Configuration Manager的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构

适用于: Configuration Manager(current branch)

此分步示例部署使用 Windows Server 2008 证书颁发机构 (CA) ,其过程演示如何创建和部署Configuration Manager使用的 PKI (公钥基础结构) 证书。 这些过程使用企业证书颁发机构 (CA) 和证书模板。 这些步骤仅适用于测试网络,作为概念证明。

由于所需证书没有单一的部署方法,因此请参阅特定的 PKI 部署文档,了解为生产环境部署所需证书所需的过程和最佳做法。 有关证书要求的详细信息,请参阅Configuration Manager的 PKI 证书要求

提示

对于测试网络要求部分中未记录的操作系统,可以调整本主题中的说明。 但是,如果在 Windows Server 2012 上运行颁发 CA,则不会提示你输入证书模板版本。 相反,请在模板属性的“ 兼容性 ”选项卡上指定此项:

  • 证书颁发机构Windows Server 2003
    • 证书收件人Windows XP/Server 2003

测试网络要求

分步说明具有以下要求:

  • 测试网络通过 Windows Server 2008 运行Active Directory 域服务,并作为单个域、单个林安装。

  • 你有一个运行 Windows Server 2008 Enterprise Edition 的成员服务器,该服务器安装了 Active Directory 证书服务角色,并设置为企业根证书颁发机构 (CA) 。

  • 你有一台计算机具有 Windows Server 2008 (Standard Edition 或 Enterprise Edition,) 安装了 R2 或更高版本,该计算机被指定为成员服务器,并在该计算机上安装了 Internet Information Services (IIS) 。 如果必须支持由 Internet 上的Configuration Manager和客户端注册的移动设备,则此计算机将是Configuration Manager站点系统服务器, (FQDN) 配置该服务器,以支持 Intranet 和 Internet FQDN 上的客户端连接。

  • 你有一个安装了最新 Service Pack 的 Windows Vista 客户端,并且此计算机使用包含 ASCII 字符的计算机名称进行设置,并且已加入域。 此计算机将是Configuration Manager客户端计算机。

  • 可以使用根域管理员帐户或企业域管理员帐户登录,并将此帐户用于此示例部署中的所有过程。

证书概述

下表列出了Configuration Manager可能需要的 PKI 证书类型,并介绍了它们的使用方式。

证书要求 证书说明
运行 IIS 的站点系统的 Web 服务器证书 此证书用于加密数据并向客户端对服务器进行身份验证。 必须在运行 Internet Information Services (IIS) 且在 Configuration Manager 中设置以使用 HTTPS 的站点系统服务器上的 Configuration Manager 外部安装它。

有关设置和安装此证书的步骤,请参阅本主题中的 为运行 IIS 的站点系统部署 Web 服务器证书
客户端连接到基于云的分发点的服务证书 有关配置和安装此证书的步骤,请参阅本主题中的 为基于云的分发点部署服务证书

重要: 此证书与 Windows Azure 管理证书结合使用。 有关管理证书的详细信息,请参阅 如何创建管理证书如何将管理证书添加到 Windows Azure 订阅
适用于 Windows 计算机的客户端证书 此证书用于Configuration Manager客户端计算机对设置为使用 HTTPS 的站点系统进行身份验证。 它还可用于管理点和状态迁移点,以在设置为使用 HTTPS 时监视其操作状态。 它必须从计算机上的Configuration Manager外部安装。

有关设置和安装此证书的步骤,请参阅本主题中的 为 Windows 计算机部署客户端证书
分发点的客户端证书 此证书有两个用途:

证书用于在分发点发送状态消息之前向启用了 HTTPS 的管理点对分发点进行身份验证。

选择 “为客户端启用 PXE 支持 ”分发点选项时,证书将发送到 PXE 启动的计算机,以便它们在部署操作系统期间可以连接到启用了 HTTPS 的管理点。

有关设置和安装此证书的步骤,请参阅本主题中的 为分发点部署客户端证书
移动设备的注册证书 此证书用于向设置为使用 HTTPS 的站点系统Configuration Manager移动设备客户端进行身份验证。 它必须作为Configuration Manager中的移动设备注册的一部分进行安装,并且你选择配置的证书模板作为移动设备客户端设置。

有关设置此证书的步骤,请参阅本主题中的 为移动设备部署注册证书
Mac 计算机的客户端证书 使用Configuration Manager注册并选择配置的证书模板作为移动设备客户端设置时,可以从 Mac 计算机请求和安装此证书。

