Delen via

  • Artikel

Certificaatprofielen configureren in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.

Voordat u Configuration Manager kunt gebruiken om certificaten op apparaten en voor gebruikers te registreren, moet u de configuratiestappen uitvoeren die in dit onderwerp worden beschreven.

De stappen voor certificaatinschrijving in Configuration Manager configureren

Gebruik de volgende tabel voor de stappen, details en verder informatie over het configureren van certificaatinschrijving in Configuration Manager. Controleer voordat u start de vereisten die opgesomd zijn in Vereisten voor certificaatprofielen in Configuration Manager.

Nadat u deze stappen voltooid hebt en de installatie gecontroleerd hebt, kunt u certificaatprofielen configureren en implementeren. Zie Certificaatprofielen maken in Configuration Manager voor meer informatie.

Stappen

Details

Meer informatie

Stap 1: de registratieservice en afhankelijkheden voor netwerkapparaten installeren en configureren

De rolservice registratieservice voor netwerkapparaten voor Active Directory Certificate Services (AD CS) moet op het Windows Server 2012 R2 besturingssysteem worden uitgevoerd.

System_CAPS_importantBelangrijk

U moet de aanvullende configuratiestappen voltooien voordat u de registratieservice voor netwerkapparaten gebruikt met Configuration Manager.

Zie Stap 1: Installeren en configureren van de registratieservice en afhankelijkheden voor netwerkapparaten in dit onderwerp.

Stap 2: het certificaatregistratiepunt installeren en configureren

U moet ten minste één certificaatregistratiepunt installeren. Dit registratiepunt kan zich bevinden in een centrale beheersite of een primaire site.

Zie Stap 2: Het certificaatregistratiepunt installeren en configureren in dit onderwerp.

Stap 3: de Configuration Manager-beleidsmodule installeren

De beleidsmodule installeren op de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd.

Zie Stap 3: De Configuration Manager-beleidsmodule installeren in dit onderwerp.

Aanvullende procedures voor certificaatinschrijving in Configuration Manager configureren

Gebruik de volgende informatie wanneer de stappen in de voorgaande tabel aanvullende procedures vereisen.

Stap 1: Installeren en configureren van de registratieservice en afhankelijkheden voor netwerkapparaten

U moet de rolservice registratieservice voor netwerkapparaten voor Active Directory Certificate Services (AD CS) installeren en configureren, de beveiligingsmachtigingen op de certificaatsjablonen wijzigen, een PKI (Public Key Infrastructure) verificatievergadering implementeren en het register bewerken om de standaard URL-groottelimiet van Internet Information Services (IIS) te verhogen. Indien nodig moet u ook de uitgevende certificeringsinstantie (CA) configureren om een aangepaste geldigheidsperiode toe te staan.

System_CAPS_importantBelangrijk

Voordat u Configuration Manager configureert om te werken met de registratieservice voor netwerkapparaten, controleert u de installatie en configuratie van de registratieservice voor netwerkapparaten. Als deze afhankelijkheden niet correct werken, zult u moeilijkheden ondervinden om problemen van certificaatregistratie op te lossen met behulp van Configuration Manager.

De registratieservice en afhankelijkheden voor netwerkapparaten installeren en configureren

  1. Installeer en configureer op een server met Windows Server 2012 R2, de rolservice registratieservice voor netwerkapparaten voor de Active Directory Certificate Services serverrol. Zie Network Device Enrollment Service Guidance (Richtlijnen voor de Registratieservice van netwerkapparaten) in de bibliotheek Active Directory Certificate Services op TechNet voor meer informatie.

  2. Controleer en wijzig indien nodig de beveiligingsmachtigingen voor de certificaatsjablonen die worden gebruikt door de registratieservice voor netwerkapparaten:

    - Voor het account waarmee de Configuration Manager-console wordt uitgevoerd: **Machtiging** lezen.

  Deze machtiging is vereist voor het uitvoeren van de wizard Certificaatprofiel maken, u kunt bladeren om het certificaatsjabloon te selecteren dat u wilt gebruiken wanneer u een SCEP- instellingenprofiel maakt. Bij het selecteren van een certificaatsjabloon worden bepaalde instellingen in de wizard automatisch ingevuld, zodat u minder moet configureren en er minder kans bestaat om instellingen te selecteren die niet compatibel zijn met de certificaatsjablonen die de registratieservice voor netwerkapparaten gebruikt.

