将中间证书颁发机构证书部署到 Configuration Manager 计算机
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
中间证书颁发机构 (CA) 是根 CA 以下一个或多个级别的从属 CA,通常向公钥基础结构 (PKI) 层次结构中的其他 CA 颁发证书。另一种类型的从属 CA 是颁发 CA。要在 Configuration Manager 2007 站点中成功进行纯模式通信,用于身份验证、加密和签名的 PKI 证书必须成功链接到受信任的根。证书链接是 Microsoft Windows 操作系统的本机流程,涉及收集直到根 CA 的所有从属 CA 以及验证路径中的每个证书。如果无法找到链中的某个证书或该证书无效(例如,已过期),则整个链都将被视为无效,Configuration Manager 2007 通信将失败。
Windows 计算机和一些设备自动配置为使用一些已知的第三方中间 CA。但是,如果使用第三方 PKI 解决方案,最好的做法是使用中间 CA 证书链安装计算机和服务器证书。如果颁发的证书的“颁发机构信息访问 (AIA)”字段中包含中间 CA 的 URL,使用该证书的应用程序允许此行为,并且客户端对该中间 CA 具有网络访问权限,则可以在证书链接过程中动态地下载中间 CA。
在 Configuration Manager 2007 纯模式下,如果本地计算机存储中尚不存在中间 CA 的证书,客户端可以根据需要动态地下载这些证书。但是,Configuration Manager 2007 站点系统不会动态地下载中间 CA 证书。
如果使用 Microsoft Enterprise 从属 CA,则不必在站点系统上安装中间 CA 证书,因为这些证书 使用 Active Directory 域服务在整个林中自动复制。但是,如果使用第三方 PKI 解决方案,请确保使用服务器证书安装证书链。
检查 PKI 文档中的部署选项以对需要中间 CA 证书的 Configuration Manager 2007 计算机安装这些证书。
另请参阅
概念
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。