Настройка инфраструктуры сертификатов
Относится к Configuration Manager (Current Branch)
Важно!
Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.
Узнайте, как настроить инфраструктуру сертификатов в Configuration Manager. Прежде чем начать, проверьте наличие необходимых компонентов, перечисленных в разделе Предварительные требования для профилей сертификатов.
Выполните эти действия, чтобы настроить инфраструктуру для сертификатов SCEP или PFX.
Шаг 1. Установка и настройка службы регистрации сетевых устройств и зависимостей (только для сертификатов SCEP)
Необходимо установить и настроить службу ролей службы регистрации сетевых устройств для служб сертификатов Active Directory (AD CS), изменить разрешения безопасности в шаблонах сертификатов, развернуть сертификат проверки подлинности клиента инфраструктуры открытых ключей (PKI) и изменить реестр, чтобы увеличить ограничение на размер URL-адресов служб IIS по умолчанию. При необходимости необходимо также настроить выдающий центр сертификации (ЦС), чтобы разрешить настраиваемый период действия.
Важно!
Прежде чем настроить Configuration Manager для работы со службой регистрации сетевых устройств, проверьте установку и настройку службы регистрации сетевых устройств. Если эти зависимости работают неправильно, вам будет трудно устранить неполадки при регистрации сертификата с помощью Configuration Manager.
Установка и настройка службы регистрации сетевых устройств и зависимостей
На сервере под управлением Windows Server 2012 R2 установите и настройте службу роли службы регистрации сетевых устройств для роли сервера служб сертификатов Active Directory. Дополнительные сведения см. в разделе Руководство по службе регистрации сетевых устройств.
Проверьте и при необходимости измените разрешения безопасности для шаблонов сертификатов, которые использует служба регистрации сетевых устройств:
Для учетной записи, которая запускает консоль Configuration Manager: разрешение на чтение.
Это разрешение требуется, чтобы при запуске мастера создания профиля сертификата можно было выбрать шаблон сертификата, который будет использоваться при создании профиля параметров SCEP. Выбор шаблона сертификата означает, что некоторые параметры в мастере заполняются автоматически, поэтому вам будет меньше настраиваться и меньше риска выбора параметров, несовместимых с шаблонами сертификатов, которые используются службой регистрации сетевых устройств.
Для учетной записи службы SCEP, которую использует пул приложений Службы регистрации сетевых устройств: разрешения на чтение и регистрацию .
Это требование не относится к Configuration Manager но является частью настройки службы регистрации сетевых устройств. Дополнительные сведения см. в разделе Руководство по службе регистрации сетевых устройств.
Совет
Чтобы определить, какие шаблоны сертификатов использует служба регистрации сетевых устройств, просмотрите следующий раздел реестра на сервере, на котором запущена служба регистрации сетевых устройств: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
Примечание.
Это разрешения безопасности по умолчанию, которые подходят для большинства сред. Однако можно использовать альтернативную конфигурацию безопасности. Дополнительные сведения см. в разделе Планирование разрешений шаблона сертификата для профилей сертификатов.
Разверните на этом сервере PKI-сертификат, поддерживающий проверку подлинности клиента. Возможно, на компьютере, который вы можете использовать, уже установлен подходящий сертификат, или вам может потребоваться (или предпочесть) развернуть сертификат специально для этой цели. Дополнительные сведения о требованиях к этому сертификату см. в статье Серверы, на которых выполняется модуль политики Configuration Manager со службой роли Службы регистрации сетевых устройств, в разделе PKI-сертификаты для серверов раздела Требования К PKI-сертификатам для Configuration Manager.
Совет
Если вам нужна помощь в развертывании этого сертификата, воспользуйтесь инструкциями по развертыванию сертификата клиента для точек распространения, так как требования к сертификату совпадают с одним исключением:
Не установите флажок Разрешить экспорт закрытого ключа на вкладке Обработка запросов свойств шаблона сертификата.
Вам не нужно экспортировать этот сертификат с закрытым ключом, так как вы сможете перейти к локальному хранилищу компьютеров и выбрать его при настройке модуля политики Configuration Manager.
Найдите корневой сертификат, к которому связан сертификат проверки подлинности клиента. Затем экспортируйте этот сертификат корневого ЦС в CER-файл сертификата. Сохраните этот файл в защищенном расположении, к которому вы сможете получить безопасный доступ при последующей установке и настройке сервера системы сайта для точки регистрации сертификатов.
На том же сервере используйте редактор реестра, чтобы увеличить ограничение на размер URL-адресов iis по умолчанию, задав следующие значения DWORD раздела реестра в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:
Задайте для параметра MaxFieldLength значение 65534.
Задайте для параметра MaxRequestBytesзначение 16777216.
Дополнительные сведения см. в статье служба поддержки Майкрософт 820129: параметры реестра Http.sys для Windows.
