Konfigurera certifikatprofiler i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Information
Informationen i det här ämnet gäller enbart System Center 2012 R2 Configuration Manager.

Innan du kan använda Configuration Manager för att registrera certifikat på enheter och för användare, måste du följa konfigurationsanvisningarna i det här avsnittet.

Steg för att konfigurera certifikatregistrering i Configuration Manager

I följande tabell finns anvisningar, detaljerad information och mer information om hur du konfigurerar certifikatregistrering i Configuration Manager. Kontrollera först vilka krav som ställs. De visas i Krav för certifikatprofiler i Configuration Manager.

När du har följt de här anvisningarna och kontrollerat installationen kan du börja konfigurera och distribuera certifikatprofiler. Mer information finns i avsnittet Så här skapar du certifikatprofiler i Configuration Manager.

Steg	Information	Mer information
Steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden	Rolltjänsten Registreringstjänsten för nätverksenheter för Active Directory-certifikattjänster måste köras på operativsystemet Windows Server 2012 R2. Viktigt Du måste slutföra ytterligare konfigurationssteg innan du kan använda registreringstjänsten för nätverksenheter med Configuration Manager.	Se Steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden i det här ämnet.
Steg 2: Installera och konfigurera certifikatregistreringsplatsen	Du måste installera minst en certifikatregistreringsplats. Registreringsplatsen kan vara på en central administrationsplats eller på en primär plats.	Se Steg 2: Installera och konfigurera certifikatregisteringsplatsen i det här ämnet.
Steg 3: Installera Configuration Manager-principmodulen	Installera principmodulen på den server som kör registreringstjänsten för nätverksenheter.	Se Steg 3: Installera Configuration Manager-principmodulen i det här ämnet.

Ytterligare åtgärder för att konfigurera certifikatregistrering i Configuration Manager

Använd följande information när stegen i föregående tabell kräver ytterligare åtgärder.

Steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden

Du måste installera och konfigurera rolltjänsten Registreringstjänsten för nätverksenheter för Active Directory-certifikattjänster, ändra säkerhetsbehörigheterna för certifikatmallarna, distribuera ett PKI-klientautentiseringscertifikat (Public Key Infrastructure) och redigera registret för att öka standardgränsen för storleken på IIS-webbadressen (Internet Information Services). Om det behövs måste du också konfigurera den aktuella certifikatutfärdaren för att tillåta en anpassad giltighetstid.

Viktigt
Innan du konfigurerar Configuration Manager så att det fungerar med registreringstjänsten för nätverksenheter bör du kontrollera installationen och konfigurationen av registreringstjänsten för nätverksenheter. Om dessa beroenden inte fungerar som de ska får du svårt att felsöka certifikatregistreringen med Configuration Manager.

Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden

1. Installera och konfigurera rolltjänsten Registreringstjänsten för nätverksenheter för serverrollen Active Directory-certifikattjänster på en server som kör Windows Server 2012 R2. Mer information finns i Network Device Enrollment Service Guidance (Vägledning för registreringstjänsten för nätverksenheter) i biblioteket för Active Directory-certifikattjänster på TechNet.

2. Kontrollera och, om det behövs, ändra säkerhetsbehörigheten för de certifikatmallar som används i registreringstjänsten för nätverksenheter.

   - För det konto som kör Configuration Manager-konsolen: behörighet för att **Läsa**.
   
     Den här behörigheten krävs för att du, när du kör guiden Skapa certifikatprofil, ska kunna bläddra och välja den certifikatmall du vill använda när du skapar en SCEP-inställningsprofil. När du väljer en certifikatmall fylls vissa inställningar i guiden i automatiskt vilket innebär att du får mindre att konfigurera och det är mindre risk att du väljer inställningar som inte är kompatibla med de certifikatmallar som används i registreringstjänsten för nätverksenheter.
   
