Udostępnij za pośrednictwem


Konfigurowanie infrastruktury certyfikatów

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Ważna

Począwszy od wersji 2203, ta funkcja dostępu do zasobów firmy nie jest już obsługiwana. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.

Dowiedz się, jak skonfigurować infrastrukturę certyfikatów w Configuration Manager. Przed rozpoczęciem sprawdź wszelkie wymagania wstępne wymienione w temacie Wymagania wstępne dotyczące profilów certyfikatów.

Te kroki umożliwiają skonfigurowanie infrastruktury dla certyfikatów SCEP lub PFX.

Krok 1. Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych i zależności (tylko dla certyfikatów SCEP)

Należy zainstalować i skonfigurować usługę roli usługi rejestracji urządzeń sieciowych dla usług certyfikatów Active Directory (AD CS), zmienić uprawnienia zabezpieczeń szablonów certyfikatów, wdrożyć certyfikat uwierzytelniania klienta infrastruktury kluczy publicznych (PKI) i edytować rejestr, aby zwiększyć domyślny limit rozmiaru adresów URL usług Internet Information Services (IIS). W razie potrzeby należy również skonfigurować urząd wystawiający certyfikaty (CA), aby zezwolić na niestandardowy okres ważności.

Ważna

Przed skonfigurowaniem Configuration Manager do pracy z usługą rejestracji urządzeń sieciowych sprawdź instalację i konfigurację usługi rejestracji urządzeń sieciowych. Jeśli te zależności nie działają poprawnie, będziesz mieć trudności z rozwiązywaniem problemów z rejestracją certyfikatów przy użyciu Configuration Manager.

Aby zainstalować i skonfigurować usługę rejestracji urządzeń sieciowych i zależności

  1. Na serwerze z systemem Windows Server 2012 R2 zainstaluj i skonfiguruj usługę roli usługi rejestracji urządzeń sieciowych dla roli serwera usług certyfikatów Active Directory. Aby uzyskać więcej informacji, zobacz Network Device Enrollment Service Guidance (Wskazówki dotyczące usługi rejestracji urządzeń sieciowych).

  2. Sprawdź i w razie potrzeby zmodyfikuj uprawnienia zabezpieczeń dla szablonów certyfikatów używanych przez usługę rejestracji urządzeń sieciowych:

    • Dla konta z uruchomioną konsolą Configuration Manager: uprawnienie odczytu.

      To uprawnienie jest wymagane, aby po uruchomieniu Kreatora tworzenia profilu certyfikatu można było wybrać szablon certyfikatu, którego chcesz użyć podczas tworzenia profilu ustawień protokołu SCEP. Wybranie szablonu certyfikatu oznacza, że niektóre ustawienia w kreatorze są wypełniane automatycznie, więc konfiguracja jest mniejsza i istnieje mniejsze ryzyko wybrania ustawień, które nie są zgodne z szablonami certyfikatów używanymi przez usługę rejestracji urządzeń sieciowych.

    • Dla konta usługi SCEP używanego przez pulę aplikacji usługi rejestracji urządzeń sieciowych: uprawnienia odczytu i rejestracji .

      To wymaganie nie jest specyficzne dla Configuration Manager, ale jest częścią konfigurowania usługi rejestracji urządzeń sieciowych. Aby uzyskać więcej informacji, zobacz Network Device Enrollment Service Guidance (Wskazówki dotyczące usługi rejestracji urządzeń sieciowych).

    Porada

    Aby zidentyfikować szablony certyfikatów używane przez usługę rejestracji urządzeń sieciowych, wyświetl następujący klucz rejestru na serwerze z uruchomioną usługą rejestracji urządzeń sieciowych: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    Uwaga

    Są to domyślne uprawnienia zabezpieczeń, które będą odpowiednie dla większości środowisk. Można jednak użyć alternatywnej konfiguracji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Planowanie uprawnień szablonu certyfikatu dla profilów certyfikatów.

  3. Wdróż na tym serwerze certyfikat PKI, który obsługuje uwierzytelnianie klienta. Na komputerze, którego można użyć, może być już zainstalowany odpowiedni certyfikat lub konieczne może być (lub preferowane) wdrożenie certyfikatu specjalnie do tego celu. Aby uzyskać więcej informacji na temat wymagań dotyczących tego certyfikatu, zapoznaj się ze szczegółami dotyczącymi serwerów z uruchomionym modułem zasad Configuration Manager z usługą roli usługi rejestracji urządzeń sieciowych w sekcji Certyfikaty infrastruktury kluczy publicznych dla serwerów w temacie Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych dla Configuration Manager.

