Share via

Stapsgewijze voorbeeldimplementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Deze stapsgewijze voorbeeldimplementatie, die gebruikmaakt van een Windows Server 2008-certificeringsinstantie (CA), bevat procedures die laten zien hoe u PKI-certificaten (Public Key Infrastructure) maakt en implementeert die Configuration Manager gebruikt. Deze procedures maken gebruik van een certificeringsinstantie (CA) en certificaatsjablonen. De stappen zijn alleen geschikt voor een testnetwerk, als proof of concept.

Omdat er geen enkele implementatiemethode voor de vereiste certificaten is, raadpleegt u de documentatie voor uw specifieke PKI-implementatie voor de vereiste procedures en best practices voor het implementeren van de vereiste certificaten voor een productieomgeving. Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over de certificaatvereisten.

Tip

U kunt de instructies in dit onderwerp aanpassen voor besturingssystemen die niet worden beschreven in de sectie Netwerkvereisten testen. Als u echter de verlenende CA uitvoert op Windows Server 2012, wordt u niet gevraagd om de versie van de certificaatsjabloon. Geef in plaats daarvan dit op het tabblad Compatibiliteit van de sjablooneigenschappen op:

  • Certificeringsinstantie: Windows Server 2003
    • Certificaatontvanger: Windows XP/Server 2003

Netwerkvereisten testen

De stapsgewijze instructies hebben de volgende vereisten:

  • Het testnetwerk wordt uitgevoerd Active Directory Domain Services met Windows Server 2008 en wordt geïnstalleerd als één domein, één forest.

  • U hebt een lidserver met Windows Server 2008 Enterprise Edition, waarop de functie Active Directory Certificate Services is geïnstalleerd, en deze is ingesteld als een basiscertificeringsinstantie (CA).

  • U hebt één computer waarop Windows Server 2008 (Standard Edition of Enterprise Edition, R2 of hoger) is geïnstalleerd, die computer is aangewezen als lidserver en Internet Information Services (IIS) is geïnstalleerd. Deze computer is de Configuration Manager sitesysteemserver die u configureert met een FQDN (Fully Qualified Domain Name) voor intranet ter ondersteuning van clientverbindingen op het intranet en een internet-FQDN als u mobiele apparaten moet ondersteunen die zijn ingeschreven door Configuration Manager en clients op internet.

  • U hebt één Windows Vista-client waarop het meest recente servicepack is geïnstalleerd en deze computer is ingesteld met een computernaam die ASCII-tekens bevat en lid is van het domein. Deze computer wordt een Configuration Manager clientcomputer.

  • U kunt zich aanmelden met een hoofddomeinbeheerdersaccount of een ondernemingsdomeinbeheerderaccount en dit account gebruiken voor alle procedures in deze voorbeeldimplementatie.

Overzicht van de certificaten

De volgende tabel bevat de typen PKI-certificaten die mogelijk vereist zijn voor Configuration Manager en beschrijft hoe ze worden gebruikt.

Certificaatvereiste Certificaatbeschrijving
Webservercertificaat voor sitesystemen waarop IIS wordt uitgevoerd Dit certificaat wordt gebruikt om gegevens te versleutelen en de server te verifiëren bij clients. Het moet extern worden geïnstalleerd vanaf Configuration Manager op sitesysteemservers waarop IIS (Internet Information Services) wordt uitgevoerd en die zijn ingesteld in Configuration Manager om HTTPS te gebruiken.

Zie Het webservercertificaat implementeren voor sitesystemen waarop IIS wordt uitgevoerd voor de stappen voor het instellen en installeren van dit certificaat.
Servicecertificaat voor clients om verbinding te maken met clouddistributiepunten Zie Het servicecertificaat implementeren voor clouddistributiepunten in dit onderwerp voor de stappen voor het configureren en installeren van dit certificaat.

Belangrijk: Dit certificaat wordt gebruikt in combinatie met het Windows Azure-beheercertificaat. Zie Een beheercertificaat maken en Een beheercertificaat toevoegen aan een Windows Azure-abonnement voor meer informatie over het beheercertificaat.
Clientcertificaat voor Windows-computers Dit certificaat wordt gebruikt om Configuration Manager clientcomputers te verifiëren bij sitesystemen die zijn ingesteld voor het gebruik van HTTPS. Het kan ook worden gebruikt voor beheerpunten en statusmigratiepunten om hun operationele status te bewaken wanneer ze zijn ingesteld voor het gebruik van HTTPS. Het moet extern worden geïnstalleerd vanaf Configuration Manager op computers.

Zie Het clientcertificaat voor Windows-computers implementeren in dit onderwerp voor de stappen voor het instellen en installeren van dit certificaat.
Clientcertificaat voor distributiepunten Dit certificaat heeft twee doelen:

Het certificaat wordt gebruikt om het distributiepunt te verifiëren bij een HTTPS-beheerpunt voordat het distributiepunt statusberichten verzendt.

Wanneer de optie PXE-ondersteuning voor clients-distributiepunt inschakelen is geselecteerd, wordt het certificaat verzonden naar computers die PXE opstarten, zodat ze tijdens de implementatie van het besturingssysteem verbinding kunnen maken met een HTTPS-beheerpunt.

Zie Het clientcertificaat implementeren voor distributiepunten in dit onderwerp voor de stappen voor het instellen en installeren van dit certificaat.
Inschrijvingscertificaat voor mobiele apparaten Dit certificaat wordt gebruikt om Configuration Manager clients voor mobiele apparaten te verifiëren bij sitesystemen die zijn ingesteld voor het gebruik van HTTPS. Deze moet worden geïnstalleerd als onderdeel van de inschrijving van mobiele apparaten in Configuration Manager en u kiest de geconfigureerde certificaatsjabloon als clientinstelling voor mobiele apparaten.

