纯模式的证书要求
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
下表列出了 Configuration Manager 2007 站点以纯模式运行所需的公钥基础结构 (PKI) 证书。此信息假定用户对 PKI 证书有着基本了解。有关 PKI 参考和部署主题的详细信息,请参阅部署纯模式所需的 PKI 证书。
在使用 Microsoft PKI 解决方案时,可以使用证书模板轻松管理这些证书。基于模板的证书只能由在 Windows Server 2003 或 Windows Server 2008 的 Enterprise Edition 或 Datacenter Edition 上运行的企业证书颁发机构颁发。但是,请勿使用版本 3 模板(Windows Server 2008,Enterprise Edition)。这些证书模板会创建与 Configuration Manager 不兼容的证书。要了解如何使用证书模板在纯模式下部署 Configuration Manager 所需的证书,请参阅下列内容:
Configuration Manager 纯模式所需的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构
Configuration Manager 纯模式所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构
重要
在站点可在纯模式下操作之前,证书必须已到位。在安装期间选择纯模式或者在安装后将站点迁移到纯模式时,Configuration Manager 将尝试验证站点服务器签名证书。但是,Configuration Manager 无法验证纯模式操作所需的其他证书。
您可以手动运行“Configuration Manager 纯模式准备工具”工具来验证客户端计算机是否准备好以纯模式运行。有关此工具的详细信息,请参阅如何确定客户端计算机是否已准备好进入纯模式。纯模式所需的证书
| Configuration Manager 组件 | 证书使用 | 要使用的 Microsoft 证书模板 | 证书中的特定信息 | 如何在 Configuration Manager 中使用证书 |
|---|---|---|---|---|
主站点服务器 |
文档签名 |
文档签名没有默认模板。您可以使用任何版本 2 (v2) 模板,除去不需要的预期用途,然后添加文档签名功能。 |
“增强型密钥用法”值必须包含“文档签名 (1.3.6.1.4.1.311.10.3.12)”。 “使用者名称”字段必须包含以下字符串:此站点服务器的站点代码为 <XXX>。将 <XXX> 替换为站点服务器的站点代码。 备注 必须使用以英语显示的此精确文本字符串,在相同情况下,必须采用其在 Configuration Manager 控制台中所示的大小写方式在字符串的末尾指定站点代码(无结尾句点)。 SHA-1 是唯一受支持的哈希算法。 支持的最大密钥长度为 8096 位。 |
此证书必须位于计算机证书存储的个人存储中。 站点服务器签名证书对客户端从其管理点下载的策略进行签署,以使客户端了解这些策略来源于其分配的站点。 辅助站点服务器上不需要此证书。 客户端必须具有此证书的副本后才能接受使用此证书签名的策略。有关详细信息,请参阅决定如何将站点服务器签名证书部署到客户端(纯模式)。 |
站点系统角色:
|
服务器身份验证 备注 管理点和状态迁移点还需要一个具有客户端身份验证功能的证书,如下行所述。 |
Web 服务器 |
“增强型密钥用法”值必须包含“服务器身份验证 (1.3.6.1.5.5.7.3.1)”。 如果站点系统接受来自 Internet 连接,则“使用者名称”或“使用者备用名称”必须包含 Internet 完全限定的域名 (FQDN)。 如果站点系统接受来自 Intranet 的连接,则“使用者名称”或“使用者备用名称”必须包含 Intranet FQDN(建议)或计算机的 NetBIOS 名称,视站点系统的配置方式而定。 如果站点系统接受来自 Internet 和 Intranet 的连接,则必须在 Internet FQDN 和 Intranet FQDN(或计算机 NetBIOS 名称)之间使用与号 (&) 分隔符来指定这两个名称。 重要 当软件更新点仅接受来自 Internet 的客户端连接时,该证书必须包含 Internet FQDN 和 Intranet FQDN。 SHA-1 是唯一受支持的哈希算法。 Configuration Manager 不指定此证书支持的最大密钥长度。有关此证书的任何密钥大小相关问题,请参阅 PKI 和 IIS 文档。 |
此证书必须位于计算机证书存储的个人存储中。 此 Web 服务器证书用于向客户端对这些服务器进行身份验证,并使用安全套接字层 (SSL) 对它们之间传输的所有数据进行加密。 |
客户端计算机 |
客户端身份验证 |
计算机或工作站 |
“增强型密钥用法”值必须包含“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。 客户端计算机在“使用者名称”字段或“使用者备用名称”字段中(如果使用的是 Microsoft 证书模板,“使用者备用名称”只能与工作站模板配合使用)必须具有唯一的名称。 备注 如果将多个值用于“使用者备用名称”,则仅将使用第一个名称。 SHA-1 是唯一受支持的哈希算法。 支持的最大密钥长度为 2048 位。 |
在默认情况下,Configuration Manager 将在计算机证书存储的个人存储中查找计算机证书。要更改此默认值,请参阅如何指定客户端证书存储。 此证书向以下服务器对客户端进行身份验证:
此证书在管理点和状态迁移点上也是必需的,即使 Configuration Manager 2007 客户端未安装在这些站点系统上,以便这些角色的健康状况可被监视并向站点服务器报告。这些站点系统的此证书必须位于计算机证书存储的个人存储中。 |
移动设备客户端 |
客户端身份验证 |
经过身份验证的会话 |
