如何导出用于操作系统部署的证书
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
当 Configuration Manager 2007 站点在纯模式下操作时,需要与管理点通信的操作系统部署必须配置为使用公钥基础结构 (PKI) 证书。有关操作系统部署的证书要求的详细信息,请参阅关于纯模式证书和操作系统部署。
要为操作系统部署配置所需的证书,请导入公钥证书标准 (PKCS #12) 文件。此文件的创建在 Configuration Manager 2007 外部进行,但是您可以使用下列过程创建此文件。
在执行这些过程之前,必须已经将证书部署到计算机。证书要求如下:
计划的使用必须包括客户端身份验证
必须允许导出私钥
有关如何部署计算机证书以进行 Configuration Manager 纯模式通信的详细信息,请参阅将客户端计算机证书部署到客户端和管理点。
重要
操作系统部署所需的计算机证书与纯模式站点中的 Configuration Manager 2007 客户端所需的计算机证书不同。
为操作系统部署创建和部署证书的注意事项:
如果您正在使用 Microsoft PKI 解决方案,并且将 Windows Server 2003 Certificate Services 的 Enterprise Edition 与模板结合使用进行自动注册,您可以使用计算机模板或工作站模板。但是,您必须修改模板(复制模板并修改副本),以便在证书模板的“请求处理”选项卡上启用“允许导出私钥”选项。
与大多数计算机证书不同,此证书不被限制到特定计算机或由特定计算机拥有,而是临时被纯模式站点中操作系统部署的所有目标计算机共享。由于此行为,请考虑创建具有唯一属性(如自定义使用者名称或使用者备用名称)以方便识别的证书,将其只用于操作系统部署。一旦证书被泄露,就很容易识别并吊销该证书,而不影响其他计算机。
请考虑使用比平时更长的有效期,以减少为符合证书到期日期而重新配置操作系统部署的管理开销。
在将证书部署到计算机时,您可以使用下列过程导出证书,这样您就可以将证书用于操作系统部署。如果您正在使用 PXE 服务点,请将导出的证书作为数据库配置属性的一部分导入。如果您正在创建启动媒体,请在任务序列媒体向导的“安全”页面上导入导出的证书。
从运行 Windows 7 或 Windows Vista 的计算机导出用于操作系统部署的证书
在安装了证书的 Windows 7 或 Windows Vista 计算机上,以本地管理员身份登录,单击“开始”,在“搜索”框中键入 mmc,然后按 Enter。
在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。
在“添加/删除管理单元”对话框中,选择“证书”,然后单击“添加”。
在“证书管理单元”页面上,选择“计算机帐户”,然后单击“下一步”。
在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。
要关闭“添加独立管理单元”对话框,请单击“确定”。
在控制台中,双击“证书(本地计算机)”。
在控制台,展开“个人”。
找到要用于操作系统部署的证书。
右键单击您需要的证书,单击“所有任务”,然后单击“导出”以启动“证书导出向导”。
在证书导出向导的“欢迎”页面上,单击“下一步”。
在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。
备注
如果此选项不可用,则表明在创建证书时没有选择导出私钥。在这种情况下,您无法按要求的格式导出证书。
在“导出文件格式”页上,确保“个人信息交换 - PKCS #12(.PFX)”选项处于选定状态。
备注
可以根据需要选择“如果导出成功,删除密钥”,这会确保在导出证书之后无法在计算机上使用该证书。这将有助于确保证书仅用于操作系统部署。或者,您可以在完成导出过程之后在计算机上手动删除证书。
在“密码”页面上,指定一个强密码来保护导出的证书及其私钥,然后单击“下一步”。
在“要导出的文件”页面上,指定您要导出的文件的名称,然后单击“下一步”。
要关闭向导,请在“证书导出向导”对话框中单击“完成”。
安全地存储文件,确保您可以从 Configuration Manager 控制台访问该文件。
从运行 Windows XP Professional 或 Windows Server 2003 的计算机导出用于操作系统部署的证书
在安装了证书的 Windows XP Professional 或 Windows Server 2003 计算机上,依次单击“开始”、“运行”,然后在“运行”对话框中键入 MMC,然后单击“确定”。
在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。
在“添加/删除管理单元”对话框中,单击“添加”。
从“可用的管理单元”中选择“证书”,然后单击“添加”。
在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。
在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。
在“添加/删除管理单元”对话框中,单击“确定”。
在控制台中,展开“证书(本地计算机)”。
展开“个人”,然后单击“证书”。
在结果窗格中,找到您需要用于操作系统部署的证书。
右键单击所需的证书,单击“所有任务”,然后单击“导出”。
在证书导出向导中,单击“下一步”。
在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。
备注
如果此选项不可用,则表明在创建证书时没有选择导出私钥。在这种情况下,您无法按要求的格式导出证书。
在“导出文件格式”页上,确保以下“个人信息交换 - PKCS #12(.PFX)”选项处于选定状态。
备注
可以根据需要选择“如果导出成功,删除密钥”,这会确保在导出证书之后无法在计算机上使用该证书。这将有助于确保证书仅用于操作系统部署。或者,您可以在完成导出过程之后在计算机上手动删除证书。
在“密码”页面上,指定一个强密码来保护导出的证书及其私钥,然后单击“下一步”。
在“要导出的文件”页面上,指定您要导出的文件的名称,然后单击“下一步”。
在“证书导出向导”对话框中,单击“确定”关闭向导。
安全地存储文件,确保您可以从 Configuration Manager 控制台访问该文件。
另请参阅
任务
概念
Configuration Manager 站点模式
关于纯模式证书和操作系统部署
将客户端计算机证书部署到客户端和管理点
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。