Требования к сертификатам для работы в основном режиме
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Сертификаты инфраструктуры открытого ключа (PKI), необходимые для работы сайта Configuration Manager 2007 в основном режиме, перечислены в следующих таблицах. Эти сведения предполагают базовые знания пользователя о сертификатах PKI. Дополнительные сведения об использовании и развертывании PKI см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме.
При использовании решения PKI корпорации Майкрософт управление сертификатами может облегчить применение шаблонов сертификатов. Сертификаты на основе шаблонов могут выпускаться только центром сертификации предприятия, работающим в ОС Windows Server 2003 или Windows Server 2008 выпусков Enterprise Edition или Datacenter Edition. Однако не следует использовать шаблоны версии 3 (Windows Server 2008 Enterprise Edition). Данные шаблоны сертификатов создают сертификаты, не совместимые с Configuration Manager. Сведения о том, как можно использовать шаблоны сертификатов для развертывания сертификатов, необходимых для работы Configuration Manager в основном режиме, см. в следующих разделах.
Важно!
Сертификаты должны быть установлены до того, как сайт начнет работать в основном режиме. Configuration Manager попытается проверить сертификат для подписи сервера сайта при выборе основного режима во время установки или при миграции сайта в основной режим после установки. Однако Configuration Manager не может проверить другие сертификаты, которые требуются для работы в основном режиме.
Чтобы определить готовность клиентских компьютеров к основному режиму, можно вручную запустить средство проверки готовности работы в основном режиме Configuration Manager. Дополнительные сведения об этом инструменте см. в разделе Определение готовности клиентских компьютеров к основному режиму.Сертификаты, необходимые для работы в основном режиме
Компонент Configuration Manager | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
---|---|---|---|---|
Сервер основного сайта |
Подписание документов |
Для подписания документов нет шаблона по умолчанию. Можно использовать любой шаблон версии 2 (v2), удалив предписанные применения, если они не являются обязательными, и добавив функцию подписания документов. |
Значение Расширенное использование ключа должно содержать Подписание документов (1.3.6.1.4.1.311.10.3.12). Поле Имя получателя должно содержать следующую строку. The site code of this site server is <XXX>. Замените <XXX> на код сайта сервера сайта. Примечание Должна использоваться в точности такая строка на английском языке в том же регистре букв и без точки на конце. Код сайта должен быть указан в конце строки в том же регистре, как он отображается в консоли Configuration Manager. SHA-1 — единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 8096 бит. |
Этот сертификат необходимо разместить в личном хранилище сертификатов на компьютере. Сертификат подписи сервера сайта используется для подписывания политик, которые клиенты загружают со своей точки управления, для того, чтобы клиенты знали, что политики исходят от назначенного им сайта. Этот сертификат не требуется на серверах дополнительных сайтов. Прежде чем клиенты смогут получать подписанные этим сертификатом политики, их необходимо снабдить копией сертификата. Дополнительные сведения см. в разделе Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим). |
Роли системы сайта
|
Проверка подлинности сервера Примечание Точкам управления и точкам миграции состояния также требуется сертификат с возможностью проверки подлинности клиента, как указано в следующей строке. |
Веб-сервер |
Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1). Если система сайта принимает подключения из Интернета, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в Интернете (FQDN). Если система сайта принимает подключения из интрасети, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в интрасети (рекомендуется) или NetBIOS-имя компьютера в зависимости от настройки системы сайта. Если система сайта принимает подключения как из Интернета, так и из интрасети, то следует указывать полное доменное имя в Интернете и полное доменное имя в интрасети (или NetBIOS-имя компьютера), используя амперсанд (& в качестве разделителя имен. Важно! Если точка обновления программного обеспечения принимает подключения клиентов только из Интернета, сертификат должен содержать как полное доменное имя в интернете, так и полное доменное имя в интрасети. SHA-1 — единственный поддерживаемый хэш-алгоритм. Программа Configuration Manager не накладывает ограничений на длину ключа для этого сертификата. По вопросам относительно размера ключа обратитесь к документации по PKI и IIS для этого сертификата. |
Этот сертификат необходимо разместить в личном хранилище сертификатов на компьютере. Сертификат веб-сервера используется для проверки подлинности этих серверов при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL. |
Клиентские компьютеры |
Проверка подлинности клиента |
Компьютер или рабочая станция |
Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2). Клиентские компьютеры должны иметь в поле "Имя получателя" или "Альтернативное имя получателя" уникальное значение. (Если используются шаблоны сертификатов Майкрософт, то альтернативное имя получателя доступно только для шаблонов рабочих станций.) Примечание Если в поле "Альтернативное имя получателя" введено несколько имен, будет использовано только первое из них. SHA-1 — единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 2048 бит. |
По умолчанию Configuration Manager ищет сертификаты компьютера в личном хранилище сертификатов на компьютере. Изменение места поиска сертификата описано в разделе Задание хранилища сертификатов клиента. Этот сертификат используется для проверки подлинности клиентов следующими серверами.