    Porada

    Jeśli potrzebujesz pomocy przy wdrażaniu tego certyfikatu, możesz użyć instrukcji wdrażania certyfikatu klienta dla punktów dystrybucji, ponieważ wymagania dotyczące certyfikatów są takie same z jednym wyjątkiem:

    • Nie zaznaczaj pola wyboru Zezwalaj na eksportowanie klucza prywatnego na karcie Obsługa żądań właściwości szablonu certyfikatu.

      Nie trzeba eksportować tego certyfikatu z kluczem prywatnym, ponieważ będzie można przejść do lokalnego magazynu komputerów i wybrać go podczas konfigurowania modułu zasad Configuration Manager.

  4. Znajdź certyfikat główny, do których jest łańcuch certyfikatu uwierzytelniania klienta. Następnie wyeksportuj ten certyfikat głównego urzędu certyfikacji do pliku certyfikatu (cer). Zapisz ten plik w zabezpieczonej lokalizacji, do którą można bezpiecznie uzyskać dostęp podczas późniejszej instalacji i skonfigurowania serwera systemu lokacji dla punktu rejestracji certyfikatu.

  5. Na tym samym serwerze użyj edytora rejestru, aby zwiększyć domyślny limit rozmiaru adresu URL usług IIS, ustawiając następujące wartości dword klucza rejestru w HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

  6. Na tym samym serwerze w Menedżerze usług Internet Information Services (IIS) zmodyfikuj ustawienia filtrowania żądań dla aplikacji /certsrv/mscep, a następnie uruchom ponownie serwer. W oknie dialogowym Edytowanie ustawień filtrowania żądań ustawienia limitów żądań powinny wyglądać następująco:

    • Maksymalna dozwolona długość zawartości (bajty): 30000000

    • Maksymalna długość adresu URL (bajty): 65534

    • Maksymalny ciąg zapytania (bajty): 65534

      Aby uzyskać więcej informacji na temat tych ustawień i sposobu ich konfigurowania, zobacz Limity żądań usług IIS.

  7. Jeśli chcesz mieć możliwość żądania certyfikatu o krótszym okresie ważności niż używany szablon certyfikatu: Ta konfiguracja jest domyślnie wyłączona dla urzędu certyfikacji przedsiębiorstwa. Aby włączyć tę opcję w urzędzie certyfikacji przedsiębiorstwa, użyj narzędzia wiersza polecenia Certutil, a następnie zatrzymaj i uruchom ponownie usługę certyfikatów przy użyciu następujących poleceń:

    1. certutil — setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

      Aby uzyskać więcej informacji, zobacz Narzędzia i ustawienia usług certyfikatów.

  8. Sprawdź, czy usługa rejestracji urządzeń sieciowych działa, korzystając z następującego linku jako przykładu: https://server.contoso.com/certsrv/mscep/mscep.dll. Powinna zostać wyświetlona wbudowana strona internetowa usługi rejestracji urządzeń sieciowych. Na tej stronie internetowej wyjaśniono, czym jest usługa, i wyjaśniono, że urządzenia sieciowe używają adresu URL do przesyłania żądań certyfikatów.

    Teraz, po skonfigurowaniu usługi rejestracji urządzeń sieciowych i zależności, możesz zainstalować i skonfigurować punkt rejestracji certyfikatu.

Krok 2. Instalowanie i konfigurowanie punktu rejestracji certyfikatu.

Musisz zainstalować i skonfigurować co najmniej jeden punkt rejestracji certyfikatu w hierarchii Configuration Manager, a tę rolę systemu lokacji można zainstalować w centralnej lokacji administracyjnej lub w lokacji głównej.

Ważna

Przed zainstalowaniem punktu rejestracji certyfikatu zobacz sekcję Wymagania dotyczące systemu lokacji w temacie Obsługiwane konfiguracje dla Configuration Manager wymagań systemu operacyjnego i zależności punktu rejestracji certyfikatu.

Aby zainstalować i skonfigurować punkt rejestracji certyfikatu
  1. W konsoli Configuration Manager kliknij pozycję Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, kliknij pozycję Serwery i role systemu lokacji, a następnie wybierz serwer, którego chcesz użyć dla punktu rejestracji certyfikatu.

  3. Na karcie Narzędzia główne w grupie Serwer kliknij pozycję Dodaj role systemu lokacji.

  4. Na stronie Ogólne określ ogólne ustawienia systemu lokacji, a następnie kliknij przycisk Dalej.

  5. Na stronie Serwer proxy kliknij przycisk Dalej. Punkt rejestracji certyfikatu nie używa ustawień internetowego serwera proxy.

  6. Na stronie Wybór roli systemu wybierz pozycję Punkt rejestracji certyfikatu z listy dostępnych ról, a następnie kliknij przycisk Dalej.