有关设置此证书的步骤,请参阅本主题中的 为 Mac 计算机部署客户端证书

为运行 IIS 的站点系统部署 Web 服务器证书

此证书部署具有以下过程:

  • 在证书颁发机构创建和颁发 Web 服务器证书模板

  • 请求 Web 服务器证书

  • 将 IIS 配置为使用 Web 服务器证书

在证书颁发机构创建和颁发 Web 服务器证书模板

此过程为Configuration Manager站点系统创建证书模板,并将其添加到证书颁发机构。

在证书颁发机构创建和颁发 Web 服务器证书模板
  1. 创建名为 ConfigMgr IIS 服务器的安全组,其中包含要安装将运行 IIS 的Configuration Manager站点系统的成员服务器。

  2. 在安装了证书服务的成员服务器上,在证书颁发机构控制台中,右键单击“ 证书模板” ,然后选择“ 管理 ”以加载 证书模板 控制台。

  3. 在结果窗格中,右键单击“模板显示名称”列中包含 Web 服务器的条目,然后选择“复制模板”。

  4. 在“复制模板”对话框中,确保选中“Windows 2003 Server Enterprise Edition”,然后选择“确定”。

    重要

    不要选择 Windows 2008 Server,Enterprise Edition

  5. 在“新模板的属性”对话框中的“常规”选项卡上,输入模板名称(如 ConfigMgr Web 服务器证书),以生成将在Configuration Manager站点系统上使用的 Web 证书。

  6. 选择“ 使用者名称 ”选项卡,并确保选择了 “在请求中提供 ”。

  7. 选择“安全性”选项卡,然后从“域管理员”和“企业管理员”安全组中删除“注册”权限。

  8. 选择 “添加”,在文本框中输入 “ConfigMgr IIS 服务器 ”,然后选择“ 确定”。

  9. 为此组选择 “注册” 权限,但不清除 “读取 ”权限。

  10. 选择 “确定”,然后关闭 “证书模板控制台”。

  11. 在证书颁发机构控制台中,右键单击“ 证书模板”,选择“ 新建”,然后选择“ 要颁发的证书模板”。

  12. “启用证书模板 ”对话框中,选择刚刚创建的新模板 “ConfigMgr Web 服务器证书”,然后选择“ 确定”。

  13. 如果不需要创建和颁发更多证书,请关闭 证书颁发机构

请求 Web 服务器证书

此过程允许指定将在站点系统服务器属性中设置的 Intranet 和 Internet FQDN 值,然后将 Web 服务器证书安装到运行 IIS 的成员服务器。

请求 Web 服务器证书
  1. 重启运行 IIS 的成员服务器,以确保计算机可以访问使用配置的 “读取 ”和 “注册” 权限创建的证书模板。

  2. 选择 “开始”,选择“ 运行”,然后键入 “mmc.exe”。 在空控制台中,选择“ 文件”,然后选择 “添加/删除管理单元”。

  3. “添加或删除管理单元”对话框中,从“可用管理单元”列表中选择“证书”,然后选择“添加”。

  4. 在“ 证书管理单元 ”对话框中,选择“ 计算机帐户”,然后选择“ 下一步”。

  5. “选择计算机 ”对话框中,确保选中“ 本地计算机: (此主机在) 上运行的计算机 ”,然后选择“ 完成”。

  6. “添加或删除管理单元 ”对话框中,选择 “确定”。

  7. 在控制台中,展开 “证书 (本地计算机) ”,然后选择“ 个人”。

  8. 右键单击“ 证书”,选择“ 所有任务”,然后选择“ 请求新证书”。

  9. “开始之前” 页上,选择“ 下一步”。

  10. 如果看到 “选择证书注册策略 ”页,请选择“ 下一步”。

  11. 在“ 请求证书 ”页上,从可用证书列表中标识 ConfigMgr Web 服务器证书 ,然后选择 “需要更多信息才能注册此证书”。单击此处以配置设置

  12. 在“ 证书属性 ”对话框的“ 使用者 ”选项卡中,不要对 使用者名称进行任何更改。 这意味着“使用者名称”部分的“”框保持空白。 相反,从“ 备用名称 ”部分选择“ 类型 ”下拉列表,然后选择“ DNS”。