   - För det SCEP-tjänstkonto som används i programpoolen för registreringstjänsten för nätverksenheter: behörigheter för att **Läsa** och **Registrera**.
   
     Det här kravet är inte specifikt för Configuration Manager men ingår i konfigurationen registreringstjänsten för nätverksenheter. Mer information finns i [Network Device Enrollment Service Guidance (Vägledning för registreringstjänsten för nätverksenheter)](https://go.microsoft.com/fwlink/p/?linkid=309016) i biblioteket för Active Directory-certifikattjänster på TechNet.
   

   Tips
   Du kan se vilka certifikatmallar som används i registreringstjänsten för nätverksenheter med hjälp av följande registernyckel på den server som kör registreringstjänsten för nätverksenheter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Information
   De här är standardsäkerhetsbehörigheterna som lämpar sig för de flesta miljöer. Du kan också använda en alternativ säkerhetskonfiguration. Mer information finns i avsnittet Planera certifikatmallsbehörighet för certifikatprofiler i Configuration Manager.

3. Distribuera ett PKI-certifikat som har stöd för klientautentisering på den här servern. Du kanske redan har ett passande certifikat på datorn som du kan använda eller också måste du (eller föredrar du) att distribuera ett certifikat för just detta ändamål. Mer information om kraven för det här certifikatet finns i ”Servrar som kör Configuration Manager-principmodulen med rolltjänsten Registreringstjänsten för nätverksenheter” i avsnittet PKI-certifikat för servrar i ämnet PKI-certifikatkrav för Configuration Manager.

   Tips

   Om du behöver hjälp med att distribuera det här certifikatet kan du använda instruktionerna för Distribuera klientcertifikatet för distributionsplatser i ämnet Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare, eftersom certifikatkravet är desamma, med ett undantag: Markera inte kryssrutan Tillåt att den privata nyckeln exporteras på fliken Hantering av begäranden i egenskaperna för certifikatmallen. Du behöver inte exportera det här certifikatet med den privata nyckeln eftersom du kommer kunna bläddra till arkivet på den lokala datorn och välja certifikatet när du konfigurerar Configuration Manager-principmodulen.

4. Leta upp det rotcertifikat som ingår i samma kedja som klientautentiseringscertifikatet. Exportera sedan rotcertifikatet till en certifikatfil (.cer). Spara filen på en skyddad plats som du kan nå på ett säkert sätt när du senare installerar och konfigurerar platssystemservern för certifikatregistreringsplatsen.

5. På samma server använder du registereditorn för att öka standardstorleksgränsen för IIS-webbadressen genom att ange värden för registernyckeln DWORD i HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   - Ställ in nyckeln **MaxFieldLength** på **65534**.
   
   - Ställ in nyckeln **MaxRequestBytes** på **16777216**.
   

   Mer information finns i artikeln 820129: Http.sys registry settings for Windows (Http.sys-registerinställningar för Windows) i Microsoft Knowledge Base.

6. På samma server går du till IIS-hanteraren (Internet Information Services), ändrar begäransfiltreringsinställningarna för programmet /certsrv/mscep och startar sedan om datorn. I dialogrutan Redigera inställningar för begärandefiltrering ska inställningarna för Begärandebegränsningar vara följande:

   - **Högsta tillåtna innehållslängd (byte)**: **30000000**
   
   - **Maximal URL-längd (byte)**: **65534**
   
   - **Maximal frågesträng (byte)**: **65534**
   

   Mer information om inställningarna och hur de konfigureras finns i Requests Limits (Begärandebegränsningar) i IIS-referensbiblioteket.

7. Om du vill kunna begära ett certifikat som har kortare giltighetstid än den certifikatmall du använder: Den här konfigurationen är inaktiverad som standard för företagscertifikatutfärdare. Om du vill aktivera det här alternativet för företagscertifikatutfärdare använder du kommandoradsverktyget Certutil och stoppar och startar sedan om certifikattjänsten med följande kommandon:

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

   Mer information finns i Certificate Services Tools and Settings (Verktyg och inställningar för certifikattjänster) i PKI-teknikbiblioteket på TechNet.

