Пошаговый пример развертывания PKI-сертификатов для Configuration Manager: Центр сертификации Windows Server 2008
Относится к Configuration Manager (Current Branch)
Этот пошаговый пример развертывания, в котором используется центр сертификации Windows Server 2008( ЦС), содержит процедуры, показывающие, как создавать и развертывать сертификаты инфраструктуры открытых ключей (PKI), которые Configuration Manager использует. Эти процедуры используют корпоративный центр сертификации (ЦС) и шаблоны сертификатов. Эти действия подходят только для тестовой сети в качестве подтверждения концепции.
Так как для необходимых сертификатов не существует единого метода развертывания, ознакомьтесь с документацией по развертыванию PKI, чтобы найти необходимые процедуры и рекомендации по развертыванию необходимых сертификатов для рабочей среды. Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к PKI-сертификатам для Configuration Manager.
Совет
Инструкции в этом разделе можно адаптировать для операционных систем, которые не описаны в разделе Тестовые требования к сети. Однако если вы запускаете выдающий ЦС на Windows Server 2012, вам не будет предложено ввести версию шаблона сертификата. Вместо этого укажите его на вкладке Совместимость свойств шаблона:
-
Центр сертификации: Windows Server 2003
- Получатель сертификата: Windows XP / Server 2003
Тестирование требований к сети
Пошаговые инструкции имеют следующие требования:
Тестовая сеть работает доменные службы Active Directory с Windows Server 2008 и устанавливается как один домен, один лес.
У вас есть рядовой сервер под управлением Windows Server 2008 выпуск Enterprise, на котором установлена роль служб сертификатов Active Directory и настроен как корневой центр сертификации (ЦС) предприятия.
У вас есть один компьютер, на котором установлен Windows Server 2008 (Standard Edition или выпуск Enterprise, R2 или более поздней версии), этот компьютер назначен как рядовой сервер, а на нем установлены службы IIS. Этот компьютер будет сервером системы сайта Configuration Manager, который вы настроите с полным доменным именем интрасети (FQDN) для поддержки клиентских подключений в интрасети и полное доменное имя в Интернете, если необходимо поддерживать мобильные устройства, зарегистрированные Configuration Manager и клиентами в Интернете.
У вас есть один клиент Windows Vista с установленным последним пакетом обновления, и на этом компьютере настроено имя компьютера, состоящее из символов ASCII и присоединенное к домену. Этот компьютер будет Configuration Manager клиентским компьютером.
Вы можете войти с учетной записью администратора корневого домена или учетной записью администратора корпоративного домена и использовать эту учетную запись для всех процедур в этом примере развертывания.
Обзор сертификатов
В следующей таблице перечислены типы PKI-сертификатов, которые могут потребоваться для Configuration Manager, и описано, как они используются.
Требование к сертификату | Описание сертификата |
---|---|
Сертификат веб-сервера для систем сайта под управлением IIS | Этот сертификат используется для шифрования данных и проверки подлинности сервера для клиентов. Он должен быть установлен извне из Configuration Manager на серверах систем сайта, на которых выполняются службы IIS и которые настроены в Configuration Manager для использования HTTPS. Инструкции по настройке и установке этого сертификата см. в статье Развертывание сертификата веб-сервера для систем сайта под управлением IIS в этой статье. |
Сертификат службы для подключения клиентов к облачным точкам распространения | Инструкции по настройке и установке этого сертификата см. в статье Развертывание сертификата службы для облачных точек распространения в этом разделе. Важно: Этот сертификат используется в сочетании с сертификатом управления Windows Azure. Дополнительные сведения о сертификате управления см. в разделах Создание сертификата управления и Добавление сертификата управления в подписку Windows Azure. |
Сертификат клиента для компьютеров Windows | Этот сертификат используется для проверки подлинности Configuration Manager клиентских компьютеров в системах сайта, настроенных на использование ПРОТОКОЛА HTTPS. Его также можно использовать для точек управления и точек миграции состояния, чтобы отслеживать их рабочее состояние, когда они настроены на использование HTTPS. Он должен быть установлен извне из Configuration Manager на компьютерах. Инструкции по настройке и установке этого сертификата см. в разделе Развертывание сертификата клиента для компьютеров Windows в этом разделе. |
Сертификат клиента для точек распространения | Этот сертификат имеет две цели: Сертификат используется для проверки подлинности точки распространения в точке управления с поддержкой HTTPS, прежде чем она отправляет сообщения о состоянии. Если выбран параметр Включить поддержку PXE для точки распространения клиентов, сертификат отправляется на компьютеры, на которые загружается PXE, чтобы они могли подключаться к точке управления с поддержкой HTTPS во время развертывания операционной системы. Инструкции по настройке и установке этого сертификата см. в разделе Развертывание сертификата клиента для точек распространения в этой статье. |
Сертификат регистрации для мобильных устройств | Этот сертификат используется для проверки подлинности Configuration Manager клиентов мобильных устройств в системах сайта, настроенных на использование ПРОТОКОЛА HTTPS. Он должен быть установлен в рамках регистрации мобильного устройства в Configuration Manager, и вы выбираете настроенный шаблон сертификата в качестве параметра клиента мобильного устройства. Инструкции по настройке этого сертификата см. в разделе Развертывание сертификата регистрации для мобильных устройств в этом разделе. |
Сертификат клиента для компьютеров Mac | Этот сертификат можно запросить и установить с компьютера Mac при использовании Configuration Manager регистрации и выбрать настроенный шаблон сертификата в качестве параметра клиента мобильного устройства. Инструкции по настройке этого сертификата см. в статье Развертывание сертификата клиента для компьютеров Mac этой статьи. |
Развертывание сертификата веб-сервера для систем сайта под управлением IIS
Это развертывание сертификата состоит из следующих процедур:
Создание и выдача шаблона сертификата веб-сервера в центре сертификации
Запрос сертификата веб-сервера
Настройка IIS для использования сертификата веб-сервера
Создание и выдача шаблона сертификата веб-сервера в центре сертификации
Эта процедура создает шаблон сертификата для Configuration Manager систем сайта и добавляет его в центр сертификации.