Zie Het inschrijvingscertificaat voor mobiele apparaten implementeren in dit onderwerp voor de stappen voor het instellen van dit certificaat.
Clientcertificaat voor Mac-computers U kunt dit certificaat aanvragen en installeren vanaf een Mac-computer wanneer u Configuration Manager-inschrijving gebruikt en de geconfigureerde certificaatsjabloon kiest als clientinstelling voor mobiele apparaten.

Zie Het clientcertificaat voor Mac-computers implementeren in dit onderwerp voor de stappen voor het instellen van dit certificaat.

Het webservercertificaat implementeren voor sitesystemen waarop IIS wordt uitgevoerd

Deze certificaatimplementatie heeft de volgende procedures:

  • De webservercertificaatsjabloon voor de certificeringsinstantie maken en uitgeven

  • Het webservercertificaat aanvragen

  • IIS configureren voor het gebruik van het webservercertificaat

De webservercertificaatsjabloon voor de certificeringsinstantie maken en uitgeven

Met deze procedure maakt u een certificaatsjabloon voor Configuration Manager sitesystemen en voegt u deze toe aan de certificeringsinstantie.

De webservercertificaatsjabloon voor de certificeringsinstantie maken en uitgeven

  1. Maak een beveiligingsgroep met de naam ConfigMgr IIS-servers met de lidservers om Configuration Manager sitesystemen te installeren waarop IIS wordt uitgevoerd.

  2. Klik op de lidserver waarop Certificate Services is geïnstalleerd in de certificeringsinstantieconsole met de rechtermuisknop op Certificaatsjablonen en kies vervolgens Beheren om de console Certificaatsjablonen te laden.

  3. Klik in het resultatenvenster met de rechtermuisknop op de vermelding webserver in de kolom Weergavenaam van sjabloon en kies vervolgens Sjabloon dupliceren.

  4. Controleer in het dialoogvenster Sjabloon dupliceren of Windows 2003 Server, Enterprise Edition is geselecteerd en kies vervolgens OK.

    Belangrijk

    Selecteer Windows 2008 Server niet Enterprise Edition.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in, zoals ConfigMgr-webservercertificaat, om de webcertificaten te genereren die worden gebruikt op Configuration Manager sitesystemen.

  6. Kies het tabblad Onderwerpnaam en zorg ervoor dat Leveren in de aanvraag is geselecteerd.

  7. Kies het tabblad Beveiliging en verwijder vervolgens de machtiging Inschrijven uit de beveiligingsgroepen Domeinbeheerders en Ondernemingsadministreert.

  8. Kies Toevoegen, voer ConfigMgr IIS-servers in het tekstvak in en kies vervolgens OK.

  9. Kies de machtiging Inschrijven voor deze groep en wis de machtiging Lezen niet.

  10. Kies OK en sluit vervolgens de console certificaatsjablonen.

  11. Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, kies Nieuw en kies vervolgens Certificaatsjabloon die u wilt uitgeven.

  12. Kies in het dialoogvenster Certificaatsjablonen inschakelen de nieuwe sjabloon die u zojuist hebt gemaakt, ConfigMgr-webservercertificaat en kies vervolgens OK.

  13. Als u niet meer certificaten hoeft te maken en uit te geven, sluit u certificeringsinstantie.

Het webservercertificaat aanvragen

Met deze procedure kunt u de intranet- en internet-FQDN-waarden opgeven die worden ingesteld in de eigenschappen van de sitesysteemserver en vervolgens het webservercertificaat installeren op de lidserver waarop IIS wordt uitgevoerd.

Het webservercertificaat aanvragen

  1. Start de lidserver waarop IIS wordt uitgevoerd opnieuw op om ervoor te zorgen dat de computer toegang heeft tot de certificaatsjabloon die u hebt gemaakt met behulp van de machtigingen Lezen en Inschrijven die u hebt geconfigureerd.

  2. Kies Start, kies Uitvoeren en typ mmc.exe. Kies in de lege console De optie Bestand en kies vervolgens Module toevoegen/verwijderen.

  3. Kies in het dialoogvenster Modules toevoegen of verwijderende optie Certificaten in de lijst met Beschikbare modules en kies vervolgens Toevoegen.

  4. Kies in het dialoogvenster Certificaatmodulede optie Computeraccount en kies vervolgens Volgende.

  5. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en kies vervolgens Voltooien.

  6. KiesOK in het dialoogvenster Modules toevoegen of verwijderen.

  7. Vouw in de console Certificaten (lokale computer) uit en kies vervolgens Persoonlijk.

  8. Klik met de rechtermuisknop op Certificaten, kies Alle taken en kies vervolgens Nieuw certificaat aanvragen.

  9. Kies volgende op de pagina Voordat u begint.

  10. Als u de pagina Certificaatinschrijvingsbeleid selecteren ziet, kiest u Volgende.

  11. Identificeer op de pagina Certificaten aanvragen het ConfigMgr-webservercertificaat in de lijst met beschikbare certificaten en kies vervolgens Meer informatie is vereist voor registratie voor dit certificaat. Klik hier om instellingen te configureren.

  12. Breng in het dialoogvenster Certificaateigenschappen op het tabblad Onderwerp geen wijzigingen aan in de onderwerpnaam. Dit betekent dat het vak Waarde voor de sectie Onderwerpnaam leeg blijft. Kies in plaats daarvan in de sectie Alternatieve naam de vervolgkeuzelijst Type en kies vervolgens DNS.

  13. Geef in het vak Waarde de FQDN-waarden op die u opgeeft in de Configuration Manager sitesysteemeigenschappen en kies ok om het dialoogvenster Certificaateigenschappen te sluiten.

    Voorbeelden:

    • Als het sitesysteem alleen clientverbindingen van het intranet accepteert en de intranet-FQDN van de sitesysteemserver is server1.internal.contoso.com, voert u server1.internal.contoso.com in en kiest u vervolgens Toevoegen.