Этот сертификат требуется также на точках управления и точках миграции состояния даже в тех случаях, когда клиент Configuration Manager 2007 не установлен на этих системах сайта. Это нужно для того, чтобы можно было наблюдать за работоспособностью этих ролей и передавать данные об этом на сервер сайта. Этот сертификат для этих систем сайта необходимо разместить в личном хранилище сертификатов на компьютере. |
Клиенты мобильных устройств |
Проверка подлинности клиента |
Сеанс проверки подлинности |
Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2). SHA-1 — единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 2048 бит. Важно! Эти сертификаты должны быть зашифрованы в двоичном формате X.509 по правилам Distinguished Encoding Rules (DER). Формат X.509 с шифрованием при помощи Base64 не поддерживается. |
Этот сертификат необходимо разместить в личном хранилище сертификатов. Этот сертификат используется для проверки подлинности клиента мобильного устройства следующими серверами.
|
Компоненты, требующие дополнительные сертификаты для работы в основном режиме
Если сайт, работающий в основном режиме, поддерживает перечисленные ниже необязательные компоненты, то потребуются дополнительные сертификаты.
Точки управления балансировкой сетевой нагрузки или точки обновления программного обеспечения для балансировки сетевой нагрузки.
Прокси-серверы для интернет-управления клиентами.
Компонент развертывания операционной системы.
Мобильные устройства
В следующем разделе приведены сведения о сертификатах, необходимых для каждого из этих дополнительных компонентов.
Точки управления балансировкой сетевой нагрузки или точки обновления программного обеспечения для балансировки сетевой нагрузки
Если сайт поддерживает точку управления балансировкой сетевой нагрузки или точку обновления программного обеспечения для балансировки сетевой нагрузки, то для работы требуются дополнительные сертификаты. Сведения о них перечислены в следующей таблице.
Компонент Configuration Manager | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
---|---|---|---|---|
Кластер балансировки сетевой нагрузки для точки управления или точки обновления программного обеспечения |
Проверка подлинности сервера |
Веб-сервер |
|
Этот сертификат используется для проверки подлинности точек управления балансировкой сетевой нагрузки и точек обновления программного обеспечения для балансировки сетевой нагрузки при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL. |
Прокси-веб-серверы для интернет-управления клиентами
Если сайт поддерживает интернет-управление клиентами, и для входящих подключений к Интернету используется прокси-веб-сервер с завершением запросов SSL (мостом), то на прокси-веб-сервере потребуются сертификаты, перечисленные в следующей таблице.
Примечание
Если же используется прокси-веб-сервер без завершения запросов SSL (туннелирование), то на прокси-веб-сервере дополнительные сертификаты не нужны.
Дополнительные сведения об использовании прокси-веб-серверов для интернет-управления клиентами см. в разделе Определение требований к прокси-серверам для использования интернет-управления клиентами.
Компонент сетевой инфраструктуры | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
---|---|---|---|---|
Прокси-веб-сервер, принимающий подключения клиентов через Интернет |
Проверка подлинности сервера и клиента |
|
Полное доменное имя в Интернете в поле "Имя получателя" или "Альтернативное имя получателя". (Если используются шаблоны сертификатов Майкрософт, то альтернативное имя получателя доступно только для шаблонов рабочих станций.) |
Этот сертификат используется для проверки подлинности перечисленных ниже серверов при обращении интернет-клиентов и для шифрования всех данных, передаваемых между клиентом и этим сервером с использованием протокола SSL.