Создание и выдача шаблона сертификата веб-сервера в центре сертификации
Создайте группу безопасности с именем ConfigMgr IIS Servers, которая содержит рядовые серверы для установки Configuration Manager систем сайта, на которые будут запускаться службы IIS.
На рядовом сервере, на котором установлены службы сертификатов, в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление , чтобы загрузить консоль Шаблоны сертификатов .
В области результатов щелкните правой кнопкой мыши запись с веб-сервером в столбце Отображаемое имя шаблона , а затем выберите пункт Дублировать шаблон.
В диалоговом окне Повторяющийся шаблон убедитесь, что выбран параметр Windows 2003 Server, выпуск Enterprise, а затем нажмите кнопку ОК.
Важно!
Не выбирайте Windows 2008 Server выпуск Enterprise.
В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат веб-сервера ConfigMgr, чтобы создать веб-сертификаты, которые будут использоваться в системах сайта Configuration Manager.
Перейдите на вкладку Имя субъекта и убедитесь, что выбран параметр Предоставить в запросе .
Перейдите на вкладку Безопасность , а затем удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия .
Нажмите кнопку Добавить, введите ConfigMgr IIS Servers в текстовом поле, а затем нажмите кнопку ОК.
Выберите разрешение Регистрация для этой группы и не отменяйте разрешение на чтение .
Нажмите кнопку ОК, а затем закройте консоль шаблоны сертификатов.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон ConfigMgr Web Server Certificate и нажмите кнопку ОК.
Если вам не нужно создавать и выдавать больше сертификатов, закройте центр сертификации.
Запрос сертификата веб-сервера
Эта процедура позволяет указать значения полного доменного имени в интрасети и Интернете, которые будут настроены в свойствах сервера системы сайта, а затем установить сертификат веб-сервера на рядовом сервере, на котором выполняются службы IIS.
Запрос сертификата веб-сервера
Перезапустите рядовой сервер, на котором выполняются службы IIS, чтобы убедиться, что компьютер может получить доступ к шаблону сертификата, созданному с помощью настроенных разрешений на чтение и регистрацию .
Нажмите кнопку Пуск, выберите Выполнить, а затем введитеmmc.exe. В пустой консоли выберите Файл, а затем — Добавить и удалить оснастку.
В диалоговом окне Добавление и удаление оснастки выберите Сертификаты в списке Доступные оснастки, а затем нажмите кнопку Добавить.
В диалоговом окне Оснастки "Сертификат" выберите Учетная запись компьютера, а затем нажмите кнопку Далее.
В диалоговом окне Выбор компьютера убедитесь, что выбран параметр Локальный компьютер: (компьютер, на котором запущена консоль), а затем нажмите кнопку Готово.
В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.
В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личный.
Щелкните правой кнопкой мыши пункт Сертификаты, выберите Все задачи, а затем — Запросить новый сертификат.
На странице Перед началом работы нажмите кнопку Далее.
Если отображается страница Выбор политики регистрации сертификатов , нажмите кнопку Далее.
На странице Запрос сертификатов найдите сертификат веб-сервера ConfigMgr в списке доступных сертификатов, а затем выберите Дополнительные сведения, необходимые для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.
В диалоговом окне Свойства сертификата на вкладке Тема не изменяйте имя субъекта. Это означает, что поле Значение для раздела Имя субъекта остается пустым. Вместо этого в разделе Альтернативное имя выберите раскрывающийся список Тип и выберите DNS.