    • Als het sitesysteem clientverbindingen van het intranet en internet accepteert, en de intranet-FQDN van de sitesysteemserver is server1.internal.contoso.com en de internet-FQDN van de sitesysteemserver is server.contoso.com:

      1. Voer server1.internal.contoso.com in en kies vervolgens Toevoegen.

      2. Voer server.contoso.com in en kies vervolgens Toevoegen.

      Opmerking

      U kunt de FQDN's voor Configuration Manager in elke gewenste volgorde opgeven. Controleer echter of alle apparaten die het certificaat gaan gebruiken, zoals mobiele apparaten en proxywebservers, een alternatieve naam voor certificaatonderwerp (SAN) en meerdere waarden in het SAN kunnen gebruiken. Als apparaten beperkte ondersteuning hebben voor SAN-waarden in certificaten, moet u mogelijk de volgorde van de FQDN's wijzigen of in plaats daarvan de onderwerpwaarde gebruiken.

  14. Kies op de pagina Certificaten aanvragende optie ConfigMgr-webservercertificaat in de lijst met beschikbare certificaten en kies vervolgens Inschrijven.

  15. Wacht op de pagina Resultaten van de installatie van certificaten totdat het certificaat is geïnstalleerd en kies vervolgens Voltooien.

  16. Sluit Certificaten (lokale computer).

IIS configureren voor het gebruik van het webservercertificaat

Met deze procedure wordt het geïnstalleerde certificaat gekoppeld aan de standaardwebsite van IIS.

IIS instellen voor het gebruik van het webservercertificaat

  1. Op de lidserver waarop IIS is geïnstalleerd, kiest u Start, kiest u Programma's, Systeembeheer en vervolgens Internet Information Services (IIS) Manager.

  2. Vouw Sites uit, klik met de rechtermuisknop op Standaardwebsite en kies bindingen bewerken.

  3. Kies de https-vermelding en kies vervolgens Bewerken.

  4. Selecteer in het dialoogvenster Sitebinding bewerken het certificaat dat u hebt aangevraagd met behulp van de sjabloon ConfigMgr-webservercertificaten en kies vervolgens OK.

    Opmerking

    Als u niet zeker weet welk certificaat het juiste is, kiest u er een en kiest u vervolgens Weergeven. Hiermee kunt u de geselecteerde certificaatdetails vergelijken met de certificaten in de module Certificaten. In de module Certificaten wordt bijvoorbeeld de certificaatsjabloon weergegeven die is gebruikt om het certificaat aan te vragen. Vervolgens kunt u de vingerafdruk van het certificaat dat is aangevraagd met behulp van de sjabloon ConfigMgr Webservercertificaten vergelijken met de vingerafdruk van het certificaat dat momenteel is geselecteerd in het dialoogvenster Sitebinding bewerken .

  5. Kies OK in het dialoogvenster Sitebinding bewerken en kies vervolgens Sluiten.

  6. Sluit IIS-beheer (Internet Information Services).

    De lidserver is nu ingesteld met een Configuration Manager webservercertificaat.

Belangrijk

Wanneer u de Configuration Manager sitesysteemserver op deze computer installeert, moet u ervoor zorgen dat u in de sitesysteemeigenschappen dezelfde FQDN's opgeeft als u hebt opgegeven toen u het certificaat hebt aangevraagd.

Het servicecertificaat implementeren voor clouddistributiepunten

Deze certificaatimplementatie heeft de volgende procedures:

Een aangepaste webservercertificaatsjabloon maken en uitgeven bij de certificeringsinstantie

Met deze procedure maakt u een aangepaste certificaatsjabloon die is gebaseerd op de webservercertificaatsjabloon. Het certificaat is voor Configuration Manager clouddistributiepunten en de persoonlijke sleutel moet exporteerbaar zijn. Nadat de certificaatsjabloon is gemaakt, wordt deze toegevoegd aan de certificeringsinstantie.

Opmerking

Deze procedure maakt gebruik van een andere certificaatsjabloon dan de webservercertificaatsjabloon die u hebt gemaakt voor sitesystemen waarop IIS wordt uitgevoerd. Hoewel voor beide certificaten serververificatie is vereist, moet u voor het certificaat voor clouddistributiepunten een aangepaste gedefinieerde waarde invoeren voor de onderwerpnaam en moet de persoonlijke sleutel worden geëxporteerd. Als beveiligingsprocedure kunt u certificaatsjablonen niet zo instellen dat de persoonlijke sleutel kan worden geëxporteerd, tenzij deze configuratie vereist is. Voor het clouddistributiepunt is deze configuratie vereist, omdat u het certificaat moet importeren als een bestand in plaats van het certificaatarchief te kiezen.

Wanneer u een nieuwe certificaatsjabloon voor dit certificaat maakt, kunt u de computers beperken die een certificaat kunnen aanvragen waarvan de persoonlijke sleutel kan worden geëxporteerd. In een productienetwerk kunt u ook overwegen om de volgende wijzigingen toe te voegen voor dit certificaat:

  • Goedkeuring vereisen om het certificaat te installeren voor extra beveiliging.
    • Verhoog de geldigheidsperiode van het certificaat. Omdat u het certificaat elke keer moet exporteren en importeren voordat het verloopt, vermindert een verhoging van de geldigheidsperiode hoe vaak u deze procedure moet herhalen. Een verhoging van de geldigheidsperiode vermindert echter ook de beveiliging van het certificaat, omdat het een aanvaller meer tijd biedt om de persoonlijke sleutel te ontsleutelen en het certificaat te stelen.
    • Gebruik een aangepaste waarde in het san (Subject Alternative Name) van het certificaat om dit certificaat te identificeren op basis van standaard webservercertificaten die u met IIS gebruikt.
De aangepaste webservercertificaatsjabloon voor de certificeringsinstantie maken en uitgeven

  1. Maak een beveiligingsgroep met de naam ConfigMgr-siteservers die de lidservers bevat om Configuration Manager primaire siteservers te installeren die clouddistributiepunten beheren.