“增强型密钥用法”值必须包含“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。 SHA-1 是唯一受支持的哈希算法。 支持的最大密钥长度为 2048 位。 重要 这些证书必须采用可分辨编码规则 (DER) 编码的二进制 X.509 格式。 不支持 Base64 编码的 X.509 格式。 |
此证书必须驻留在个人存储中。 此证书向下列服务器对移动设备客户端进行身份验证:
|
纯模式下需要其他证书的组件
如果纯模式站点支持以下可选组件,则将需要其他证书:
网络负载平衡管理点或网络负载平衡软件更新点。
基于 Internet 的客户端管理的代理服务器。
操作系统部署功能
移动设备
以下各节提供了有关这些附加组件所需证书的信息。
网络负载平衡管理点或网络负载平衡软件更新点
如果站点支持网络负载平衡管理点或网络负载平衡软件更新点,则存在其他证书要求,如下表所示。
| Configuration Manager 组件 | 证书使用 | 要使用的 Microsoft 证书模板 | 证书中的特定信息 | 如何在 Configuration Manager 中使用证书 |
|---|---|---|---|---|
管理点或软件更新点的网络负载平衡 (NLB) 群集 |
服务器身份验证 |
Web 服务器 |
|
此证书用于向客户端对网络负载平衡管理点或网络负载平衡软件更新点进行身份验证,以及使用 SSL 对在客户端和这些服务器之间传输的所有数据进行加密。 |
基于 Internet 的客户端管理的代理 Web 服务器。
如果站点支持基于 Internet 的客户端管理,且将代理 Web 服务器与 SSL 终端(桥接)配合使用来处理传入 Internet 连接,则代理 Web 服务器具有下表列示的证书要求。
备注
如果您使用代理 Web 服务器但不使用 SSL 终端(隧道),则代理 Web 服务器不需要其他证书。
有关使用代理 Web 服务器进行基于 Internet 的客户端管理的详细信息,请参阅确定将代理 Web 服务器与基于 Internet 的客户端管理配合使用的要求。
| 网络基础结构组件 | 证书使用 | 要使用的 Microsoft 证书模板 | 证书中的特定信息 | 如何在 Configuration Manager 中使用证书 |
|---|---|---|---|---|
接受通过 Internet 的客户端连接的代理 Web 服务器 |
服务器身份验证和客户端身份验证 |
|
“使用者名称”字段或“使用者备用名称”字段中(如果使用的是 Microsoft 证书模板,“使用者备用名称”只能与工作站模板配合使用)的 Internet FQDN。 |
此证书用于向 Internet 客户端对以下服务器进行身份验证以及使用 SSL 对客户端与此服务器之间传输的所有数据进行加密:
客户端身份验证用于在 Configuration Manager 2007 客户端与基于 Internet 的站点系统之间桥接客户端连接。 |
操作系统部署功能
如果站点支持操作系统部署功能,则除了状态迁移点所需的服务器证书和客户端证书之外,还需要下表列示的证书。
有关与纯模式站点中操作系统部署有关的证书的详细信息,请参阅如何管理纯模式证书和操作系统部署。
| Configuration Manager 组件 | 证书使用 | 要使用的 Microsoft 证书模板 | 证书中的特定信息 | 如何在 Configuration Manager 中使用证书 |
|---|---|---|---|---|
操作系统客户端部署(如果完成部署需要客户端证书的话)。 |
客户端身份验证 |
计算机或工作站 |
“增强型密钥用法”值必须包含“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。 使用者名称中的唯一值。 SHA-1 是唯一受支持的哈希算法。 支持的最大密钥长度为 2048 位。 |
如果操作系统部署过程中的任务序列包括客户端操作(例如客户端策略检索或发送清单信息),则会使用该证书。 必须以公钥证书标准 (PKCS #12) 格式导出客户端证书,并且密码必须已知,以便将其导入到 Configuration Manager 启动映像中或通过 PXE 服务点提供。这些证书仅用于操作系统部署过程期间,不会安装在客户端上。由于这种暂时使用,如果您不想使用多个客户端证书,则可将同一个证书用于每个操作系统部署。 PKCS #12 文件扩展名为 .PFX。 更多信息: |
操作系统部署客户端的根证书颁发机构证书 |
站点服务器的证书和管理点的服务器证书的根证书颁发机构。 |
不适用。 |
标准根证书颁发机构证书。 |
必须提供根证书颁发机构证书,客户端才能与管理点通信以完成操作系统部署。使用操作系统部署功能的、处于纯模式的每个主站点必须使用根 CA 证书配置。但是,辅助站点将自动使用在其主站点上指定的根证书颁发机构证书。 更多信息: |
移动设备
有关移动设备所需证书的详细信息,请参阅关于移动设备客户端的纯模式证书。
证书部署信息
请参阅以下各节,获取有关如何安装 Configuration Manager 2007 纯模式所需的 PKI 证书的指南:
使用以下管理员工作流和清单来指导您完成 Configuration Manager 2007 纯模式所需的 PKI 证书的 PKI 部署步骤:
部署了 PKI 证书且准备好将 Configuration Manager 2007 混合模式站点迁移到纯模式后,使用以下管理员工作流和清单:
另请参阅
任务
如何确定客户端计算机是否已准备好进入纯模式
如何在纯模式下识别客户端证书问题
如何在客户端上启用或禁用证书吊销检查 (CRL)
为 Configuration Manager 站点系统角色配置 DNS
概念
使用纯模式的优势
确定是否可以使用现有 PKI(纯模式)
续订或更改站点服务器签名证书
确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)
确定是否使用 FQDN 服务器名称
确定是否需要使用 IIS 配置证书信任列表 (CTL)(纯模式)
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。