В поле Значение укажите значения полного доменного имени, которые будут указаны в свойствах системы сайта Configuration Manager, а затем нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства сертификата.
Примеры:
Если система сайта будет принимать только клиентские подключения из интрасети и полное доменное имя сервера системы сайта server1.internal.contoso.com, введите server1.internal.contoso.com и нажмите кнопку Добавить.
Если система сайта будет принимать клиентские подключения из интрасети и Интернета, а полное доменное имя интрасети сервера системы сайта server1.internal.contoso.com , а полное доменное имя в Интернете сервера системы сайта server.contoso.com:
Введите server1.internal.contoso.com и нажмите кнопку Добавить.
Введите server.contoso.com и нажмите кнопку Добавить.
Примечание.
Вы можете указать полные доменные имена для Configuration Manager в любом порядке. Однако убедитесь, что все устройства, которые будут использовать сертификат, например мобильные устройства и прокси-веб-серверы, могут использовать альтернативное имя субъекта сертификата (SAN) и несколько значений в san. Если устройства имеют ограниченную поддержку значений SAN в сертификатах, может потребоваться изменить порядок полных доменных имен или использовать значение Subject.
На странице Запрос сертификатов выберите ConfigMgr Web Server Certificate (Сертификат веб-сервера ConfigMgr ) в списке доступных сертификатов и нажмите кнопку Регистрация.
На странице Результаты установки сертификатов подождите, пока сертификат будет установлен, а затем нажмите кнопку Готово.
Закройте сертификаты (локальный компьютер).
Настройка IIS для использования сертификата веб-сервера
Эта процедура привязывает установленный сертификат к веб-сайту IIS по умолчанию.
Настройка iis для использования сертификата веб-сервера
На рядовом сервере, на котором установлены службы IIS, выберите Пуск, Программы, Администрирование, а затем — Диспетчер служб IIS.
Разверните узел Сайты, щелкните правой кнопкой мыши веб-сайт по умолчанию и выберите изменить привязки.
Выберите запись HTTPS и нажмите кнопку Изменить.
В диалоговом окне Изменение привязки сайта выберите сертификат, запрошенный с помощью шаблона Сертификаты веб-сервера ConfigMgr, а затем нажмите кнопку ОК.
Примечание.
Если вы не уверены, какой сертификат является правильным, выберите его, а затем выберите Вид. Это позволяет сравнить выбранные сведения о сертификате с сертификатами в оснастке "Сертификаты". Например, в оснастке "Сертификаты" отображается шаблон сертификата, который использовался для запроса сертификата. Затем можно сравнить отпечаток сертификата, запрошенного с помощью шаблона Сертификатов веб-сервера ConfigMgr, с отпечатком сертификата сертификата, выбранного в диалоговом окне Изменение привязки сайта .
Нажмите кнопку ОК в диалоговом окне Изменение привязки сайта , а затем нажмите кнопку Закрыть.
Закройте диспетчер служб IIS.
Рядовой сервер теперь настроен с помощью сертификата веб-сервера Configuration Manager.
Важно!
При установке сервера системы сайта Configuration Manager на этом компьютере убедитесь, что в свойствах системы сайта указано то же полное доменное имя, что и при запросе сертификата.
Развертывание сертификата службы для облачных точек распространения
Это развертывание сертификата состоит из следующих процедур:
Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификации
Экспорт сертификата пользовательского веб-сервера для облачных точек распространения
Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификации
Эта процедура создает пользовательский шаблон сертификата, основанный на шаблоне сертификата веб-сервера. Сертификат предназначен для Configuration Manager облачных точек распространения, и закрытый ключ должен быть экспортируемым. После создания шаблона сертификата он добавляется в центр сертификации.
Примечание.
В этой процедуре используется шаблон сертификата, отличный от шаблона сертификата веб-сервера, созданного для систем сайта, на которые выполняются службы IIS. Хотя для обоих сертификатов требуется возможность проверки подлинности сервера, сертификат для облачных точек распространения требует ввода настраиваемого значения для имени субъекта, а закрытый ключ необходимо экспортировать. В соответствии с рекомендациями по обеспечению безопасности не настраивайте шаблоны сертификатов, чтобы можно было экспортировать закрытый ключ, если эта конфигурация не требуется. Для облачной точки распространения требуется такая конфигурация, так как необходимо импортировать сертификат в виде файла, а не выбирать его из хранилища сертификатов.
При создании нового шаблона сертификата для этого сертификата можно ограничить компьютеры, которые могут запрашивать сертификат, закрытый ключ которого можно экспортировать. В рабочей сети также можно добавить следующие изменения для этого сертификата:
- Требовать утверждения для установки сертификата для дополнительной безопасности.
