Konfigurowanie profili certyfikatów w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Uwaga

Informacje w tym temacie dotyczą tylko wersji programu System Center 2012 R2 Configuration Manager

Aby móc użyć programu Menedżer konfiguracji do rejestrowania certyfikatów na urządzeniach i dla użytkowników, należy wykonać czynności konfiguracyjne opisane w tym temacie.

Procedura konfigurowania rejestracji certyfikatów w programie Configuration Manager

W poniższej tabeli przedstawiono kroki, szczegóły i dodatkowe informacje o sposobie konfigurowania rejestracji certyfikatów w programie Menedżer konfiguracji. Przed rozpoczęciem należy sprawdzić ewentualne wymagania wstępne wymienione w temacie Wymagania wstępne dotyczące profili certyfikatów w programie Configuration Manager.

Po wykonaniu wskazanych kroków i zweryfikowaniu instalacji można skonfigurować i wdrożyć profile certyfikatów. Aby uzyskać więcej informacji, zobacz Tworzenie profili certyfikatów w programie Configuration Manager.

Kroki	Szczegóły	Więcej informacji
Krok 1: Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych oraz zależności	Usługa roli usługi rejestracji urządzeń sieciowych dla Usług certyfikatów Active Directory (AD CS) musi być uruchomiona w systemie operacyjnym Windows Server 2012 R2. Ważne Aby móc użyć usługi rejestracji urządzeń sieciowych w programie Menedżer konfiguracji, należy ukończyć dodatkowe czynności konfiguracyjne.	Zobacz Krok 1: Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych oraz zależności w tym temacie.
Krok 2: Instalowanie i konfigurowanie punktu rejestracji certyfikatu	Należy zainstalować co najmniej jeden punkt rejestracji certyfikatu. Punkt rejestracji certyfikatu może znajdować się w centralnej lokacji administracyjnej lub w lokacji głównej.	Zobacz Krok 2: Instalowanie i konfigurowanie punktu rejestracji certyfikatu w tym temacie.
Krok 3: Instalowanie modułu zasad programu Menedżer konfiguracji	Moduł zasad należy zainstalować na serwerze z uruchomioną usługą rejestracji urządzeń sieciowych.	Zobacz Krok 3: Instalowanie modułu zasad programu Configuration Manager w tym temacie.

Procedury uzupełniające konfigurowania rejestracji certyfikatów w programie Configuration Manager

Jeżeli kroki opisane w poprzedniej tabeli wymagają wykonania dodatkowych czynności, zapoznaj się z poniższymi informacjami.

Krok 1: Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych oraz zależności

Należy zainstalować i skonfigurować usługę roli usługi rejestracji urządzeń sieciowych dla Usług certyfikatów Active Directory (AD CS), zmienić uprawnienia zabezpieczeń w szablonach certyfikatów, wdrożyć certyfikat uwierzytelniania klienta infrastruktury kluczy publicznych (PKI) i wyedytować rejestr w celu zwiększenia domyślnego limitu rozmiaru adresu URL dla usług Internet Information Services (IIS). W razie potrzeby należy także skonfigurować urząd certyfikacji wystawiający certyfikat do zezwalania na niestandardowy okres ważności.

Ważne
Przed skonfigurowaniem programu Menedżer konfiguracji do pracy z usługą rejestracji urządzeń sieciowych należy zweryfikować instalację i konfigurację usługi rejestracji urządzeń sieciowych. Jeśli odpowiednie zależności nie działają prawidłowo, rozwiązywanie problemów z rejestracją certyfikatów za pomocą programu Menedżer konfiguracji będzie sprawiać trudności.

Aby zainstalować i skonfigurować usługę rejestracji urządzeń sieciowych oraz zależności

1. Na serwerze z systemem Windows Server 2012 R2 zainstaluj i skonfiguruj usługę roli usługi rejestracji urządzeń sieciowych dla roli serwera Usług certyfikatów Active Directory. Więcej informacji znajduje się w temacie Network Device Enrollment Service Guidance (Wskazówki dotyczące usługi rejestracji urządzeń sieciowych) w bibliotece Usług certyfikatów Active Directory w witrynie TechNet.

