Необходимые условия для профилей сертификатов в Configuration Manager
Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Примечание |
---|
Сведения в этом разделе относятся только к версиям System Center 2012 R2 Configuration Manager. |
Профили сертификатов в System Center 2012 Configuration Manager имеют как внешние зависимости, так и зависимости в пределах продукта.
Внешние зависимости Configuration Manager
Зависимость |
Дополнительные сведения |
||
---|---|---|---|
Выдающий центр сертификации (ЦС) предприятия с запущенными службами сертификатов Active Directory. Для отзыва сертификатов выдающий ЦС должен быть настроен с разрешением на выдачу сертификатов и управление ими для сервера сайта на вершине иерархии.
|
Дополнительные сведения о службах сертификатов Active Directory см. в документации по Windows Server.
|
||
Служба роли службы регистрации сертификатов для сетевых устройств для служб сертификатов Active Directory, запущенная на компьютере под управлением Windows Server 2012 R2. Дополнительно
|
Configuration Manager взаимодействует со службой регистрации сертификатов для сетевых устройств в Windows Server 2012 R2 для создания и проверки запросов SCEP. Если сертификаты будут выдаваться для пользователей или устройств, которые подключаются через Интернет, таких как мобильные устройства под управлением Microsoft Intune, эти устройства должны иметь доступ к серверу, на котором запущена служба регистрации сертификатов для сетевых устройств, через Интернет. Например, установите сервер в сети периметра (также называемой демилитаризованной зоной или промежуточной подсетью). Если между сервером, на котором запущена служба регистрации сертификатов для сетевых устройств, и выдающим ЦС имеется брандмауэр, его необходимо настроить, разрешив коммуникационный трафик (DCOM) между этими двумя серверами. Данное требование к брандмауэру также распространяется на сервер, на котором запущен сервер сайта Configuration Manager, и выдающий ЦС, чтобы система Configuration Manager могла отзывать сертификаты. Если служба регистрации сертификатов для сетевых устройств настроена таким образом, чтобы требовать использования SSL (рекомендация безопасности), убедитесь, что подключающиеся устройства имеют доступ к списку отзыва сертификатов для проверки сертификата сервера. Дополнительные сведения о службе регистрации сертификатов для сетевых устройств в Windows Server 2012 R2 см. в статье Using a Policy Module with the Network Device Enrollment Service (Использование модуля политики со службой регистрации сертификатов для сетевых устройств). |
||
Если выдающий ЦС работает под управлением Windows Server 2008 R2, этот сервер требует исправления для запросов SCEP на обновление. |
Если на компьютере выдающего ЦС еще не установлено исправление, установите его. Дополнительные сведения см. в статье 2483564: Запрос на обновление сертификата SCEP не выполняется в Windows Server 2008 R2, если сертификат управляется с помощью NDES в базе знаний Майкрософт. |
||
PKI-сертификат проверки подлинности клиента и экспортированный сертификат корневого ЦС. |
Этот сертификат служит для проверки подлинности сервера, на котором запущена служба регистрации сертификатов для сетевых устройств, в Configuration Manager. Дополнительные сведения см. в статье Требования к PKI-сертификатам для Configuration Manager. |
||
Поддерживаемые операционные системы устройств. |
Профили сертификатов могут быть развернуты на устройствах под управлением операционных систем iOS, Windows 8.1, Windows RT 8.1 и Android. |
Зависимости Configuration Manager
Зависимость |
Дополнительные сведения |
||
---|---|---|---|
Роль системы сайта точки регистрации сертификатов |
Перед использованием профилей сертификатов необходимо установить роль системы сайта точки регистрации сертификатов. Эта роль взаимодействует с базой данных Configuration Manager, сервером сайта Configuration Manager и модулем политики Configuration Manager. Дополнительные сведения о системных требованиях для данной роли системы сайта и месте ее установки в иерархии см. в следующих разделах.
|
||
Модуль политики Configuration Manager, установленный на сервере, на котором запущена служба роли службы регистрации сертификатов для сетевых устройств для служб сертификатов Active Directory |
Для развертывания профилей сертификатов необходимо установить модуль политики Configuration Manager. Этот модуль политики можно найти на установочном носителе Configuration Manager. |
||
Данные обнаружения |
Значения субъекта сертификата и альтернативного имени субъекта указываются системой Configuration Manager и извлекаются из данных, собранных при обнаружении.
Дополнительные сведения об обнаружении см. в статье Планирование обнаружения в Configuration Manager. |
||
Специальные разрешения системы безопасности для управления профилями сертификатов |
Для управления параметрами доступа к ресурсам компании, такими как профили сертификатов, профили Wi-Fi и профили VPN, необходимо иметь следующие разрешения системы безопасности.
Роль безопасности Диспетчер доступа к ресурсам компании включает все разрешения, необходимые для управления профилями сертификатов в Configuration Manager. Дополнительные сведения см. в разделе Настройка ролевого администрирования статьи Настройка параметров безопасности Configuration Manager. |