На том же сервере в диспетчере служб IIS измените параметры фильтрации запросов для приложения /certsrv/mscep, а затем перезапустите сервер. В диалоговом окне Изменение параметров фильтрации запросов параметры ограничения запросов должны быть следующими:
Максимальная допустимая длина содержимого (байт):30000000
Максимальная длина URL-адреса (в байтах):65534
Максимальная строка запроса (байт):65534
Дополнительные сведения об этих параметрах и их настройке см. в разделе Ограничения запросов IIS.
Если вы хотите запросить сертификат с более низким сроком действия, чем используемый шаблон сертификата: эта конфигурация по умолчанию отключена для корпоративного ЦС. Чтобы включить этот параметр в корпоративном ЦС, используйте программу командной строки Certutil, а затем остановите и перезапустите службу сертификатов с помощью следующих команд:
certutil — setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
Дополнительные сведения см. в разделе Средства и параметры служб сертификатов.
Убедитесь, что служба регистрации сетевых устройств работает, используя следующую ссылку в качестве примера:
https://server.contoso.com/certsrv/mscep/mscep.dll
. Вы увидите веб-страницу встроенной службы регистрации сетевых устройств. На этой веб-странице объясняется, что такое служба, и объясняется, что сетевые устройства используют URL-адрес для отправки запросов на сертификат.Теперь, когда настроена служба регистрации сетевых устройств и зависимости, вы можете установить и настроить точку регистрации сертификатов.
Шаг 2. Установка и настройка точки регистрации сертификата.
Необходимо установить и настроить хотя бы одну точку регистрации сертификатов в иерархии Configuration Manager. Эту роль системы сайта можно установить на сайте центра администрирования или на первичном сайте.
Важно!
Перед установкой точки регистрации сертификатов см. раздел Требования к системе сайта раздела Поддерживаемые конфигурации для Configuration Manager сведения о требованиях к операционной системе и зависимостях для точки регистрации сертификатов.
Установка и настройка точки регистрации сертификатов
В консоли Configuration Manager щелкните Администрирование.
В рабочей области Администрирование разверните узел Конфигурация сайта, щелкните Серверы и роли системы сайта, а затем выберите сервер, который нужно использовать для точки регистрации сертификатов.
На вкладке Главная в группе Сервер щелкните Добавить роли системы сайта.
На странице Общие укажите общие параметры для системы сайта и нажмите кнопку Далее.
На странице Прокси-сервер нажмите кнопку Далее. Точка регистрации сертификата не использует параметры прокси-сервера в Интернете.
На странице Выбор системной роли выберите Точку регистрации сертификата в списке доступных ролей и нажмите кнопку Далее.
На странице Режим регистрации сертификатов выберите, должна ли эта точка регистрации сертификата обрабатывать запросы сертификатов SCEP или обрабатывать запросы сертификатов PFX. Точка регистрации сертификатов не может обрабатывать запросы обоих типов, но при работе с обоими типами сертификатов можно создать несколько точек регистрации сертификатов.
При обработке сертификатов PFX необходимо выбрать центр сертификации Майкрософт или entrust.
Страница Параметры точки регистрации сертификата зависит от типа сертификата:
Если выбран параметр Обработка запросов сертификатов SCEP, настройте следующее:
- Имя веб-сайта, номер порта HTTPS и имя виртуального приложения для точки регистрации сертификата. Эти поля заполняются автоматически значениями по умолчанию.
-
URL-адрес службы регистрации сетевых устройств и корневого сертификата ЦС . Нажмите кнопку Добавить, а затем в диалоговом окне Добавление URL-адреса и сертификата корневого ЦС укажите следующее:
-
URL-адрес службы регистрации сетевых устройств. Укажите URL-адрес в следующем формате: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Например, если полное доменное имя сервера, на котором запущена служба регистрации сетевых устройств, server1.contoso.com, введите
https://server1.contoso.com/certsrv/mscep/mscep.dll
. - Сертификат корневого ЦС. Перейдите к и выберите CER-файл сертификата, созданный и сохраненный на шаге 1. Установка и настройка службы регистрации сетевых устройств и зависимостей. Этот корневой сертификат ЦС позволяет точке регистрации сертификата проверить сертификат проверки подлинности клиента, который будет использовать модуль политики Configuration Manager.
-
URL-адрес службы регистрации сетевых устройств. Укажите URL-адрес в следующем формате: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Например, если полное доменное имя сервера, на котором запущена служба регистрации сетевых устройств, server1.contoso.com, введите
Если выбран параметр Обработка запросов сертификатов PFX, необходимо настроить сведения о подключении и учетные данные для выбранного центра сертификации.
Чтобы использовать Майкрософт в качестве центра сертификации, нажмите кнопку Добавить, а затем в диалоговом окне Добавление центра сертификации и учетной записи укажите следующее:
Имя сервера центра сертификации . Введите имя сервера центра сертификации.
Учетная запись центра сертификации . Щелкните Задать , чтобы выбрать или создать учетную запись с разрешениями на регистрацию в шаблонах в центре сертификации.
Учетная запись подключения точки регистрации сертификата. Выберите или создайте учетную запись, которая подключает точку регистрации сертификата к базе данных Configuration Manager. В противном случае можно использовать учетную запись локального компьютера компьютера, на котором размещена точка регистрации сертификатов.