Проверка подлинности клиента используется для подключения клиентов Configuration Manager 2007 к системам сайта в Интернете. |
Компонент развертывания операционной системы
Если сайт поддерживает функцию развертывания операционной системы, то в дополнение к сертификату сервера и сертификату клиента, необходимым для работы точки миграции состояния, потребуются сертификаты, перечисленные в следующей таблице.
Дополнительные сведения о сертификатах, имеющих отношение к развертыванию операционной системы на сайте, работающем в основном режиме, см. в разделе Управление сертификатами основного режима и развертывание операционной системы.
Компонент Configuration Manager | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
---|---|---|---|---|
Установка клиента при развертывании операционной системы, если для завершения развертывания требуются сертификаты клиента. |
Проверка подлинности клиента |
Компьютер или рабочая станция |
Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2). Уникальное значение в имени субъекта. SHA-1 — единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 2048 бит. |
Этот сертификат используется, если последовательность задач при развертывании операционной системы включает такие действия клиента, как извлечение политики клиента или отправка сведений инвентаризации. Сертификат клиента должен быть экспортирован в формате Public Key Certificate Standard (PKCS #12), и должен быть известен пароль для того, чтобы сертификат можно было импортировать в образы загрузки Configuration Manager или разместить в точке обслуживания PXE. Эти сертификаты используются только во время развертывания операционной системы и не устанавливаются на клиент. Поскольку этот сертификат используется временно, то можно использовать один и тот же сертификат при каждом развертывании операционной системы, если нет другой необходимости использовать несколько сертификатов. Файлы PKCS #12 имеют расширение PFX. Дополнительные сведения: |
Сертификаты корневого центра сертификации для клиентов, установленных при развертывании операционной системы. |
Корневой центр сертификации для сертификата сервера сайта и сертификата сервера точки управления. |
Неприменимо. |
Стандартный сертификат корневого центра сертификации. |
Чтобы клиент мог обмениваться данными с точкой управления при завершении развертывания операционной системы, должен быть выдан сертификат корневого центра сертификации. Все основные сайты, работающие в основном режиме и использующие функцию развертывания операционной системы, должны быть настроены с сертификатами корневого центра сертификации. Дополнительные сайты будут автоматически использовать сертификаты корневого центра сертификации, размещенные на их основном сайте. Дополнительные сведения: |
Мобильные устройства
Дополнительные сведения о сертификатах для мобильных устройств см. в разделе О сертификатах основного режима для клиентов мобильных устройств.
Сведения о развертывании сертификата
В следующем разделе описана процедура установки сертификатов PKI, необходимых для работы Configuration Manager 2007 в основном режиме.
Для развертывания PKI и установки PKI-сертификатов, необходимых для работы Configuration Manager 2007 в основном режиме, воспользуйтесь следующими рабочим процессом администратора и контрольным списком.
Рабочий процесс администратора: развертывание требований PKI для работы в основном режиме
Контрольный список администратора: развертывание требований PKI для работы в основном режиме
После того, как PKI-сертификаты будут размещены и все будет готово для миграции Configuration Manager 2007 из смешанного режима сайта в основной, воспользуйтесь следующими рабочим процессом администратора и контрольным списком.
Рабочий процесс администратора: миграция сайта в основной режим
Контрольный список администратора: миграция сайта в основной режим
См. также
Задачи
Определение готовности клиентских компьютеров к основному режиму
Определение проблем с сертификатами клиентов в основном режиме
Включение и отключение проверки отзыва сертификатов (CRL) на клиентах
Настройка DNS для ролей системы сайта Configuration Manager
Основные понятия
Преимущества использования основного режима
Определение возможности использования существующей инфраструктуры открытых ключей в основном режиме
Продление или изменение сертификата для подписи сервера сайта
Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим)
Определение необходимости использования полных доменных имен серверов
Определение необходимости настройки IIS для списка доверия сертификатов (основной режим)
Другие ресурсы
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.