használhatja, amikor olyan adathordozó programkódját konfigurálja, amely nem PXE-rendszerindítást használ, és a programkód telepítési feladatsorának olyan felügyeleti ponthoz kell csatlakoznia, amely HTTPS-ügyfélkapcsolatokat igényel. |
A mobileszközök beléptetési tanúsítványának központi telepítése
Ennél a tanúsítványtelepítésnél egy eljárással hozható létre és állítható ki a beléptetési tanúsítványsablon a hitelesítésszolgáltatón.
A beléptetési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatónál
Ez az eljárás beléptetési tanúsítványsablont hoz létre a System Center 2012 Configuration Manager mobileszközei számára, és hozzáadja azt a hitelesítésszolgáltatóhoz.
A beléptetési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatónál
-
Hozzon létre egy biztonsági csoportot, amely azokat a felhasználókat tartalmazza, akik mobileszközöket fognak beléptetni a System Center 2012 Configuration Manager alkalmazásban.
-
Azon a tagkiszolgálón, amelyen telepítve van a hitelesítésszolgáltatás, kattintson a jobb gombbal a Hitelesítésszolgáltató konzolon a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok felügyeleti konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktáblájában kattintson a jobb gombbal arra a bejegyzésre, amelynél a Sablon megjelenítendő neve oszlopban a Hitelesített munkamenet érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanel Általános lapján adja meg a sablon nevét a Configuration Manager által felügyelendő mobileszközök beléptetési tanúsítványainak előállításához, ez például ConfigMgr mobileszköz-beléptetési tanúsítvány lehet.
-
Kattintson a Tulajdonos neve lapra, győződjön meg arról, hogy Az Active Directoryból elem be van jelölve, válassza a Köznapi név lehetőséget a Tulajdonos nevének formátuma beállításnál, és törölje az Egyszerű felhasználónév (UPN) értéket A következő információk belefoglalása az alternatív tulajdonosnévbe beállításnál.
-
Kattintson a Biztonság lapra, jelölje ki a beléptetendő mobileszközökkel rendelkező felhasználókat tartalmazó biztonsági csoportot, és adja meg a Beléptetés engedélyt. Ne törölje az Olvasás engedélyt.
-
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon lehetőségre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr mobileszköz-beléptetési tanúsítvány nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványt létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató konzolt.
A mobileszköz-beléptetési tanúsítvány ezzel készen áll a kiválasztásra, amikor mobileszköz-beléptetési profilt konfigurál az ügyfélbeállításokban.
Tanúsítványok központi telepítése AMT-hez
Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:
Az AMT kiépítési tanúsítvány létrehozása, kiállítása és telepítése
A webkiszolgáló-tanúsítvány létrehozása és kiállítása az AMT-alapú számítógépekhez
Az ügyfél-hitelesítési tanúsítványok létrehozása és kiállítása a 802.1X AMT-alapú számítógépekhez
Az AMT kiépítési tanúsítvány létrehozása, kiállítása és telepítése
Hozza létre a kiépítési tanúsítványt a belső hitelesítésszolgáltatójával, amikor az AMT-alapú számítógépeket a belső legfelső szintű hitelesítésszolgáltató tanúsítvány-ujjlenyomatával konfigurálja. Ha nem ez a helyzet áll fenn, és külső hitelesítésszolgáltatót kell használnia, használja az AMT kiépítési tanúsítványt kiállító vállalat utasításait, amelyek többnyire azt írják elő, hogy a vállalat nyilvános webhelyén igényelheti a tanúsítványt. A választott külső hitelesítésszolgáltatóról az Intel vPro szakértői központban is találhat részletes tájékoztatást: Microsoft vPro kezelhetőségi webhely (https://go.microsoft.com/fwlink/?LinkId=132001).
Fontos! |
---|
Előfordulhat, hogy a külső hitelesítésszolgáltatók nem támogatják az Intel AMT kiépítési objektumazonosítót. Ebben az esetben másik megoldásként adja meg az Intel(R) Client Setup Certificate OU attribútumot. |
Amikor AMT kiépítési tanúsítványt igényel egy külső hitelesítésszolgáltatótól, a tanúsítványt a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójába telepítse azon a tagkiszolgálón, amely a sávon kívüli szolgáltatási pontot fogja futtatni.
Az AMT kiépítési tanúsítvány igénylése és kiállítása
-
Hozzon létre egy biztonsági csoportot, amely a sávon kívüli szolgáltatási pontot futtató helyrendszer-kiszolgálók számítógépfiókjait tartalmazza.
