Configuration Manager'da Sertifika Profillerini Yapılandırma
Uygulama Alanı: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Not
Bu konudaki bilgiler yalnızca System Center 2012 R2 Configuration Manager sürümleri için geçerlidir.
Configuration Manager ürününü cihazlarda ve kullanıcılar için sertifikaları kaydetmek üzere kullanmak için önce bu konuda açıklanan yapılandırma adımlarını gerçekleştirmeniz gerekir.
Configuration Manager'da Sertifika Kaydını Yapılandırma Adımları
Configuration Manager'de sertifika kaydının nasıl yapılandırılacağına dair adımlar, ayrıntılar ve daha fazla bilgi için aşağıdaki tabloyu kullanın. Başlamadan önce, Configuration Manager'daki Sertifika Profilleri için Önkoşullar içinde listelenen herhangi bir önkoşulu denetleyin.
Bu adımları tamamladıktan ve yüklemeyi doğruladıktan sonra, sertifika profilleri yapılandırabilir ve dağıtabilirsiniz. Daha fazla bilgi için, bkz. Configuration Manager'da Sertifika Profilleri Oluşturma.
Adımlar |
Ayrıntılar |
Daha fazla bilgi |
||
---|---|---|---|---|
Adım 1: Ağ Aygıtı Kayıt Hizmeti ve bağımlılıklarını yükleme ve yapılandırma |
Active Directory Sertifika Hizmetleri (AD CS) için Ağ Aygıtı Kayıt Hizmeti rol hizmetinin, Windows Server 2012 R2 işletim sisteminde çalıştırılması gerekir.
|
Bu konunun Adım 1: Ağ Aygıtı Kayıt Hizmeti ve Bağımlılıklarını Yükleme ve Yapılandırma bölümüne bakın. |
||
2. Adım: Sertifika kayıt noktasını yükleme ve yapılandırma |
En az bir sertifika kayıt noktası yüklemeniz gerekir. Bu kayıt noktası, bir merkezi yönetim sitesinde veya birincil sitede olabilir. |
Bu konunun 2. Adım: Sertifika Kayıt Noktasını Yükleme ve Yapılandırma bölümüne bakın. |
||
3. Adım:Configuration Manager İlke Modülünü Yükleme |
İlke Modülünü, Ağ Aygıtı Kayıt Hizmeti'ni çalıştıran sunucuya yükleyin. |
Bu konunun 3. Adım: Configuration Manager İlke Modülünü Yükleme bölümüne bakın. |
Configuration Manager'da Sertifika Kaydını Yapılandırma Ek Yordamları
Önceki tablodaki adımlar ek yordamlar gerektirdiğinde aşağıdaki bilgileri kullanın.
Adım 1: Ağ Aygıtı Kayıt Hizmeti ve Bağımlılıklarını Yükleme ve Yapılandırma
Active Directory Sertifika Hizmetleri (AD CS) için Ağ Aygıtı Kayıt Hizmetini yüklemeniz ve yapılandırmanız, sertifika şablonlarındaki güvenlik izinlerini değiştirmeniz, bir ortak anahtar altyapısı (PKI) istemci kimlik doğrulama sertifikası dağıtmanız ve İnternet Bilgi Hizmetleri (IIS) varsayılan URL boyut limitini artırmak için kayıt defterini düzenlemeniz gerekir. Gerekirse, yayımlama sertifika yetkilisini (CA), özel bir geçerlilik süresine izin verecek şekilde yapılandırmanız da gerekir.
Önemli |
---|
Configuration Manager'yi, Ağ Aygıtı Kayıt Hizmetiyle çalışacak şekilde yapılandırmadan önce, Ağ Aygıtı Kayıt Hizmeti yükleme ve yapılandırmasını doğrulayın. Bu bağımlılıklar doğru çalışmıyorsa, sertifika kaydına Configuration Manager kullanarak sorun giderme işlemi yapmakta zorluk çekersiniz. |
Ağ Aygıtı Kayıt Hizmeti ve bağımlılıklarını yüklemek ve yapılandırmak için
-
Windows Server 2012 R2 çalıştıran bir sunucuda, Active Directory Sertifika Hizmetleri sunucu rolü için Ağ Aygıtı Kayıt Hizmeti rol hizmetini yükleyin ve yapılandırın. Daha fazla bilgi için bkz. TechNet'te Active Directory Sertifika Hizmetleri kitaplığındaki, Ağ Aygıtı Kayıt Hizmeti Kılavuzu.