  7. Na stronie Tryb rejestracji certyfikatu wybierz, czy ten punkt rejestracji certyfikatu ma przetwarzać żądania certyfikatów SCEP, czy przetwarzać żądania certyfikatów PFX. Punkt rejestracji certyfikatu nie może przetwarzać obu rodzajów żądań, ale możesz utworzyć wiele punktów rejestracji certyfikatów, jeśli pracujesz z obydwoma typami certyfikatów.

    W przypadku przetwarzania certyfikatów PFX należy wybrać urząd certyfikacji, Microsoft lub Entrust.

  8. Strona Ustawienia punktu rejestracji certyfikatu różni się w zależności od typu certyfikatu:

    • Jeśli wybrano pozycję Przetwarzanie żądań certyfikatów SCEP, skonfiguruj następujące elementy:

      • Nazwa witryny internetowej, numer portu HTTPS i nazwa aplikacji wirtualnej dla punktu rejestracji certyfikatu. Te pola są wypełniane automatycznie wartościami domyślnymi.
      • Adres URL usługi rejestracji urządzeń sieciowych i certyfikatu głównego urzędu certyfikacji — kliknij przycisk Dodaj, a następnie w oknie dialogowym Dodawanie adresu URL i certyfikatu głównego urzędu certyfikacji określ następujące opcje:
        • Adres URL usługi rejestracji urządzeń sieciowych: określ adres URL w następującym formacie: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Jeśli na przykład nazwa FQDN serwera z uruchomioną usługą rejestracji urządzeń sieciowych jest server1.contoso.com, wpisz https://server1.contoso.com/certsrv/mscep/mscep.dll.
        • Certyfikat głównego urzędu certyfikacji: przejdź do pliku certyfikatu (cer) utworzonego i zapisanego w kroku 1. Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych i zależności. Ten certyfikat głównego urzędu certyfikacji umożliwia punktowi rejestracji certyfikatu zweryfikowanie certyfikatu uwierzytelniania klienta używanego przez moduł zasad Configuration Manager.
    • W przypadku wybrania opcji Przetwórz żądania certyfikatów PFX skonfigurujesz szczegóły połączenia i poświadczenia dla wybranego urzędu certyfikacji.

      • Aby użyć Microsoft jako urzędu certyfikacji, kliknij przycisk Dodaj, a następnie w oknie dialogowym Dodawanie urzędu certyfikacji i konta określ następujące opcje:

        • Nazwa serwera urzędu certyfikacji — wprowadź nazwę serwera urzędu certyfikacji.

        • Konto urzędu certyfikacji — kliknij pozycję Ustaw , aby wybrać, lub utwórz konto, które ma uprawnienia do rejestrowania w szablonach w urzędzie certyfikacji.

        • Konto połączenia punktu rejestracji certyfikatu — wybierz lub utwórz konto łączące punkt rejestracji certyfikatu z bazą danych Configuration Manager. Na zmianę można użyć konta komputera lokalnego komputera hostującego punkt rejestracji certyfikatu.

        • Konto publikowania certyfikatów usługi Active Directory — wybierz konto lub utwórz nowe konto, które będzie używane do publikowania certyfikatów w obiektach użytkowników w usłudze Active Directory.

        • W oknie dialogowym Rejestrowanie urządzeń sieciowych i certyfikat głównego urzędu certyfikacji podaj następujące informacje, a następnie kliknij przycisk OK:

      • Aby użyć funkcji Entrust jako urzędu certyfikacji, określ:

        • Adres URL usługi internetowej MDM

        • Poświadczenia nazwy użytkownika i hasła dla adresu URL.

          W przypadku używania interfejsu API MDM do definiowania adresu URL usługi internetowej Entrust należy użyć co najmniej wersji 9 interfejsu API, jak pokazano w poniższym przykładzie:

          https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

          Wcześniejsze wersje interfejsu API nie obsługują funkcji Entrust.

  9. Kliknij przycisk Dalej i ukończ pracę kreatora.

  10. Poczekaj kilka minut na zakończenie instalacji, a następnie sprawdź, czy punkt rejestracji certyfikatu został pomyślnie zainstalowany przy użyciu dowolnej z następujących metod:

    • W obszarze roboczym Monitorowanie rozwiń węzeł Stan systemu, kliknij pozycję Stan składnika i wyszukaj komunikaty o stanie ze składnika SMS_CERTIFICATE_REGISTRATION_POINT .

    • Na serwerze systemu lokacji użyj <pliku Ścieżka> instalacji programu ConfigMgr\Logs\crpsetup.log i <ścieżki> instalacji programu ConfigMgr\Logs\crpmsi.log. Pomyślna instalacja zwróci kod zakończenia 0.