  2. Klik op de lidserver waarop de certificeringsinstantieconsole wordt uitgevoerd met de rechtermuisknop op Certificaatsjablonen en kies vervolgens Beheren om de beheerconsole voor certificaatsjablonen te laden.

  3. Klik in het resultatenvenster met de rechtermuisknop op de vermelding webserver in de kolom Weergavenaam van sjabloon en kies vervolgens Sjabloon dupliceren.

  4. Controleer in het dialoogvenster Sjabloon dupliceren of Windows 2003 Server, Enterprise Edition is geselecteerd en kies vervolgens OK.

    Belangrijk

    Selecteer Windows 2008 Server niet Enterprise Edition.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in, zoals ConfigMgr Cloud-Based Distributiepuntcertificaat, om het webservercertificaat voor clouddistributiepunten te genereren.

  6. Kies het tabblad Aanvraagafhandeling en kies vervolgens Toestaan dat persoonlijke sleutel wordt geëxporteerd.

  7. Kies het tabblad Beveiliging en verwijder vervolgens de machtiging Inschrijven uit de beveiligingsgroep Ondernemingsadministrators .

  8. Kies Toevoegen, voer ConfigMgr-siteservers in het tekstvak in en kies vervolgens OK.

  9. Selecteer de machtiging Inschrijven voor deze groep en wis de machtiging Lezen niet.

  10. Kies het tabblad Cryptografie en zorg ervoor dat Minimale sleutelgrootte is ingesteld op 2048.

  11. Kies OK en sluit de console certificaatsjablonen.

  12. Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, kies Nieuw en kies vervolgens Certificaatsjabloon die u wilt uitgeven.

  13. Kies in het dialoogvenster Certificaatsjablonen inschakelen de nieuwe sjabloon die u zojuist hebt gemaakt, ConfigMgr Cloud-Based Distributiepuntcertificaaten kies ok.

  14. Als u niet meer certificaten hoeft te maken en uit te geven, sluit u certificeringsinstantie.

Het aangepaste webservercertificaat aanvragen

Met deze procedure wordt het aangepaste webservercertificaat aangevraagd en geïnstalleerd op de lidserver waarop de siteserver wordt uitgevoerd.

Het aangepaste webservercertificaat aanvragen

  1. Start de lidserver opnieuw op nadat u de beveiligingsgroep ConfigMgr-siteservers hebt gemaakt en geconfigureerd om ervoor te zorgen dat de computer toegang heeft tot de certificaatsjabloon die u hebt gemaakt met behulp van de machtigingen Lezen en Inschrijven die u hebt geconfigureerd.

  2. Kies Start, kies Uitvoeren en voer vervolgensmmc.exe in. Kies in de lege console De optie Bestand en kies vervolgens Module toevoegen/verwijderen.

  3. Kies in het dialoogvenster Modules toevoegen of verwijderende optie Certificaten in de lijst met Beschikbare modules en kies vervolgens Toevoegen.

  4. Kies in het dialoogvenster Certificaatmodulede optie Computeraccount en kies vervolgens Volgende.

  5. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en kies vervolgens Voltooien.

  6. KiesOK in het dialoogvenster Modules toevoegen of verwijderen.

  7. Vouw in de console Certificaten (lokale computer) uit en kies vervolgens Persoonlijk.

  8. Klik met de rechtermuisknop op Certificaten, kies Alle taken en kies vervolgens Nieuw certificaat aanvragen.

  9. Kies volgende op de pagina Voordat u begint.

  10. Als u de pagina Certificaatinschrijvingsbeleid selecteren ziet, kiest u Volgende.

  11. Op de pagina Certificaten aanvragen identificeert u het ConfigMgr-Cloud-Based Distributiepuntcertificaat in de lijst met beschikbare certificaten en kiest u vervolgens Meer informatie is vereist om u in te schrijven voor dit certificaat. Kies hier om instellingen te configureren.

  12. Kies in het dialoogvenster Certificaateigenschappen op het tabblad Onderwerp voor de onderwerpnaamde optie Algemene naam als het type.

  13. Geef in het vak Waarde de gewenste servicenaam en domeinnaam op met behulp van een FQDN-indeling. Bijvoorbeeld: clouddp1.contoso.com.

    Opmerking

    Maak de servicenaam uniek in uw naamruimte. U gebruikt DNS om een alias (CNAME-record) te maken om deze servicenaam toe te wijzen aan een automatisch gegenereerde id (GUID) en een IP-adres van Windows Azure.

  14. Kies Toevoegen en kies vervolgens OK om het dialoogvenster Certificaateigenschappen te sluiten.

  15. Kies op de pagina Certificaten aanvragende optie ConfigMgr Cloud-Based Distributiepuntcertificaat in de lijst met beschikbare certificaten en kies vervolgens Inschrijven.

  16. Wacht op de pagina Resultaten van de installatie van certificaten totdat het certificaat is geïnstalleerd en kies vervolgens Voltooien.

  17. Sluit Certificaten (lokale computer).

Het aangepaste webservercertificaat exporteren voor clouddistributiepunten

Met deze procedure exporteert u het aangepaste webservercertificaat naar een bestand, zodat het kan worden geïmporteerd wanneer u het clouddistributiepunt maakt.

Het aangepaste webservercertificaat voor clouddistributiepunten exporteren

  1. Klik in de console Certificaten (lokale computer) met de rechtermuisknop op het certificaat dat u zojuist hebt geïnstalleerd, kies Alle taken en kies vervolgens Exporteren.

  2. Kies volgende in de wizard Certificaten exporteren.

  3. Kies op de pagina Persoonlijke sleutel exporterende optie Ja, de persoonlijke sleutel exporteren en kies vervolgens Volgende.

