通过

Configuration Manager 纯模式所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

此分步示例部署使用 Windows Server 2003 证书颁发机构 (CA),提供一些过程以指导您完成创建和部署 Configuration Manager 2007 在纯模式下操作所需的公钥基础结构 (PKI) 证书的过程。纯模式为 Configuration Manager 2007 站点提供最高级别的安全性,是基于 Internet 的客户端管理必需的。有关 Configuration Manager 中纯模式的详细信息,请参阅使用纯模式的优势

本示例中的过程以 Microsoft PKI 解决方案作为参考,使用企业证书颁发机构 (CA) 和证书模板。这些步骤仅适用于网络测试,作为对概念的验证。

由于部署所需的证书不止有一种方法,您将需要参考特定 PKI 部署文档,获取为特定生产环境部署所需证书必需的过程和最佳方案。有关可能的部署方法的详细信息,请参阅部署纯模式所需的 PKI 证书

备注

建议使用 Microsoft PKI 解决方案来支持 Configuration Manager 2007,但不要求使用。Configuration Manager 2007 使用标准的 PKI 证书,支持 x.509 证书格式版本 3。如果现有的 PKI 部署能够创建、部署和管理 Configuration Manager 2007 纯模式所需的证书,您可以使用现有的 PKI 基础结构。请参阅 PKI 文档,获取有关部署的详细信息。

本节内容

本示例包含下列章节,涵盖创建和部署 Configuration Manager 2007 站点在 Intranet 连接的纯模式下操作所需的基本证书:

测试网络要求

概述

部署站点服务器签名证书

部署 Web 服务器证书

部署客户端证书

测试网络要求

本示例具有下列要求:

  • 测试网络运行 Microsoft Windows Server 2003 的 Active Directory 域服务并且是作为单个域、单个林安装的。

  • 具有运行 Windows Server 2003 Enterprise Edition Service Pack 1 的域控制器,该域控制器上安装了下列各项:

    • 组策略管理控制台

    • Internet Information Services (IIS)

    • 作为企业根证书颁发机构 (CA) 安装的证书服务

    备注

    确保在安装证书服务之前安装了 IIS,以便配置 Web 注册。

  • 具有一台安装了 Windows Server 2003(Standard Edition 或 Enterprise Edition)Service Pack 1 并指定为成员服务器的计算机,并在该计算机上安装了 Internet Information Services (IIS)。

  • 具有一个安装了最新 Service Pack 的 Windows Professional XP 客户端,并且此计算机配置了由 ASCII 字符组成的计算机名称并加入到域。

  • 您可以使用根域管理员帐户或企业域管理员帐户登录,然后使用此帐户来完成本示例部署中的所有过程。

备注

组策略管理控制台 (GPMC) 是在 Active Directory 域服务中管理组策略的推荐附加产品。有关 GPMC 的详细信息以及下载最新版本,请参阅有关借助组策略管理控制台实现的企业级管理的网页 (https://go.microsoft.com/fwlink/?LinkId=79386)(页面可能为英文)。

概述

在纯模式下安装 Configuration Manager 2007 之前,必须先安装 PKI 证书。本示例不包括安装和配置 Configuration Manager 2007 的内容,但是提供有关使用计算机在 Configuration Manager 2007 纯模式下操作所需的证书对这些计算机进行设置的步骤。

下表列出了所需的三种 PKI 证书类型,并描述在纯模式 Configuration Manager 2007 站点中如何使用这些证书:

证书要求 证书描述

站点服务器签名证书

此证书安装在将成为 Configuration Manager 2007 站点服务器的服务器上。它用于对客户端策略签名。

Web 服务器证书

此证书安装在将成为 Configuration Manager 2007 站点系统的服务器上,角色为管理点和分发点等。它用于对数据进行加密以及对客户端验证服务器。

客户端证书

此证书安装在将成为 Configuration Manager 2007 客户端的计算机以及管理点上。它用于对站点系统验证客户端,如果在管理点上,则用于监视服务器的健康。

有关证书的详细信息,请参阅纯模式的证书要求

按照本示例中的步骤实现下列目标:

  • 使用 Configuration Manager 2007 站点服务器签名证书设置成员服务器,以便它可以在纯模式下作为 Configuration Manager 2007 站点服务器运行。

  • 使用 Web 服务器证书设置成员服务器,以便它可以在纯模式下作为 Configuration Manager 2007 站点系统服务器运行,该站点系统服务器可以运行下列任何 Configuration Manager 站点系统角色:管理点、分发点、软件更新点和状态迁移点。

  • 使用客户端证书设置工作站和成员服务器,以便工作站可以作为 Configuration Manager 2007 纯模式客户端运行,以及管理点可以向站点服务器报告其状态。

部署站点服务器签名证书

此步骤有四个过程:

  • 在证书颁发机构创建和颁发站点服务器签名证书模板

  • 为将运行 Configuration Manager 2007 站点服务器的服务器申请站点服务器签名证书

  • 在证书颁发机构批准站点服务器签名证书

  • 在将运行 Configuration Manager 2007 站点服务器的服务器上安装站点服务器签名证书

在证书颁发机构创建和颁发站点服务器签名证书模板

创建和颁发站点服务器签名证书模板

  1. 在运行 Windows Server 2003 控制台的域控制器上,依次单击“开始”、“程序”、“管理工具”和“证书颁发机构”。

  2. 展开证书颁发机构 (CA) 的名称,然后单击“证书模板”。

  3. 右键单击“证书模板”,然后单击“管理”以加载证书模板管理控制台。

  4. 在结果窗格中,右键单击在“模板显示名称”列中显示“计算机”的条目,然后单击“复制模板”。

  5. 在“新模板的属性”对话框的“常规”选项卡上,为站点服务器签名证书模板输入模板名称(如 ConfigMgr 站点服务器签名证书)。

  6. 单击“使用者名称”选项卡,然后单击“在请求中提供”。

  7. 单击“扩展”选项卡,确保选择“应用程序策略”,然后单击“编辑”。

  8. 在“编辑应用程序策略扩展”对话框中,选择“客户端身份验证”,按 Shift 并选择“服务器身份验证”,然后单击“删除”。

  9. 在“编辑应用程序策略扩展”对话框中,单击“添加”。

  10. 在“添加应用程序策略”对话框中,选择“文档签名”作为唯一的应用程序策略,然后单击“确定”。

  11. 在“新模板的属性”对话框中,现在应看到作为应用程序策略的描述列出的以下项:文档签名

  12. 单击“颁发要求”选项卡并选择“CA 证书管理程序批准”。

  13. 单击“确定”并关闭证书模板管理员控制台 certtmpl – [证书模板]

  14. 在“证书颁发机构”中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  15. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr 站点服务器签名证书”,然后单击“确定”。

    备注

    如果不能完成步骤 14 或 15,请检查您是否正在使用 Windows Server 2003 Enterprise Edition。虽然可以使用 Windows Server Standard Edition 和证书服务配置模板,但是只有使用 Windows Server 2003 Enterprise Edition 时才能使用修改的证书模板部署证书。

  16. 不要关闭“证书颁发机构”。

为将运行 Configuration Manager 2007 站点服务器的服务器申请站点服务器签名证书

申请站点服务器签名证书

  1. 在成员服务器上,使用地址 http://*<服务器>/*certsrv 加载 Internet Explorer 并连接至 Web 注册服务,其中 <服务器> 是企业 CA 的名称或 IP 地址。

  2. 在“欢迎”页面上,选择“申请一个证书”。

  3. 在“申请一个证书”页面上,选择“高级证书申请”。

  4. 在“高级证书申请”页面上,选择“创建并向此 CA 提交一个申请”。

  5. 在“高级证书申请”页面上,指定下列内容:

    • 在“证书模板”部分之下,选择“用于证书模板的 ConfigMgr 站点服务器签名证书”。

      备注

      如果看不到此证书模板,请检查您在先前的过程中配置安全组后是否重新启动了成员服务器(如果它正在运行)。

    • 在“用于脱机模板的识别信息”部分的“名称”文本框中,输入下列内容:此站点服务器的站点代码是*<xxx>*,其中 <xxx> 为站点的站点代码。必须使用以英语显示的此精确文本字符串(大小方式相同),并且必须采用其在 Configuration Manager 控制台中所示的大小写方式在字符串的末尾指定站点代码(无结尾逗号或句点)。用词必须完全相同,这一点很重要,因为它组成用于识别站点服务器签名证书的证书使用者名称。

    • 在“密钥选项”部分之下,启用“将证书保存在本地计算机存储中”。

      备注

      如果没有看到此选项显示,则可能表示您安装了 KB 922706 修补程序以支持 Windows Vista 和 Windows Server 2008 的 Web 注册。此修补程序会删除用于将高级证书申请存储在计算机存储区中的选项,因此如果此选项在您的 Web 注册页面上不可用,您必须为站点服务器签名证书使用备用证书部署方法。例如,您可以将证书安装到用户存储区,然后导出并导入到计算机存储区中,也可以使用命令行实用程序 Certreq.exe 申请证书。Certreq.exe 方法在下列主题中使用:Configuration Manager 纯模式所需的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构.

    • 在“其他选项”之下,输入您选择的“友好名称”,如 ConfigMgr 站点服务器证书

  6. 单击“提交”。

  7. 在“证书挂起”页面上,您将看到您的证书申请已被接收,但需要管理员颁发证书。记下显示的“申请 ID”。

  8. 不要退出 Internet Explorer。

在证书颁发机构批准站点服务器签名证书

批准站点服务器签名证书

  1. 在域控制器上的“证书颁发机构”中,单击“挂起的申请”。

  2. 在结果窗格中,您将看到申请的证书,其申请 ID 显示在 Web 注册页面上。

  3. 右键单击申请的证书,单击“所有任务”,然后单击“颁发”。不要关闭“证书颁发机构”。

在将运行 Configuration Manager 2007 站点服务器的服务器上安装站点服务器签名证书

安装站点服务器签名证书

  1. 在成员服务器上的“Microsoft 证书服务”网页上,单击右上方的“主页”以返回“欢迎”页面。

  2. 在“欢迎”页面上,单击“查看挂起的证书申请状态”。

  3. 在“查看挂起的证书申请状态”页面上单击超链接,该超链接显示您为站点服务器签名证书提供的友好名称并在括号中显示申请的日期和时间。

  4. 在“证书已颁发”网页上,单击“安装此证书”。

  5. 如果收到“潜在的脚本冲突”警告消息,则单击“是”。

  6. 最终页面应显示新证书已成功安装。

  7. 关闭 Internet Explorer。

成员服务器现在设置了 Configuration Manager 2007 站点服务器签名证书。

部署 Web 服务器证书

此步骤有四个过程:

