Share via


Certificaatinfrastructuur configureren

Van toepassing op: Configuration Manager (current branch)

Belangrijk

Vanaf versie 2203 wordt deze functie voor bedrijfsresources niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.

Meer informatie over het configureren van certificaatinfrastructuur in Configuration Manager. Controleer voordat u begint op eventuele vereisten die worden vermeld in Vereisten voor certificaatprofielen.

Gebruik deze stappen om uw infrastructuur te configureren voor SCEP- of PFX-certificaten.

Stap 1: de registratieservice en afhankelijkheden voor netwerkapparaten installeren en configureren (alleen voor SCEP-certificaten)

U moet de functieservice Registratieservice voor netwerkapparaten voor Active Directory Certificate Services (AD CS) installeren en configureren, de beveiligingsmachtigingen voor de certificaatsjablonen wijzigen, een PKI-clientverificatiecertificaat (Public Key Infrastructure) implementeren en het register bewerken om de standaard-URLlimiet voor IIS (Internet Information Services) te verhogen. Indien nodig moet u ook de verlenende certificeringsinstantie (CA) configureren om een aangepaste geldigheidsperiode toe te staan.

Belangrijk

Voordat u Configuration Manager configureert om te werken met de registratieservice voor netwerkapparaten, controleert u de installatie en configuratie van de registratieservice voor netwerkapparaten. Als deze afhankelijkheden niet correct werken, hebt u problemen met het oplossen van problemen met certificaatinschrijving met behulp van Configuration Manager.

De registratieservice en afhankelijkheden voor netwerkapparaten installeren en configureren

  1. Op een server waarop Windows Server 2012 R2 wordt uitgevoerd, installeert en configureert u de functieservice Registratieservice voor netwerkapparaten voor de serverfunctie Active Directory Certificate Services. Zie Servicerichtlijnen voor registratie van netwerkapparaten voor meer informatie.

  2. Controleer en wijzig indien nodig de beveiligingsmachtigingen voor de certificaatsjablonen die de registratieservice voor netwerkapparaten gebruikt:

    • Voor het account waarop de Configuration Manager-console wordt uitgevoerd: Leesmachtiging.

      Deze machtiging is vereist zodat u bij het uitvoeren van de wizard Certificaatprofiel maken kunt bladeren om de certificaatsjabloon te selecteren die u wilt gebruiken wanneer u een SCEP-instellingenprofiel maakt. Als u een certificaatsjabloon selecteert, worden sommige instellingen in de wizard automatisch ingevuld, zodat u minder hoeft te configureren en er minder risico is op het selecteren van instellingen die niet compatibel zijn met de certificaatsjablonen die de registratieservice voor netwerkapparaten gebruikt.

    • Voor het SCEP-serviceaccount dat de groep van de registratieservice voor netwerkapparaten gebruikt: Lees- en inschrijvingsmachtigingen.

      Deze vereiste is niet specifiek voor Configuration Manager, maar maakt deel uit van het configureren van de registratieservice voor netwerkapparaten. Zie Servicerichtlijnen voor registratie van netwerkapparaten voor meer informatie.

    Tip

    Als u wilt bepalen welke certificaatsjablonen de registratieservice voor netwerkapparaten gebruikt, bekijkt u de volgende registersleutel op de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    Opmerking

    Dit zijn de standaardbeveiligingsmachtigingen die geschikt zijn voor de meeste omgevingen. U kunt echter een alternatieve beveiligingsconfiguratie gebruiken. Zie Machtigingen voor certificaatsjablonen voor certificaatprofielen plannen voor meer informatie.

  3. Implementeer op deze server een PKI-certificaat dat ondersteuning biedt voor clientverificatie. Mogelijk hebt u al een geschikt certificaat geïnstalleerd op de computer dat u kunt gebruiken, of moet u (of liever) een certificaat specifiek voor dit doel implementeren. Raadpleeg voor meer informatie over de vereisten voor dit certificaat de details voor servers die de Configuration Manager beleidsmodule uitvoeren met de functieservice Registratieservice voor netwerkapparaten in de sectie PKI-certificaten voor servers in het onderwerp PKI-certificaatvereisten voor Configuration Manager.

