Контрольный список администратора: развертывание требований PKI для работы в основном режиме
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
В следующем контрольном списке приведены шаги, необходимые для развертывания требований к инфраструктуре открытого ключа (PKI), прежде чем сайт Configuration Manager 2007 сможет работать в основном режиме.
Шаг | Ссылка |
---|---|
Подтвердите, что PKI поддерживает различные сертификаты, необходимые для Configuration Manager 2007. |
|
Убедитесь, что следующие компьютеры на сайте Configuration Manager 2007 имеют доверенные корневые центры сертификации в общих и промежуточных центрах сертификации, по мере необходимости:
Примечание Точки распространения, настроенные без использования параметра Разрешить клиентам передачу содержимого с этой точки распространения с использованием протоколов BITS, HTTP и HTTPS, а также точки распространения филиала не используют службы IIS, поэтому им не требуются сертификаты. Эти системы сайта используют для передачи данных протокол SMB, и их нельзя защитить путем взаимодействия в основном режиме. |
Развертывание доверенного корневого центра сертификации на компьютерах Configuration Manager Развертывание сертификатов промежуточного центра сертификации на компьютерах Configuration Manager |
Если требуется использовать список отзыва сертификатов (CRL), опубликуйте его там, где его смогут обнаружить все компьютеры. |
Проверка отзыва сертификата включена по умолчанию для клиентов Configuration Manager, но ее можно отключить. Дополнительные сведения см. в разделе Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим). Проверка отзыва сертификата включена по умолчанию в IIS и ее нельзя отключить в Configuration Manager. Убедитесь, что системы сайта в основном режиме могут подключаться к точке распространения CRL, внесенной в список в их сертификате системы сайта. Примечание Дополнительные сведения о точках распространения CRL (CDP) см. в следующих сведениях инфраструктуры открытого ключа Windows о настройке CDP и расширениях для доступа к сведениям о центрах сертификации: https://go.microsoft.com/fwlink/?LinkId=103608. |
Разверните на сервере сайта сертификат для подписи сервера сайта и определите, как клиенты будут его получать. |
Развертывание сертификата для подписи сервера сайта на сервере сайта Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим) |
Разверните сертификаты веб-сервера на следующих системах сайта и затем настройте IIS с помощью сертификата:
|
Развертывание сертификатов веб-сервера на серверах системы сайта |
Не обязательный, но рекомендуемый шаг: на системах сайта с развернутыми сертификатами веб-сервера создайте или измените список доверия сертификатов (CTL) в IIS, так чтобы он содержал корневые центры сертификации, используемые клиентами. |
Определение необходимости настройки IIS для списка доверия сертификатов (основной режим) |
Разверните сертификаты клиентов на клиентах и точках управления. |
Развертывание сертификатов клиентского компьютера на клиентах и точках управления |
Если имеются мобильные устройства клиентов, разверните сертификаты устройств клиентов. |
|
Если используется средство развертывания операционной системы, выполните следующие задачи.
|
Задание сертификатов корневого центра сертификации для клиентов развертывания операционной системы |
См. также
Задачи
Настройка сервера сайта с помощью сертификата для подписи сервера сайта
Миграция сайта из смешанного режима в основной
Основные понятия
Контрольный список администратора: миграция сайта в основной режим
Рабочий процесс администратора: развертывание требований PKI для работы в основном режиме
Необходимые условия для основного режима
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.