管理员清单:部署纯模式的 PKI 要求
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
下列清单提供在 Configuration Manager 2007 站点可以在纯模式下操作之前部署公钥基础结构 (PKI) 要求所需的步骤。
步骤 | 参考 |
---|---|
确定 PKI 可以支持 Configuration Manager 2007 所需的各种证书。 |
|
确保 Configuration Manager 2007 站点中的下列计算机具有共同的受信任根证书颁发机构和中间证书颁发机构(按需要):
备注 未使用选项“允许客户端使用 BITS、HTTP 和 HTTPS 从此分发点传输内容”配置的分发点以及分支分发点不使用 Internet Information Services (IIS),因此不需要证书。这些站点系统使用服务器消息块 (SMB) 作为数据传输方法,无法使用纯模式通信来保护其安全。 |
|
如果将使用证书吊销列表 (CRL),则将它发布到所有计算机都可以找到的位置。 |
默认情况下,对 Configuration Manager 客户端启用了证书吊销检查,但可以禁用此项检查。有关详细信息,请参阅确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)。 默认情况下,证书吊销检查随 IIS 启用,且无法在 Configuration Manager 中禁用。确保纯模式站点系统可以连接到在它们的站点系统证书中列出的 CRL 分发点。 备注 有关 CRL 分发点 (CDP) 的详细信息,请参阅下列关于配置 CDP 和 AIA 扩展的 Windows PKI 信息:https://go.microsoft.com/fwlink/?LinkId=103608(页面可能为英文)。 |
将站点服务器签名证书部署到站点服务器,并确定客户端如何检索它。 |
|
将 Web 服务器证书部署到下列站点系统,然后使用该证书配置 IIS:
|
|
可选但是推荐:在具有已部署 Web 服务器证书的站点系统上,在 IIS 中创建或修改证书信任列表 (CTL) 以包含客户端使用的根证书颁发机构。 |
|
将客户端证书部署到客户端和管理点。 |
|
如果具有移动客户端设备,则部署客户端设备证书。 |
|
如果使用操作系统部署功能,请执行下列任务:
|
另请参阅
任务
如何使用站点服务器签名证书配置站点服务器
如何将站点模式从混合模式迁移到纯模式
概念
管理员清单:将站点迁移到纯模式
管理员工作流:部署纯模式的 PKI 要求
纯模式的先决条件
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。