2. Sprawdź, a w razie potrzeby zmodyfikuj, uprawnienia zabezpieczeń szablonów certyfikatów używane przez usługę rejestracji urządzeń sieciowych:

   - W przypadku konta, na którym jest uruchomiona konsola programu Menedżer konfiguracji: uprawnienie **Odczyt**.
   
     To uprawnienie jest wymagane, aby po uruchomieniu kreatora tworzenia profilu certyfikatu można było w trybie przeglądania wybrać szablon certyfikatu, którego chce się użyć podczas tworzenia profilu ustawień SCEP. Wybór szablonu certyfikatu oznacza, że niektóre ustawienia w kreatorze zostaną wypełnione automatycznie, dzięki czemu pozostanie mniej do skonfigurowania i zmniejszy się ryzyko wyboru ustawień niezgodnych z szablonami certyfikatów, z których korzysta usługa rejestracji urządzeń sieciowych.
   
   - W przypadku konta usługi SCEP używanego przez pulę aplikacji usługi rejestracji urządzeń sieciowych: uprawnienia **Odczyt** i **Rejestracja**.
   
     To wymaganie nie jest specyficzne dla programu Menedżer konfiguracji, ale stanowi część konfigurowania usług rejestracji urządzeń sieciowych. Więcej informacji znajduje się w temacie [Network Device Enrollment Service Guidance (Wskazówki dotyczące usługi rejestracji urządzeń sieciowych)](https://go.microsoft.com/fwlink/p/?linkid=309016) w bibliotece Usług certyfikatów Active Directory w witrynie TechNet.
   

   Porada
   Aby zidentyfikować szablony certyfikatów, z których korzysta usługa rejestracji urządzeń sieciowych, wyświetl następujący klucz rejestru na serwerze z uruchomioną usługą rejestracji urządzeń sieciowych: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Uwaga

   Powyższe domyślne uprawnienia zabezpieczeń będą właściwe dla większości środowisk. Można jednak użyć alternatywnej konfiguracji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Planowanie dotyczące uprawnień szablonów certyfikatów dla profili certyfikatów w programie Configuration Manager.

3. Wdróż na tym serwerze certyfikat PKI obsługujący uwierzytelnianie klienta. Odpowiedni do użycia certyfikat może już być zainstalowany na komputerze, ale może zajść konieczność (lub preferencja) wdrożenia pewnego certyfikatu w tym konkretnym celu. Więcej informacji o wymaganiach dotyczących tego certyfikatu znajduje się we fragmencie „Serwery z uruchomionym modułem zasad programu Configuration Manager i usługą roli usługi rejestracji urządzeń sieciowych” w sekcji Certyfikaty PKI dla serwerów w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager.

   Porada

   Jeśli jest potrzebna pomoc we wdrażaniu tego certyfikatu, można użyć instrukcji z sekcji Wdrażanie certyfikatu klienta dla punktów dystrybucji w temacie Przykład krok po kroku wdrożenia certyfikatów PKI dla programu Configuration Manager: Urząd certyfikacji systemu Windows Server 2008, ponieważ wymagania certyfikatu są takie same z jednym wyjątkiem: Nie zaznaczaj pola wyboru Zezwalaj na eksportowanie klucza prywatnego na karcie Obsługiwanie żądań we właściwościach szablonu certyfikatu. Nie musisz eksportować tego certyfikatu z kluczem prywatnym, ponieważ będziesz mieć możliwość przejścia w trybie przeglądania do lokalnego magazynu Komputer i wybrania go podczas konfigurowania modułu zasad programu Menedżer konfiguracji.