- Увеличьте срок действия сертификата. Так как необходимо экспортировать и импортировать сертификат каждый раз до истечения срока его действия, увеличение срока действия сокращает частоту повторения этой процедуры. Однако увеличение срока действия также снижает безопасность сертификата, так как злоумышленнику больше времени на расшифровку закрытого ключа и кражу сертификата.
- Используйте пользовательское значение в альтернативном имени субъекта сертификата (SAN), чтобы идентифицировать этот сертификат из стандартных сертификатов веб-сервера, используемых со службами IIS.
Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификации
Создайте группу безопасности с именем ConfigMgr Site Servers, которая содержит рядовые серверы для установки Configuration Manager серверов первичного сайта, которые будут управлять облачными точками распространения.
На рядовом сервере, на котором запущена консоль центра сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов и выберите управление , чтобы загрузить консоль управления Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши запись с веб-сервером в столбце Отображаемое имя шаблона , а затем выберите пункт Дублировать шаблон.
В диалоговом окне Повторяющийся шаблон убедитесь, что выбран параметр Windows 2003 Server, выпуск Enterprise, а затем нажмите кнопку ОК.
Важно!
Не выбирайте Windows 2008 Server выпуск Enterprise.
В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например ConfigMgr Cloud-Based сертификат точки распространения, чтобы создать сертификат веб-сервера для облачных точек распространения.
Перейдите на вкладку Обработка запросов и выберите Разрешить экспорт закрытого ключа.
Перейдите на вкладку Безопасность и удалите разрешение Регистрация из группы безопасности Администраторы предприятия .
Нажмите кнопку Добавить, введите ConfigMgr Site Servers (Серверы сайта ConfigMgr ) в текстовом поле и нажмите кнопку ОК.
Выберите разрешение Регистрация для этой группы и не отменяйте разрешение Чтение .
Перейдите на вкладку Шифрование и убедитесь, что для параметра Минимальный размер ключа задано значение 2048.
Нажмите кнопку ОК, а затем закройте консоль шаблоны сертификатов.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон, ConfigMgr Cloud-Based сертификат точки распространения, а затем нажмите кнопку ОК.
Если вам не нужно создавать и выдавать больше сертификатов, закройте центр сертификации.
Запрос сертификата пользовательского веб-сервера
Эта процедура запрашивает и устанавливает пользовательский сертификат веб-сервера на рядовом сервере, на который будет запущен сервер сайта.
Запрос настраиваемого сертификата веб-сервера
Перезапустите рядовой сервер после создания и настройки группы безопасности серверов сайта ConfigMgr , чтобы убедиться, что компьютер может получить доступ к созданному шаблону сертификата с помощью настроенных разрешений на чтение и регистрацию .
Нажмите кнопку Пуск, выберите Выполнить, а затем введите mmc.exe. В пустой консоли выберите Файл, а затем — Добавить и удалить оснастку.
В диалоговом окне Добавление и удаление оснастки выберите Сертификаты в списке Доступные оснастки, а затем нажмите кнопку Добавить.
В диалоговом окне Оснастки "Сертификат" выберите Учетная запись компьютера, а затем нажмите кнопку Далее.
В диалоговом окне Выбор компьютера убедитесь, что выбран параметр Локальный компьютер: (компьютер, на котором запущена консоль), а затем нажмите кнопку Готово.
В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.
В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личный.
Щелкните правой кнопкой мыши пункт Сертификаты, выберите Все задачи, а затем — Запросить новый сертификат.
На странице Перед началом работы нажмите кнопку Далее.
Если отображается страница Выбор политики регистрации сертификатов , нажмите кнопку Далее.
На странице Запрос сертификатов найдите ConfigMgr Cloud-Based сертификат точки распространения в списке доступных сертификатов, а затем выберите Дополнительные сведения, необходимые для регистрации этого сертификата. Чтобы настроить параметры, выберите здесь.
В диалоговом окне Свойства сертификата на вкладке Тема в поле Имя субъекта выберите Общее имя в качестве типа.
В поле Значение укажите имя службы и доменное имя, используя формат полного доменного имени. Например, clouddp1.contoso.com.
Примечание.
Сделайте имя службы уникальным в пространстве имен. Вы будете использовать DNS для создания псевдонима (запись CNAME), чтобы сопоставить это имя службы с автоматически созданным идентификатором (GUID) и IP-адресом Из Windows Azure.
Нажмите кнопку Добавить, а затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства сертификата .
На странице Запрос сертификатов выберите ConfigMgr Cloud-Based Сертификат точки распространения в списке доступных сертификатов, а затем нажмите кнопку Регистрация.
На странице Результаты установки сертификатов подождите, пока сертификат будет установлен, а затем нажмите кнопку Готово.
Закройте сертификаты (локальный компьютер).