    Opmerking

    Als deze optie niet beschikbaar is, is het certificaat gemaakt zonder de optie om de persoonlijke sleutel te exporteren. In dit scenario kunt u het certificaat niet exporteren in de vereiste indeling. U moet de certificaatsjabloon zo instellen dat de persoonlijke sleutel kan worden geëxporteerd en vervolgens het certificaat opnieuw aanvragen.

  4. Controleer op de pagina Bestandsindeling exporteren of de persoonsgegevensuitwisseling - PKCS #12 (. De optie PFX) is geselecteerd.

  5. Geef op de pagina Wachtwoord een sterk wachtwoord op om het geëxporteerde certificaat te beveiligen met de persoonlijke sleutel en kies volgende.

  6. Geef op de pagina Te exporteren bestand de naam op van het bestand dat u wilt exporteren en kies volgende.

  7. Als u de wizard wilt sluiten, kiest u Voltooien op de pagina Wizard Certificaat exporteren en kiest u vervolgens OK in het bevestigingsdialoogvenster.

  8. Sluit Certificaten (lokale computer).

  9. Sla het bestand veilig op en zorg ervoor dat u het kunt openen vanuit de Configuration Manager-console.

    Het certificaat kan nu worden geïmporteerd wanneer u een clouddistributiepunt maakt.

Het clientcertificaat voor Windows-computers implementeren

Deze certificaatimplementatie heeft de volgende procedures:

  • De certificaatsjabloon Voor werkstationverificatie maken en uitgeven bij de certificeringsinstantie

  • Automatische inschrijving van de sjabloon Voor werkstationverificatie configureren met behulp van groepsbeleid

  • Automatisch het verificatiecertificaat voor werkstation registreren en de installatie ervan op computers controleren

De certificaatsjabloon Voor werkstationverificatie maken en uitgeven bij de certificeringsinstantie

Met deze procedure maakt u een certificaatsjabloon voor Configuration Manager clientcomputers en voegt u deze toe aan de certificeringsinstantie.

De certificaatsjabloon Voor werkstationverificatie maken en uitgeven bij de certificeringsinstantie

  1. Klik op de lidserver waarop de certificeringsinstantieconsole wordt uitgevoerd met de rechtermuisknop op Certificaatsjablonen en kies vervolgens Beheren om de beheerconsole voor certificaatsjablonen te laden.

  2. Klik in het resultatenvenster met de rechtermuisknop op de vermelding werkstationverificatie in de kolom Weergavenaam van sjabloon en kies vervolgens Sjabloon dupliceren.

  3. Controleer in het dialoogvenster Sjabloon dupliceren of Windows 2003 Server, Enterprise Edition is geselecteerd en kies vervolgens OK.

    Belangrijk

    Selecteer Windows 2008 Server niet Enterprise Edition.

  4. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in, zoals ConfigMgr-clientcertificaat, om de clientcertificaten te genereren die op Configuration Manager clientcomputers worden gebruikt.

  5. Kies het tabblad Beveiliging , selecteer de groep Domeincomputers en selecteer vervolgens de aanvullende machtigingen Lezen en Automatisch inschrijven. Wis Inschrijven niet.

  6. Kies OK en sluit de console certificaatsjablonen.

  7. Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, kies Nieuw en kies vervolgens Certificaatsjabloon die u wilt uitgeven.

  8. Kies in het dialoogvenster Certificaatsjablonen inschakelen de nieuwe sjabloon die u zojuist hebt gemaakt, ConfigMgr-clientcertificaat en kies vervolgens OK.

  9. Als u niet meer certificaten hoeft te maken en uit te geven, sluit u certificeringsinstantie.

Automatische inschrijving van de sjabloon Voor werkstationverificatie configureren met behulp van groepsbeleid

Met deze procedure stelt u groepsbeleid in om het clientcertificaat automatisch in te schrijven op computers.

Automatische inschrijving van de sjabloon Werkstationverificatie instellen met behulp van groepsbeleid

  1. Kies op de domeincontroller Start, kies Systeembeheer en kies vervolgens groepsbeleid Beheer.

  2. Ga naar uw domein, klik met de rechtermuisknop op het domein en kies vervolgens Een groepsbeleidsobject maken in dit domein en koppel het hier.

    Opmerking

    In deze stap wordt de aanbevolen procedure gebruikt om een nieuwe groepsbeleid te maken voor aangepaste instellingen in plaats van het standaarddomeinbeleid te bewerken dat is geïnstalleerd met Active Directory Domain Services. Wanneer u deze groepsbeleid op domeinniveau toewijst, past u deze toe op alle computers in het domein. In een productieomgeving kunt u de automatische inschrijving beperken, zodat deze alleen op geselecteerde computers wordt ingeschreven. U kunt de groepsbeleid toewijzen op het niveau van een organisatie-eenheid of u kunt het domein filteren groepsbeleid met een beveiligingsgroep, zodat deze alleen van toepassing is op de computers in de groep. Als u automatische inschrijving beperkt, vergeet dan niet om de server op te nemen die is ingesteld als het beheerpunt.

  3. Voer in het dialoogvenster Nieuw groepsbeleidsobject een naam in, zoals Certificaten automatisch inschrijven, voor de nieuwe groepsbeleid en kies vervolgens OK.

  4. Klik in het resultatenvenster op het tabblad Gekoppelde groepsbeleid objecten met de rechtermuisknop op de nieuwe groepsbeleid en kies bewerken.

  5. Vouw in de groepsbeleid BeheereditorBeleid uit onder Computerconfiguratie en ga vervolgens naar Windows-instellingen / Beveiligingsinstellingen / Openbaar sleutelbeleid.

  6. Klik met de rechtermuisknop op het objecttype met de naam Certificate Services Client - Automatische inschrijving en kies vervolgens Eigenschappen.

  7. Kies in de vervolgkeuzelijst Configuratiemodelde optie Ingeschakeld, kies Verlopen certificaten vernieuwen, certificaten bijwerken die in behandeling zijn, ingetrokken certificaten verwijderen, kies Certificaten bijwerken die gebruikmaken van certificaatsjablonen en kies vervolgens OK.