    Tip

    Als u hulp nodig hebt bij het implementeren van dit certificaat, kunt u de instructies voor het implementeren van het clientcertificaat voor distributiepunten gebruiken, omdat de certificaatvereisten hetzelfde zijn, met één uitzondering:

    • Schakel het selectievakje Toestaan dat persoonlijke sleutel wordt geëxporteerd niet in op het tabblad Afhandeling van aanvragen van de eigenschappen voor de certificaatsjabloon.

      U hoeft dit certificaat niet te exporteren met de persoonlijke sleutel, omdat u naar het lokale computerarchief kunt bladeren en het kunt selecteren wanneer u de Configuration Manager beleidsmodule configureert.

  4. Zoek het basiscertificaat waarnaar het clientverificatiecertificaat is gekoppeld. Exporteer vervolgens dit basis-CA-certificaat naar een certificaatbestand (.cer). Sla dit bestand op een beveiligde locatie op die u veilig kunt openen wanneer u later de sitesysteemserver voor het certificaatregistratiepunt installeert en configureert.

  5. Gebruik op dezelfde server de registereditor om de standaard-URL-limiet voor IIS te verhogen door de volgende DWORD-waarden voor registersleutels in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters in te stellen:

  6. Wijzig op dezelfde server in IIS-beheer (Internet Information Services) de instellingen voor het filteren van aanvragen voor de /certsrv/mscep-toepassing en start vervolgens de server opnieuw op. In het dialoogvenster Instellingen voor aanvraagfiltering bewerken moeten de instellingen voor aanvraaglimieten er als volgt uitzien:

    • Maximumlengte van toegestane inhoud (bytes):30000000

    • Maximale URL-lengte (bytes): 65534

    • Maximum aantal querytekenreeksen (bytes):65534

      Zie IIS-aanvraaglimieten voor meer informatie over deze instellingen en hoe u deze configureert.

  7. Als u een certificaat wilt kunnen aanvragen dat een lagere geldigheidsperiode heeft dan de certificaatsjabloon die u gebruikt: Deze configuratie is standaard uitgeschakeld voor een ondernemings-CA. Als u deze optie wilt inschakelen op een ca voor ondernemingen, gebruikt u het opdrachtregelprogramma Certutil en stopt u de certificaatservice en start u deze opnieuw met behulp van de volgende opdrachten:

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

      Zie Hulpprogramma's en instellingen voor Certificate Services voor meer informatie.

  8. Controleer of de registratieservice voor netwerkapparaten werkt met behulp van de volgende koppeling als voorbeeld: https://server.contoso.com/certsrv/mscep/mscep.dll. U ziet nu de ingebouwde webpagina Registratieservice voor netwerkapparaten. Op deze webpagina wordt uitgelegd wat de service is en wordt uitgelegd dat netwerkapparaten de URL gebruiken om certificaataanvragen in te dienen.

    Nu de registratieservice en afhankelijkheden voor netwerkapparaten zijn geconfigureerd, kunt u het certificaatregistratiepunt installeren en configureren.

Stap 2: installeer en configureer het certificaatregistratiepunt.

U moet ten minste één certificaatregistratiepunt in de Configuration Manager-hiërarchie installeren en configureren en u kunt deze sitesysteemrol installeren op de centrale beheersite of op een primaire site.

Belangrijk

Voordat u het certificaatregistratiepunt installeert, raadpleegt u de sectie Sitesysteemvereisten in het onderwerp Ondersteunde configuraties voor Configuration Manager voor besturingssysteemvereisten en afhankelijkheden voor het certificaatregistratiepunt.

Het certificaatregistratiepunt installeren en configureren
  1. Klik in de Configuration Manager-console op Beheer.

  2. Vouw in de werkruimte Beheersiteconfiguratie uit, klik op Servers en sitesysteemrollen en selecteer vervolgens de server die u wilt gebruiken voor het certificaatregistratiepunt.

  3. Klik op het tabblad Start in de groep Server op Sitesysteemrollen toevoegen.

  4. Geef op de pagina Algemeen de algemene instellingen voor het sitesysteem op en klik vervolgens op Volgende.

  5. Klik op de pagina Proxy op Volgende. Het certificaatregistratiepunt gebruikt geen internetproxy-instellingen.

  6. Selecteer op de pagina Systeemrolselectiede optie Certificaatregistratiepunt in de lijst met beschikbare rollen en klik vervolgens op Volgende.