  13. 在“”框中,指定将在Configuration Manager站点系统属性中指定的 FQDN 值,然后选择“确定”关闭“证书属性”对话框。

    示例:

    • 如果站点系统仅接受来自 Intranet 的客户端连接,并且站点系统服务器的 Intranet FQDN 已 server1.internal.contoso.com,请输入 server1.internal.contoso.com,然后选择“ 添加”。

    • 如果站点系统将接受来自 Intranet 和 Internet 的客户端连接,并且站点系统服务器的 Intranet FQDN server1.internal.contoso.com 并且站点系统服务器的 Internet FQDN server.contoso.com

      1. 输入 server1.internal.contoso.com,然后选择 “添加”。

      2. 输入 server.contoso.com,然后选择 “添加”。

      注意

      可以按任意顺序指定Configuration Manager的 FQDN。 但是,请检查将使用该证书的所有设备(例如移动设备和代理 Web 服务器)是否可以使用证书使用者可选名称 (SAN) 和 SAN 中的多个值。 如果设备对证书中的 SAN 值支持有限,则可能需要更改 FQDN 的顺序或改用 Subject 值。

  14. 在“ 请求证书 ”页上,从可用证书列表中选择“ ConfigMgr Web 服务器证书 ”,然后选择“ 注册”。

  15. 在“ 证书安装结果 ”页上,等待证书安装完毕,然后选择“ 完成”。

  16. ) 关闭本地计算机 (证书

将 IIS 配置为使用 Web 服务器证书

此过程将已安装的证书绑定到 IIS 默认网站

设置 IIS 以使用 Web 服务器证书
  1. 在安装了 IIS 的成员服务器上,依次选择“ 开始”、“ 程序”、“ 管理工具”和“ Internet Information Services (IIS) 管理器”。

  2. 展开 “网站”,右键单击“ 默认网站”,然后选择 “编辑绑定”。

  3. 选择 https 条目,然后选择 “编辑”。

  4. “编辑站点绑定 ”对话框中,选择使用 ConfigMgr Web 服务器证书模板请求的证书,然后选择 “确定”。

    注意

    如果不确定哪个证书是正确的,请选择一个证书,然后选择 “查看”。 这样,便可以将所选证书详细信息与“证书”管理单元中的证书进行比较。 例如,“证书”管理单元显示用于请求证书的证书模板。 然后,可以将使用 ConfigMgr Web 服务器证书模板请求的证书的证书指纹与 “编辑站点绑定 ”对话框中当前所选证书的证书指纹进行比较。

  5. “编辑网站绑定”对话框中选择“确定”,然后选择“关闭”。

  6. (IIS) 管理器关闭 Internet Information Services

    成员服务器现在使用 Configuration Manager Web 服务器证书进行设置。

重要

在此计算机上安装Configuration Manager站点系统服务器时,请确保在站点系统属性中指定与请求证书时指定的 FQDN 相同。

为基于云的分发点部署服务证书

此证书部署具有以下过程:

在证书颁发机构创建并颁发自定义 Web 服务器证书模板

此过程创建基于 Web 服务器证书模板的自定义证书模板。 证书适用于Configuration Manager基于云的分发点,私钥必须可导出。 创建证书模板后,会将其添加到证书颁发机构。

注意

此过程使用与为运行 IIS 的站点系统创建的 Web 服务器证书模板不同的证书模板。 尽管这两个证书都需要服务器身份验证功能,但基于云的分发点的证书要求输入自定义的使用者名称值,并且必须导出私钥。 作为安全最佳做法,请勿设置证书模板,以便可以导出私钥,除非需要此配置。 基于云的分发点需要此配置,因为必须将证书作为文件导入,而不是从证书存储中选择它。

为此证书创建新的证书模板时,可以限制可以请求可导出其私钥的证书的计算机。 在生产网络上,还可以考虑为此证书添加以下更改:

  • 需要批准才能安装证书,以增加安全性。
    • 增加证书有效期。 由于每次证书过期前都必须导出和导入证书,因此延长有效期会减少重复此过程的频率。 但是,延长有效期也会降低证书的安全性,因为它为攻击者提供了更多时间来解密私钥并窃取证书。
    • 使用证书使用者可选名称 (SAN) 中的自定义值来帮助从用于 IIS 的标准 Web 服务器证书中标识此证书。
在证书颁发机构创建和颁发自定义 Web 服务器证书模板
  1. 创建名为 ConfigMgr 站点服务器的安全组,其中包含要安装Configuration Manager将管理基于云的分发点的主站点服务器的成员服务器。