-
Azon a tagkiszolgálón, amelyen telepítve van a hitelesítésszolgáltatás, kattintson a jobb gombbal a Hitelesítésszolgáltató konzolon a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktáblájában kattintson a jobb gombbal arra a bejegyzésre, amelynél a Sablon megjelenítendő neve oszlopban a Webkiszolgáló érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanel Általános lapján adja meg a sablon nevét az AMT kiépítési tanúsítványsablon előállításához, ez például ConfigMgr AMT kiépítés lehet.
-
A Tulajdonos neve lapon válassza ki Az Active Directoryból elemet, majd a Köznapi név elemet.
-
Jelenítse meg a Bővítmények lapot, ellenőrizze, hogy ki van-e választva az Alkalmazás-házirendek beállítás, majd kattintson a Szerkesztés gombra.
-
Az Alkalmazás-házirendek bővítmény szerkesztése párbeszédpanelen kattintson a Hozzáadás gombra.
-
Az Alkalmazás-házirend hozzáadása párbeszédpanelen kattintson az Új elemre.
-
Az Új alkalmazás-házirend párbeszédpanelen írja be az AMT kiépítés értéket a Név mezőbe, majd írja be a következő számot az Objektumazonosító mezőbe: 2.16.840.1.113741.1.2.3.
-
Kattintson az OK gombra, majd kattintson az OK gombra az Alkalmazás-házirend hozzáadása párbeszédpanelen.
-
Kattintson az OK gombra Az Alkalmazás-házirendek bővítmény szerkesztése párbeszédpanelen.
-
Az új sablon tulajdonságai párbeszédpanelen a következő értékeknek kell megjelenniük az Alkalmazás-házirendek leírásaként: Kiszolgálói hitelesítés és AMT kiépítés.
-
Kattintson a Biztonság fülre, távolítsa el a Beléptetés engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportból.
-
Kattintson a Hozzáadás gombra, írja be a sávon kívüli szolgáltatási pont helyrendszerszerepkörének számítógépfiókját tartalmazó biztonsági csoport nevét, és kattintson az OK gombra.
-
Ehhez a csoporthoz adja meg a Beléptetés engedélyt, és ne törölje az Olvasás engedélyt.
-
Kattintson az OK gombra, és zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon elemre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr AMT kiépítés nevű új sablont, majd kattintson az OK gombra.
Megjegyzés Ha nem tudja végrehajtani a 18. vagy 19. lépést, ellenőrizze, hogy a Windows Server 2008 Enterprise Edition kiadását használja-e. A Windows Server Standard Edition és a tanúsítványszolgáltatások segítségével konfigurálhat sablonokat, de nem telepíthet tanúsítványokat a módosított tanúsítványsablonokkal, ha nem a Windows Server 2008 Enterprise Editiont használja.
-
Ne zárja be a Hitelesítésszolgáltató párbeszédpanelt.
Ezzel a belső hitelesítésszolgáltató AMT kiépítési tanúsítványa készen áll a sávon kívüli szolgáltatási pont számítógépre történő telepítésre.
Az AMT kiépítési tanúsítvány telepítése
-
Indítsa újra az IIS-t futtató tagkiszolgálót, hogy biztosan hozzáférhessen a tanúsítványsablonhoz a konfigurált engedéllyel.
-
Kattintson a Start gombra, a Futtatás pontra, majd írja be az mmc.exe parancsot. Az üres konzolban kattintson a Fájl pontra, majd a Beépülő modul hozzáadása/eltávolítása elemre.
-
A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen válassza ki a Tanúsítványok lehetőséget az Elérhető beépülő modulok listájából, majd kattintson a Hozzáadás gombra.
-
A Tanúsítványkezelő beépülő modul párbeszédpanelen válassza ki a Számítógépfiók lehetőséget, majd kattintson a Tovább gombra.
-
A Számítógép kiválasztása párbeszédpanelen győződjön meg arról, hogy a Helyi számítógép: (a számítógép, amelyen ez a konzol fut) be van jelölve, majd kattintson a Befejezés elemre.
-
Kattintson a Beépülő modul hozzáadása/eltávolítása párbeszédpanelen az OK gombra.
-
A konzolon bontsa ki a Tanúsítványok (Helyi számítógép) csomópontot, majd kattintson a Személyes elemre.
-
Kattintson a jobb gombbal a Tanúsítványok elemre, kattintson Az összes feladat elemre, majd az Új tanúsítvány kérése lehetőségre.
-
Az Alapismeretek lapon kattintson a Tovább gombra.