4. Zlokalizuj certyfikat główny, z którym łączy się łańcuchem certyfikat uwierzytelniania klienta. Następnie wyeksportuj ten certyfikat głównego urzędu certyfikacji do pliku certyfikatu (.cer). Zapisz ten plik w zabezpieczonej lokalizacji, do której będziesz mieć bezpieczny dostęp podczas późniejszej instalacji i konfiguracji serwera systemu lokacji dla punktu rejestracji certyfikatu.

5. Na tym samym serwerze użyj edytora rejestru do zwiększenia domyślnego limitu rozmiaru adresu URL dla usług IIS, ustawiając następujące wartości DWORD klucza rejestru w pozycji HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   - Dla klucza **MaxFieldLength** ustaw wartość **65534**.
   
   - Dla klucza **MaxRequestBytes** ustaw wartość **16777216**.
   

   Więcej informacji znajduje się w artykule 820129: Ustawienia rejestru http.sys w systemie Windows w Bazie wiedzy Microsoft Knowledge Base.

6. Na tym samym serwerze, w Menedżerze usług Internet Information Services (IIS), zmodyfikuj ustawienia filtrowania żądań dla aplikacji /certsrv/mscep, po czym uruchom serwer ponownie. W oknie dialogowym Edytowanie ustawień filtrowania żądań ustawienia Limity żądań powinny mieć następujące wartości:

   - **Maksymalna dozwolona długość zawartości (w bajtach)**: **30000000**
   
   - **Maksymalna długość adresu URL (w bajtach)**: **65534**
   
   - **Maksymalna długość ciągu zapytania (w bajtach)**: **65534**
   

   Więcej informacji o tych ustawieniach i sposobach ich konfigurowania znajduje się w temacie Requests Limits (Limity żądań) w Bibliotece informacyjnej usług IIS.

7. Jeśli chcesz mieć możliwość żądania certyfikatu o krótszym okresie ważności niż szablon certyfikatu, z którego korzystasz: ta konfiguracja jest domyślnie wyłączona dla urzędu certyfikacji przedsiębiorstwa. Aby włączyć tę opcję w urzędzie certyfikacji przedsiębiorstwa, użyj narzędzia wiersza polecenia Certutil, a następnie zatrzymaj i uruchom ponownie usługę certyfikatu, używając następujących poleceń:

   1. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

   Więcej informacji znajduje się w sekcji Certificate Services Tools and Settings (Narzędzia i ustawienia usług certyfikatów) w bibliotece technologii PKI w witrynie TechNet.

8. Zweryfikuj, że usługa rejestracji urządzeń sieciowych działa, używając następującego linku przykładowego: https://server.contoso.com/certsrv/mscep/mscep.dll. Powinna wyświetlić się wbudowana strona sieci Web usługi rejestracji urządzeń sieciowych. Na stronie sieci Web wyjaśniono, na czym polega ta usługa i objaśniono, że urządzenia sieciowe używają tego adresu URL do przekazywania żądań certyfikatów.

Teraz, po skonfigurowaniu usługi rejestracji urządzeń sieciowych wraz z zależnościami, wszystko jest gotowe do instalowania i konfigurowania punktu rejestracji certyfikatu.

Krok 2: Instalowanie i konfigurowanie punktu rejestracji certyfikatu

W hierarchii programu Menedżer konfiguracji należy zainstalować i skonfigurować przynajmniej jeden punkt rejestracji certyfikatu, a tę rolę systemu lokacji można zainstalować w centralnej lokacji administracyjnej lub w lokacji głównej.

Ważne
Przed zainstalowaniem punktu rejestracji certyfikatu należy zapoznać się z sekcją w temacie , aby poznać wymagania dotyczące systemu operacyjnego oraz zależności dla punktu rejestracji certyfikatu.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Aby zainstalować i skonfigurować punkt rejestracji certyfikatu

1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

2. W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, kliknij przycisk Serwery i role systemu lokacji, a następnie wybierz serwer, którego chcesz użyć na potrzeby punktu rejestracji certyfikatu.

