Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим)

Статья
12/19/2014

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Сервер сайта Configuration Manager 2007 использует сертификат для подписи сервера сайта в основном режиме для подписывания политик, загруженных клиентами с точки управления. Для проверки подписи клиентам нужна копия этого сертификата. После получения клиентом сертификата он сохраняется в реестре клиента и используется в тех случаях, когда с точки управления отправляются новые политики.

Примечание

Сертификат для подписи сервера сайта не хранится в хранилище сертификатов у клиентов, а сохраняется в защищенной области реестра.

Для развертывания сертификата для подписи сервера сайта на клиентских компьютерах существует три способа.

Автоматически при помощи доменных служб Active Directory.
Вручную при установке клиента.
Автоматически с точки управления.

Рекомендуется для развертывания сертификата для подписи сервера сайта на клиентских компьютерах использовать доменные службы Active Directory, поскольку этот способ не требует дополнительного администрирования, а сертификат сохраняется в защищенном месте независимо от Configuration Manager 2007. Однако, для применения этого способа необходимо выполнить следующие условия.

Схема Active Directory должна быть расширена для Configuration Manager 2007.
Сайт должен быть опубликован в доменных службах Active Directory.
Клиенты должны иметь возможность поместить сведения об опубликованном сайте в доменных службах Active Directory.

Примечание

Клиенты, которые не могут прочитать опубликованные сведения, включают компьютеры из другого леса Active Directory, клиентов из компьютеров рабочей группы и клиентов, управляемых через Интернет.

Если клиенты не могут получить копию сертификата для подписи сервера сайта из доменных служб Active Directory, попробуйте выполнить его развертывание на этих клиентах при помощи программы установки клиента CCMSetup.exe, используя msi-параметр клиента SMSSIGNCERT с указанием пути и имени файла экспортируемого сертификата. Недостатком этого способа является то, что при этом требуется увеличение затрат на администрирование, которое может повторяться, когда сертификат для подписи сервера сайта меняется или возобновляется. Дополнительные сведения о параметрах CCMSetup см. в разделе О свойствах установки клиента Configuration Manager. Сведения о том, как экспортировать сертификат см. в разделе Экспорт сертификата для подписи сервера сайта для установки клиента Configuration Manager.

Если копия сертификата для подписи сервера сайта еще не установлена на клиентах Configuration Manager 2007, когда они подключаются к своей точке управления, и они не могут найти ее в доменных службах Active Directory, точка управления автоматически загрузит ее и клиенты смогут проверить подписанные политики.

Из этих трех решений автоматическое развертывание через точку управления – наименее безопасное, к нему не следует прибегать, если вы не уверены в безопасности точки управления. Например, точка управления, находящаяся в демилитаризованной зоне, предназначенная для приема подключений из Интернета для интернет-управления клиентами, считается менее надежной, чем точка управления, находящаяся в интрасети и принимающая подключения только от клиентов интрасети. Однако, автоматическое развертывание копии сертификата для подписи сервера сайта через точку управления может оказаться подходящим решением, если точка управления принимает только подключения от клиентов интрасети, и необходимо избежать затрат на ручное развертывание.

Выберите способ развертывания который, наилучшим образом удовлетворяет бизнес-требованиям. Чтобы определить, каким способом лучше разворачивать на клиентах копию сертификата для подписи сервера сайта, воспользуйтесь следующими рекомендациями.

Используйте доменные службы Active Directory для автоматического развертывания копии сертификата для подписи сервера сайта, когда выполнены все следующие условия.

Доменные службы Active Directory дополнены расширениями схемы Configuration Manager 2007, а сайт опубликован в доменных службах Active Directory.
Клиенты могут читать сведения из опубликованного сайта, что исключает клиентов из непроверенных доменов, клиентов из рабочих групп и клиентов из Интернета.

Выполните развертывание копии сертификата для подписи сервера сайта вручную, если выполняется одно из следующих условий.

Использовать доменные службы Active Directory для развертывания копии сертификата для подписи сервера сайта нельзя.
Клиенты подключаются к точке управления, настроенной для интернет-управления клиентами.
Угроза для безопасности при автоматической установке копии сертификата для подписи сервера сайта с точки управления более актуальна, чем дополнительные затраты на администрирование при ручном развертывании.

Выполните автоматическое развертывание копии сертификата для подписи сервера сайта с использованием точки управления, если выполнены все следующие условия.

Использовать доменные службы Active Directory для развертывания копии сертификата для подписи сервера сайта нельзя.
Точка управления защищена в рамках интрасети и не настроена для интернет-управления клиентами.
Дополнительные затраты на администрирование при ручном развертывании более актуальны, чем угроза для безопасности при автоматической установке копии сертификата для подписи сервера сайта с точки управления.

См. также

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.

Поделиться через

Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим)

См. также

Задачи

Основные понятия

Другие ресурсы

Дополнительные ресурсы