- Voor het SCEP-serviceaccount waarvan de registratieservice voor netwerkapparaten gebruik maakt: **Lees-** en **Registratie** machtigingen.

  Deze vereiste is niet specifiek voor Configuration Manager maar maakt deel uit van de configuratie van de registratieservice voor netwerkapparaten. Zie [Network Device Enrollment Service Guidance (Richtlijnen voor de Registratieservice van netwerkapparaten)](https://go.microsoft.com/fwlink/p/?linkid=309016) in de bibliotheek Active Directory Certificate Services op TechNet voor meer informatie.

    Tip

    Gebruik de volgende registersleutel op de server die wordt uitgevoerd met de registratieservice voor netwerkapparaten om te identificeren welke sjablonen door de registratieservice voor netwerkapparaten worden gebruikt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    Notitie

    Dit zijn de standaardbeveiligingsmachtigingen die geschikt zijn voor de meeste omgevingen. U kunt echter een alternatieve beveiligingsconfiguratie gebruiken. Zie Certificaatsjabloonmachtigingen voor certificaatprofielen plannen in Configuration Manager voor meer informatie.

  3. Een PKI-certificaat dat clientverificatie ondersteunt naar deze server implementeren. Mogelijk hebt u al een geschikt certificaat geïnstalleerd op de computer dat u kunt gebruiken, of mogelijk moet u (of verkiest u) speciaal voor dit doel een certificaat te implementeren. Voor meer informatie over de vereisten voor dit certificaat raadpleegt u de details voor “Servers waarop de Configuration Manager-beleidsmodule uitgevoerd wordt met de rolservice registratieservice voor netwerkapparaten” in de sectie PKI-certificaten voor Servers in het onderwerp PKI-certificaatvereisten voor Configuration Manager.

    Tip

    Als u hulp nodig hebt bij de implementatie van dit certificaat, kunt u de instructies voor Het clientcertificaat voor distributiepunten implementeren in het onderwerp Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie gebruiken omdat de certificaatvereisten hetzelfde zijn, met één uitzondering:

    • Het selectievakje De persoonlijke sleutel exporteerbaar maken niet selecteren op tabblad Afhandeling van aanvragen van de eigenschappen voor de certificaatsjabloon.

    U moet dit certificaat niet exporteren met de persoonlijke sleutel omdat u naar het lokale computerarchief kunt bladeren en dit selecteren wanneer u de Configuration Manager beleidsmodule configureert.

  4. Zoek het basiscertificaat waarnaar het clientverificatiecertificaat overeenkomt. Exporteer vervolgens dit basis-CA-certificaat naar een certificaat (.cer)-bestand. Dit bestand op een veilige locatie opslaan voor veilige toegang wanneer u later de sitesysteemserver voor het certificaatregistratiepunt installeert en configureert.

  5. Gebruik op dezelfde server de register-editor om de standaard URL-groottelimiet voor IIS te verhogen, door de volgende DWORD-waarden in te stellen voor de registersleutel op HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters.

    - **MaxFieldLength**-sleutel op **65534** instellen.

- **MaxRequestBytes**-sleutel op **16777216** instellen.

    Zie voor meer informatie het artikel 820129: Http.sys registry settings for Windows in de Microsoft Knowledge Base (Engelstalig).

  6. Op dezelfde server, in IIS-beheerder (Internet Information Services), de instellingen voor aanvraagfiltering voor de toepassing /certsrv/mscep wijzigen en vervolgens de server opnieuw opstarten. In het dialoogvenster Instellingen voor aanvraagfiltering bewerken moeten de instellingen van Aanvraaglimieten de volgende zijn:

    - **Maximale toegestane inhoudslengte (bytes)**: **30000000**

- **Maximale URL-lengte (bytes)**: **65534**

- **Maximale queryreeks (bytes)**: **65534**

    Zie Request Limits (Aanvraaglimieten) in de IIS-referentiebibliotheek, voor meer informatie over deze instellingen en over de configuratie hiervan.

  7. Als u een certificaat wilt aanvragen met een kortere geldigheidsperiode dan de certificaatsjabloon die u gebruikt: Deze configuratie is voor een ondernemings-CA standaard uitgeschakeld. Het opdrachtregelprogramma Certutil gebruiken, vervolgens de certificaatservice stopzetten en opnieuw opstarten met behulp de volgende opdrachten, om deze optie op een ondernemings-CA in te schakelen:

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

    Zie Certificate Services Tools and Settings (Certificate Services: hulpprogramma's en instellingen) in de PKI-technologiebibliotheek op Technet, voor meer informatie.