-
Ha megjelenik a Tanúsítványigénylési házirend kiválasztása lap, kattintson a Tovább gombra.
-
A Tanúsítványok kérése lapon a tanúsítványok listáján válassza ki az AMT kiépítés elemet, majd kattintson a Beléptetés elemre.
-
A Tanúsítványtelepítés – Eredmények oldalon várja meg a tanúsítvány telepítését, majd kattintson a Befejezés gombra.
-
Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.
Ezzel a belső hitelesítésszolgáltató AMT kiépítési tanúsítványa telepítve van, és kiválasztható a sávon kívüli szolgáltatási pont tulajdonságainál.
A webkiszolgáló-tanúsítvány létrehozása és kiállítása az AMT-alapú számítógépekhez
A következő művelettel készítheti elő a webkiszolgáló-tanúsítványokat az AMT-alapú számítógépekhez.
A webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása
-
Hozzon létre egy üres biztonsági csoportot azon AMT számítógépfiókok tárolásához, amelyeket a System Center 2012 Configuration Manager hoz létre az AMT kiépítés során.
-
Azon a tagkiszolgálón, amelyen telepítve van a hitelesítésszolgáltatás, kattintson a jobb gombbal a Hitelesítésszolgáltató konzolon a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktábláján kattintson a jobb gombbal arra a tételre, amelynél a Sablon megjelenítendő neve oszlopban a Webkiszolgáló érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanel Általános lapján adja meg a sablon nevét az AMT számítógépeken folytatott sávon kívüli felügyelethez használandó webtanúsítványok előállításához, ez például ConfigMgr AMT webkiszolgáló-tanúsítvány lehet.
-
Kattintson a Tulajdonos neve lapra, kattintson Az Active Directoryból elemre, válassza a Köznapi név lehetőséget a Tulajdonos nevének formátuma beállításnál, és törölje az Egyszerű felhasználónév (UPN) értéket az alternatív tulajdonosnév beállításánál.
-
Kattintson a Biztonság fülre, távolítsa el a Beléptetés engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportból.
-
Kattintson a Hozzáadás gombra, és adja meg az AMT kiépítéshez létrehozott biztonsági csoport nevét. Ezután kattintson az OK gombra.
-
Válassza az Engedélyezés lehetőséget a biztonsági csoport következő engedélyeinél: Olvasás és Beléptetés.
-
Kattintson az OK gombra, és zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon elemre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr AMT webkiszolgáló-tanúsítvány nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványokat létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató párbeszédpanelt.
Az AMT webkiszolgáló-tanúsítvány ezzel készen áll az AMT-alapú számítógépek kiépítésére a webkiszolgáló-tanúsítványok használatával. Válassza ki ezt a tanúsítványsablont a sávon kívüli felügyeleti összetevő tulajdonságainál.
Az ügyfél-hitelesítési tanúsítványok létrehozása és kiállítása a 802.1X AMT-alapú számítógépekhez
A következő eljárást akkor használja, ha az AMT-alapú számítógépek ügyféltanúsítványokat fognak használni a 802.1X-hitelesítésű vezetékes vagy vezeték nélküli hálózatokhoz.
Az ügyfél-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
-
Azon a tagkiszolgálón, amelyen telepítve van a hitelesítésszolgáltatás, kattintson a jobb gombbal a Hitelesítésszolgáltató konzolon a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktábláján kattintson a jobb gombbal arra a tételre, amelynél a Sablon megjelenítendő neve oszlopban a Munkaállomás hitelesítése érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanel Általános lapján adja meg a sablon nevét az AMT számítógépeken folytatott sávon kívüli felügyelethez használandó ügyféltanúsítványok előállításához, ez például ConfigMgr AMT 802.1X ügyfél-hitelesítési tanúsítvány lehet.
-
Kattintson a Tulajdonos neve lapra, kattintson Az Active Directoryból elemre, majd a Tulajdonos nevének formátuma beállításnál válassza a Köznapi név értéket. Törölje a DNS-név beállítást a tulajdonos alternatív nevénél, és adja meg az Egyszerű felhasználónév (UPN) beállítást.
-
Kattintson a Biztonság fülre, távolítsa el a Beléptetés engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportból.
-
Kattintson a Hozzáadás gombra, és írja be annak a biztonsági csoportnak a nevét, amelyet a sávon kívüli felügyeleti összetevő tulajdonságainál fog megadni az AMT-alapú számítógépek számítógépfiókjainak tárolásához. Ezután kattintson az OK gombra.