  8. Sluit groepsbeleid Management.

Automatisch het verificatiecertificaat voor werkstation registreren en de installatie ervan op computers controleren

Met deze procedure wordt het clientcertificaat op computers geïnstalleerd en wordt de installatie gecontroleerd.

Het certificaat voor werkstationverificatie automatisch inschrijven en de installatie ervan op de clientcomputer controleren

  1. Start de werkstationcomputer opnieuw op en wacht een paar minuten voordat u zich aanmeldt.

    Opmerking

    Het opnieuw opstarten van een computer is de meest betrouwbare methode om ervoor te zorgen dat automatische inschrijving van certificaten succesvol is.

  2. Meld u aan met een account met beheerdersbevoegdheden.

  3. Voer in het zoekvak mmc.exe. in en druk op Enter.

  4. Kies in de lege beheerconsole de optie Bestand en kies vervolgens Module toevoegen/verwijderen.

  5. Kies in het dialoogvenster Modules toevoegen of verwijderende optie Certificaten in de lijst met Beschikbare modules en kies vervolgens Toevoegen.

  6. Kies in het dialoogvenster Certificaatmodulede optie Computeraccount en kies vervolgens Volgende.

  7. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en kies vervolgens Voltooien.

  8. KiesOK in het dialoogvenster Modules toevoegen of verwijderen.

  9. Vouw in de console Certificaten (lokale computer) uit, vouw Persoonlijk uit en kies certificaten.

  10. Controleer in het resultatenvenster of een certificaat clientverificatie heeft in de kolom Beoogde doeleinden en dat ConfigMgr-clientcertificaat zich in de kolom Certificaatsjabloon bevindt.

  11. Sluit Certificaten (lokale computer).

  12. Herhaal stap 1 tot en met 11 voor de lidserver om te controleren of de server die wordt ingesteld als het beheerpunt, ook een clientcertificaat heeft.

    De computer is nu ingesteld met een Configuration Manager-clientcertificaat.

Het clientcertificaat voor distributiepunten implementeren

Opmerking

Dit certificaat kan ook worden gebruikt voor media-installatiekopieën die geen PXE-opstartbewerking gebruiken, omdat de certificaatvereisten hetzelfde zijn.

Deze certificaatimplementatie heeft de volgende procedures:

  • Een aangepaste certificaatsjabloon voor werkstationverificatie maken en uitgeven bij de certificeringsinstantie

  • Het aangepaste verificatiecertificaat voor werkstation aanvragen

  • Het clientcertificaat voor distributiepunten exporteren

Een aangepaste certificaatsjabloon voor werkstationverificatie maken en uitgeven bij de certificeringsinstantie

Met deze procedure maakt u een aangepaste certificaatsjabloon voor Configuration Manager distributiepunten, zodat de persoonlijke sleutel kan worden geëxporteerd en wordt de certificaatsjabloon toegevoegd aan de certificeringsinstantie.

Opmerking

Deze procedure maakt gebruik van een andere certificaatsjabloon dan de certificaatsjabloon die u hebt gemaakt voor clientcomputers. Hoewel voor beide certificaten clientverificatie is vereist, vereist het certificaat voor distributiepunten dat de persoonlijke sleutel wordt geëxporteerd. Als beveiligingsprocedure kunt u het beste certificaatsjablonen instellen zodat de persoonlijke sleutel kan worden geëxporteerd, tenzij deze configuratie is vereist. Het distributiepunt vereist deze configuratie omdat u het certificaat moet importeren als een bestand in plaats van het te kiezen uit het certificaatarchief.

Wanneer u een nieuwe certificaatsjabloon voor dit certificaat maakt, kunt u de computers beperken die een certificaat kunnen aanvragen waarvan de persoonlijke sleutel kan worden geëxporteerd. In onze voorbeeldimplementatie is dit de beveiligingsgroep die u eerder hebt gemaakt voor Configuration Manager sitesysteemservers waarop IIS wordt uitgevoerd. Op een productienetwerk dat de IIS-sitesysteemrollen distribueert, kunt u een nieuwe beveiligingsgroep maken voor de servers die distributiepunten uitvoeren, zodat u het certificaat kunt beperken tot alleen deze sitesysteemservers. U kunt ook de volgende wijzigingen voor dit certificaat toevoegen:

  • Goedkeuring vereisen om het certificaat te installeren voor extra beveiliging.
    • Verhoog de geldigheidsperiode van het certificaat. Omdat u het certificaat elke keer moet exporteren en importeren voordat het verloopt, vermindert een verhoging van de geldigheidsperiode hoe vaak u deze procedure moet herhalen. Een verhoging van de geldigheidsperiode vermindert echter ook de beveiliging van het certificaat, omdat het een aanvaller meer tijd biedt om de persoonlijke sleutel te ontsleutelen en het certificaat te stelen.
    • Gebruik een aangepaste waarde in het veld Onderwerp van het certificaat of alternatieve onderwerpnaam (SAN) om dit certificaat te identificeren op basis van standaardclientcertificaten. Dit kan met name handig zijn als u hetzelfde certificaat voor meerdere distributiepunten gebruikt.
De certificaatsjabloon voor aangepaste werkstationverificatie maken en uitgeven bij de certificeringsinstantie

  1. Klik op de lidserver waarop de certificeringsinstantieconsole wordt uitgevoerd met de rechtermuisknop op Certificaatsjablonen en kies vervolgens Beheren om de beheerconsole voor certificaatsjablonen te laden.

  2. Klik in het resultatenvenster met de rechtermuisknop op de vermelding werkstationverificatie in de kolom Weergavenaam van sjabloon en kies vervolgens Sjabloon dupliceren.

