Konfigurowanie modułu zasad do korzystania z nowego certyfikatu klienta w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Serwery, na których jest uruchomiony moduł zasad programu Menedżer konfiguracji i rola usługi rejestracji urządzeń sieciowych, uwierzytelniają moduł zasad na serwerze systemu lokacji punktu rejestracji certyfikatu w programie System Center 2012 Configuration Manager za pomocą certyfikatu klienta. Zwykle certyfikat uwierzytelniania klienta jest ważny przez jeden rok. Przed wygaśnięciem certyfikatu należy go odnowić, zaktualizować rejestr nowym certyfikatem, a następnie ponownie uruchomić serwer sieci web, na którym jest uruchomiona usługa rejestracji urządzeń sieciowych.
Uwaga
Gdy certyfikat jest nieważny, do pliku NDESPlugin.log jest wstawiany komunikat „ERROR("Failed to send http request <odcisk palca>. Error 12037", na serwerze, na którym jest uruchomiona usługa rejestracji urządzeń sieciowych. W komunikacie o błędzie ciąg znaków <odcisk palca> jest zastępowany odciskiem palca wygasłego certyfikatu.
Aby odnowić certyfikat:
Jeśli certyfikat klienta został zażądany ręcznie, ręcznie zażądaj nowego certyfikatu. Jeśli potrzebujesz pomocy we wdrażaniu tego certyfikatu, możesz posłużyć się instrukcjami z sekcji Wdrażanie certyfikatu klienta dla punktów dystrybucji z tematu Przykład krok po kroku wdrożenia certyfikatów PKI dla programu Configuration Manager: Urząd certyfikacji systemu Windows Server 2008. Istnieje jednak jeden wyjątek: Nie zaznaczaj pola wyboru Zezwalaj na eksportowanie klucza prywatnego na karcie Obsługiwanie żądań we właściwościach szablonu certyfikatu.
Jeśli ten certyfikat klienta został wdrożony automatycznie za pomocą rejestracji zasady grupy, zgodnie z domyślną konfiguracją żądanie nowego certyfikatu zostanie wysłane przed datą wygaśnięcia oryginalnego certyfikatu.
Po wdrożeniu nowego certyfikatu na serwerze, na którym jest uruchomiona usługa rejestracji urządzeń sieciowych i moduł zasad programu Menedżer konfiguracji, użyj poniższej procedury, aby skonfigurować serwer do korzystania z tego nowego certyfikatu.
Aby skonfigurować moduł zasad do korzystania z nowego certyfikatu klienta
-
Na serwerze, na którym jest uruchomiona usługa rejestracji urządzeń sieciowych i moduł zasad programu Menedżer konfiguracji, otwórz edytor rejestru i zastąp odcisk palca starego certyfikatu odciskiem nowego certyfikatu, używając poniższego klucza rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.
.jpeg "System_CAPS_tip")
PoradaAby zidentyfikować odcisk palca nowego certyfikatu, zlokalizuj certyfikat w magazynie komputera za pomocą przystawki certyfikatów. Następnie kliknij prawym przyciskiem myszy certyfikat, kliknij kolejno pozycje Właściwości i Wyświetl certyfikat, kliknij kartę Szczegóły, a następnie przewiń do pozycji Odcisk palca i wybierz ją. Zostanie wtedy wyświetlony możliwy do skopiowania ciąg znaków szesnastkowych, który jest odciskiem palca certyfikatu.
-
Ponownie uruchom usługi serwera sieci web przy użyciu jednej z następujących metod:
Za pomocą Menedżera internetowych usług informacyjnych (IIS): Przejdź w drzewie do węzła serwera sieci web. W okienku Akcje kliknij polecenie Uruchom ponownie.
Za pomocą wiersza polecenia: wpisz iisreset /restart i naciśnij Enter.
Więcej informacji znajduje się w temacie Start or Stop the Web Server (IIS 8) (Uruchamianie i zatrzymywanie serwera sieci Web (IIS 8)) w bibliotece TechNet systemu Windows Server.
Aby upewnić się, że moduł zasad używa nowego certyfikatu, na serwerze, na którym jest uruchomiona usługa rejestracji urządzeń sieciowych, możesz sprawdzić następujący wpis pliku NDESPlugin.log: INFO("NDES thumbprint is <odcisk palca>.", wszBuffer);