-
Válassza az Engedélyezés lehetőséget a biztonsági csoport következő engedélyeinél: Olvasás és Beléptetés.
-
Kattintson az OK gombra, és zárja be a Tanúsítványsablonok felügyeleti konzolt, a certtmpl – [Tanúsítványsablonok] konzolt.
-
A Hitelesítésszolgáltató felügyeleti konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon elemre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, ConfigMgr AMT 802.1X ügyfél-hitelesítési tanúsítvány nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványt létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató párbeszédpanelt.
Az ügyfél-hitelesítési tanúsítványsablon ezzel készen áll arra, hogy tanúsítványokat állítson ki a 802.1X ügyfél-hitelesítéshez használható AMT-alapú számítógépeknek. Válassza ki ezt a tanúsítványsablont a sávon kívüli felügyeleti összetevő tulajdonságainál.
Az ügyféltanúsítvány központi telepítése Mac rendszerű számítógépeken
Megjegyzés |
---|
A Mac számítógépek ügyféltanúsítványa csak a Configuration Manager SP1 és újabb verziókban használható. |
Ennél a tanúsítványtelepítésnél egy eljárással hozható létre és állítható ki a beléptetési tanúsítványsablon a hitelesítésszolgáltatón.
Mac ügyfél-hitelesítési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatónál
Ez az eljárás egyéni tanúsítványsablont hoz létre a Configuration Manager Mac rendszerű számítógépei számára, és hozzáadja azt a hitelesítésszolgáltatóhoz.
Megjegyzés |
---|
Ez az eljárás a Windows rendszerű ügyfélszámítógépekhez vagy a terjesztési pontokhoz létrehozott tanúsítványsablontól különböző tanúsítványsablont használ. Ha új tanúsítványsablont hoz létre ehhez a tanúsítványhoz, a hitelesített felhasználókra korlátozhatja a tanúsítvány igénylését. |
A MAC ügyfél-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál
-
Hozzon létre olyan biztonsági csoportot, amely rendszergazda felhasználók felhasználói fiókját tartalmazza, akik a Configuration Manager használatával Mac számítógépet fognak beléptetni.
-
A Hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd a Tanúsítványsablonok kezelése konzol betöltéséhez kattintson a Kezelés elemre.
-
Az eredmények ablaktáblájában kattintson a jobb gombbal arra a bejegyzésre, amelynél a Sablon megjelenítendő neve oszlopban a Hitelesített munkamenet érték jelenik meg, majd kattintson a Sablon megkettőzése elemre.
-
A Sablon megkettőzése párbeszédpanelen ellenőrizze, hogy a Windows 2003 Server, Enterprise Edition érték legyen megadva, majd kattintson az OK gombra.
Fontos! Ne válassza a Windows 2008 Server, Enterprise Edition beállítást.
-
Az új sablon tulajdonságai párbeszédpanel Általános lapján adja meg a sablon nevét, hogy előállítson olyan Mac ügyfél-hitelesítési tanúsítványt, mint például a ConfigMgr Mac-ügyféltanúsítványa.
-
Kattintson a Tulajdonos neve lapra, győződjön meg arról, hogy Az Active Directoryból elem be van jelölve, válassza a Köznapi név lehetőséget a Tulajdonos nevének formátuma beállításnál, és törölje az Egyszerű felhasználónév (UPN) értéket A következő információk belefoglalása az alternatív tulajdonosnévbe beállításnál.
-
Kattintson a Biztonság fülre, távolítsa el a Beléptetés engedélyt a Tartománygazdák és a Vállalati rendszergazdák biztonsági csoportból.
-
A Hozzáadás gombra kattintás után adja meg azt a biztonsági csoportot, amelyiket az első lépésben létrehozott, majd kattintson az OK gombra.
-
Ehhez a csoporthoz adja meg a Beléptetés engedélyt, és ne törölje az Olvasás engedélyt.
-
Kattintson az OK gombra, majd zárja be a Tanúsítványsablonok konzolt.
-
A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre, kattintson az Új elemre, majd kattintson a Kiállítandó tanúsítványsablon lehetőségre.
-
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az imént létrehozott, a ConfigMgr Mac-ügyféltanúsítványa nevű új sablont, majd kattintson az OK gombra.
-
Ha nem kell további tanúsítványokat létrehoznia és kiállítania, zárja be a Hitelesítésszolgáltató párbeszédpanelt.
A Mac ügyféltanúsítvány-sablonja ezt követően kiválasztható a beléptetés ügyfél-beállításainak konfigurálásakor.