Учетная запись публикации сертификатов Active Directory . Выберите учетную запись или создайте новую учетную запись, которая будет использоваться для публикации сертификатов для пользовательских объектов в Active Directory.
В диалоговом окне URL-адрес для регистрации сетевых устройств и корневого сертификата ЦС укажите следующее, а затем нажмите кнопку ОК:
Чтобы использовать Entrust в качестве центра сертификации, укажите:
URL-адрес веб-службы MDM
Учетные данные имени пользователя и пароля для URL-адреса.
При использовании API MDM для определения URL-адреса веб-службы Entrust обязательно используйте по крайней мере версию 9 API, как показано в следующем примере:
https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9
Более ранние версии API не поддерживают Entrust.
Нажмите кнопку Далее и завершите работу мастера.
Подождите несколько минут, чтобы завершить установку, а затем убедитесь, что точка регистрации сертификатов успешно установлена, используя любой из следующих методов:
В рабочей области Мониторинг разверните узел Состояние системы, щелкните Состояние компонента и найдите сообщения о состоянии из компонента SMS_CERTIFICATE_REGISTRATION_POINT .
На сервере системы сайта используйте <файл Путь> установки ConfigMgr\Logs\crpsetup.log и <Путь> установки ConfigMgr\Logs\crpmsi.log. При успешной установке возвращается код выхода 0.
С помощью браузера убедитесь, что вы можете подключиться к URL-адресу точки регистрации сертификата. Например,
https://server1.contoso.com/CMCertificateRegistration
. Вы увидите страницу Ошибка сервера для имени приложения с описанием HTTP 404.
Найдите экспортируемый файл сертификата для корневого ЦС, автоматически созданный точкой регистрации сертификатов, в следующей папке на компьютере сервера первичного сайта: <Путь> установки ConfigMgr\inboxes\certmgr.box. Сохраните этот файл в защищенном расположении, к которому вы сможете получить безопасный доступ при последующей установке модуля политики Configuration Manager на сервере, на котором запущена служба регистрации сетевых устройств.
Совет
Этот сертификат не сразу доступен в этой папке. Возможно, потребуется подождать некоторое время (например, полчаса), прежде чем Configuration Manager скопирует файл в это расположение.
Шаг 3. Установка модуля политики Configuration Manager (только для сертификатов SCEP).
Необходимо установить и настроить модуль политики Configuration Manager на каждом сервере, указанном в шаге 2. Установка и настройка точки регистрации сертификата в качестве URL-адреса для службы регистрации сетевых устройств в свойствах точки регистрации сертификатов.
Установка модуля политики
На сервере, на котором запущена служба регистрации сетевых устройств, войдите в систему от имени администратора домена и скопируйте следующие файлы из <папки ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 на установочном носителе Configuration Manager во временную папку:
PolicyModule.msi
PolicyModuleSetup.exe
Кроме того, если у вас есть папка LanguagePack на установочном носителе, скопируйте эту папку и ее содержимое.
Во временной папке запустите PolicyModuleSetup.exe, чтобы запустить мастер установки модуля политики Configuration Manager.
На начальной странице мастера нажмите кнопку Далее, примите условия лицензии и нажмите кнопку Далее.
На странице Папка установки примите папку установки по умолчанию для модуля политики или укажите альтернативную папку, а затем нажмите кнопку Далее.
На странице Точка регистрации сертификата укажите URL-адрес точки регистрации сертификата, используя полное доменное имя сервера системы сайта и имя виртуального приложения, указанное в свойствах точки регистрации сертификата. Имя виртуального приложения по умолчанию — CMCertificateRegistration. Например, если сервер системы сайта имеет полное доменное имя server1.contoso.com и вы использовали имя виртуального приложения по умолчанию, укажите
https://server1.contoso.com/CMCertificateRegistration
.Примите порт по умолчанию 443 или укажите номер альтернативного порта, используемого точкой регистрации сертификата, и нажмите кнопку Далее.
На странице Сертификат клиента для модуля политикиперейдите к и укажите сертификат проверки подлинности клиента, который вы развернули на шаге 1. Установка и настройка службы регистрации сетевых устройств и зависимостей, а затем нажмите кнопку Далее.
На странице Сертификат точки регистрации сертификатов нажмите кнопку Обзор , чтобы выбрать экспортируемый файл сертификата для корневого ЦС, который вы нашли и сохранили в конце шага 2. Установка и настройка точки регистрации сертификата.
Примечание.
Если вы ранее не сохранили этот файл сертификата, он находится в <папке Путь установки> ConfigMgr\inboxes\certmgr.box на компьютере сервера сайта.
Нажмите кнопку Далее и завершите работу мастера.
Если вы хотите удалить модуль политики Configuration Manager, используйте программы и компоненты в панель управления.
Теперь, когда вы выполнили действия по настройке, вы можете развернуть сертификаты для пользователей и устройств, создав и развернув профили сертификатов. Дополнительные сведения о создании профилей сертификатов см. в статье Создание профилей сертификатов.