  2. 在运行证书颁发机构控制台的成员服务器上,右键单击“ 证书模板”,然后选择“ 管理 ”以加载证书模板管理控制台。

  3. 在结果窗格中,右键单击“模板显示名称”列中包含 Web 服务器的条目,然后选择“复制模板”。

  4. 在“复制模板”对话框中,确保选中“Windows 2003 Server Enterprise Edition”,然后选择“确定”。

    重要

    不要选择 Windows 2008 Server,Enterprise Edition

  5. 在“ 新模板的属性 ”对话框中的“ 常规 ”选项卡上,输入模板名称(如 ConfigMgr Cloud-Based分发点证书),以便为基于云的分发点生成 Web 服务器证书。

  6. 选择“ 请求处理 ”选项卡,然后选择 “允许导出私钥”。

  7. 选择“安全性”选项卡,然后从“企业管理员”安全组中删除“注册”权限。

  8. 选择 “添加”,在文本框中输入 “ConfigMgr 站点服务器 ”,然后选择“ 确定”。

  9. 为此组选择 “注册” 权限,但不清除 “读取 ”权限。

  10. 选择“ 加密 ”选项卡,并确保“ 最小密钥大小 ”已设置为 2048

  11. 选择 “确定”,然后关闭 “证书模板控制台”。

  12. 在证书颁发机构控制台中,右键单击“ 证书模板”,选择“ 新建”,然后选择“ 要颁发的证书模板”。

  13. 在“ 启用证书模板 ”对话框中,选择刚创建的新模板“ ConfigMgr Cloud-Based分发点证书”,然后选择“ 确定”。

  14. 如果不必创建和颁发更多证书,请关闭 证书颁发机构

请求自定义 Web 服务器证书

此过程请求自定义 Web 服务器证书,然后在将运行站点服务器的成员服务器上安装。

请求自定义 Web 服务器证书
  1. 创建并配置 ConfigMgr 站点服务器 安全组后,重启成员服务器,以确保计算机可以访问使用配置的 “读取 ”和 “注册” 权限创建的证书模板。

  2. 选择 “开始”,选择“ 运行”,然后输入 “mmc.exe”。 在空控制台中,选择“ 文件”,然后选择 “添加/删除管理单元”。

  3. “添加或删除管理单元”对话框中,从“可用管理单元”列表中选择“证书”,然后选择“添加”。

  4. 在“ 证书管理单元 ”对话框中,选择“ 计算机帐户”,然后选择“ 下一步”。

  5. “选择计算机 ”对话框中,确保选中“ 本地计算机: (此主机在) 上运行的计算机 ”,然后选择“ 完成”。

  6. “添加或删除管理单元 ”对话框中,选择 “确定”。

  7. 在控制台中,展开 “证书 (本地计算机) ”,然后选择“ 个人”。

  8. 右键单击“ 证书”,选择“ 所有任务”,然后选择“ 请求新证书”。

  9. “开始之前” 页上,选择“ 下一步”。

  10. 如果看到 “选择证书注册策略 ”页,请选择“ 下一步”。

  11. 在“ 请求证书 ”页上,从可用证书列表中标识 “ConfigMgr Cloud-Based分发点 证书”,然后选择 “注册此证书需要更多信息”。选择此处以配置设置

  12. 在“ 证书属性 ”对话框的“ 使用者 ”选项卡中,对于“ 使用者名称”,选择“ 公用名 ”作为 “类型”。

  13. 在“ ”框中,使用 FQDN 格式指定所选的服务名称和域名。 例如: clouddp1.contoso.com

    注意

    使服务名称在命名空间中唯一。 你将使用 DNS 创建别名 (CNAME 记录) 将此服务名称映射到自动生成的标识符 (GUID) 和来自 Windows Azure 的 IP 地址。

