关于纯模式证书和操作系统部署
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
当您使用 Configuration Manager 2007 部署纯模式下的操作系统时,如果用作操作系统部署过程一部分的任务序列与纯模式站点的管理点通信,您需要包括公钥基础结构 (PKI) 证书。如果没有此证书,对管理点的身份验证以及操作系统部署都将失败。
此外,对于受管理点信任的证书,还必须为站点配置证书的根证书颁发机构。有关为站点配置根证书颁发机构的详细信息,请参阅如何为操作系统部署客户端指定根证书颁发机构证书。
与操作系统部署一起使用的证书要求客户端身份验证功能,并且,该证书不会作为操作系统部署的一部分安装在客户端上。仅暂时使用它完成任务序列。对于操作系统部署后,在纯模式站点中管理的客户端,您必须为客户端独立设置其纯模式客户端证书。有关如何为客户端设置其纯模式客户端证书的详细信息,请参阅将客户端计算机证书部署到客户端和管理点。
有关用于 Configuration Manager 2007 纯模式的所有证书的详细信息,请参阅纯模式的证书要求。
如果您使用的是媒体启动的操作系统部署,请将操作系统部署证书指定为启动媒体的一部分,如果您使用的是 PXE 启动的操作系统部署,则请配置 PXE 服务点以使用此证书。通过导入公钥证书标准 (PKCS #12) 文件并提供创建文件时选择的密码来指定证书。PKCS #12 文件扩展名为 .PFX。
如果您需要有关如何准备 PKCS #12 证书文件的指南,请参阅如何导出用于操作系统部署的证书。
防止他人未经授权使用操作系统部署证书
要防止他人未经授权使用此证书访问 Configuration Manager 站点,请为媒体启动的操作系统部署分配一个密码。您还可以配置将分配到媒体的到期日期,超过此日期时,媒体将不再有效。
如果 PKI 部署正在使用证书吊销列表 (CRL),证书颁发机构管理员还可以吊销证书,这是已知证书受到威胁的情况下的另一种保护方法。默认情况下,在管理点上启用证书吊销检查。
当站点处于纯模式或混合模式时,如果怀疑证书已泄漏,您还可以阻止已为操作系统部署导入的客户端证书。有关详细信息,请参阅确定是否需要阻止 Configuration Manager 客户端和如何阻止 Configuration Manager 客户端。
另请参阅
概念
Configuration Manager 站点模式
使用纯模式的优势
纯模式的证书要求
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。