Экспорт сертификата пользовательского веб-сервера для облачных точек распространения
Эта процедура экспортирует пользовательский сертификат веб-сервера в файл, чтобы его можно было импортировать при создании облачной точки распространения.
Экспорт настраиваемого сертификата веб-сервера для облачных точек распространения
В консоли Сертификаты (локальный компьютер) щелкните правой кнопкой мыши только что установленный сертификат, выберите Все задачи, а затем выберите Экспорт.
В мастере экспорта сертификатов нажмите кнопку Далее.
На странице Экспорт закрытого ключа выберите Да, экспортируйте закрытый ключ и нажмите кнопку Далее.
Примечание.
Если этот параметр недоступен, сертификат был создан без возможности экспорта закрытого ключа. В этом сценарии невозможно экспортировать сертификат в требуемом формате. Необходимо настроить шаблон сертификата, чтобы можно было экспортировать закрытый ключ, а затем запросить сертификат еще раз.
На странице Формат файла экспорта убедитесь, что обмен личной информацией — PKCS No 12 (. Выбран параметр PFX ).
На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с помощью закрытого ключа, а затем нажмите кнопку Далее.
На странице Экспортируемый файл укажите имя файла, который требуется экспортировать, а затем нажмите кнопку Далее.
Чтобы закрыть мастер, нажмите кнопку Готово на странице Мастер экспорта сертификатов , а затем нажмите кнопку ОК в диалоговом окне подтверждения.
Закройте сертификаты (локальный компьютер).
Храните файл безопасно и убедитесь, что вы можете получить к нему доступ из консоли Configuration Manager.
Теперь сертификат готов к импорту при создании облачной точки распространения.
Развертывание сертификата клиента для компьютеров Windows
Это развертывание сертификата состоит из следующих процедур:
Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации
Настройка автоматической регистрации шаблона проверки подлинности рабочей станции с помощью групповая политика
Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на компьютерах
Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации
Эта процедура создает шаблон сертификата для Configuration Manager клиентских компьютеров и добавляет его в центр сертификации.
Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации
На рядовом сервере, на котором запущена консоль центра сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов и выберите управление , чтобы загрузить консоль управления Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши запись с проверкой подлинности рабочей станции в столбце Отображаемое имя шаблона , а затем выберите пункт Дублировать шаблон.
В диалоговом окне Повторяющийся шаблон убедитесь, что выбран параметр Windows 2003 Server, выпуск Enterprise, а затем нажмите кнопку ОК.
Важно!
Не выбирайте Windows 2008 Server выпуск Enterprise.
В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат клиента ConfigMgr, чтобы создать сертификаты клиента, которые будут использоваться на Configuration Manager клиентских компьютерах.
Перейдите на вкладку Безопасность , выберите группу Компьютеры домена , а затем выберите дополнительные разрешения для чтения и автоматической регистрации. Не снимите флажок Регистрация.
Нажмите кнопку ОК, а затем закройте консоль шаблоны сертификатов.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон ConfigMgr Client Certificate и нажмите кнопку ОК.
Если вам не нужно создавать и выдавать больше сертификатов, закройте центр сертификации.
Настройка автоматической регистрации шаблона проверки подлинности рабочей станции с помощью групповая политика
Эта процедура настраивает групповая политика для автоматической регистрации сертификата клиента на компьютерах.
Настройка автоматической регистрации шаблона проверки подлинности рабочей станции с помощью групповая политика
На контроллере домена выберите Пуск, Администрирование, а затем групповая политика Управление.
Перейдите к домену, щелкните его правой кнопкой мыши, а затем выберите Создать объект групповой политики в этом домене и свяжите его здесь.
Примечание.
На этом шаге рекомендуется создать новую групповая политика для пользовательских параметров, а не изменять политику домена по умолчанию, установленную с доменные службы Active Directory. При назначении этого групповая политика на уровне домена вы будете применять его ко всем компьютерам в домене. В рабочей среде можно ограничить автоматическую регистрацию, чтобы она была зарегистрирована только на выбранных компьютерах. Вы можете назначить групповая политика на уровне подразделения или отфильтровать групповая политика домена с помощью группы безопасности, чтобы она применяла только компьютеры в группе. При ограничении автоматической регистрации не забудьте включить сервер, настроенный в качестве точки управления.
В диалоговом окне Новый объект групповой политики введите имя, например Сертификаты автоматической регистрации, для нового групповая политика, а затем нажмите кнопку ОК.
В области результатов на вкладке Связанные объекты групповая политика щелкните правой кнопкой мыши новый групповая политика и выберите команду Изменить.
В редакторе управления групповая политика разверните узел Политики в разделе Конфигурация компьютера, а затем выберите Параметры / Windows Параметры безопасности Политики открытых / ключей.
