Поделиться через


Настройка профилей сертификатов в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Сведения в этом разделе относятся только к версиям System Center 2012 R2 Configuration Manager.

Прежде чем использовать Configuration Manager для регистрации сертификатов на устройствах и для пользователей, необходимо выполнить ряд действий по настройке, описанных в этой статье.

Действия по настройке регистрации сертификатов в Configuration Manager

В следующей таблице приведены действия, сведения и дополнительная информация о настройке регистрации сертификатов в Configuration Manager. Перед началом работы проверьте выполнение всех необходимых условий, перечисленных в статье Необходимые условия для профилей сертификатов в Configuration Manager.

После завершения этих действий и проверки установки можно настраивать и развертывать профили сертификатов. Дополнительные сведения см. в статье Создание профилей сертификатов в Configuration Manager.

Шаги

Подробные сведения

Дополнительные сведения

Шаг 1. Установка и настройка службы регистрации сертификатов для сетевых устройств и зависимостей

Служба роли службы регистрации сертификатов для сетевых устройств для служб сертификатов Active Directory должна быть запущена в операционной системе Windows Server 2012 R2.

System_CAPS_importantВажно

Перед началом использования службы регистрации сертификатов для сетевых устройств с Configuration Manager необходимо выполнить дополнительные действия по настройке.

См. раздел Шаг 1. Установка и настройка службы регистрации сертификатов для сетевых устройств и зависимостей в этой статье.

Шаг 2. Установка и настройка точки регистрации сертификатов

Необходимо установить хотя бы одну точку регистрации сертификатов. Эта точка регистрации может находиться в сайте центра администрирования или в первичном сайте.

См. раздел Шаг 2. Установка и настройка точки регистрации сертификатов в этой статье.

Шаг 3. Установка модуля политики Configuration Manager

Установите модуль политики на сервере, на котором запущена служба регистрации сертификатов для сетевых устройств.

См. раздел Шаг 3. Установка модуля политики Configuration Manager в этой статье.

Дополнительные процедуры для настройки регистрации сертификатов в Configuration Manager

Используйте следующие сведения, если для выполнения действий, перечисленных в таблице выше, требуются дополнительные процедуры.

Шаг 1. Установка и настройка службы регистрации сертификатов для сетевых устройств и зависимостей

Необходимо установить и настроить службу роли службы регистрации сертификатов для сетевых устройств для служб сертификатов Active Directory, изменить разрешения системы безопасности для шаблонов сертификатов, развернуть PKI-сертификат проверки подлинности клиента и внести изменения в реестр, увеличив значение максимальной длины URL-адреса IIS, используемое по умолчанию. При необходимости также необходимо настроить выдающий центр сертификации (ЦС), разрешив использование настраиваемого срока действия.

System_CAPS_importantВажно

Перед настройкой Configuration Manager для работы со службой регистрации сертификатов для сетевых устройств убедитесь, что эта служба установлена и настроена. Неправильная работа зависимостей затруднит устранение неполадок при регистрации сертификатов с помощью Configuration Manager.

Установка и настройка службы регистрации сертификатов для сетевых устройств и зависимостей

  1. На сервере, работающем под управлением ОС Windows Server 2012 R2, установите и настройте службу роли службы регистрации сертификатов сетевых устройств для роли сервера служб сертификатов Active Directory. Дополнительные сведения см. в статье Network Device Enrollment Service Guidance (Руководство по работе со службой регистрации сертификатов для сетевых устройств) в библиотеке служб сертификатов Active Directory в TechNet.

  2. Проверьте и, при необходимости, измените разрешения безопасности для шаблонов сертификатов, используемых службой регистрации сертификатов для сетевых устройств.

    - Для учетной записи, используемой для запуска консоли Configuration Manager: разрешение на **чтение**.
    
      Это разрешение требуется для того, чтобы при работе с мастером создания профилей сертификатов вы могли просмотреть и выбрать шаблон сертификата, необходимый при создании профиля параметров протокола SCEP. Выбор шаблона сертификата означает, что некоторые параметры в мастере будут заполняться автоматически. За счет этого упрощается настройка и снижается риск выбора параметров, несовместимых с шаблонами сертификатов, используемыми службой регистрации сертификатов для сетевых устройств.
    