  7. Selecteer op de pagina Certificaatregistratiemodus of dit certificaatregistratiepunt scep-certificaataanvragen verwerken of PFX-certificaataanvragen verwerken. Een certificaatregistratiepunt kan niet beide soorten aanvragen verwerken, maar u kunt meerdere certificaatregistratiepunten maken als u met beide certificaattypen werkt.

    Als u PFX-certificaten verwerkt, moet u een certificeringsinstantie kiezen, Microsoft of Entrust.

  8. De pagina Instellingen certificaatregistratiepunt varieert afhankelijk van het certificaattype:

    • Als u SCEP-certificaataanvragen verwerken hebt geselecteerd, configureert u het volgende:

      • Websitenaam, HTTPS-poortnummer en naam van virtuele toepassing voor het certificaatregistratiepunt. Deze velden worden automatisch ingevuld met standaardwaarden.
      • URL voor de registratieservice voor netwerkapparaten en het basis-CA-certificaat : klik op Toevoegen en geef in het dialoogvenster URL en basis-CA-certificaat toevoegen het volgende op:
        • URL voor de registratieservice voor netwerkapparaten: geef de URL op in de volgende indeling: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Als bijvoorbeeld de FQDN van uw server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd, server1.contoso.com is, typt u https://server1.contoso.com/certsrv/mscep/mscep.dll.
        • Basis-CA-certificaat: Blader naar en selecteer het certificaatbestand (.cer) dat u hebt gemaakt en opgeslagen in Stap 1: De registratieservice en afhankelijkheden van het netwerkapparaat installeren en configureren. Met dit basis-CA-certificaat kan het certificaatregistratiepunt het clientverificatiecertificaat valideren dat door de Configuration Manager Beleidsmodule wordt gebruikt.
    • Als u PFX-certificaataanvragen verwerken hebt geselecteerd, configureert u de verbindingsgegevens en referenties voor de geselecteerde certificeringsinstantie.

      • Als u Microsoft als certificeringsinstantie wilt gebruiken, klikt u op Toevoegen en geeft u in het dialoogvenster Een certificeringsinstantie en account toevoegen het volgende op:

        • Servernaam van certificeringsinstantie : voer de naam van de server van de certificeringsinstantie in.

        • Account van certificeringsinstantie : klik op Instellen om het account te selecteren of te maken dat machtigingen heeft voor het registreren van sjablonen bij de certificeringsinstantie.

        • Verbindingsaccount voor certificaatregistratiepunt: selecteer of maak het account waarmee het certificaatregistratiepunt wordt verbonden met de Configuration Manager-database. U kunt afwisselend het lokale computeraccount van de computer gebruiken die als host fungeert voor het certificaatregistratiepunt.

        • Active Directory-account voor het publiceren van certificaten: selecteer een account of maak een nieuw account dat wordt gebruikt om certificaten te publiceren naar gebruikersobjecten in Active Directory.

        • Geef in de URL voor het netwerkapparaatinschrijving en het basis-CA-certificaat het volgende op en klik vervolgens op OK:

      • Als u Entrust wilt gebruiken als certificeringsinstantie, geeft u het volgende op:

        • De URL van de MDM-webservice

        • De gebruikersnaam- en wachtwoordreferenties voor de URL.

          Wanneer u de MDM-API gebruikt om de URL van de Entrust-webservice te definiëren, moet u ten minste versie 9 van de API gebruiken, zoals wordt weergegeven in het volgende voorbeeld:

          https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

          Eerdere versies van de API bieden geen ondersteuning voor Entrust.

  9. Klik op Volgende en voltooi de wizard.

  10. Wacht enkele minuten totdat de installatie is voltooid en controleer vervolgens of het certificaatregistratiepunt is geïnstalleerd met behulp van een van de volgende methoden:

    • Vouw in de werkruimte Bewakingsysteemstatus uit, klik op Onderdeelstatus en zoek naar statusberichten van het SMS_CERTIFICATE_REGISTRATION_POINT onderdeel.

    • Gebruik op de sitesysteemserver het <bestand ConfigMgr Installation Path>\Logs\crpsetup.log en <ConfigMgr Installation Path>\Logs\crpmsi.log. Een geslaagde installatie retourneert de afsluitcode 0.

