Krav för certifikatprofiler i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Certifikatprofiler i Configuration Manager har externa beroenden och beroenden i produkten.
Viktigt
Från och med version 2203 stöds inte längre den här åtkomstfunktionen för företagsresurser. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.
Externa beroenden till Configuration Manager
| Beroende | Mer information |
|---|---|
| Ett företag som utfärdar certifikatutfärdare (CA) som kör Active Directory Certificate Services (AD CS). För att återkalla certifikat kräver platsserverns datorkonto överst i hierarkin behörighet att utfärda och hantera certifikat för varje certifikatmall som används av en certifikatprofil i Configuration Manager. Du kan också bevilja Certificate Manager-behörigheter för att bevilja behörigheter för alla certifikatmallar som används av certifikatutfärdare Hanteringsgodkännande för certifikatbegäranden stöds. Certifikatmallarna som används för att utfärda certifikat måste dock konfigureras för Leverans i begäran för certifikatämnet så att Configuration Manager automatiskt kan ange det här värdet. |
Mer information om Active Directory Certificate Services finns i Översikt över Active Directory Certificate Services. |
| Använd PowerShell-skriptet för att verifiera och om det behövs installerar du kraven för rolltjänsten Registreringstjänst för nätverksenheter (NDES) och Configuration Manager certifikatregistreringsplats. |
Instruktionsfilen, readme_crp.txt, finns i ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. PowerShell-skriptet, Test-NDES-CRP-Prereqs.ps1, finns i samma katalog som instruktionerna. PowerShell-skriptet måste köras lokalt på NDES-servern. |
| Rolltjänsten Registreringstjänst för nätverksenheter (NDES) för Active Directory Certificate Services, som körs på Windows Server 2012 R2. Ytterligare: Andra portnummer än TCP 443 (för HTTPS) eller TCP 80 (för HTTP) stöds inte för kommunikationen mellan klienten och registreringstjänsten för nätverksenheter. Servern som kör registreringstjänsten för nätverksenheter måste finnas på en annan server än den utfärdande certifikatutfärdare. |
Configuration Manager kommunicerar med registreringstjänsten för nätverksenheter i Windows Server 2012 R2 för att generera och verifiera SCEP-begäranden (Simple Certificate Enrollment Protocol). Om du ska utfärda certifikat till användare eller enheter som ansluter från Internet, till exempel mobila enheter som hanteras av Microsoft Intune, måste enheterna kunna komma åt den server som kör registreringstjänsten för nätverksenheter från Internet. Installera till exempel servern i ett perimeternätverk (även kallat dmz, demilitariserad zon och skärmat undernät). Om du har en brandvägg mellan servern som kör registreringstjänsten för nätverksenheter och den utfärdande certifikatutfärdare måste du konfigurera brandväggen för att tillåta kommunikationstrafik (DCOM) mellan de två servrarna. Det här brandväggskravet gäller även för den server som kör Configuration Manager-platsservern och den utfärdande certifikatutfärdare, så att Configuration Manager kan återkalla certifikat. Om registreringstjänsten för nätverksenheter är konfigurerad för att kräva SSL är en säkerhetsmetod att se till att anslutande enheter kan komma åt listan över återkallade certifikat (CRL) för att verifiera servercertifikatet. Mer information om registreringstjänsten för nätverksenheter finns i Använda en principmodul med registreringstjänsten för nätverksenheter. |
| Ett PKI-klientautentiseringscertifikat och exporterat rotcertifikatutfärdarcertifikat. | Det här certifikatet autentiserar servern som kör registreringstjänsten för nätverksenheter för att Configuration Manager. Mer information finns i PKI-certifikatkrav för Configuration Manager. |
| Enhetsoperativsystem som stöds. | Du kan distribuera certifikatprofiler till enheter som kör Windows 8.1, Windows RT 8.1 och Windows 10. |
Configuration Manager beroenden
| Beroende | Mer information |
|---|---|
| Platssystemroll för certifikatregistreringsplats | Innan du kan använda certifikatprofiler måste du installera platssystemrollen för certifikatregistreringsplatsen. Den här rollen kommunicerar med Configuration Manager-databasen, Configuration Manager-platsservern och Configuration Manager-principmodulen. Mer information om systemkrav för den här platssystemrollen och var du installerar rollen i hierarkin finns i avsnittet Krav för platssystem i artikeln Konfigurationer som stöds för Configuration Manager. Certifikatregistreringsplatsen får inte installeras på samma server som kör registreringstjänsten för nätverksenheter. |
| Configuration Manager principmodul som är installerad på servern som kör rolltjänsten Registreringstjänst för nätverksenheter för Active Directory Certificate Services | Om du vill distribuera certifikatprofiler måste du installera Configuration Manager-principmodulen. Du hittar den här principmodulen på Configuration Manager installationsmediet. |
| Identifieringsdata | Värden för certifikatmottagaren och alternativt ämnesnamn anges av Configuration Manager och hämtas från information som samlas in från identifieringen: För användarcertifikat: Active Directory-användaridentifiering För datorcertifikat: Active Directory-systemidentifiering och nätverksidentifiering |
| Specifika säkerhetsbehörigheter för att hantera certifikatprofiler | Du måste ha följande säkerhetsbehörigheter för att hantera åtkomstinställningar för företagsresurser, till exempel certifikatprofiler, Wi-Fi profiler och VPN-profiler: Så här visar och hanterar du aviseringar och rapporter för certifikatprofiler: Skapa, Ta bort, Ändra, Ändra rapport, Läsa och Kör rapport för aviseringsobjektet . Skapa och hantera certifikatprofiler: Skapa princip, Ändra rapport, Läsa och Kör rapport för certifikatprofilobjektet . Så här hanterar du wi-fi-, certifikat- och VPN-profildistributioner: Distribuera konfigurationsprinciper, ändra klientstatusavisering, läsa och läsa resurs för samlingsobjektet . Så här hanterar du alla konfigurationsprinciper: Skapa, Ta bort, Ändra, Läsa och Ange säkerhetsomfattning för objektet Konfigurationsprincip . Så här kör du frågor relaterade till certifikatprofiler: Läsbehörighet för frågeobjektet . Så här visar du information om certifikatprofiler i Configuration Manager-konsolen: Läsbehörighet för platsobjektet. Så här visar du statusmeddelanden för certifikatprofiler: Läsbehörighet för objektet Statusmeddelanden . Så här skapar och ändrar du certifikatprofilen för betrodd certifikatutfärdare: Skapa princip, Ändra rapport, Läsa och Kör rapport för objektet Certifikatprofil för betrodd certifikatutfärdare . Skapa och hantera VPN-profiler: Skapa princip, Ändra rapport, Läsa och Kör rapport för VPN-profilobjektet . Så här skapar och hanterar du Wi-Fi profiler: Skapa princip, Ändra rapport, Läsa och Kör rapport för Wi-Fi-profilobjektet . Säkerhetsrollen Företagsresursåtkomsthanterare innehåller dessa behörigheter som krävs för att hantera certifikatprofiler i Configuration Manager. Mer information finns i avsnittet Konfigurera rollbaserad administration i artikeln Konfigurera säkerhet . |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för