续订或更改站点服务器签名证书
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
纯模式 Configuration Manager 2007 站点中的站点服务器签名证书签署下载到 Configuration Manager 客户端的策略,以便客户端知道其策略来自受信任的来源。Configuration Manager 客户端需要站点服务器签名证书的副本,并且从 Active Directory 或其管理点中检索此副本。或者,您可以使用 CCMSetup 命令行选项在安装时为客户端设置站点服务器签名证书。有关将站点服务器签名证书部署到客户端的详细信息,请参阅决定如何将站点服务器签名证书部署到客户端(纯模式)。
Configuration Manager 在使用站点服务器签名证书之前检查其有效期,如果检测到到期日期在 10 天之内,将使用组件 SMS_POLICY-PROVIDER 发出 ID 为 5112 的状态消息。此状态消息将每天重复一次,并计算剩余天数,直到到期。
如果您续订或需要更改部署到 Configuration Manager 站点服务器的站点服务器签名证书,则必须配置 Configuration Manager 来使用此新的证书。选择新的站点服务器签名证书会有一些与下列情形有关的结果:
续订站点服务器签名证书或从同一根证书颁发机构颁发新证书
从不同的根证书颁发机构颁发新站点服务器签名证书
续订站点服务器签名证书或从同一根证书颁发机构颁发新证书
如果您将 Configuration Manager 站点配置为使用具有新密钥对的新站点服务器签名证书(建议的最佳方案),则站点服务器将重新签署所有客户端策略。当客户端下载新站点服务器签名证书已签署的策略时,由于站点服务器签名证书的副本与用于签署策略的证书不匹配,客户端将不会立即验证签名。如果新站点服务器签名证书链接至与以前的站点服务器签名证书相同的受信任根证书,Configuration Manager 客户端将自动从 Active Directory 域服务或管理点下载新站点服务器签名证书的副本。然后验证新站点服务器签名证书签署的策略。
备注
如果 Configuration Manager 站点操作中断、网络活动增加以及在管理点或域控制台上进行处理均可接受时,则在静默期续订站点服务器签名证书。站点服务器为大量策略重新签名,然后客户端检索新的证书需要持续一段时间才能完成。
续订根证书后从不同的根证书颁发机构颁发新的站点服务器签名证书
如果将 Configuration Manager 站点配置为使用链接至不同根证书的新站点服务器签名证书(使用不同的证书颁发机构,或使用相同的证书颁发机构但使用具有新密钥对的新根证书),则客户端在接收新证书签署的策略时将不接受新站点服务器签名证书。此行为可提供安全保护,防止客户端接受来自被泄露的管理点的新站点服务器签名证书。在这种情况下,客户端将不尝试下载新的站点服务器签名证书,并将拒绝已下载的策略,将错误发送给管理点以警告管理员策略授权已失败这一事实。在这种情况下,客户端不受管理,并且管理员必须采取修正措施。
如果更改了根证书,并且需要安装新的站点服务器签名证书,您首先必须删除 Configuration Manager 客户端上的现有站点服务器证书的副本,其存储在注册表中,方法是运行脚本(例如,在 Configuration Manager 中运行任务序列或使用组策略)。对于 32 位操作系统,站点服务器签名证书的客户端副本存储在下列注册表项中:HKLM\SOFTWARE\Microsoft\CCM\Security.对于 64 位注册表系统,它存储在下列注册表项中:HKLM\SOFTWARE\Wow6432Node\Microsoft\CCM\Security
如果您更改了根证书,要删除站点服务器签名证书的客户端副本,请找到名为 AllowedRootCAHashCode (类型 REG_SZ)的值,然后删除显示为十六进制数字字符串的关联值数据。
编辑客户端注册表的可选方法如下:
卸载客户端,然后重新安装。
使用 CCMSetup 命令行选项重新安装客户端,为客户端设置新站点服务器签名证书的副本。