    • Controleer in een browser of u verbinding kunt maken met de URL van het certificaatregistratiepunt. Bijvoorbeeld https://server1.contoso.com/CMCertificateRegistration. U ziet een pagina Serverfout voor de naam van de toepassing, met een HTTP 404-beschrijving.

  11. Zoek het geëxporteerde certificaatbestand voor de basis-CA dat het certificaatregistratiepunt automatisch heeft gemaakt in de volgende map op de primaire siteservercomputer: <ConfigMgr Installation Path>\inboxes\certmgr.box. Sla dit bestand op een beveiligde locatie op die u veilig kunt openen wanneer u later de module Configuration Manager-beleid installeert op de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd.

    Tip

    Dit certificaat is niet onmiddellijk beschikbaar in deze map. Mogelijk moet u een tijdje (bijvoorbeeld een half uur) wachten voordat Configuration Manager het bestand naar deze locatie kopieert.

Stap 3: installeer de Configuration Manager-beleidsmodule (alleen voor SCEP-certificaten).

U moet de Configuration Manager Beleidsmodule installeren en configureren op elke server die u hebt opgegeven in Stap 2: Het certificaatregistratiepunt installeren en configureren als URL voor de registratieservice voor netwerkapparaten in de eigenschappen voor het certificaatregistratiepunt.

De beleidsmodule installeren
  1. Meld u op de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd aan als domeinbeheerder en kopieer de volgende bestanden uit de <map ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 op het Configuration Manager installatiemedium naar een tijdelijke map:

    • PolicyModule.msi

    • PolicyModuleSetup.exe

    Als u bovendien een LanguagePack-map op het installatiemedium hebt, kopieert u deze map en de inhoud ervan.

  2. Voer vanuit de tijdelijke map PolicyModuleSetup.exe uit om de wizard Configuration Manager Beleidsmodule instellen te starten.

  3. Klik op de eerste pagina van de wizard op Volgende, accepteer de licentievoorwaarden en klik vervolgens op Volgende.

  4. Accepteer op de pagina Installatiemap de standaardinstallatiemap voor de beleidsmodule of geef een alternatieve map op en klik vervolgens op Volgende.

  5. Geef op de pagina Certificaatregistratiepunt de URL van het certificaatregistratiepunt op met behulp van de FQDN van de sitesysteemserver en de naam van de virtuele toepassing die is opgegeven in de eigenschappen voor het certificaatregistratiepunt. De standaardnaam van de virtuele toepassing is CMCertificateRegistration. Als de sitesysteemserver bijvoorbeeld een FQDN van server1.contoso.com heeft en u de standaardnaam van de virtuele toepassing hebt gebruikt, geeft u https://server1.contoso.com/CMCertificateRegistrationop.

  6. Accepteer de standaardpoort 443 of geef het alternatieve poortnummer op dat het certificaatregistratiepunt gebruikt en klik vervolgens op Volgende.

  7. Blader op de pagina Clientcertificaat voor de beleidsmodulenaar en geef het clientverificatiecertificaat op dat u hebt geïmplementeerd in Stap 1: De registratieservice en afhankelijkheden van het netwerkapparaat installeren en configureren. Klik vervolgens op Volgende.

  8. Klik op de pagina Certificaatregistratiepuntcertificaat op Bladeren om het geëxporteerde certificaatbestand te selecteren voor de basis-CA dat u hebt gevonden en opgeslagen aan het einde van stap 2: Het certificaatregistratiepunt installeren en configureren.

    Opmerking

    Als u dit certificaatbestand niet eerder hebt opgeslagen, bevindt het zich in het <ConfigMgr Installation Path>\inboxes\certmgr.box op de siteservercomputer.

  9. Klik op Volgende en voltooi de wizard.

    Als u de Configuration Manager Beleidsmodule wilt verwijderen, gebruikt u Programma's en onderdelen in Configuratiescherm.

Nu u de configuratiestappen hebt voltooid, kunt u certificaten implementeren voor gebruikers en apparaten door certificaatprofielen te maken en te implementeren. Zie Certificaatprofielen maken voor meer informatie over het maken van certificaatprofielen.