  3. Controleer in het dialoogvenster Sjabloon dupliceren of Windows 2003 Server, Enterprise Edition is geselecteerd en kies vervolgens OK.

    Belangrijk

    Selecteer Windows 2008 Server niet Enterprise Edition.

  4. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in, zoals ConfigMgr Client Distribution Point Certificate, om het clientverificatiecertificaat voor distributiepunten te genereren.

  5. Kies het tabblad Aanvraagafhandeling en kies vervolgens Toestaan dat persoonlijke sleutel wordt geëxporteerd.

  6. Kies het tabblad Beveiliging en verwijder vervolgens de machtiging Inschrijven uit de beveiligingsgroep Ondernemingsadministrators .

  7. Kies Toevoegen, voer ConfigMgr IIS-servers in het tekstvak in en kies vervolgens OK.

  8. Selecteer de machtiging Inschrijven voor deze groep en wis de machtiging Lezen niet.

  9. Kies OK en sluit de console certificaatsjablonen.

  10. Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, kies Nieuw en kies vervolgens Certificaatsjabloon die u wilt uitgeven.

  11. Kies in het dialoogvenster Certificaatsjablonen inschakelen de nieuwe sjabloon die u zojuist hebt gemaakt, ConfigMgr Client Distribution Point Certificate en kies vervolgens OK.

  12. Als u niet meer certificaten hoeft te maken en uit te geven, sluit u certificeringsinstantie.

Het aangepaste verificatiecertificaat voor werkstation aanvragen

Met deze procedure wordt het aangepaste clientcertificaat aangevraagd en geïnstalleerd op de lidserver waarop IIS wordt uitgevoerd en die wordt ingesteld als een distributiepunt.

Het aangepaste verificatiecertificaat voor werkstation aanvragen

  1. Kies Start, kies Uitvoeren en voer vervolgensmmc.exe in. Kies in de lege console De optie Bestand en kies vervolgens Module toevoegen/verwijderen.

  2. Kies in het dialoogvenster Modules toevoegen of verwijderende optie Certificaten in de lijst met Beschikbare modules en kies vervolgens Toevoegen.

  3. Kies in het dialoogvenster Certificaatmodulede optie Computeraccount en kies vervolgens Volgende.

  4. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en kies vervolgens Voltooien.

  5. KiesOK in het dialoogvenster Modules toevoegen of verwijderen.

  6. Vouw in de console Certificaten (lokale computer) uit en kies vervolgens Persoonlijk.

  7. Klik met de rechtermuisknop op Certificaten, kies Alle taken en kies vervolgens Nieuw certificaat aanvragen.

  8. Kies volgende op de pagina Voordat u begint.

  9. Als u de pagina Certificaatinschrijvingsbeleid selecteren ziet, kiest u Volgende.

  10. Kies op de pagina Certificaten aanvragende optie ConfigMgr Client Distribution Point Certificate in de lijst met beschikbare certificaten en kies vervolgens Inschrijven.

  11. Wacht op de pagina Resultaten van de installatie van certificaten totdat het certificaat is geïnstalleerd en kies vervolgens Voltooien.

  12. Controleer in het resultatenvenster of een certificaat clientverificatie heeft in de kolom Beoogde doeleinden en dat ConfigMgr-clientdistributiepuntcertificaat zich in de kolom Certificaatsjabloon bevindt.

  13. Sluit certificaten (lokale computer) niet.

Het clientcertificaat voor distributiepunten exporteren

Met deze procedure exporteert u het aangepaste certificaat voor werkstationverificatie naar een bestand, zodat het kan worden geïmporteerd in de eigenschappen van het distributiepunt.

Het clientcertificaat voor distributiepunten exporteren

  1. Klik in de console Certificaten (lokale computer) met de rechtermuisknop op het certificaat dat u zojuist hebt geïnstalleerd, kies Alle taken en kies vervolgens Exporteren.

  2. Kies volgende in de wizard Certificaten exporteren.

  3. Kies op de pagina Persoonlijke sleutel exporterende optie Ja, de persoonlijke sleutel exporteren en kies vervolgens Volgende.

    Opmerking

    Als deze optie niet beschikbaar is, is het certificaat gemaakt zonder de optie om de persoonlijke sleutel te exporteren. In dit scenario kunt u het certificaat niet exporteren in de vereiste indeling. U moet de certificaatsjabloon zo instellen dat de persoonlijke sleutel kan worden geëxporteerd en vervolgens het certificaat opnieuw kan aanvragen.

  4. Controleer op de pagina Bestandsindeling exporteren of de persoonsgegevensuitwisseling - PKCS #12 (. De optie PFX) is geselecteerd.

  5. Geef op de pagina Wachtwoord een sterk wachtwoord op om het geëxporteerde certificaat te beveiligen met de persoonlijke sleutel en kies volgende.

  6. Geef op de pagina Te exporteren bestand de naam op van het bestand dat u wilt exporteren en kies volgende.

  7. Als u de wizard wilt sluiten, kiest u Voltooien op de pagina Wizard Certificaat exporteren en kiest u OK in het bevestigingsdialoogvenster.

  8. Sluit Certificaten (lokale computer).

  9. Sla het bestand veilig op en zorg ervoor dat u het kunt openen vanuit de Configuration Manager-console.

    Het certificaat kan nu worden geïmporteerd wanneer u het distributiepunt instelt.

Tip

U kunt hetzelfde certificaatbestand gebruiken wanneer u media-installatiekopieën instelt voor een implementatie van een besturingssysteem dat geen PXE-opstartbewerking gebruikt. De takenreeks voor het installeren van de installatiekopie moet contact opnemen met een beheerpunt dat HTTPS-clientverbindingen vereist.

Het inschrijvingscertificaat implementeren voor mobiele apparaten

Deze certificaatimplementatie heeft één procedure voor het maken en uitgeven van de sjabloon voor het inschrijvingscertificaat bij de certificeringsinstantie.

