确定是否需要使用 IIS 配置证书信任列表 (CTL)（纯模式）

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

证书信任列表 (CTL) 是定义的受信任的根证书颁发机构列表。当与组策略和 PKI 部署一起使用时，CTL 允许您补充在网络上配置的现有受信任的根证书颁发机构，如随 Microsoft Windows 自动安装的或通过 Windows 企业根证书颁发机构添加的受信任的根证书颁发机构。但是，在 Internet Information Services (IIS) 中配置 CTL 时，CTL 将定义这些受信任的根证书颁发机构的子集。

此子集为管理员提供更多安全控制权，因为 CTL 将可接受的客户端证书仅限于从 CTL 中的证书颁发机构列表颁发的客户端证书。例如，Windows 附带许多已知的第三方证书颁发机构证书，如 VeriSign 和 Thawte。默认情况下，运行 IIS 的计算机信任链接到这些已知证书颁发机构的证书。如果未与 CTL 一起配置 IIS，将接受具有这些证书颁发机构颁发的客户端证书的任何计算机作为有效的 Configuration Manager 客户端。如果与未包括这些证书颁发机构的 IIS 一起配置 CTL，当证书链接到这些证书颁发机构时，客户端连接将被拒绝。但是，为使 Configuration Manager 客户端在纯模式站点中被接受，您必须与指定 Configuration Manager 客户端使用的证书颁发机构的 CTL 一起配置 IIS。

IIS 中的 CTL 被定义为网站属性，因此您必须对 Configuration Manager 2007 纯模式站点中配置为进行安全套接字层 (SSL) 通信的每个站点服务器配置 CTL；不能使用组策略来配置和维护。使用 SSL 通信的站点系统角色包括：

• 管理点：

  • 默认管理点

  • 网络负载平衡管理点

  • 代理管理点

  • 基于 Internet 的管理点

• 不是分支分发点或使用站点系统共享的分发点

• 软件更新点

• 状态迁移点

要在纯模式中对 Configuration Manager 2007 使用 CTL，请在使用纯模式证书配置网站（默认网站或名为 SMSWeb 的自定义网站）之后编辑网站的属性。使用证书信任列表向导来创建或编辑 CTL，然后指定客户端在机本模式站点中使用的根证书颁发机构。有关在 IIS 6.0 中创建和编辑 CTL 的详细信息，请参阅有关 CTL 的 IIS 6.0 文档 (https://go.microsoft.com/fwlink/?LinkId=80247)（页面可能为英文）。

建议（但不要求）对 Configuration Manager 2007 纯模式在 IIS 中使用 CTL，因为这样可比显式地定义 Configuration Manager 客户端使用哪些证书颁发机构提供更高级别的安全。

在 IIS 和 Configuration Manager 2007 纯模式中使用 CTL 具有下列优点：

• 这是一种更安全的解决方案，因为 Configuration Manager 只信任 CTL 中指定的受信任的根证书颁发机构，而不是网络上使用的所有受信任的根证书颁发机构，包括 Windows 中默认安装的证书颁发机构。

在 IIS 和 Configuration Manager 2007 纯模式中使用 CTL 具有下列缺点：

• 此配置在 IIS 上为通过 SSL 与 Configuration Manager 客户端通信的每个 Configuration Manager 站点系统服务器创建和维护 CTL，需要额外的管理开销。

• 未能正确配置和维护 CTL 可能导致客户端不受管理。

另请参阅

概念

管理员清单：部署纯模式的 PKI 要求
使用纯模式的优势
Configuration Manager 自定义网站概述
确定是否需要在客户端上启用证书吊销检查 (CRL)（纯模式）

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。