如何指定客户端证书选择条件
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
当 Configuration Manager 2007 在纯模式下操作时,客户端将使用在 Configuration Manager 2007 外部进行管理的客户端证书与站点进行通信。当有多个证书可用时,为 Configuration Manager 2007 客户端通信选择正确的证书非常重要。在这种情况下,请指定证书选择方法。
有两个支持的过程可用于此配置。选择适合您的环境的过程。两个过程如下:
将设置发布到 Active Directory 域服务。要将设置发布到 Active Directory 域服务,请指定“站点属性:站点模式”选项卡上的设置。对于要使用此配置方法配置这些设置的客户端,以下条件必须完全符合:
Active Directory 域服务必须使用 Configuration Manager 2007 架构扩展进行扩展。
该站点必须发布到 Active Directory 域服务。
客户端必须在 Intranet 上。
客户端必须来自用作站点服务器林的相同 Active Directory 林。
使用 CCMSetup.exe 命令行选项指定设置。您可以在首次安装客户端时使用 CCMSetup 选项,也可以在这些选项作为要在安装之后运行的脚本提供时使用它们(这将使用新的配置重新安装客户端)。
如果已经安装了客户端,您可以使用软件分发功能将 CCMSetup 命令发送到客户端,或使用 Configuration Manager 2007 任务序列来完成。如果 CCMSetup 提供的设置与发布到 Active Directory 域服务的设置冲突,客户端可以访问 Active Directory 域服务中的设置,则 Active Directory 域服务中的设置优先,不使用 CCMSetup 指定的设置。
此外,您还可以使用您的内部客户端管理工具指定设置,这可能包括在标准内部版本映像中合并设置以及部署自定义脚本来编辑注册表。
通过将设置发布到 Active Directory 域服务来指定客户端证书选择条件:
在 Configuration Manager 控制台中,导航到“System Center Configuration Manager/站点数据库/站点管理”。
右键单击“<站点代码> -<站点名称>”,然后单击“属性”。
在站点属性对话框中的“站点模式”选项卡上,确保站点模式配置为“纯模式”并找到“发布到 Active Directory 的客户端设置”部分。
对于“证书条件”,选择下列选项之一,如果您选择了使用字符串或属性匹配的选项,请在文本框中输入相应的值:
仅检查证书目的
使用者名称或使用者备用名称包含:
使用者名称或使用者备用名称包括属性:
对于选项“如果多个证书匹配条件”,请选择下列选项之一:
选择任何匹配的证书。如果客户端应当通过从满足证书选择条件的可用证书列表中随机选择一个证书来尝试与其站点通信,请选择此选项。但是,如果客户端运行 Configuration Manager 2007 SP1 或更高版本,则会选择有效期最长的证书。
选择失败并发送错误消息。如果客户端不应选择证书来与其站点进行通信,请选择此选项。在这种情况下,客户端不会尝试连接到其管理点,但将会向其回退状态点发送一则错误消息。在有多个证书可用时,这是更加安全可靠的选项。
单击“确定”。
备注
有关此对话框中的选项的详细信息,请参阅站点属性:“站点模式”选项卡
通过使用 CCMSetup.exe 命令行选项指定设置来指定客户端证书选择条件:
- 使用带有 client.msi 参数 CCMCERTSEL 的 CCMSetup.exe。有关 CCMSetup 选项的详细信息,请参阅关于 Configuration Manager 客户端安装属性。
另请参阅
任务
概念
纯模式的证书要求
确定是否需要指定客户端证书设置(本机模式)
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。