3. Na karcie Narzędzia główne w grupie Serwer kliknij przycisk Dodaj role systemu lokacji.

4. Na stronie Ogólne określ ustawienia ogólne systemu lokacji, a następnie kliknij przycisk Dalej.

5. Na stronie Serwer proxy kliknij przycisk Dalej. Punkt rejestracji certyfikatu nie korzysta z ustawień internetowego serwera proxy.

6. Na stronie Wybór roli systemu wybierz z listy dostępnych ról element Punkt rejestracji certyfikatu, a następnie kliknij przycisk Dalej.

7. Na stronie Punkt rejestracji certyfikatu zaakceptuj lub zmień ustawienia domyślne, a następnie kliknij przycisk Dodaj.

8. W oknie dialogowym Dodawanie adresu URL i certyfikatu głównego urzędu certyfikacji określ następujące wartości, a następnie kliknij przycisk OK:

   1. Adres URL dla usługi rejestracji urządzeń sieciowych: Podaj adres URL w następującym formacie: https://<server_FQDN>/certsrv/mscep/mscep.dll. Jeśli na przykład nazwa FQDN serwera z uruchomioną usługą rejestracji urządzeń sieciowych to server1.contoso.com, wpisz https://server1.contoso.com/certsrv/mscep/mscep.dll.

   2. Certyfikat głównego urzędu certyfikacji: W trybie przeglądania wybierz plik certyfikatu (.cer) uprzednio utworzony i zapisany w Kroku 1: Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych oraz zależności. Ten certyfikat głównego urzędu certyfikacji pozwala punktowi rejestracji certyfikatu zweryfikować certyfikat uwierzytelniania klienta, z którego będzie korzystał moduł zasad programu Menedżer konfiguracji.

   Uwaga

   Jeśli używasz więcej niż jednego serwera z uruchomioną usługą rejestracji urządzeń sieciowych, kliknij przycisk Dodaj, aby określić szczegóły pozostałych serwerów.

9. Kliknij przycisk Dalej i ukończ pracę kreatora.

10. Odczekaj kilka minut na zakończenie instalacji, a następnie zweryfikuj, że punkt rejestracji certyfikatu został zainstalowany pomyślnie, posługując się dowolną z następujących metod:

    • W obszarze roboczym Monitorowanie rozwiń węzeł Stan systemu, kliknij pozycję Stan zawartości i poszukaj komunikatów o stanie składnika SMS_CERTIFICATE_REGISTRATION_POINT.

    • Na serwerze systemu lokacji użyj plików <ścieżka instalacji programu Configuration Manager>\Logs\crpsetup.log i <ścieżka instalacji programu Configuration Manager>\Logs\crpmsi.log. Instalacja, która się powiodła, zwróci kod zakończenia 0.

    • Używając przeglądarki, zweryfikuj, że możesz połączyć się z adresem URL punktu rejestracji certyfikatu — na przykład https://server1.contoso.com/CMCertificateRegistration. Dla nazwy aplikacji powinna się wyświetlić strona Błąd serwera z opisem HTTP 404.

11. Zlokalizuj plik wyeksportowanego certyfikatu dla głównego urzędu certyfikacji, który punkt rejestracji certyfikatu automatycznie utworzył, w następującym folderze na komputerze serwera lokacji głównej: <ConfigMgr Installation Path>\inboxes\certmgr.box. Zapisz ten plik w zabezpieczonej lokalizacji, do której będziesz mieć bezpieczny dostęp podczas późniejszej instalacji modułu zasad programu Menedżer konfiguracji na serwerze z uruchomioną usługą rejestracji urządzeń sieciowych.

    Porada
    Ten certyfikat nie jest od razu dostępny we wspomnianym folderze. Warto odczekać jakiś czas (na przykład pół godziny), aż program Menedżer konfiguracji skopiuje plik do tej lokalizacji.

Teraz, po zainstalowaniu i skonfigurowaniu punktu rejestracji certyfikatu, wszystko jest gotowe do instalowania modułu zasad programu Menedżer konfiguracji dla usługi rejestracji urządzeń sieciowych.

