Включение и отключение проверки отзыва сертификатов (CRL) на клиентах
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Чтобы включить или отключить проверку отзыва сертификата на клиентских компьютерах Configuration Manager 2007 сайта в основном режиме, выполните следующие процедуры.
Примечание
Клиенты мобильных устройств не используют списки отзыва сертификатов.
Если сайт Configuration Manager установлен в основном режиме, для него по умолчанию включен параметр проверки списка отзыва сертификатов на клиентских компьютерах до того, как будет установлена связь с системами сайта в основном режиме. Если сайт Configuration Manager установлен в смешанном режиме, а затем перенесен в основной режим, этот параметр по умолчанию отключен. Чтобы проверить этот параметр для отдельных клиентов, см. раздел Идентификация сведений о конфигурации клиента для основного режима и управления интернет-клиентами. В Configuration Manager 2007 нельзя настраивать проверку списка отзыва сертификатов для систем сайта в основном режиме, этот параметр включен по умолчанию и наследуется с конфигурацией IIS.
Важно!
Публикация и обслуживание списка отзыва сертификатов является неотъемлемой частью инфраструктуры открытого ключа, внешней по отношению к Configuration Manager 2007. Не используйте проверку списка отзыва сертификатов на клиентах Configuration Manager, пока не убедитесь, что такая возможность поддерживается инфраструктурой. Например, если при использовании интернет-управления клиентами центр сертификации, выдающий сертификаты для систем сайта в основном режиме, находится в интрасети, список отзыва сертификатов должен быть доступен из Интернета.
Настроить проверку списка отзыва сертификатов на клиентах можно двумя способами. Выберите способ, подходящий для данной среды. Однако в тех функциях клиента, которые выполняются в результате действий последовательности задач, всегда проверяется список отзыва сертификатов, если на клиенте запущена версия ниже Configuration Manager 2007 с пакетом обновления 2 (SP2). Ниже описаны две процедуры.
Настройте параметр как свойство сайта. Клиентские компьютеры, имеющие доступ к свойствам сайта, опубликованным в доменных службах Active Directory, автоматически получат этот параметр через определенное время (компьютеры могут получить параметр во время назначения сайта, при каждом запуске клиента и каждые 25 часов). Клиенты, установленные по методу принудительной установки, получат этот параметр только во время установки.
Чтобы настроить этот параметр на установленных клиентах с помощью доменных служб Active Directory, должны выполняться все приведенные условия.
Доменные службы Active Directory должны быть расширены расширениями схемы Configuration Manager 2007.
Сайт должен публиковать в доменных службах Active Directory.
Клиенты должны находиться в интрасети.
Клиенты должны быть из того же леса Active Directory, что и сервер сайта.
Задайте параметр с помощью параметров командной строки программы CCMSetup.exe. Параметры CCMSetup можно использовать при первой установке клиента или предоставить их в виде сценария, который будет запущен после установки, и переустановит клиент с новой конфигурацией. Если клиент уже установлен, можно воспользоваться функцией распространения программного обеспечения для передачи команд CCMSetup клиенту, либо использовать для этого последовательность задач Configuration Manager 2007.
Примечание
Если параметры, предоставленные программой CCMSetup, конфликтуют с параметрами, опубликованными в доменных службах Active Directory, и клиент может иметь доступ к параметрам в доменных службах Active Directory, параметры из доменных служб Active Directory будут иметь приоритет, а параметры, определенные программой CCMSetup, не будут использоваться.
Кроме того, можно задать параметры с помощью собственных средств управления клиентами, которые могут включать в себя объединение параметров в стандартном образе построения и развертывание пользовательских сценариев для редактирования реестра.
Настройка проверки отзыва сертификата на клиентах путем настойки параметра как свойства сайта
В консоли Configuration Manager выберите System CenterConfiguration Manager / База данных сайта / Управление сайтом.
Щелкните правой кнопкой мыши элемент <код сайта> -<код сайта> и выберите пункт Свойства.
На вкладке Режим сайта в диалоговом окне свойств сайта установите или снимите флажок Включить проверку списка отзыва сертификатов для клиентов.
Нажмите кнопку ОК.
Настройка проверки отзыва сертификата на клиентах с помощью параметров командной строки программы CCMSetup.exe
Включение проверки списка отзыва сертификатов. Используйте программу CCMSetup.exe с параметром командной строки /native:CRL (для обмена данными в основном режиме и проверки отзыва сертификатов) или /native:CRLANDFALLBACK (для обмена данными в основном режиме, проверки отзыва сертификатов и НТТР-подключения для роуминга и назначения сайта).
Отключение проверки списка отзыва сертификатов. Используйте программу CCMSetup.exe с параметром командной строки /native: (для обмена данными в основном режиме без проверки отзыва сертификатов) или /native:FALLBACK (для обмена данными в основном режиме и НТТР-подключения для роуминга и назначения сайта без проверки отзыва сертификатов).
Дополнительные сведения о свойствах установки CCMSetup см. в разделе О свойствах установки клиента Configuration Manager.
См. также
Задачи
Идентификация сведений о конфигурации клиента для основного режима и управления интернет-клиентами
Принудительная установка клиентов Configuration Manager
Основные понятия
Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим)
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.