De sjabloon voor het inschrijvingscertificaat maken en uitgeven op de certificeringsinstantie

Met deze procedure maakt u een inschrijvingscertificaatsjabloon voor Configuration Manager mobiele apparaten en voegt u deze toe aan de certificeringsinstantie.

De sjabloon voor het inschrijvingscertificaat voor de certificeringsinstantie maken en uitgeven

  1. Maak een beveiligingsgroep met gebruikers die mobiele apparaten inschrijven in Configuration Manager.

  2. Klik op de lidserver waarop Certificate Services is geïnstalleerd in de console Certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen en kies vervolgens Beheren om de beheerconsole van certificaatsjablonen te laden.

  3. Klik in het resultatenvenster met de rechtermuisknop op de vermelding geverifieerde sessie in de kolom Weergavenaam van sjabloon en kies vervolgens Sjabloon dupliceren.

  4. Controleer in het dialoogvenster Sjabloon dupliceren of Windows 2003 Server, Enterprise Edition is geselecteerd en kies vervolgens OK.

    Belangrijk

    Selecteer Windows 2008 Server niet Enterprise Edition.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in, zoals ConfigMgr Mobile Device Enrollment Certificate, om de inschrijvingscertificaten te genereren voor de mobiele apparaten die moeten worden beheerd door Configuration Manager.

  6. Kies het tabblad Onderwerpnaam , zorg ervoor dat Opbouwen op basis van deze Active Directory-gegevens is geselecteerd, selecteer Algemene naam voor de indeling van de onderwerpnaam: en schakel vervolgens Upn (User principal name) uit bij Deze informatie opnemen in alternatieve onderwerpnaam.

  7. Kies het tabblad Beveiliging , kies de beveiligingsgroep met gebruikers die mobiele apparaten hebben om in te schrijven en kies vervolgens de extra machtiging Inschrijven. Leesbewerking niet wissen.

  8. Kies OK en sluit de console certificaatsjablonen.

  9. Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, kies Nieuw en kies vervolgens Certificaatsjabloon die u wilt uitgeven.

  10. Kies in het dialoogvenster Certificaatsjablonen inschakelen de nieuwe sjabloon die u zojuist hebt gemaakt, ConfigMgr Mobile Device Enrollment Certificateen kies ok.

  11. Als u niet meer certificaten hoeft te maken en uit te geven, sluit u de certificeringsinstantieconsole.

    De sjabloon voor het inschrijvingscertificaat voor mobiele apparaten is nu gereed om te worden geselecteerd wanneer u een inschrijvingsprofiel voor mobiele apparaten instelt in de clientinstellingen.

Het clientcertificaat voor Mac-computers implementeren

Deze certificaatimplementatie heeft één procedure voor het maken en uitgeven van de sjabloon voor het inschrijvingscertificaat bij de certificeringsinstantie.

Een Mac-clientcertificaatsjabloon maken en uitgeven bij de certificeringsinstantie

Met deze procedure maakt u een aangepaste certificaatsjabloon voor Configuration Manager Mac-computers en voegt u de certificaatsjabloon toe aan de certificeringsinstantie.

Opmerking

Deze procedure maakt gebruik van een andere certificaatsjabloon dan de certificaatsjabloon die u mogelijk hebt gemaakt voor Windows-clientcomputers of voor distributiepunten.

Wanneer u een nieuwe certificaatsjabloon voor dit certificaat maakt, kunt u de certificaataanvraag beperken tot geautoriseerde gebruikers.

De Mac-clientcertificaatsjabloon maken en uitgeven bij de certificeringsinstantie

  1. Maak een beveiligingsgroep met gebruikersaccounts voor gebruikers met beheerdersrechten die het certificaat op de Mac-computer registreren met behulp van Configuration Manager.

  2. Klik op de lidserver waarop de certificeringsinstantieconsole wordt uitgevoerd met de rechtermuisknop op Certificaatsjablonen en kies vervolgens Beheren om de beheerconsole voor certificaatsjablonen te laden.

  3. Klik in het resultatenvenster met de rechtermuisknop op de vermelding die Geverifieerde sessie weergeeft in de kolom Weergavenaam van sjabloon en kies vervolgens Sjabloon dupliceren.

  4. Controleer in het dialoogvenster Sjabloon dupliceren of Windows 2003 Server, Enterprise Edition is geselecteerd en kies vervolgens OK.

    Belangrijk

    Selecteer Windows 2008 Server niet Enterprise Edition.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in, zoals ConfigMgr Mac-clientcertificaat, om het Mac-clientcertificaat te genereren.

  6. Kies het tabblad Onderwerpnaam , zorg ervoor dat Compileren op basis van deze Active Directory-gegevens is geselecteerd, kies Algemene naam voor de indeling van de onderwerpnaam: en schakel vervolgens Upn (User principal name) uit bij Deze informatie opnemen in alternatieve onderwerpnaam.

  7. Kies het tabblad Beveiliging en verwijder vervolgens de machtiging Inschrijven uit de beveiligingsgroepen Domeinbeheerders en Ondernemingsadministreert.

  8. Kies Toevoegen, geef de beveiligingsgroep op die u in stap één hebt gemaakt en kies vervolgens OK.

  9. Kies de machtiging Inschrijven voor deze groep en wis de machtiging Lezen niet.

  10. Kies OK en sluit de console certificaatsjablonen.

  11. Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, kies Nieuw en kies vervolgens Certificaatsjabloon die u wilt uitgeven.

  12. Kies in het dialoogvenster Certificaatsjablonen inschakelen de nieuwe sjabloon die u zojuist hebt gemaakt, ConfigMgr Mac-clientcertificaat en kies vervolgens OK.

  13. Als u niet meer certificaten hoeft te maken en uit te geven, sluit u certificeringsinstantie.

    De mac-clientcertificaatsjabloon is nu klaar om te worden geselecteerd wanneer u clientinstellingen voor inschrijving instelt.