Krok 3: Instalowanie modułu zasad programu Configuration Manager

Moduł zasad programu Menedżer konfiguracji należy zainstalować i skonfigurować na każdym serwerze, który określono w Kroku 2: Instalowanie i konfigurowanie punktu rejestracji certyfikatu jako Adres URL dla usługi rejestracji urządzeń sieciowych we właściwościach punktu rejestracji certyfikatu.

Aby zainstalować moduł zasad

1. Na serwerze z uruchomioną usługą rejestracji urządzeń sieciowych zaloguj się jako administrator domeny i skopiuj następujące pliki z nośnika instalacyjnego programu Menedżer konfiguracji, z folderu <nośnik instalacyjny programu Configuration Manager>\SMSSETUP\POLICYMODULE\X64, do folderu tymczasowego:

   - PolicyModule.msi
   
   - PolicyModuleSetup.exe
   

   Jeśli ponadto na nośniku instalacyjnym jest folder LanguagePack, skopiuj także ten folder wraz z całą zawartością.

2. Uruchom z folderu tymczasowego program PolicyModuleSetup.exe, aby uruchomić kreatora instalacji modułu zasad programu Menedżer konfiguracji.

3. Na początkowej stronie kreatora kliknij przycisk Dalej, zaakceptuj postanowienia licencyjne, a następnie kliknij przycisk Dalej.

4. Na stronie Folder instalacji zaakceptuj domyślny folder instalacji dla modułu zasad lub określ folder alternatywny, a następnie kliknij przycisk Dalej.

5. Na stronie Punkt rejestracji certyfikatu określ adres URL punktu rejestracji certyfikatu, używając nazwy FQDN serwera systemu lokacji i nazwy aplikacji wirtualnej określonej we właściwościach punktu rejestracji certyfikatu. Domyślna nazwa aplikacji wirtualnej to CMCertificateRegistration. Jeśli na przykład serwer systemu lokacji ma nazwę FQDN server1.contoso.com i została użyta domyślna nazwa aplikacji wirtualnej, podaj wartość https://server1.contoso.com/CMCertificateRegistration.

6. Zaakceptuj domyślny numer portu 443 lub określ alternatywny numer portu, którego używa punkt rejestracji certyfikatu, a następnie kliknij przycisk Dalej.

7. Na stronie Certyfikat klienta dla modułu zasad określ w trybie przeglądania certyfikat uwierzytelniania klienta wdrożony w Kroku 1: Instalowanie i konfigurowanie usługi rejestracji urządzeń sieciowych oraz zależności, a następnie kliknij przycisk Dalej.

8. Na stronie Certyfikat punktu rejestracji certyfikatu kliknij przycisk Przeglądaj i wybierz plik wyeksportowanego certyfikatu dla głównego urzędu certyfikacji, zlokalizowany i zapisany pod koniec Kroku 2: Instalowanie i konfigurowanie punktu rejestracji certyfikatu.

   Uwaga

   Jeśli wcześniej nie zapisano tego pliku certyfikatu, znajduje się on w pliku <ścieżka instalacji programu Configuration Manager>\inboxes\certmgr.box na komputerze serwera lokacji.

9. Kliknij przycisk Dalej i ukończ pracę kreatora.

Po ukończeniu czynności konfiguracyjnych związanych z instalowaniem usługi rejestracji urządzeń sieciowych i zależności, punktu rejestracji certyfikatu oraz modułu zasad programu Menedżer konfiguracji można wdrożyć certyfikaty na użytkownikach i urządzeniach, tworząc i wdrażając profile certyfikatów. Więcej informacji o sposobie tworzenia profili certyfikatów znajduje się w temacie Tworzenie profili certyfikatów w programie Configuration Manager.

Aby odinstalować moduł zasad programu Menedżer konfiguracji, należy użyć apletu Programy i funkcje w Panelu sterowania.

Zobacz też

Profile certyfikatów w programie Configuration Manager