    - Для учетной записи службы SCEP, используемой пулом приложений службы регистрации сертификатов для сетевых устройств: разрешения на **чтение** и **регистрацию**.
    
      Это требование не относится к Configuration Manager, но используется при настройке службы регистрации сертификатов для сетевых устройств. Дополнительные сведения см. в статье [Network Device Enrollment Service Guidance (Руководство по работе со службой регистрации сертификатов для сетевых устройств)](https://go.microsoft.com/fwlink/p/?linkid=309016) в библиотеке служб сертификатов Active Directory в TechNet.
    
    System_CAPS_tipСовет

    Чтобы определить, какие шаблоны сертификатов используются службой регистрации сертификатов для сетевых устройств, просмотрите следующий раздел реестра на сервере, на котором работает эта служба: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    System_CAPS_noteПримечание

    Разрешения безопасности, используемые по умолчанию, подходят для большинства сред. Однако можно использовать и другую конфигурацию безопасности. Дополнительные сведения см. в статье Планирование разрешений шаблонов сертификатов для профилей сертификатов в Configuration Manager.

  3. Разверните на этом сервере PKI-сертификат, который поддерживает проверку подлинности клиента. На вашем компьютере уже может быть установлен подходящий для использования сертификат, либо его необходимо (или желательно) развернуть специально для этой цели. Дополнительные сведения о требованиях, предъявляемых к этому сертификату, см. в подразделе "Серверы, на которых работает модуль политики Configuration Manager, со службой роли службы регистрации сертификатов для сетевых устройств" в разделе Сертификаты PKI для серверов статьи Требования к PKI-сертификатам для Configuration Manager.

    System_CAPS_tipСовет

    Если вам требуется помощь по развертыванию этого сертификата, используйте инструкции в разделе Развертывание сертификата клиента для точек распространения статьи Пошаговый пример развертывания сертификатов PKI для Configuration Manager. Центр сертификации Windows Server 2008, поскольку требования к сертификату такие же за исключением приведенного ниже пункта.

    • Не устанавливайте флажок Разрешить экспортировать закрытый ключ на вкладке Обработка запроса в свойствах шаблона сертификата.

    Необходимость экспорта этого сертификата с закрытым ключом отсутствует, поскольку вы можете просмотреть хранилище локального компьютера и выбрать сертификат при настройке модуля политики Configuration Manager.

  4. Найдите корневой сертификат, с которым будет связан сертификат проверки подлинности клиента. Затем экспортируйте этот сертификат корневого ЦС в CER-файл сертификата. Сохраните этот файл в надежном месте, к которому можно получить безопасный доступ при последующей установке и настройке сервера системы сайта для точки регистрации сертификатов.

  5. На этом же сервере используйте редактор реестра, чтобы увеличить максимальную длину URL-адреса IIS, установив следующие значения DWORD разделов реестра в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters.

    - Задайте для раздела **MaxFieldLength** значение **65534**.
    
    - Задайте для раздела **MaxRequestBytes** значение **16777216**.
    

    Дополнительные сведения см. в статье 820129: Параметры реестра HTTP.sys для Windows в базе знаний Майкрософт.

  6. На этом же самом сервере в диспетчере служб IIS измените параметры фильтрации запросов для приложения /certsrv/mscep, а затем перезапустите сервер. В диалоговом окне Изменение параметров фильтрации запросов параметры Ограничения запросов должны быть настроены следующим образом.

    - **Максимально допустимая длина содержимого (в байтах)**: **30000000**
    
    - **Максимальная длина URL-адреса (в байтах)**: **65534**
    
    - **Максимальная длина строки запроса (в байтах)**: **65534**
    

    Дополнительные сведения об этих параметрах и их настройке см. в статье Requests Limits (Ограничения запросов) в справочной библиотеке IIS.