  14. 选择 “添加”,然后选择“ 确定” 以关闭“ 证书属性 ”对话框。

  15. 在“ 请求证书 ”页上,从可用证书列表中选择“ ConfigMgr Cloud-Based分发点 证书”,然后选择“ 注册”。

  16. 在“ 证书安装结果 ”页上,等待证书安装完毕,然后选择“ 完成”。

  17. ) 关闭本地计算机 (证书

导出基于云的分发点的自定义 Web 服务器证书

此过程将自定义 Web 服务器证书导出到文件,以便在创建基于云的分发点时可以导入它。

导出基于云的分发点的自定义 Web 服务器证书
  1. “证书 (本地计算机) 控制台中,右键单击刚安装的证书,选择” 所有任务“,然后选择” 导出”。

  2. 在“证书导出向导”中,选择“ 下一步”。

  3. “导出私钥 ”页上,选择“ 是,导出私钥”,然后选择“ 下一步”。

    注意

    如果此选项不可用,则证书创建时没有导出私钥的选项。 在这种情况下,不能以所需格式导出证书。 必须设置证书模板,以便可以导出私钥,然后再次请求证书。

  4. 在“ 导出文件格式 ”页上,确保 个人信息交换 - PKCS #12 (。已选择“PFX) ”选项。

  5. 在“ 密码 ”页上,指定强密码以保护导出的证书及其私钥,然后选择“ 下一步”。

  6. 在“ 要导出的文件 ”页上,指定要导出的文件的名称,然后选择“ 下一步”。

  7. 若要关闭向导,请在“证书导出向导”页中选择“完成”,然后在确认对话框中选择“确定”。

  8. ) 关闭本地计算机 (证书

  9. 安全地存储文件,并确保可以从 Configuration Manager 控制台访问它。

    创建基于云的分发点时,现在已准备好导入证书。

为 Windows 计算机部署客户端证书

此证书部署具有以下过程:

  • 在证书颁发机构创建并颁发工作站身份验证证书模板

  • 使用 组策略 配置工作站身份验证模板的自动注册

  • 自动注册工作站身份验证证书并验证其在计算机上的安装

在证书颁发机构创建并颁发工作站身份验证证书模板

此过程为Configuration Manager客户端计算机创建证书模板,并将其添加到证书颁发机构。

在证书颁发机构创建和颁发工作站身份验证证书模板
  1. 在运行证书颁发机构控制台的成员服务器上,右键单击“ 证书模板”,然后选择“ 管理 ”以加载证书模板管理控制台。

  2. 在结果窗格中,右键单击“模板显示名称”列中具有工作站身份验证的条目,然后选择“复制模板”。

  3. 在“复制模板”对话框中,确保选中“Windows 2003 Server Enterprise Edition”,然后选择“确定”。

    重要

    不要选择 Windows 2008 Server,Enterprise Edition

  4. 在“新模板的属性”对话框中的“常规”选项卡上,输入模板名称(如 ConfigMgr 客户端证书),以生成将在Configuration Manager客户端计算机上使用的客户端证书。

  5. 选择“ 安全性 ”选项卡,选择“ 域计算机” 组,然后选择“ 读取自动注册”的其他权限。 不要清除 “注册”。

  6. 选择 “确定”,然后关闭 “证书模板控制台”。

  7. 在证书颁发机构控制台中,右键单击“ 证书模板”,选择“ 新建”,然后选择“ 要颁发的证书模板”。

  8. “启用证书模板 ”对话框中,选择刚刚创建的新模板 “ConfigMgr 客户端证书”,然后选择“ 确定”。

  9. 如果不需要创建和颁发更多证书,请关闭 证书颁发机构

使用 组策略 配置工作站身份验证模板的自动注册

此过程设置组策略在计算机上自动注册客户端证书。

使用 组策略设置工作站身份验证模板的自动注册
  1. 在域控制器上,依次选择“开始”、“管理工具”和“组策略管理”。

  2. 转到域,右键单击域,然后选择“ 在此域中创建 GPO”,并将其链接到此处

    注意

    此步骤使用最佳做法,即为自定义设置创建新的组策略,而不是编辑随 Active Directory 域服务 一起安装的默认域策略。 在域级别分配此组策略时,会将它应用于域中的所有计算机。 在生产环境中,可以限制自动注册,使其仅在所选计算机上注册。 可以在组织单位级别分配组策略,也可以使用安全组筛选域组策略,使其仅应用于组中的计算机。 如果限制自动注册,请记得包含设置为管理点的服务器。

  3. 在“新建 GPO”对话框中,为新组策略输入名称(如“自动注册证书”),然后选择“确定”。

  4. 在结果窗格中的“链接组策略对象”选项卡上,右键单击新组策略,然后选择“编辑”。

  5. “组策略管理编辑器”中,展开“计算机配置”下的“策略”,然后转到“Windows 设置 / 安全设置 / 公钥策略”。

  6. 右键单击名为 “证书服务客户端 - 自动注册”的对象类型,然后选择“ 属性”。

  7. “配置模型 ”下拉列表中,依次选择 “已启用”、“ 续订过期证书”、“更新挂起的证书”、“删除吊销的证书”、“ 更新使用证书模板的证书”,然后选择“ 确定”。