-
Ağ Aygıtı Kayıt Hizmetinin kullandığı sertifika şablonları için güvenlik izinlerini denetleyin ve gerekirse değiştirin:
- Configuration Manager konsolunu çalıştıran hesap için: **Okuma** izni. Bu izin, Sertifika Profili Oluşturma Sihirbazı'nı çalıştırdığınız zaman, bir SCEP ayarları profili oluşturduğunuzda kullanmak istediğiniz sertifika şablonunu seçmek üzere göz atabilmeniz adına gereklidir. Bir sertifika şablonu seçilmesi, sihirbazda bazı ayarların otomatik olarak doldurulacağı anlamına gelir, böylelikle yapılandıracağınız kısım daha azdır ve Ağ Aygıtı Kayıt Hizmetinin kullandığı sertifika şablonlarıyla uyumlu olmayan ayarlar seçilmesine dair daha az risk vardır. - Ağ Aygıtı Kayıt Hizmeti uygulama havuzunun kullandığı SCEP Hizmeti hesabı için: **Okuma** ve **Kayıt** izinleri. Bu gereksinim, Configuration Manager'ye özel değildir ancak Ağ Aygıtı Kayıt Hizmetini yapılandırmanın parçasıdır. Daha fazla bilgi için bkz. TechNet'te Active Directory Sertifika Hizmetleri kitaplığındaki, [Ağ Aygıtı Kayıt Hizmeti Kılavuzu](https://go.microsoft.com/fwlink/p/?linkid=309016).
İpucu Ağ Aygıtı Kayıt Hizmetinin hangi sertifika şablonlarını kullandığını belirlemek için, Ağ Aygıtı Kayıt Hizmetini çalıştıran sunucuda şu kayıt defteri anahtarını görüntüleyin: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
Not
Bunlar, çoğu ortam için uygun olacak varsayılan güvenlik izinleridir. Ancak, alternatif bir güvenlik yapılandırması kullanabilirsiniz. Daha fazla bilgi için, bkz. Configuration Manager'daki Sertifika Profilleri için Sertifika Şablonu İzinlerini Planlama.
-
Bu sunucuya, istemci kimlik doğrulamasını destekleyen bir PKI sertifikası dağıtın. Bilgisayarınızda yüklü, kullanabileceğiniz uygun bir sertifikanız bulunabilir veya özel olarak bu amaç için bir sertifika dağıtmanız gerekebilir (veya bunu tercih edebilirsiniz). Bu sertifika için gereksinimler hakkında bilgi için, Sunucular için PKI Sertifikaları konusundaki Configuration Manager İçin PKI Sertifikası Gereksinimleri bölümünde, "Ağ Cihazı Kayıt Hizmeti rol hizmetiyle Configuration Manager İlke Modülünü çalıştıran sunucular” için ayrıntılara bakın.
İpucu Bu sertifikayı dağıtma konusunda yardıma ihtiyaç duyarsanız, sertifika gereksinimleri tek bir istisna dışında aynı olduğundan, Dağıtım Noktaları İçin İstemci Sertifikası Dağıtma konusundaki Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi yönergelerini kullanabilirsiniz:
Sertifika şablonu için özelliklerin Talep İşleme sekmesinde Özel anahtarın dışarı aktarılmasına izin ver onay kutusunu seçmeyin.
Bu sertifikayı özel anahtarla birlikte dışarı aktarmanıza gerek yoktur çünkü yerel Bilgisayar deposuna göz atabilecek ve onu Configuration Manager İlke Modülünü yapılandırırken seçebileceksiniz.