  7. Если необходимо обеспечить возможность запроса сертификата с меньшим сроком действия, чем в используемом шаблоне сертификата, то по умолчанию эта конфигурация отключена для ЦС предприятия. Чтобы включить эту возможность в ЦС предприятия, используйте программу командной строки Certutil, а затем остановите и перезапустите службу сертификатов с помощью следующих команд:

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

    Дополнительные сведения см. в статье Certificate Services Tools and Settings (Средства и параметры служб сертификатов) в библиотеке технологий PKI на веб-сайте TechNet.

  8. Удостоверьтесь, что служба регистрации сертификатов для сетевых устройств работает, используя в качестве примера следующую ссылку: https://server.contoso.com/certsrv/mscep/mscep.dll. Должна отобразиться встроенная веб-страница службы регистрации сертификатов для сетевых устройств. Эта страница содержит сведения о службе и о том, что сетевые устройства используют URL-адрес для отправки запросов на сертификаты.

После настройки службы регистрации сертификатов для сетевых устройств и зависимостей можно установить и настроить точку регистрации сертификатов.

Шаг 2. Установка и настройка точки регистрации сертификатов

Необходимо установить и настроить по крайней мере одну точку регистрации сертификатов в иерархии Configuration Manager. Эта роль системы сайта может быть установлена в сайте центра администрирования или в первичном сайте.

System_CAPS_importantВажно

Перед установкой точки регистрации сертификатов ознакомьтесь требованиями к операционной системе и зависимостями для точки регистрации сертификатов в разделе Требования к системе сайта статьи Поддерживаемые конфигурации для диспетчера конфигурации.

Процедура установки и настройки точки регистрации сертификатов

  1. В консоли Configuration Manager щелкните элемент Администрирование.

  2. В рабочей области Администрирование разверните узел Конфигурация сайта, щелкните Серверы и роли системы сайта, а затем выберите сервер, который требуется использовать для точки регистрации сертификатов.

  3. На вкладке Главная в группе Сервер щелкните Добавить роли системы сайта.

  4. На странице Общие укажите общие параметры для системы сайта и нажмите кнопку Далее.

  5. На странице Прокси-сервер нажмите кнопку Далее. Точка регистрации сертификатов не использует параметры прокси-сервера Интернета.

  6. На странице Выбор системной роли в списке доступных ролей выберите Точка регистрации сертификатов и нажмите кнопку Далее.

  7. На странице Точка регистрации сертификатов примите или измените параметры по умолчанию, а затем нажмите кнопку Добавить.

  8. В диалоговом окне Добавление URL-адреса и сертификата корневого ЦС укажите нижеследующие параметры и нажмите кнопку ОК.

    1. URL-адрес для службы регистрации сертификатов сетевых устройств: укажите URL-адрес в следующем формате: https://<server_FQDN>/certsrv/mscep/mscep.dll. Например, если в качестве полного доменного имени сервера, на котором работает служба регистрации сертификатов для сетевых устройств, используется "server1.contoso.com", введите https://server1.contoso.com/certsrv/mscep/mscep.dll.

    2. Сертификат корневого ЦС: найдите и выберите CER-файл сертификата, который был создан и сохранен на этапе Шаг 1. Установка и настройка службы регистрации сертификатов для сетевых устройств и зависимостей. Этот сертификат корневого ЦС позволяет точке регистрации сертификатов проверять сертификат проверки подлинности клиента, который будет использоваться модулем политики Configuration Manager.

    System_CAPS_noteПримечание

    Если вы используете несколько серверов, на которых работает служба регистрации сертификатов для сетевых устройств, нажмите кнопку Добавить, чтобы указать сведения для других серверов.

  9. Нажмите кнопку Далее и завершите работу мастера.

  10. Дождитесь завершения установки, которая может занять нескольких минут, а затем убедитесь в успешной установке точки регистрации сертификатов, воспользовавшись одним из указанных ниже способов.

    • В рабочей области Мониторинг разверните узел Состояние системы, щелкните Состояние компонента и найдите сообщения о состоянии компонента SMS_CERTIFICATE_REGISTRATION_POINT.

    • На сервере системы сайта используйте файлы <путь установки Configuration Manager>\Logs\crpsetup.log и <путь установки Configuration Manager>\Logs\crpmsi.log. При успешной установке возвращается код завершения 0.