8. Kontrollera att registreringstjänsten för nätverksenheter fungerar genom att använda följande länk som exempel: https://server.contoso.com/certsrv/mscep/mscep.dll. Nu bör den inbyggda webbsidan för registreringstjänsten för nätverksenheter visas. På den här webbsidan förklaras vad tjänsten är och hur nätverksenheter kan använda webbadressen för att skicka certifikatförfrågningar.

Nu när du har konfigurerat registreringstjänsten för nätverksenheter och beroenden är det dags att installera och konfigurera certifikatregistreringsplatsen.

Steg 2: Installera och konfigurera certifikatregisteringsplatsen

Du måste installera och konfigurera minst en certifikatregistreringsplats i Configuration Manager-hierarkin, och du kan installera den här platssystemrollen på den centrala administrationsplatsen eller på en primär plats.

Viktigt
Innan du installerar certifikatregistreringsplatsen bör du läsa avsnittet i ämnet för att se vilka krav som finns på operativsystemet och vilka beroenden som finns för certifikatregistreringsplatsen..c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Installera och konfigurera certifikatregisteringsplatsen

1. Klicka på Administration i Configuration Manager-konsolen.

2. I arbetsytan Administration expanderar du Platskonfiguration, klickar på Systemroller för servrar och platser och väljer sedan vilken server du vill använda för certifikatregistreringsplatsen.

3. På fliken Hem går du till gruppen Server och klickar på Lägg till platssystemroller.

4. På sidan Allmänt anger du allmänna inställningar för platssystemet och klickar sedan på Nästa.

5. På sidan Proxy klickar du på Nästa. Certifikatregistreringsplatsen använder inte Internetproxyinställningar.

6. På sidan Urval för systemroll väljer du Certifikatregistreringsplats i listan över tillgängliga roller. Klicka sedan på Nästa.

7. På sidan Certifikatregistreringsplats godkänner du eller ändrar standardinställningarna och klickar sedan på Lägg till.

8. I dialogrutan Lägg till URL och rotcertifikatutfärdarcertifikat anger du följande och klickar sedan på OK:

   1. URL för registreringstjänsten för nätverksenheter: Ange webbadressen i följande format: https://<server_FQDN>/certsrv/mscep/mscep.dll. Om det fullständiga domännamnet för den server som kör registreringstjänsten för nätverksenheter till exempel är server1.contoso.com, skriver du https://server1.contoso.com/certsrv/mscep/mscep.dll.

   2. Rotcertifikatutfärdarcertifikat: Bläddra till och markera den certifikatfil (.cer) som du skapade och sparade i Steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden. Med det här rotcertifikatutfärdarcertifikatet kan certifikatregistreringsplatsen styrka giltigheten för det klientautentiseringscertifikat som ska användas av Configuration Manager-principmodulen.

   Information
   Om du använder fler än en server som kör registreringstjänsten för nätverksenheter, klickar du på Lägg till och anger information om de andra servrarna.

9. Klicka på Nästa och slutför guiden.

10. Vänta några minuter tills installationen är klar och kontrollera sedan på något av följande sätt att certifikatregistreringsplatsen har installerats:

    • I arbetsytan Övervakning expanderar du Systemstatus, klickar på Komponentstatus och letar efter statusmeddelanden från SMS_CERTIFICATE_REGISTRATION_POINT-komponenten.

    • På platssystemservern använder du filen <ConfigMgr Installation Path>\Logs\crpsetup.log och filen <ConfigMgr Installation Path>\Logs\crpmsi.log. Om installationen slutfördes utan problem returneras slutkoden 0.

