确定是否需要指定客户端证书设置(本机模式)
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
当 Configuration Manager 2007 客户端连接到其管理点时,使用客户端证书进行身份验证。
Configuration Manager 2007 客户端使用位于计算机证书存储中的证书。默认情况下,客户端在个人存储区中确定“预期目的”字段中包括客户端身份验证的证书,并使用此证书进行纯模式通信。如果客户端计算机只有一个匹配此要求的有效证书,则在 Configuration Manager 2007 中没有要配置的证书设置。
但是,如果满足下列条件之一,您必须配置客户端证书设置:
要与 Configuration Manager 2007 配合使用的客户端证书没有存储在个人存储区中,而是在计算机证书存储中的其他位置。
有多个证书有效,并且包含客户端身份验证用途。在这种情况下,Configuration Manager 不知道应该使用哪个证书。
当客户端有多个证书可用于纯模式通信时,可为多个客户端配置两种可用的选择方法来确定要使用哪个证书:
在客户端证书的“使用者名称”中进行部分字符串匹配。该匹配不区分大小写,当您在使用者字段中使用计算机的完全限定的域名 (FQDN) 并希望根据域后缀(例如 contoso.com)选择证书时适用。但是,您可以使用此选择方法来识别将证书与客户端证书存储中其他证书区别开来的任何顺序字符串。
匹配客户端证书“使用者名称”属性值或“使用者备用名称”属性值。该匹配区分大小写,当您根据 RFC 3280 在“使用者”字段使用 X500 可分辨名称或同等 OID(对象标识符),并希望根据属性值选择证书时适用。您可以仅指定唯一识别或验证证书并使证书与证书存储中其他证书区别开来所需的属性及其值。
下表列出了在 Configuration Manager 2007 中支持用作证书选择条件的属性值。
| OID 属性 | 可分辨名称属性 | 属性定义 |
|---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
域组件 |
1.2.840.113549.1.9.1 |
E 或 E-mail |
电子邮件地址 |
2.5.4.3 |
CN |
公用名 |
2.5.4.4 |
SN |
使用者名称 |
2.5.4.5 |
SERIALNUMBER |
序列号 |
2.5.4.6 |
C |
国家(地区)代码 |
2.5.4.7 |
L |
区域 |
2.5.4.8 |
S 或 ST |
省或自治区名称 |
2.5.4.9 |
STREET |
街道地址 |
2.5.4.10 |
O |
组织名称 |
2.5.4.11 |
OU |
组织单位 |
2.5.4.12 |
T 或 Title |
标题 |
2.5.4.42 |
G 或 GN 或 GivenName |
给定名称 |
2.5.4.43 |
I 或 Initials |
缩写 |
2.5.29.17 |
(没有值) |
使用者备用名称 |
如果即使应用了选择条件之后仍找到了多个合适的证书,您可以指定关于证书选择的客户端行为。当无法唯一选择证书时,默认设置是不选择证书,这样将导致与管理点的通信失败。在这种情况下,客户端将向分配的回退状态点发送一则错误消息,警告您证书选择失败,以便您可以修改或改进证书选择条件。
或者,您可以将客户端配置为选择任何合适且匹配的证书。如果客户端运行的是 Configuration Manager 2007 SP1 或更高版本,则选择有效期最长的证书,您使用“网络访问保护”和 IPsec 强制时可能需要该证书。此设置可以成功进行纯模式通信,但由于不控制使用哪一份证书,所以配置的可靠性较差。
另请参阅
任务
概念
纯模式的证书要求
如何手动安装 Configuration Manager 客户端
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。