Щелкните правой кнопкой мыши тип объекта с именем Клиент служб сертификатов — автоматическая регистрация, а затем выберите Свойства.
В раскрывающемся списке Модель конфигурации выберите Включено, обновить сертификаты с истекшим сроком действия, обновить ожидающие сертификаты, удалить отозванные сертификаты, выберите Обновить сертификаты, использующие шаблоны сертификатов, а затем нажмите кнопку ОК.
Закройте управление групповая политика.
Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на компьютерах
Эта процедура устанавливает сертификат клиента на компьютеры и проверяет установку.
Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на клиентском компьютере
Перезагрузите компьютер рабочей станции и подождите несколько минут, прежде чем выполнить вход.
Примечание.
Перезагрузка компьютера является наиболее надежным способом обеспечения успешного выполнения автоматической регистрации сертификата.
Войдите с учетной записью с правами администратора.
В поле поиска введите mmc.exe., а затем нажмите клавишу ВВОД.
В пустой консоли управления выберите Файл, а затем — Добавить и удалить оснастку.
В диалоговом окне Добавление и удаление оснастки выберите Сертификаты в списке Доступные оснастки, а затем нажмите кнопку Добавить.
В диалоговом окне Оснастки "Сертификат" выберите Учетная запись компьютера, а затем нажмите кнопку Далее.
В диалоговом окне Выбор компьютера убедитесь, что выбран параметр Локальный компьютер: (компьютер, на котором запущена консоль), а затем нажмите кнопку Готово.
В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.
В консоли разверните узел Сертификаты (локальный компьютер),Разверните узел Личный, а затем выберите Сертификаты.
В области результатов убедитесь, что сертификат имеет проверку подлинности клиента в столбце Предполагаемое назначение , а сертификат клиента ConfigMgr — в столбце Шаблон сертификата .
Закройте сертификаты (локальный компьютер).
Повторите шаги 1–11 для рядового сервера, чтобы убедиться, что сервер, который будет настроен в качестве точки управления, также имеет сертификат клиента.
Теперь на компьютере настроен сертификат клиента Configuration Manager.
Развертывание сертификата клиента для точек распространения
Примечание.
Этот сертификат также можно использовать для образов мультимедиа, которые не используют PXE-загрузку, так как требования к сертификату совпадают.
Это развертывание сертификата состоит из следующих процедур:
Создание и выдача настраиваемого шаблона сертификата проверки подлинности рабочей станции в центре сертификации
Запрос настраиваемого сертификата проверки подлинности рабочей станции
Экспорт сертификата клиента для точек распространения
Создание и выдача настраиваемого шаблона сертификата проверки подлинности рабочей станции в центре сертификации
Эта процедура создает пользовательский шаблон сертификата для Configuration Manager точек распространения, чтобы можно было экспортировать закрытый ключ и добавить шаблон сертификата в центр сертификации.
Примечание.
В этой процедуре используется шаблон сертификата, отличный от шаблона сертификата, созданного для клиентских компьютеров. Хотя для обоих сертификатов требуется возможность проверки подлинности клиента, сертификат для точек распространения требует экспорта закрытого ключа. В соответствии с рекомендациями по обеспечению безопасности не настраивайте шаблоны сертификатов, чтобы можно было экспортировать закрытый ключ, если эта конфигурация не требуется. Точка распространения требует такой конфигурации, так как необходимо импортировать сертификат в виде файла, а не выбирать его из хранилища сертификатов.
При создании нового шаблона сертификата для этого сертификата можно ограничить компьютеры, которые могут запрашивать сертификат, закрытый ключ которого можно экспортировать. В нашем примере развертывания это будет группа безопасности, созданная ранее для Configuration Manager серверов системы сайта, на которые запущены службы IIS. В рабочей сети, которая распространяет роли системы сайта IIS, рассмотрите возможность создания новой группы безопасности для серверов, на которые выполняются точки распространения, чтобы можно было ограничить сертификат только этими серверами системы сайта. Вы также можете добавить следующие изменения для этого сертификата:
- Требовать утверждения для установки сертификата для дополнительной безопасности.
- Увеличьте срок действия сертификата. Так как необходимо экспортировать и импортировать сертификат каждый раз до истечения срока его действия, увеличение срока действия сокращает частоту повторения этой процедуры. Однако увеличение срока действия также снижает безопасность сертификата, так как злоумышленнику больше времени на расшифровку закрытого ключа и кражу сертификата.
- Используйте пользовательское значение в поле "Субъект сертификата" или "Альтернативное имя субъекта" (SAN), чтобы идентифицировать этот сертификат по стандартным клиентским сертификатам. Это может быть особенно полезно, если вы будете использовать один и тот же сертификат для нескольких точек распространения.