  8. 关闭组策略管理

自动注册工作站身份验证证书并验证其在计算机上的安装

此过程在计算机上安装客户端证书并验证安装。

自动注册工作站身份验证证书并在客户端计算机上验证其安装
  1. 重启工作站计算机,并在登录前等待几分钟。

    注意

    重启计算机是确保证书自动注册成功的最可靠方法。

  2. 使用具有管理权限的帐户登录。

  3. 在搜索框中,输入 mmc.exe.,然后按 Enter

  4. 在空的管理控制台中,选择“ 文件”,然后选择 “添加/删除管理单元”。

  5. “添加或删除管理单元”对话框中,从“可用管理单元”列表中选择“证书”,然后选择“添加”。

  6. 在“ 证书管理单元 ”对话框中,选择“ 计算机帐户”,然后选择“ 下一步”。

  7. “选择计算机 ”对话框中,确保选中“ 本地计算机: (此主机在) 上运行的计算机 ”,然后选择“ 完成”。

  8. “添加或删除管理单元 ”对话框中,选择 “确定”。

  9. 在控制台中,展开 “证书 (本地计算机) ”,展开“ 个人”,然后选择“ 证书”。

  10. 在结果窗格中,确认证书在“预期用途”列中具有“客户端身份验证”,并且“ConfigMgr 客户端证书”位于“证书模板”列中。

  11. ) 关闭本地计算机 (证书

  12. 对成员服务器重复步骤 1 到 11,验证将设置为管理点的服务器是否也具有客户端证书。

    计算机现在使用Configuration Manager客户端证书进行设置。

为分发点部署客户端证书

注意

此证书还可用于不使用 PXE 启动的媒体映像,因为证书要求相同。

此证书部署具有以下过程:

  • 在证书颁发机构创建并颁发自定义工作站身份验证证书模板

  • 请求自定义工作站身份验证证书

  • 导出分发点的客户端证书

在证书颁发机构创建并颁发自定义工作站身份验证证书模板

此过程为Configuration Manager分发点创建自定义证书模板,以便可以导出私钥并将证书模板添加到证书颁发机构。

注意

此过程使用与为客户端计算机创建的证书模板不同的证书模板。 尽管这两个证书都需要客户端身份验证功能,但分发点的证书要求导出私钥。 作为安全最佳做法,请勿设置证书模板,以便可以导出私钥,除非需要此配置。 分发点需要此配置,因为必须将证书作为文件导入,而不是从证书存储中选择它。

为此证书创建新的证书模板时,可以限制可以请求可导出其私钥的证书的计算机。 在我们的示例部署中,这是之前为运行 IIS 的Configuration Manager站点系统服务器创建的安全组。 在分发 IIS 站点系统角色的生产网络上,请考虑为运行分发点的服务器创建新的安全组,以便可以将证书限制为仅这些站点系统服务器。 还可以考虑为此证书添加以下修改:

  • 需要批准才能安装证书,以增加安全性。
    • 增加证书有效期。 由于每次证书过期前都必须导出和导入证书,因此延长有效期会减少重复此过程的频率。 但是,延长有效期也会降低证书的安全性,因为它为攻击者提供了更多时间来解密私钥并窃取证书。
    • 在“证书使用者”字段或“使用者可选名称” (SAN) 中使用自定义值来帮助从标准客户端证书中标识此证书。 如果要对多个分发点使用同一证书,这尤其有用。
在证书颁发机构创建并颁发自定义工作站身份验证证书模板
  1. 在运行证书颁发机构控制台的成员服务器上,右键单击“ 证书模板”,然后选择“ 管理 ”以加载证书模板管理控制台。