    • С помощью браузера убедитесь в возможности подключения к URL-адресу точки регистрации сертификатов, например https://server1.contoso.com/CMCertificateRegistration. Должна отобразиться страница Ошибка сервера для имени приложения с описанием ошибки HTTP 404.

  11. Найдите экспортированный файл сертификата для корневого ЦС, который автоматически создается точкой регистрации сертификатов на сервере первичного сайта в папке <ConfigMgr Installation Path>\inboxes\certmgr.box. Сохраните этот файл в надежном месте, к которому можно получить безопасный доступ при последующей установке модуля политики Configuration Manager на сервере, на котором работает служба регистрации сертификатов для сетевых устройств.

    System_CAPS_tipСовет

    Этот сертификат не сразу появляется в папке. Возможно, потребуется немного подождать (например, полчаса), пока Configuration Manager скопирует файл в указанную папку.

После установки и настройки точки регистрации сертификатов можно установить модуль политики Configuration Manager для службы регистрации сертификатов для сетевых устройств.

Шаг 3. Установка модуля политики Configuration Manager

Необходимо установить и настроить модуль политики Configuration Manager на каждом сервере, указанном на этапе Шаг 2. Установка и настройка точки регистрации сертификатов в свойствах точки регистрации сертификатов в поле URL-адрес службы регистрации сетевых устройств.

Процедура установки модуля политики

  1. Войдите в систему сервера, на котором работает служба регистрации сертификатов для сетевых устройств, под учетной записью администратора домена и скопируйте следующие файлы из папки <установочный носитель Configuration Manager>\SMSSETUP\POLICYMODULE\X64 на установочном носителе Configuration Manager во временную папку:

    - PolicyModule.msi
    
    - PolicyModuleSetup.exe
    

    Помимо этого, при наличии папки LanguagePack на установочном носителе, скопируйте эту папку и ее содержимое.

  2. Во временной папке выполните файл PolicyModuleSetup.exe, чтобы запустить мастер установки модуля политики Configuration Manager.

  3. На начальной странице мастера нажмите кнопку Далее, примите условия лицензии и нажмите кнопку Далее.

  4. На странице Папка установки примите предложенную по умолчанию папку установки для модуля политики или укажите альтернативную папку, а затем нажмите кнопку Далее.

  5. На странице Точка регистрации сертификатов укажите, используя полное доменное имя сервера системы сайта, URL-адрес точки регистрации сертификатов и имя виртуального приложения, которое указано в ее свойствах. Имя виртуального приложения по умолчанию — CMCertificateRegistration. Например, если полное доменное имя сервера системы сайта — "server1.contoso.com", и используется имя виртуального приложения по умолчанию, то укажите https://server1.contoso.com/CMCertificateRegistration.

  6. Примите значение порта по умолчанию 443 или укажите альтернативный номер порта, который использует точка регистрации сертификатов, затем нажмите кнопку Далее.

  7. На странице Сертификат клиента для модуля политики найдите и укажите сертификат проверки подлинности клиента, который был развернут на этапе Шаг 1. Установка и настройка службы регистрации сертификатов для сетевых устройств и зависимостей, а затем нажмите кнопку Далее.

  8. На странице Сертификат точки регистрации сертификатов нажмите кнопку Обзор, чтобы выбрать экспортированный файл сертификата для корневого ЦС, который был найден и сохранен в конце этапа Шаг 2. Установка и настройка точки регистрации сертификатов.

    System_CAPS_noteПримечание

    Если вы ранее не сохраняли этот файл сертификата, он находится в расположении <путь установки Configuration Manager>\inboxes\certmgr.box на сервере сайта.

  9. Нажмите кнопку Далее и завершите работу мастера.

После выполнения действий по настройке службы регистрации сертификатов для сетевых устройств и зависимостей, точки регистрации сертификатов и модуля политики Configuration Manager можно развертывать сертификаты для пользователей и устройств, создавая и развертывая профили сертификатов. Дополнительные сведения о создании профилей сертификатов см. в статье Создание профилей сертификатов в Configuration Manager.

Если необходимо удалить модуль политики Configuration Manager, используйте оснастку Программы и компоненты в панели управления.