-
İstemci kimlik doğrulama sertifikasının zincirine bağlı olduğu kök sertifikayı bulun. Ardından, bu kök CA sertifikasını bir sertifika (.cer) dosyasına aktarın. Bu dosyayı, sertifika kayıt noktası için site sistem sunucusunu daha sonra yüklediğinizde ve yapılandırdığınızda güvenli bir şekilde erişebileceğiniz, güvenli bir konuma kaydedin.
-
Aynı sunucuda, kayıt defteri düzenleyicisini kullanıp HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters içinde aşağıdaki kayıt defteri anahtarının DWORD değerlerini ayarlayarak IIS varsayılan URL boyutunun sınırını artırın:
- **MaxFieldLength** anahtarını **65534** olarak ayarlayın. - **MaxRequestBytes** anahtarını **16777216** olarak ayarlayın.
Daha fazla bilgi için, Microsoft Bilgi Bankasında, 820129: Windows için Http.sys kayıt defteri ayarları makalesine bakın.
-
Aynı sunucuda, İnternet Bilgi Hizmetleri (IIS) Yöneticisinde, /certsrv/mscep uygulaması için istek filtresi ayarlarını değiştirin ve ardından sunucuyu yeniden başlatın.İstek Filtresi Ayarlarını Düzenle iletişim kutusunda, İstek Sınırları ayarlarının aşağıdaki gibi olması gerekir:
- **İzin verilen maksimum içerik uzunluğu (Bayt)**: **30000000** - **Maksimum URL uzunluğu (Bayt)**: **65534** - **Maksimum sorgu dizesi (Bayt)**: **65534**
Bu ayarlar ve nasıl yapılandırılacakları hakkında daha fazla bilgi için, bkz. IIS Referans Kitaplığında, İstek Sınırları.
-
Kullandığınız sertifika şablonundan daha düşük bir geçerlilik süresi olan bir sertifika isteği yapabilmeyi istiyorsanız: Bu yapılandırma, bir kuruluş sertifika yetkilisi için varsayılan olarak devre dışıdır. Bir kuruluş sertifika yetkilisinde bu seçeneği etkinleştirmek için, Certutil komut satırı aracını kullanın ve ardından aşağıdaki komutları kullanarak sertifika hizmetini durdurun ve yeniden başlatın:
certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
Daha fazla bilgi için, bkz. TechNet'te PKI Teknolojileri kitaplığında, Sertifika Hizmetleri Araçları ve Ayarları.
-
Aşağıdaki bağlantıyı örnek olarak kullanıp Ağ Cihazı Kayıt Hizmetinin çalıştığını doğrulayın: https://server.contoso.com/certsrv/mscep/mscep.dll. Yerleşik Ağ Aygıtı Kayıt Hizmeti web sayfasını görmeniz gerekir. Bu web sayfası, hizmetin ne olduğunu açıklar ve ağ aygıtlarının sertifika isteklerini göndermek için URL'yi kullandığını açıklar.
Artık Ağ Aygıtı Kayıt Hizmeti ve bağımlılıkları yapılandırıldığından, sertifika kayıt noktasını yüklemeye ve yapılandırmaya hazırsınız demektir.
2. Adım: Sertifika Kayıt Noktasını Yükleme ve Yapılandırma
Configuration Manager hiyerarşisinde en az bir sertifika kayıt noktası yüklemeniz ve yapılandırmanız gerekir ve bu site sistem rolünü merkezi yönetim sitesinde veya bir birincil sitede yükleyebilirsiniz.
Önemli |
---|
Sertifika kayıt noktasını yüklemeden önce, sertifika kayıt noktası için işletim sistemi gereksinimleri ve bağımlılıklar için, konusunun bölümüne bakın.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
Sertifika kayıt noktasını yüklemek ve yapılandırmak için
-
Configuration Manager konsolunda, Yönetim'e tıklayın.