  2. 在结果窗格中,右键单击“模板显示名称”列中具有工作站身份验证的条目,然后选择“复制模板”。

  3. 在“复制模板”对话框中,确保选中“Windows 2003 Server Enterprise Edition”,然后选择“确定”。

    重要

    不要选择 Windows 2008 Server,Enterprise Edition

  4. 在“ 新模板的属性 ”对话框中的“ 常规 ”选项卡上,输入模板名称(如 ConfigMgr 客户端分发点证书)以生成分发点的客户端身份验证证书。

  5. 选择“ 请求处理 ”选项卡,然后选择 “允许导出私钥”。

  6. 选择“安全性”选项卡,然后从“企业管理员”安全组中删除“注册”权限。

  7. 选择 “添加”,在文本框中输入 “ConfigMgr IIS 服务器 ”,然后选择“ 确定”。

  8. 为此组选择 “注册” 权限,但不清除 “读取 ”权限。

  9. 选择 “确定”,然后关闭 “证书模板控制台”。

  10. 在证书颁发机构控制台中,右键单击“ 证书模板”,选择“ 新建”,然后选择“ 要颁发的证书模板”。

  11. “启用证书模板 ”对话框中,选择刚刚创建的新模板 “ConfigMgr 客户端分发点证书”,然后选择“ 确定”。

  12. 如果不必创建和颁发更多证书,请关闭 证书颁发机构

请求自定义工作站身份验证证书

此过程请求自定义客户端证书,然后将其安装到运行 IIS 并将设置为分发点的成员服务器。

请求自定义工作站身份验证证书
  1. 选择 “开始”,选择“ 运行”,然后输入 “mmc.exe”。 在空控制台中,选择“ 文件”,然后选择 “添加/删除管理单元”。

  2. “添加或删除管理单元”对话框中,从“可用管理单元”列表中选择“证书”,然后选择“添加”。

  3. 在“ 证书管理单元 ”对话框中,选择“ 计算机帐户”,然后选择“ 下一步”。

  4. “选择计算机 ”对话框中,确保选中“ 本地计算机: (此主机在) 上运行的计算机 ”,然后选择“ 完成”。

  5. “添加或删除管理单元 ”对话框中,选择 “确定”。

  6. 在控制台中,展开 “证书 (本地计算机) ”,然后选择“ 个人”。

  7. 右键单击“ 证书”,选择“ 所有任务”,然后选择“ 请求新证书”。

  8. “开始之前” 页上,选择“ 下一步”。

  9. 如果看到 “选择证书注册策略 ”页,请选择“ 下一步”。

  10. 在“ 请求证书 ”页上,从可用证书列表中选择“ ConfigMgr 客户端分发点证书 ”,然后选择“ 注册”。

  11. 在“ 证书安装结果 ”页上,等待证书安装完毕,然后选择“ 完成”。

  12. 在结果窗格中,确认证书在“预期用途”列中具有“客户端身份验证”,并且 ConfigMgr 客户端分发点证书位于“证书模板”列中。

  13. 不要关闭 证书 (本地计算机)