Создание и выдача пользовательского шаблона сертификата проверки подлинности рабочей станции в центре сертификации
На рядовом сервере, на котором запущена консоль центра сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов и выберите управление , чтобы загрузить консоль управления Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши запись с проверкой подлинности рабочей станции в столбце Отображаемое имя шаблона , а затем выберите пункт Дублировать шаблон.
В диалоговом окне Повторяющийся шаблон убедитесь, что выбран параметр Windows 2003 Server, выпуск Enterprise, а затем нажмите кнопку ОК.
Важно!
Не выбирайте Windows 2008 Server выпуск Enterprise.
В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат точки распространения клиента ConfigMgr, чтобы создать сертификат проверки подлинности клиента для точек распространения.
Перейдите на вкладку Обработка запросов и выберите Разрешить экспорт закрытого ключа.
Перейдите на вкладку Безопасность и удалите разрешение Регистрация из группы безопасности Администраторы предприятия .
Нажмите кнопку Добавить, введите ConfigMgr IIS Servers в текстовом поле, а затем нажмите кнопку ОК.
Выберите разрешение Регистрация для этой группы и не отменяйте разрешение Чтение .
Нажмите кнопку ОК, а затем закройте консоль шаблоны сертификатов.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон ConfigMgr Client Distribution Point Certificate и нажмите кнопку ОК.
Если вам не нужно создавать и выдавать больше сертификатов, закройте центр сертификации.
Запрос настраиваемого сертификата проверки подлинности рабочей станции
Эта процедура запрашивает и устанавливает пользовательский сертификат клиента на рядовом сервере, на котором выполняются службы IIS и который будет настроен в качестве точки распространения.
Запрос настраиваемого сертификата проверки подлинности рабочей станции
Нажмите кнопку Пуск, выберите Выполнить, а затем введите mmc.exe. В пустой консоли выберите Файл, а затем — Добавить и удалить оснастку.
В диалоговом окне Добавление и удаление оснастки выберите Сертификаты в списке Доступные оснастки, а затем нажмите кнопку Добавить.
В диалоговом окне Оснастки "Сертификат" выберите Учетная запись компьютера, а затем нажмите кнопку Далее.
В диалоговом окне Выбор компьютера убедитесь, что выбран параметр Локальный компьютер: (компьютер, на котором запущена консоль), а затем нажмите кнопку Готово.
В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.
В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личный.
Щелкните правой кнопкой мыши пункт Сертификаты, выберите Все задачи, а затем — Запросить новый сертификат.
На странице Перед началом работы нажмите кнопку Далее.
Если отображается страница Выбор политики регистрации сертификатов , нажмите кнопку Далее.
На странице Запрос сертификатов выберите ConfigMgr Client Distribution Point Certificate (Сертификат точки распространения клиента) в списке доступных сертификатов и нажмите кнопку Регистрация.
На странице Результаты установки сертификатов подождите, пока сертификат будет установлен, а затем нажмите кнопку Готово.
В области результатов убедитесь, что сертификат имеет проверку подлинности клиента в столбце Предполагаемое назначение , а сертификат точки распространения клиента ConfigMgr — в столбце Шаблон сертификата .
Не закрывайте сертификаты (локальный компьютер).
Экспорт сертификата клиента для точек распространения
Эта процедура экспортирует пользовательский сертификат проверки подлинности рабочей станции в файл, чтобы его можно было импортировать в свойства точки распространения.
Экспорт сертификата клиента для точек распространения
В консоли Сертификаты (локальный компьютер) щелкните правой кнопкой мыши только что установленный сертификат, выберите Все задачи, а затем выберите Экспорт.
В мастере экспорта сертификатов нажмите кнопку Далее.
На странице Экспорт закрытого ключа выберите Да, экспортируйте закрытый ключ и нажмите кнопку Далее.
Примечание.
Если этот параметр недоступен, сертификат был создан без возможности экспорта закрытого ключа. В этом сценарии невозможно экспортировать сертификат в требуемом формате. Необходимо настроить шаблон сертификата, чтобы можно было экспортировать закрытый ключ, а затем снова запросить сертификат.
На странице Формат файла экспорта убедитесь, что обмен личной информацией — PKCS No 12 (. Выбран параметр PFX ).
На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с помощью закрытого ключа, а затем нажмите кнопку Далее.
На странице Экспортируемый файл укажите имя файла, который требуется экспортировать, а затем нажмите кнопку Далее.
Чтобы закрыть мастер, нажмите кнопку Готово на странице Мастер экспорта сертификатов и нажмите кнопку ОК в диалоговом окне подтверждения.
Закройте сертификаты (локальный компьютер).
Храните файл безопасно и убедитесь, что вы можете получить к нему доступ из консоли Configuration Manager.
Теперь сертификат готов к импорту при настройке точки распространения.
