将证书部署到移动设备客户端

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 可用于将证书部署到移动设备。将证书部署到移动设备的常用方案包括：

• 为纯模式或服务器身份验证模式的移动设备客户端安装部署根证书及任何必需的中间证书颁发机构证书

• 从混合模式迁移到纯模式时部署客户端证书

• 为第三方应用程序部署证书

• 部署 Configuration Manager 2007 站点服务器签名证书

在部署证书之前，您必须为您的根证书颁发机构和任何中间证书颁发机构获取以 X.509 .cer 文件格式导出的证书。

Configuration Manager 2007 可以使用下列方法部署证书：

• 证书安装配置项目

• 移动设备安装或升级

有关移动设备的证书安装的详细信息，请参阅部署纯模式所需的 PKI 证书。

使用证书安装配置项目部署证书

证书可以使用证书安装配置项目部署到 Configuration Manager 2007 管理的移动设备客户端。有关使用配置项目向导的详细信息，请参阅如何创建移动设备的配置项目。

移动设备上的证书存储

Windows 移动设备包括下列证书存储：

• 根 - 移动设备的根证书。根存储主要用于验证颁发的证书是否成功链接到受信任的根证书颁发机构。此存储不用于代码执行。站点服务器签名证书的副本存储在这里。

• 软件发布证书 (SPC) - SPC 证书定义第三方软件程序的特权级别。有两种类型的 SPC 证书：

  • 特权 - 特权证书对移动设备具有管理者权限，对注册表的访问权限不受限制。

  • 非特权 - 非特权证书对移动设备具有受限的权限，不能访问注册表的特定部分。

• 中间 - 中间证书将证书颁发机构的未中断链验证到根证书颁发机构。

在移动设备客户端安装或升级期间部署证书

Configuration Manager 2007 移动设备客户端安装或升级过程使用注册程序来将证书部署到移动设备。有关移动设备在纯模式下所需的证书的详细信息，请参阅关于移动设备客户端的纯模式证书。

在移动设备客户端安装或升级过程中部署证书要求：

• 如果需要证书但移动设备上没有证书，则可以在移动设备客户端安装过程中部署证书。将 .cer 文件包括在移动设备管理客户端部署文件夹中。这些证书文件必须采用可分辨编码规则 (DER) 编码的二进制 X.509 格式。移动设备不支持 Base64 编码的 X.509 格式。有关详细信息，请参阅如何为移动设备管理编辑 DMCommonInstaller.ini 文件或如何为移动设备管理编辑 ClientSettings.ini 文件。

• 正确配置的 DMCommonInstaller.ini 文件或 ClientSettings.ini 文件。在 DMCommonInstaller.ini 文件或 ClientSettings.ini 文件中设置 ImportCerts=True。有关详细信息，请参阅如何为移动设备管理编辑 DMCommonInstaller.ini 文件或如何为移动设备管理编辑 ClientSettings.ini 文件。

有关移动设备客户端安装或升级的详细信息，请参阅如何安装或升级移动设备管理客户端。

DMCommonInstaller.ini 和 ClientSettings.ini 中的证书值

DMCommonInstaller.ini 和 ClientSettings.ini 文件定义证书部署的值，必须根据特定环境进行编辑。以下是将证书部署到设备的值的类别：

• 证书注册程序

• 导入证书

• 续订站点服务器签名证书

证书注册程序值

DMCommonInstaller.ini 文件或 ClientSettings.ini 文件中的下列值用于在客户端安装或升级过程中定义证书注册。如果要注册证书，则根据站点环境定义下列值：

• CertEnrollAction=Enroll

• CertEnrollServer=certserver.contoso.com

• CertEnrollServerPort=80

  备注

  Configuration Manager 2007 移动设备证书注册程序不支持 HTTPS。

• CertRequestPage=/certsrv/certfnsh.asp

• CertDownloadPage=/certsrv/certnew.cer

• CertChainDownloadPage=/certsrv/certnew.p7b

如果 CertEnrollAction 值为 Enroll，则注册应用程序（Enroll_ARM.exe、Enroll_WinCE5.0_x86.exe 或 Enroll_WinCE5.0_ARM.exe）将在个人存储中检查移动设备的有效客户端身份验证证书。如果找不到任何客户端身份验证证书，则将提示移动设备用户进行身份验证，并在移动设备的个人存储中注册客户端身份验证证书。DMCommonInstaller.ini 文件或 ClientSettings.ini 文件中的其他值定义注册过程的参数。有关详细信息，请参阅如何为移动设备管理编辑 DMCommonInstaller.ini 文件或如何为移动设备管理编辑 ClientSettings.ini 文件。

导入证书值：ImportCerts

如果 DMCommonInstaller.ini 文件或 ClientSettings.ini 文件中的 ImportCerts 值设置为 True，则安装程序会将位于客户端传输目录中的证书文件 (.cer) 导入到移动设备上的根存储。如果移动设备上已经存在必要的证书，则不需要使用此选项设置纯模式。要导入的证书必须采用可分辨编码规则 (DER) 编码的二进制 X.509 格式。不支持 Base64 编码的 X.509 证书。

续订站点服务器签名证书

DMCommonInstaller.ini 文件或 ClientSettings.ini 文件中的 EnableSSSCRenewal 值指定当站点服务器上有新证书可用时，是否下载并安装站点服务器签名证书。如果 EnableSSCRenewal 设置为 false，则管理员将需要手动部署更新站点服务器签名证书。

另请参阅

概念

关于移动设备客户端的纯模式证书
将中间证书颁发机构证书部署到 Configuration Manager 计算机
如何为移动设备管理编辑 ClientSettings.ini 文件
如何为移动设备管理编辑 DMCommonInstaller.ini 文件
如何安装或升级移动设备管理客户端

其他资源

证书安装属性

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。