通过

如何导出用于操作系统部署的证书

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

当 Configuration Manager 2007 站点在纯模式下操作时,需要与管理点通信的操作系统部署必须配置为使用公钥基础结构 (PKI) 证书。有关操作系统部署的证书要求的详细信息,请参阅关于纯模式证书和操作系统部署

要为操作系统部署配置所需的证书,请导入公钥证书标准 (PKCS #12) 文件。此文件的创建在 Configuration Manager 2007 外部进行,但是您可以使用下列过程创建此文件。

在执行这些过程之前,必须已经将证书部署到计算机。证书要求如下:

  • 计划的使用必须包括客户端身份验证

  • 必须允许导出私钥

有关如何部署计算机证书以进行 Configuration Manager 纯模式通信的详细信息,请参阅将客户端计算机证书部署到客户端和管理点

重要

操作系统部署所需的计算机证书与纯模式站点中的 Configuration Manager 2007 客户端所需的计算机证书不同。

为操作系统部署创建和部署证书的注意事项:

  • 如果您正在使用 Microsoft PKI 解决方案,并且将 Windows Server 2003 Certificate Services 的 Enterprise Edition 与模板结合使用进行自动注册,您可以使用计算机模板或工作站模板。但是,您必须修改模板(复制模板并修改副本),以便在证书模板的“请求处理”选项卡上启用“允许导出私钥”选项。

  • 与大多数计算机证书不同,此证书不被限制到特定计算机或由特定计算机拥有,而是临时被纯模式站点中操作系统部署的所有目标计算机共享。由于此行为,请考虑创建具有唯一属性(如自定义使用者名称或使用者备用名称)以方便识别的证书,将其只用于操作系统部署。一旦证书被泄露,就很容易识别并吊销该证书,而不影响其他计算机。

  • 请考虑使用比平时更长的有效期,以减少为符合证书到期日期而重新配置操作系统部署的管理开销。

在将证书部署到计算机时,您可以使用下列过程导出证书,这样您就可以将证书用于操作系统部署。如果您正在使用 PXE 服务点,请将导出的证书作为数据库配置属性的一部分导入。如果您正在创建启动媒体,请在任务序列媒体向导的“安全”页面上导入导出的证书。

从运行 Windows 7 或 Windows Vista 的计算机导出用于操作系统部署的证书

  1. 在安装了证书的 Windows 7 或 Windows Vista 计算机上,以本地管理员身份登录,单击“开始”,在“搜索”框中键入 mmc,然后按 Enter。

  2. 在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。

  3. 在“添加/删除管理单元”对话框中,选择“证书”,然后单击“添加”。

  4. 在“证书管理单元”页面上,选择“计算机帐户”,然后单击“下一步”。

  5. 在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。

  6. 要关闭“添加独立管理单元”对话框,请单击“确定”。

  7. 在控制台中,双击“证书(本地计算机)”。

  8. 在控制台,展开“个人”。

  9. 找到要用于操作系统部署的证书。

  10. 右键单击您需要的证书,单击“所有任务”,然后单击“导出”以启动“证书导出向导”。

  11. 在证书导出向导的“欢迎”页面上,单击“下一步”。

  12. 在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。

    备注

    如果此选项不可用,则表明在创建证书时没有选择导出私钥。在这种情况下,您无法按要求的格式导出证书。

  13. 在“导出文件格式”页上,确保“个人信息交换 - PKCS #12(.PFX)”选项处于选定状态。

    备注

    可以根据需要选择“如果导出成功,删除密钥”,这会确保在导出证书之后无法在计算机上使用该证书。这将有助于确保证书仅用于操作系统部署。或者,您可以在完成导出过程之后在计算机上手动删除证书。

  14. 在“密码”页面上,指定一个强密码来保护导出的证书及其私钥,然后单击“下一步”。

  15. 在“要导出的文件”页面上,指定您要导出的文件的名称,然后单击“下一步”。

  16. 要关闭向导,请在“证书导出向导”对话框中单击“完成”。

  17. 安全地存储文件,确保您可以从 Configuration Manager 控制台访问该文件。

从运行 Windows XP Professional 或 Windows Server 2003 的计算机导出用于操作系统部署的证书

  1. 在安装了证书的 Windows XP Professional 或 Windows Server 2003 计算机上,依次单击“开始”、“运行”,然后在“运行”对话框中键入 MMC,然后单击“确定”。

  2. 在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。

  3. 在“添加/删除管理单元”对话框中,单击“添加”。

  4. 从“可用的管理单元”中选择“证书”,然后单击“添加”。

  5. 在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。

  6. 在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。

  7. 在“添加/删除管理单元”对话框中,单击“确定”。

  8. 在控制台中,展开“证书(本地计算机)”。

  9. 展开“个人”,然后单击“证书”。

  10. 在结果窗格中,找到您需要用于操作系统部署的证书。

  11. 右键单击所需的证书,单击“所有任务”,然后单击“导出”。

  12. 在证书导出向导中,单击“下一步”。

  13. 在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。

    备注

    如果此选项不可用,则表明在创建证书时没有选择导出私钥。在这种情况下,您无法按要求的格式导出证书。

  14. 在“导出文件格式”页上,确保以下“个人信息交换 - PKCS #12(.PFX)”选项处于选定状态。

    备注

    可以根据需要选择“如果导出成功,删除密钥”,这会确保在导出证书之后无法在计算机上使用该证书。这将有助于确保证书仅用于操作系统部署。或者,您可以在完成导出过程之后在计算机上手动删除证书。

  15. 在“密码”页面上,指定一个强密码来保护导出的证书及其私钥,然后单击“下一步”。

  16. 在“要导出的文件”页面上,指定您要导出的文件的名称,然后单击“下一步”。

  17. 在“证书导出向导”对话框中,单击“确定”关闭向导。

  18. 安全地存储文件,确保您可以从 Configuration Manager 控制台访问该文件。

另请参阅

任务

如何为操作系统部署客户端准备根证书颁发机构证书

概念

Configuration Manager 站点模式
关于纯模式证书和操作系统部署
将客户端计算机证书部署到客户端和管理点

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。