Совет
Один и тот же файл сертификата можно использовать при настройке образов мультимедиа для развертывания операционной системы, которая не использует загрузку PXE, и последовательность задач для установки образа должна связаться с точкой управления, требующей клиентских подключений HTTPS.
Развертывание сертификата регистрации для мобильных устройств
Это развертывание сертификата имеет одну процедуру для создания и выдачи шаблона сертификата регистрации в центре сертификации.
Создание и выдача шаблона сертификата регистрации в центре сертификации
Эта процедура создает шаблон сертификата регистрации для Configuration Manager мобильных устройств и добавляет его в центр сертификации.
Создание и выдача шаблона сертификата регистрации в центре сертификации
Создайте группу безопасности с пользователями, которые будут регистрировать мобильные устройства в Configuration Manager.
На рядовом сервере, на котором установлены службы сертификатов, в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите Управление , чтобы загрузить консоль управления Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши запись с параметром Authenticated Session (Сеанс проверки подлинности ) в столбце Отображаемое имя шаблона и выберите пункт Дублировать шаблон.
В диалоговом окне Повторяющийся шаблон убедитесь, что выбран параметр Windows 2003 Server, выпуск Enterprise, а затем нажмите кнопку ОК.
Важно!
Не выбирайте Windows 2008 Server выпуск Enterprise.
В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат регистрации мобильных устройств ConfigMgr, чтобы создать сертификаты регистрации для мобильных устройств, управляемых Configuration Manager.
Перейдите на вкладку Имя субъекта , убедитесь, что выбран пункт Сборка из этих сведений Active Directory , выберите Общее имя в поле Формат имени субъекта:, а затем снимите флажок Имя участника-пользователя (UPN) из раздела Включить эту информацию в альтернативное имя субъекта.
Перейдите на вкладку Безопасность , выберите группу безопасности, в которую должны быть зарегистрированы пользователи с мобильными устройствами, а затем выберите дополнительное разрешение Регистрация. Не очищайте чтение.
Нажмите кнопку ОК, а затем закройте консоль шаблоны сертификатов.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон ConfigMgr Mobile Device Enrollment Certificate и нажмите кнопку ОК.
Если вам не нужно создавать и выдавать больше сертификатов, закройте консоль центра сертификации.
Шаблон сертификата регистрации мобильных устройств теперь готов к выбору при настройке профиля регистрации мобильного устройства в параметрах клиента.
Развертывание сертификата клиента для компьютеров Mac
Это развертывание сертификата имеет одну процедуру для создания и выдачи шаблона сертификата регистрации в центре сертификации.
Создание и выдача шаблона сертификата клиента Mac в центре сертификации
Эта процедура создает пользовательский шаблон сертификата для компьютеров Mac Configuration Manager и добавляет его в центр сертификации.
Примечание.
В этой процедуре используется шаблон сертификата, отличный от шаблона сертификата, созданного для клиентских компьютеров Windows или точек распространения.
При создании нового шаблона сертификата для этого сертификата можно ограничить запрос сертификата авторизованными пользователями.
Создание и выдача шаблона сертификата клиента Mac в центре сертификации
Создайте группу безопасности с учетными записями пользователей с правами администратора, которые будут регистрировать сертификат на компьютере Mac с помощью Configuration Manager.
На рядовом сервере, на котором запущена консоль центра сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов и выберите управление , чтобы загрузить консоль управления Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши запись, отображающую сеанс проверки подлинности в столбце Отображаемое имя шаблона , а затем выберите пункт Дублировать шаблон.
В диалоговом окне Повторяющийся шаблон убедитесь, что выбран параметр Windows 2003 Server, выпуск Enterprise, а затем нажмите кнопку ОК.
Важно!
Не выбирайте Windows 2008 Server выпуск Enterprise.
В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат клиента Mac ConfigMgr, чтобы создать сертификат клиента Mac.
Перейдите на вкладку Имя субъекта , убедитесь, что выбран пункт Сборка из этих сведений Active Directory , выберите Общее имя в поле Формат имени субъекта:, а затем снимите флажок Имя участника-пользователя (UPN) из раздела Включить эту информацию в альтернативное имя субъекта.
Перейдите на вкладку Безопасность , а затем удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия .
Нажмите кнопку Добавить, укажите группу безопасности, созданную на шаге 1, а затем нажмите кнопку ОК.
Выберите разрешение Регистрация для этой группы и не отменяйте разрешение на чтение .
Нажмите кнопку ОК, а затем закройте консоль шаблоны сертификатов.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон ConfigMgr Mac Client Certificate и нажмите кнопку ОК.
Если вам не нужно создавать и выдавать больше сертификатов, закройте центр сертификации.
Шаблон сертификата клиента Mac теперь готов к выбору при настройке параметров клиента для регистрации.