    • Za pomocą przeglądarki sprawdź, czy możesz nawiązać połączenie z adresem URL punktu rejestracji certyfikatu. Na przykład https://server1.contoso.com/CMCertificateRegistration. Powinna zostać wyświetlona strona Błąd serwera dla nazwy aplikacji z opisem HTTP 404.

  11. Znajdź wyeksportowany plik certyfikatu głównego urzędu certyfikacji, który punkt rejestracji certyfikatu został automatycznie utworzony w następującym folderze na komputerze serwera lokacji głównej: <Ścieżka> instalacji programu ConfigMgr\inboxes\certmgr.box. Zapisz ten plik w zabezpieczonej lokalizacji, do którą można bezpiecznie uzyskać dostęp podczas późniejszej instalacji modułu zasad Configuration Manager na serwerze z uruchomioną usługą rejestracji urządzeń sieciowych.

    Porada

    Ten certyfikat nie jest natychmiast dostępny w tym folderze. Może być konieczne odczekanie czasu (na przykład pół godziny), zanim Configuration Manager skopiować plik do tej lokalizacji.

Krok 3. Instalowanie modułu zasad Configuration Manager (tylko dla certyfikatów SCEP).

Należy zainstalować i skonfigurować moduł zasad Configuration Manager na każdym serwerze określonym w kroku 2. Instalowanie i konfigurowanie punktu rejestracji certyfikatu jako adresu URL usługi rejestracji urządzeń sieciowych we właściwościach punktu rejestracji certyfikatu.

Aby zainstalować moduł zasad
  1. Na serwerze z uruchomioną usługą rejestracji urządzeń sieciowych zaloguj się jako administrator domeny i skopiuj następujące pliki z folderu <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 na nośniku instalacyjnym Configuration Manager do folderu tymczasowego:

    • PolicyModule.msi

    • PolicyModuleSetup.exe

    Ponadto, jeśli masz folder LanguagePack na nośniku instalacyjnym, skopiuj ten folder i jego zawartość.

  2. W folderze tymczasowym uruchom polecenie PolicyModuleSetup.exe, aby uruchomić kreatora konfiguracji modułu zasad Configuration Manager.

  3. Na początkowej stronie kreatora kliknij przycisk Dalej, zaakceptuj postanowienia licencyjne, a następnie kliknij przycisk Dalej.

  4. Na stronie Folder instalacji zaakceptuj domyślny folder instalacyjny modułu zasad lub określ folder alternatywny, a następnie kliknij przycisk Dalej.

  5. Na stronie Punkt rejestracji certyfikatu określ adres URL punktu rejestracji certyfikatu przy użyciu nazwy FQDN serwera systemu lokacji i nazwy aplikacji wirtualnej określonej we właściwościach punktu rejestracji certyfikatu. Domyślna nazwa aplikacji wirtualnej to CMCertificateRegistration. Jeśli na przykład serwer systemu lokacji ma nazwę FQDN server1.contoso.com i użyto domyślnej nazwy aplikacji wirtualnej, określ https://server1.contoso.com/CMCertificateRegistrationwartość .

  6. Zaakceptuj domyślny port 443 lub określ alternatywny numer portu używany przez punkt rejestracji certyfikatu, a następnie kliknij przycisk Dalej.

  7. Na stronie Certyfikat klienta modułu zasadprzejdź do i określ certyfikat uwierzytelniania klienta wdrożony w kroku 1. Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych i zależności, a następnie kliknij przycisk Dalej.

  8. Na stronie Certyfikat punktu rejestracji certyfikatu kliknij przycisk Przeglądaj , aby wybrać wyeksportowany plik certyfikatu dla głównego urzędu certyfikacji, który został zlokalizowany i zapisany na końcu kroku 2. Instalowanie i konfigurowanie punktu rejestracji certyfikatu.

    Uwaga

    Jeśli plik certyfikatu nie został wcześniej zapisany, znajduje się on w <polu Ścieżka> instalacji programu ConfigMgr\inboxes\certmgr.box na komputerze serwera lokacji.

  9. Kliknij przycisk Dalej i ukończ pracę kreatora.

    Jeśli chcesz odinstalować moduł zasad Configuration Manager, użyj funkcji i programów w Panel sterowania.

Po wykonaniu kroków konfiguracji możesz przystąpić do wdrażania certyfikatów dla użytkowników i urządzeń, tworząc i wdrażając profile certyfikatów. Aby uzyskać więcej informacji na temat tworzenia profilów certyfikatów, zobacz How to create certificate profiles (Jak tworzyć profile certyfikatów).