将受信任的根证书颁发机构部署到 Configuration Manager 计算机
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
根证书颁发机构 (CA) 是最受信任的证书颁发机构,位于公钥基础结构 (PKI) 证书层次结构的顶层。要使 Configuration Manager 2007 站点中的纯模式通信成功,用于身份验证、加密和签名的 PKI 证书必须由受站点中其他计算机和设备信任的根证书颁发机构颁发。
使用证书进行通信的每台计算机和设备都必须有共有根证书。如果 Configuration Manager 2007 层次结构中的所有计算机都使用来自同一证书颁发机构的证书,则只需部署一个受信任的根证书颁发机构。但是不要求使用同一证书颁发机构,因此您可能需要安装多个根 CA。
Microsoft Windows 计算机及一些设备自动使用一些已知第三方根证书配置。但是如果您使用自己的 PKI,则需要安装根证书。达到此目的的方式有多种,包括下列方法:
如果您使用 Microsoft Enterprise 根证书颁发机构,则将使用 Active Directory 域服务在林中的计算机上自动安装根证书。
如果不是使用 Microsoft Enterprise 根证书颁发机构,但希望林中所有计算机都自动信任根证书颁发机构,则可使用组策略或 Certutil 命令在企业信任存储区中发布根证书。
如果不是使用 Microsoft Enterprise 根证书颁发机构,而且只希望林中的计算机组自动信任根证书颁发机构,则可使用组策略将根证书发布到域或组织单位 (OU)。只有应用了组策略的计算机将自动信任根证书颁发机构。将根证书添加到组策略对象“受信任的根证书颁发机构”,该对象位于“计算机配置”容器的“公钥策略”文件夹下。
如果将 Microsoft 证书服务与 Internet Information Services (IIS) 一起使用,则可以通过 Web 注册服务请求并安装根证书。
您可以使用 Microsoft Certreq 命令行实用程序请求和接收证书。
如果证书内启用了导出公钥,您可将证书导出到文件再导入。
如果使用操作系统部署功能,则必须在 Configuration Manager 2007 中指定根 CA 作为站点属性。有关详细信息,请参阅如何为操作系统部署客户端指定根证书颁发机构证书。
另请参阅
概念
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。