  8. Controleer of de registratieservice voor netwerkapparaten werkt door de volgende koppeling als voorbeeld te gebruiken: https://server.contoso.com/certsrv/mscep/mscep.dll. U zou de ingebouwde webpagina van de registratieservice voor netwerkapparaten moeten zien. Deze webpagina legt uit waaruit de service bestaat en legt uit dat netwerkapparaten de URL gebruiken om certificaataanvragen te verzenden.

Nu dat de registratieservice voor netwerkapparaten en afhankelijkheden zijn geconfigureerd, bent u klaar om het certificaatregistratiepunt nu te installeren en configureren.

Stap 2: Het certificaatregistratiepunt installeren en configureren

U moet minstens een certificaatregistratiepunt installeren en configureren in de Configuration Manager hiërarchie en u kunt deze sitesysteemrol in de centrale beheersite of in een primaire site installeren.

System_CAPS_importantBelangrijk

Zie de sectie in het onderwerp voor vereisten voor het besturingssysteem en afhankelijkheden voor het certificaatregistratiepunt, voordat u het certificaatregistratiepunt installeert.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Het certificaatregistratiepunt installeren en configureren

  1. Klik in de Configuration Manager-console op Beheer.

  2. Siteconfiguratie uitklappen in de werkruimte Beheer, klikken op Servers en sitesysteemrollen en vervolgens de server selecteren die u wilt gebruiken voor het certificaatregistratiepunt.

  3. Klik op Sitesysteemrollen toevoegen in het tabblad Start, in de groep Server.

  4. Configureer de algemene instellingen voor het sitesysteem op de pagina Algemeen en klik vervolgens op Volgende.

  5. Klik op de pagina Proxy op Volgende. Het certificaatregistratiepunt gebruikt geen internetproxy-instellingen.

  6. Selecteer Certificaatregistratiepunt uit de lijst beschikbare rollen op de pagina Systeemrolselectie en klik vervolgens op Volgende.

  7. Aanvaard of wijzig de standaardinstellingen op de pagina Certificaatregistratiepunt en klik vervolgens op Toevoegen.

  8. In het dialoogvenster URL en CA-basiscertificaat toevoegen het volgende opgeven en klikken op OK:

    1. URL voor de registratieservice voor netwerkapparaten: Geef de URL op in de volgende indeling: https://<server_FQDN>/certsrv/mscep/mscep.dll. Als bijvoorbeeld de FQDN van de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd server1.contoso.com is, typt u https://server1.contoso.com/certsrv/mscep/mscep.dll.

    2. Basis-CA-certificaat: Blader naar het certificaatbestand (.cer) dat u hebt gemaakt in Stap 1: de registratieservice en afhankelijkheden voor netwerkapparaten installeren en configureren en selecteer dit. Met dit basis-CA-basiscertificaat kan het certificaatregistratiepunt het clientverificatiecertificaat valideren dat de Configuration Manager beleidsmodule gaat gebruiken.

    Notitie

    Als u meer dan één server gebruikt waarop de registratieservice voor netwerkapparaten wordt uitgevoerd, klikt u op Toevoegen om de details voor de andere servers op te geven.

  9. Klik op Volgende en voltooi de wizard.

  10. Wacht enkele minuten zodat de installatie kan worden voltooid en controleer vervolgens dat het certificaatregistratiepunt geïnstalleerd is aan de hand van een van de volgende methodes:

    • Systeemstatus uitvouwen in de werkruimte Bewaking, klikken op Onderdeelstatus en statusberichten van het SMS_CERTIFICATE_REGISTRATION_POINT-onderdeel zoeken.

    • Gebruik op de sitesysteemserver de bestanden *<Installatiepad Configuration Manager>\*Logs\crpsetup.log en <Installatiepad Configuration Manager>\Logs\crpmsi.log. Een geslaagde installatie retourneert een afsluitcode 0.

    • Controleer via een browser dat u verbinding kunt maken met de URL van het certificaatregistratiepunt—bijvoorbeeld: https://server1.contoso.com/CMCertificateRegistration. U moet een pagina van Serverfout zien voor de toepassingsnaam, met een HTTP 404-beschrijving.

