通过

如何在客户端上启用或禁用证书吊销检查 (CRL)

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

请遵循下列步骤以在纯模式站点的 Configuration Manager 2007 客户端计算机上启用或禁用证书吊销检查。

备注

移动设备客户端不使用证书吊销列表。

当 Configuration Manager 站点在纯模式下安装时,默认站点设置用于在使用纯模式站点系统成功建立通信之前让客户端检查证书吊销列表 (CRL)。当 Configuration Manager 站点在混合模式下安装然后迁移到纯模式时,默认情况下会禁用此设置。要为单个客户端验证此设置,请参阅如何为纯模式和基于 Internet 的客户端管理识别客户端配置详细信息。您不能在 Configuration Manager 2007 中配置纯模式站点系统的 CRL 检查;此设置默认情况下处于启用状态,并继承了 IIS 配置。

重要

CRL 的发布和维护是公钥基础结构 (PKI) 不可或缺的一部分,位于 Configuration Manager 2007 外部。不要在 Configuration Manager 客户端上使用 CRL 检查,直到您已确认您的基础结构能够支持此功能。例如,如果您使用的是基于 Internet 的客户端管理,而纯模式站点系统的证书颁发机构位于 Intranet 上,则需要确保可以从 Internet 访问 CRL。

有两个支持的过程可用于在客户端上配置 CRL 检查。选择适合您的环境的过程。然而,当客户端运行 Configuration Manager 2007 SP2 之前的版本时,作为任务序列操作的结果来运行的客户端功能将始终检查 CRL。两个过程如下:

  • 配置此选项作为站点属性。可以访问发布到 Active Directory 域服务中的站点属性的客户端计算机将定期(包括在站点分配时间、客户端每次启动时以及每 25 个小时)自动使用此选项进行配置。使用客户端请求安装方法安装的客户端只能在安装时使用此选项进行配置。

    对于要使用 Active Directory 域服务配置此设置的已安装客户端,必须符合下列所有条件:

    • Active Directory 域服务必须使用 Configuration Manager 2007 架构扩展进行扩展

    • 该站点必须发布到 Active Directory 域服务

    • 客户端必须在 Intranet 上

    • 客户端必须来自用作站点服务器林的相同 Active Directory 林。

  • 使用 CCMSetup.exe 命令行选项指定设置。您可以在首次安装客户端时使用 CCMSetup 选项,也可以在这些选项作为要在安装之后运行的脚本提供时使用(这将使用新配置重新安装客户端)。如果已经安装了客户端,您可以使用软件分发功能将 CCMSetup 命令发送到客户端,或使用 Configuration Manager 2007 任务序列来完成。

    备注

    如果 CCMSetup 提供的设置与发布到 Active Directory 域服务的设置冲突,客户端可以访问 Active Directory 域服务中的设置,则 Active Directory 域服务中的设置优先,不使用 CCMSetup 指定的设置。

此外,您还可以使用内部客户端管理工具指定设置,这可能包括在标准版本映像中合并设置以及部署自定义脚本以编辑注册表。

通过将设置配置为站点属性在客户端上配置证书吊销检查 (CRL)

  1. 在 Configuration Manager 控制台中,导航到“System Center Configuration Manager/站点数据库/站点管理”。

  2. 右键单击“<站点代码> - <站点名称>”,然后单击“属性”。

  3. 在站点属性对话框的“站点模式”选项卡上,选择或取消“在客户端上启用 CRL 检查”。

  4. 单击“确定”。

通过使用 CCMSetup.exe 命令行选项指定设置在客户端上配置证书吊销检查 (CRL)

  • 启用 CRL 检查:使用带命令行属性 /native:CRL(针对纯模式通信和 CRL 检查)或 /native:CRLANDFALLBACK (针对纯模式通信和 CRL 检查以及漫游和站点分配的 HTTP 通信)的 CCMSetup.exe。

    禁用 CRL 检查:使用带命令行属性 /native: 的 CCMSetup.exe(针对不带 CRL 检查的纯模式通信)或者 /native:FALLBACK(针对不带 CRL 检查的纯模式通信以及漫游和站点分配的 HTTP 通信)的 CCMSetup.exe。

    有关 CCMSetup 安装属性的详细信息,请参阅关于 Configuration Manager 客户端安装属性

另请参阅

任务

如何为纯模式和基于 Internet 的客户端管理识别客户端配置详细信息
如何使用客户端请求安装 Configuration Manager 客户端

概念

确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。