-
Yönetim çalışma alanında, Site Yapılandırması öğesini genişletin, Sunucu ve Site Sistem Rolleri öğesini tıklatın ve ardından sertifika kayıt noktası için kullanmak istediğiniz sunucuyu seçin.
-
Sunucu grubunun Giriş sekmesinde, Site Sistemi Rolleri Ekle'yi tıklatın.
-
Genel sayfasında, site sisteminin genel ayarlarını belirleyin ve İleri'yi tıklatın.
-
Proxy sayfasında, İleri'yi tıklatın. Sertifika kayıt noktası, İnternet proxy ayarları kullanmaz.
-
Sistem Rolü Seçim sayfasında, kullanılabilir roller listesinden Sertifika kayıt noktası'nı seçin ve ardından İleri'yi tıklatın.
-
Sertifika Kayıt Noktası sayfasında, varsayılan ayarları kabul edin ya da değiştirin ve ardından Ekle'yi tıklatın.
-
URL ve Kök CA Sertifikası Ekle iletişim kutusunda, aşağıdakileri belirtin ve ardından Tamam'ı tıklatın:
Ağ Aygıtı Kayıt Hizmeti için URL: URL'yi şu biçimde belirtin: https://<server_FQDN>/certsrv/mscep/mscep.dll. Örneğin, Ağ Aygıtı Kayıt Hizmetini çalıştıran sunucunuzun FQDN'si server1.contoso.com ise, https://server1.contoso.com/certsrv/mscep/mscep.dll yazın.
Kök CA Sertifikası: Adım1’de oluşturup kaydettiğiniz sertifika (.cer) dosyasına göz atın ve seçin. Ağ Cihazı Kayıt Hizmeti ve bağımlılıklarını yükleme ve yapılandırma. Bu kök CA sertifikası, sertifika kayıt noktasının, Configuration Manager İlke Modülünün kullanacağı istemci kimlik doğrulama sertifikasını doğrulamasına olanak tanır.
Not
Ağ Aygıtı Kayıt Hizmeti çalıştıran birden çok sunucu kullanıyorsanız, diğer sunucuların ayrıntılarını belirtmek için Ekle'yi tıklatın.
-
İleri'yi tıklatın ve sihirbazı tamamlayın.
-
Birkaç dakika yüklemenin tamamlanmasını bekleyin ve ardından aşağıdaki yöntemlerin birini kullanarak sertifika kayıt noktasının başarılı bir şekilde yüklendiğini doğrulayın:
İzleme çalışma alanında, Sistem Durumu'nu genişletin, Bileşen Durumu'na tıklatın ve SMS_CERTIFICATE_REGISTRATION_POINT bileşeninden durum mesajlarına bakın.
Site sistem sunucusunda <ConfigMgr Yükleme Yolu>\Logs\crpsetup.log dosyasını ve <ConfigMgr Yükleme Yolu>\Logs\crpmsi.log dosyasını kullanın. Başarılı bir yükleme, 0 çıkış kodu getirir.
Bir tarayıcı kullanarak, sertifika kayıt noktasının URL'sine bağlanabildiğinizi doğrulayın—örneğin, https://server1.contoso.com/CMCertificateRegistration. Uygulama için, bir HTTP 404 tanımlı bir Sunucu Hatası sayfası görmeniz gerekir.
-
Birincil site sunucu bilgisayarında aşağıdaki klasörde, sertifika kayıt noktasının otomatik olarak oluşturduğu kök CA için dışa aktarılan sertifika dosyasını bulun: <ConfigMgr Installation Path>\inboxes\certmgr.box. Bu dosyayı, daha sonra Configuration Manager İlke Modülünü Ağ Aygıtı Kayıt Hizmetini çalıştıran sunucuya yüklediğinizde güvenli bir şekilde erişebileceğiniz güvenli bir konuma kaydedin.
İpucu Bu sertifika bu klasörde hemen kullanılabilir değildir.Configuration Manager'nin dosyayı bu konuma kopyalaması için bir süre beklemeniz gerekebilir (örneğin yarım saat).