导出分发点的客户端证书

此过程将自定义工作站身份验证证书导出到文件,以便可以在分发点属性中导入该证书。

导出分发点的客户端证书
  1. “证书 (本地计算机) 控制台中,右键单击刚安装的证书,选择” 所有任务“,然后选择” 导出”。

  2. 在“证书导出向导”中,选择“ 下一步”。

  3. “导出私钥 ”页上,选择“ 是,导出私钥”,然后选择“ 下一步”。

    注意

    如果此选项不可用,则证书创建时没有导出私钥的选项。 在这种情况下,不能以所需格式导出证书。 必须设置证书模板,以便可以导出私钥,然后再次请求证书。

  4. 在“ 导出文件格式 ”页上,确保 个人信息交换 - PKCS #12 (。已选择“PFX) ”选项。

  5. 在“ 密码 ”页上,指定强密码以保护导出的证书及其私钥,然后选择“ 下一步”。

  6. 在“ 要导出的文件 ”页上,指定要导出的文件的名称,然后选择“ 下一步”。

  7. 若要关闭向导,请在“证书导出向导”页上选择“完成”,然后在确认对话框中选择“确定”。

  8. ) 关闭本地计算机 (证书

  9. 安全地存储文件,并确保可以从 Configuration Manager 控制台访问它。

    设置分发点时,证书现已准备好导入。

提示

为不使用 PXE 启动的操作系统部署设置媒体映像时,可以使用同一证书文件,并且安装映像的任务序列必须联系需要 HTTPS 客户端连接的管理点。

为移动设备部署注册证书

此证书部署有一个过程,用于在证书颁发机构上创建和颁发注册证书模板。

在证书颁发机构创建并颁发注册证书模板

此过程为Configuration Manager移动设备创建注册证书模板,并将其添加到证书颁发机构。

在证书颁发机构创建和颁发注册证书模板
  1. 创建一个安全组,其中包含将在 Configuration Manager 中注册移动设备的用户。

  2. 在安装了证书服务的成员服务器上,在证书颁发机构控制台中,右键单击“ 证书模板”,然后选择“ 管理 ”以加载证书模板管理控制台。

  3. 在结果窗格中,右键单击“模板显示名称”列中具有“已验证会话”的条目,然后选择“复制模板”。

  4. 在“复制模板”对话框中,确保选中“Windows 2003 Server Enterprise Edition”,然后选择“确定”。

    重要

    不要选择 Windows 2008 Server,Enterprise Edition

  5. 在“新模板的属性”对话框中的“常规”选项卡上,输入模板名称(如 ConfigMgr 移动设备注册证书),以便为要由 Configuration Manager 管理的移动设备生成注册证书。

  6. 选择“使用者名称”选项卡,确保选中“从此 Active Directory 信息生成”,为“使用者名称格式”选择“公用名”,然后清除“用户主体名称” (UPN) ,从“将此信息包含在备用使用者名称中”。

  7. 选择“ 安全性 ”选项卡,选择具有要注册移动设备的用户的安全组,然后选择“ 注册”的其他权限。 不要清除 “读取”。

  8. 选择 “确定”,然后关闭 “证书模板控制台”。

  9. 在证书颁发机构控制台中,右键单击“ 证书模板”,选择“ 新建”,然后选择“ 要颁发的证书模板”。

  10. “启用证书模板 ”对话框中,选择刚刚创建的新模板“ ConfigMgr 移动设备注册证书”,然后选择 “确定”。

  11. 如果不需要创建和颁发更多证书,请关闭证书颁发机构控制台。

    在客户端设置中设置移动设备注册配置文件时,现在可以选择移动设备注册证书模板。

为 Mac 计算机部署客户端证书

此证书部署有一个过程,用于在证书颁发机构上创建和颁发注册证书模板。

在证书颁发机构创建和颁发 Mac 客户端证书模板

此过程为 Configuration Manager Mac 计算机创建自定义证书模板,并将证书模板添加到证书颁发机构。

注意

此过程使用与可能为 Windows 客户端计算机或分发点创建的证书模板不同的证书模板。

为此证书创建新的证书模板时,可以将证书请求限制为授权用户。

在证书颁发机构创建和颁发 Mac 客户端证书模板
  1. 创建一个安全组,该安全组包含管理用户的用户帐户,这些用户将使用 Configuration Manager 在 Mac 计算机上注册证书。

  2. 在运行证书颁发机构控制台的成员服务器上,右键单击“ 证书模板”,然后选择“ 管理 ”以加载证书模板管理控制台。

  3. 在结果窗格中,右键单击“模板显示名称”列中显示“已验证会话”的条目,然后选择“复制模板”。

  4. 在“复制模板”对话框中,确保选中“Windows 2003 Server Enterprise Edition”,然后选择“确定”。

    重要

    不要选择 Windows 2008 Server,Enterprise Edition

  5. 在“ 新模板的属性 ”对话框中的“ 常规 ”选项卡上,输入模板名称(如 ConfigMgr Mac 客户端证书)以生成 Mac 客户端证书。

  6. 选择“使用者名称”选项卡,确保选中“从此 Active Directory 信息生成”,选择“使用者名称格式的“公用名称”,然后清除“用户主体名称” (UPN) “将此信息包含在备用使用者名称中”。

  7. 选择“安全性”选项卡,然后从“域管理员”和“企业管理员”安全组中删除“注册”权限。

  8. 选择 “添加”,指定在步骤 1 中创建的安全组,然后选择“ 确定”。

  9. 为此组选择 “注册” 权限,但不清除 “读取 ”权限。

  10. 选择 “确定”,然后关闭 “证书模板控制台”。

  11. 在证书颁发机构控制台中,右键单击“ 证书模板”,选择“ 新建”,然后选择“ 要颁发的证书模板”。

  12. “启用证书模板 ”对话框中,选择刚刚创建的新模板 “ConfigMgr Mac 客户端证书”,然后选择“ 确定”。

  13. 如果不必创建和颁发更多证书,请关闭 证书颁发机构

    设置注册的客户端设置时,现在可以选择 Mac 客户端证书模板。