  11. Zoek het geëxporteerde certificaatbestand voor de basis-CA dat het certificaatregistratiepunt automatisch in de volgende map op de primaire siteservercomputer heeft gemaakt: <ConfigMgr Installation Path>\inboxes\certmgr.box. Sla dit bestand op een beveiligde locatie op waartoe u veilig toegang kunt krijgen wanneer u later de Configuration Manager-beleidsmodule installeert op de server waarop de registratieservice voor netwerkapparaten uitgevoerd wordt.

    Tip

    Dit certificaat is niet onmiddellijk beschikbaar in deze map. Mogelijk moet u een tijdje wachten (bijvoorbeeld een half uur) voordat Configuration Manager het bestand naar deze locatie kopieert.

Nu dat het certificaatregistratiepunt is geïnstalleerd en geconfigureerd, bent u klaar om de Configuration Manager beleidsmodule voor de registratieservice voor netwerkapparaten te installeren.

Stap 3: De Configuration Manager-beleidsmodule installeren

U moet de Configuration Manager-beleidsmodule installeren en configureren op elke server die u opgegeven hebt in Stap 2: het certificaatregistratiepunt installeren en configureren als URL voor de registratieservice voor netwerkapparaten in de eigenschappen voor het certificaatregistratiepunt.

De beleidsmodule installeren

  1. Meld u op de server waarop de registratieservice voor netwerkapparaten uitgevoerd wordt, aan als domeinbeheerder en kopieer de volgende bestanden uit de map <InstallatiemediumConfigurationManager>\SMSSETUP\POLICYMODULE\X64 op het installatiemedium van Configuration Manager naar een tijdelijke map:

    - PolicyModule.msi

- PolicyModuleSetup.exe

    Als u een taalpakketmap hebt op de installatiemedia, kopieert u bovendien deze map en de inhoud hiervan.

  2. PolicyModuleSetup.exe van de tijdelijke map uitvoeren om de Configuration Manager beleidsmodule -installatiewizard te starten.

  3. Klik op de eerste pagina van de wizard op Volgende, aanvaard de licentievoorwaarden en klik vervolgens op Volgende.

  4. Op de pagina Installatiemap, de standaardinstallatiemap voor de beleidsmodule aanvaarden of een alternatieve map opgeven. Klik vervolgens op Volgende.

  5. Op de pagina Certificaatregistratiepunt, de URL van het certificaatregistratiepunt opgeven met behulp van de FQDN van de sitesysteemserver en de virtuele toepassingsnaam die opgegeven is in de eigenschappen voor het certificaatregistratiepunt. De standaardnaam van de virtuele toepassing is CMCertificateRegistration. Als bijvoorbeeld de sitesysteemserver een FQDN van server1.contoso.com heeft en u de standaardnaam van de virtuele toepassing gebruikte, geeft u https://server1.contoso.com/CMCertificateRegistration op.

  6. De standaardpoort van 443 aanvaarden of het alternatieve poortnummer opgeven dat door certificaatregistratiepunt wordt gebruikt en vervolgens klikken op Volgende.

  7. Blader op de pagina Clientcertificaat voor de beleidsmodule naar het certificaat voor clientverificatie dat u hebt geïmplementeerd in Stap 1: de registratieservice en afhankelijkheden voor netwerkapparaten installeren en configureren, geef dit op en klik op Volgende.

  8. Klik op de pagina Certificaatregistratiepunt op Bladeren om het geëxporteerde certificaatbestand voor de basis-CA te selecteren dat u aan het eind van Stap 2: het certificaatregistratiepunt installeren en configureren hebt gelokaliseerd en opgeslagen.

    Notitie

    Als u dit certificaatbestand nog niet hebt opgeslagen, bevindt het zich in <Installatiepad Configuration Manager>\inboxes\certmgr.box op de siteservercomputer.

  9. Klik op Volgende en voltooi de wizard.

Nu dat u de configuratiestappen hebt voltooid om de Network Device Enrollment Service en afhankelijkheden, het certificaatregistratiepunt en de Configuration Manager-beleidsmodule te installeren, bent u klaar om certificaten te implementeren op gebruikers en apparaten door certificaatprofielen te maken en te implementeren. Zie Certificaatprofielen maken in Configuration Manager voor meer informatie over het maken van certificaatprofielen.

Als u de Configuration Manager-beleidsmodule wilt verwijderen, gebruik dan Programma's en functies in Configuratiescherm.