Sertifika kayıt noktası artık yüklendiğine ve yapılandırıldığına göre, Ağ Aygıtı Kayıt Hizmeti için Configuration Manager İlke Modülünü yüklemeye hazırsınız demektir.
3. Adım: Configuration Manager İlke Modülünü Yükleme
Configuration Manager İlke Modülünü, Adım 2: Sertifika kayıt noktası yükleme ve yapılandırma adımında, sertifika kayıt noktası için özelliklerde Ağ Aygıtı Kayıt Hizmeti için URL olarak belirttiğiniz her bir sunucuya yüklemeniz ve yapılandırmanız gerekir.
İlke Modülünü yüklemek için
-
Ağ Aygıtı Kayıt Hizmetini çalıştıran sunucuda, bir etki alanı yöneticisi olarak oturum açın ve Configuration Manager yükleme medyasında <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 klasöründen aşağıdaki dosyaları geçici bir klasöre kopyalayın.
- PolicyModule.msi - PolicyModuleSetup.exe
Ek olarak, yükleme medyasında bir LanguacePack klasörünüz varsa, bu klasörü ve içindekileri kopyalayın.
-
Geçici klasörden, PolicyModuleSetup.exe çalıştırarak Configuration Manager İlke Modülü Kurulum sihirbazını başlatın.
-
Sihirbazın ilk sayfasında, İleri'yi tıklatın, lisans koşullarını kabul edin ve ardından İleri'yi tıklatın.
-
Kurulum Klasörü sayfasında, ilke modülü için varsayılan kurulum klasörünü kabul edin veya alternatif bir klasör belirtin ve ardından İleri'yi tıklatın.
-
Sertifika Kayıt Noktası sayfasında, sertifika kayıt noktası için özelliklerde belirtilen sanal uygulama adını ve site sistem sunucusunun FQDN'sini kullanarak sertifika kayıt noktasının URL'sini belirtin. Varsayılan sanal uygulama adı CMCertificateRegistration'dır. Örneğin, site sistem sunucusunun FQDN'si server1.contoso.com ise ve varsayılan sanal uygulama adını kullandıysanız, https://server1.contoso.com/CMCertificateRegistration belirtin.
-
443 varsayılan bağlantı noktasını kabul edin veya sertifika kayıt noktasının kullandığı alternatif bağlantı noktası numarasını belirtin ve ardından İleri'yi tıklatın.
-
İlke Modülü için İstemci Sertifikası sayfasında, Adım 1: Ağ Aygıtı Kayıt Hizmeti ve bağımlılıklarını yükleme ve yapılandırma adımında dağıttığınız istemci kimlik doğrulama sertifikasına göz atın ve İleri'ye tıklayın.
-
Sertifika Kayıt Noktası Sertifikası sayfasında, Gözat'ı tıklatarak Adım 2: Sertifika kayıt noktasını yükleme ve yapılandırma adımında bulduğunuz ve kaydettiğiniz kök CA için, dışarı aktarılan sertifika dosyasını seçin.
Not
Bu sertifika dosyasını daha önce kaydetmediyseniz, site sunucu bilgisayarında <ConfigMgr Yükleme Yolu>\inboxes\certmgr.box yolunda bulunur.
-
İleri'yi tıklatın ve sihirbazı tamamlayın.
Ağ Aygıtı Kayıt Hizmeti ve bağımlılıklarını, sertifika kayıt noktasını ve Configuration Manager İlke Modülünü yüklemek için yapılandırma adımlarını tamamladığınıza göre sertifika profilleri oluşturup dağıtarak kullanıcılara ve aygıtlara sertifika dağıtmaya hazırsınız demektir. Sertifika profillerinin nasıl oluşturulacağı hakkında daha fazla bilgi için bkz. Configuration Manager'da Sertifika Profilleri Oluşturma.
Configuration Manager İlke Modülünü kaldırmak istiyorsanız Denetim Masası'ndaki Programlar ve Özellikler öğesini kullanın.