    • Kontrollera med en webbläsare att du kan ansluta till certifikatregistreringsplatsens webbadress, till exempel https://server1.contoso.com/CMCertificateRegistration. En Serverfel sida med programnamnet bör nu visas, och en HTTP 404-beskrivning.

11. Leta upp den exporterade certifikatfilen för den rotcertifikatutfärdare som certifikatregistreringsplatsen skapade automatiskt i följande mapp på den primära platsserverdatorn: <ConfigMgr Installation Path>\inboxes\certmgr.box. Spara filen på en skyddad plats som du kan nå på ett säkert sätt när du senare installerar Configuration Manager-principmodulen på den server som kör registreringstjänsten för nätverksenheter.

    Tips
    Certifikatet är inte omedelbart tillgängligt i mappen. Du kan behöva vänta ett tag (till exempel en halvtimme) tills Configuration Manager har kopierat filen till platsen.

Nu när du har installerat och konfigurerat certifikatregistreringsplatsen är det dags att installera Configuration Manager-principmodulen för registreringstjänsten för nätverksenheter.

Steg 3: Installera Configuration Manager-principmodulen

Du måste installera och konfigurera Configuration Manager-principmodulen på alla servrar som du angav i Steg 2: Installera och konfigurera certifikatregistreringsplatsen som URL för registreringstjänsten för nätverksenheter i egenskaperna för certifikatregistreringsplatsen.

Installera principmodulen

1. Logga in som domänadministratör på den server som kör registreringstjänsten för nätverksenheter och kopiera följande filer från mappen <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 på Configuration Manager-installationsmediet till en tillfällig mapp:

   - PolicyModule.msi
   
   - PolicyModuleSetup.exe
   

   Om det finns en språkpaketmapp på installationsmediet kopierar du även den mappen och dess innehåll.

2. Gå till den tillfälliga mappen och kör PolicyModuleSetup.exe för att starta installationsguiden för Configuration Manager-policymodulen.

3. Klicka på Nästa på den första sidan i guiden, godkänn licensavtalet och klicka sedan på Nästa.

4. På sidan Installationsmapp godkänner du standardinstallationsmappen för principmodulen eller anger en annan mapp. Klicka sedan på Nästa.

5. På sidan Certifikatregistreringsplats anger du webbadressen för certifikatregistreringsplatsen genom att använda den fullständiga domännamnet för platssystemservern och namnet på det virtuella program som står i egenskaperna för certifikatregistreringsplatsen. Standardnamnet för det virtuella programmet är CMCertificateRegistration. Om det fullständiga domännamnet för platssystemservern till exempel är server1.contoso.com och du använde standardnamnet för det virtuella programmet, skriver du https://server1.contoso.com/CMCertificateRegistration.

6. Godkänn standardporten 443 eller ange det alternativa portnummer som används av certifikatregistreringsplatsen och klicka sedan på Nästa.

7. På sidan Klientcertifikat för principmodulen bläddrar du till och anger det klientautentiseringscertifikat som du distribuerade i Steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden och klicka på Nästa.

8. På sidan Certifikat på certifikatregistreringsplatsen klickar du på Bläddra och markerar den exporterade certifikatfilen för den rotcertifikatutfärdare som du letade upp och sparade i Steg 2: Installera och konfigurera certifikatregistreringsplatsen

   Information

   Om du inte sparade den här certifikatfilen tidigare finns den i Klicka på Nästa och slutför guiden. Nu när du har gått igenom konfigurationsstegen för att installera Registreringstjänst för nätverksenheter med beroenden, certifikatregistreringsplatsen samt Configuration Manager-principmodulen, är du klar att distribuera certifikat till användare och enheter genom att skapa och distribuera certifikatprofiler. Mer information om hur du skapar certifikatprofiler finns i Så här skapar du certifikatprofiler i Configuration Manager. Om du vill avinstallera Configuration Manager-principmodulen använder du Program och funktioner i Kontrollpanelen. Se även Certifikatprofiler i Configuration Manager