  • 为站点系统服务器(管理点、分发点、软件更新点和状态迁移点)创建 Windows 安全组

  • 在证书颁发机构创建和颁发 Web 服务器证书模板

  • 申请 Web 服务器证书

  • 将 IIS 配置为使用 Web 服务器证书

为站点系统服务器(管理点、分发点、软件更新点和状态迁移点)创建 Windows 安全组

为站点系统服务器创建 Windows 安全组

  1. 在域控制器上,依次单击“开始”、“程序”、“管理工具”、“Active Directory 用户和计算机”。

  2. 右键单击该域,单击“新建”,然后单击“组”。

  3. 在“新建对象 – 组”对话框中,输入 ConfigMgr IIS 服务器作为“组名称”,然后单击“确定”。

  4. 在“Active Directory 用户和计算机”中,右键单击刚创建的组,然后单击“属性”。

  5. 单击“成员”选项卡,然后单击“添加”并选择成员服务器。

    备注

    在我们的测试环境中,只添加一台服务器。但是在生产环境中,可能有各种服务器将宿主需要证书的 Configuration Manager 2007 站点系统,如站点的管理点和分发点。因此,对组分配权限,然后添加需要相同证书类型的站点系统是一种很好的方案。为这些服务器创建安全组使您能够分配权限,从而仅这些服务器可以使用这些证书。

  6. 单击“确定”,然后再次单击“确定”以关闭组属性对话框。

  7. 重新启动成员服务器(如果正在运行)以便它可以选择新的组成员身份。

在证书颁发机构创建和颁发 Web 服务器证书模板

在证书颁发机构创建和颁发 Web 服务器证书模板

  1. 在域控制器上,在运行“证书颁发机构”管理控制台的同时右键单击“证书模板”,并单击“管理”以加载“证书模板”管理控制台。

  2. 在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。

  3. 在“新模板的属性”对话框的“常规”选项卡上,输入模板名称以生成将在 Configuration Manager 站点系统中使用的 Web 证书(如ConfigMgr Web 服务器证书)。

  4. 单击“使用者名称”选项卡,选择“用 Active Directory 中的信息生成”,然后对“使用者名称格式”选择以下项之一:

    • 公用名:如果您将对 Configuration Manager 中的站点系统使用完全限定的域名,则选择此选项(对基于 Internet 的客户端管理要求使用,对 Intranet 中的客户端建议使用)。

    • 完全可分辨名称:如果不会在 Configuration Manager 中使用完全限定的域名,则选择此选项。

  5. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  6. 单击“添加”,在文本框中输入 ConfigMgr IIS 服务器,然后单击“确定”。

  7. 对此组选择下列“允许”权限:“读取”、“注册”和“自动注册”。

  8. 单击“确定”,并关闭“证书模板”管理控制台 certtmpl – [证书模板]

  9. 在“证书颁发机构”管理控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  10. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr Web 服务器证书”,然后单击“确定”。

  11. 关闭“证书颁发机构”。

申请 Web 服务器证书

申请 Web 服务器证书

  1. 重新启动成员服务器,确保它可以使用配置的权限访问证书模板。

  2. 依次单击“开始”、“运行”,然后键入 mmc.exe。在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。

  3. 在“添加/删除管理单元”对话框中,单击“添加”,再单击“证书”,然后单击“添加”。

  4. 在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。

  5. 在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。

  6. 在“添加独立管理单元”对话框中,单击“关闭”。

  7. 在“添加/删除管理单元”对话框中,单击“确定”。

  8. 在当前显示“证书(本地计算机)”的控制台中,展开“证书(本地计算机)”,然后展开“个人”。

  9. 右键单击“证书”,单击“所有任务”,然后单击“申请新证书”。

  10. 在“欢迎使用证书申请向导”页面上,单击“下一步”。

  11. 在“证书类型”页面上,从显示的证书列表中选择“ConfigMgr Web 服务器证书”,然后单击“下一步”。

  12. 在“证书的好记的名称和描述”页面上,选择性地输入友好名称和描述以帮助您识别此证书,然后单击“下一步”。

  13. 在“正在完成证书申请向导”页面上,单击“完成”。

  14. 您应该看到“证书申请向导”对话框,通知您证书申请成功。

  15. 关闭“证书(本地计算机)”。

将 IIS 配置为使用 Web 服务器证书

将 IIS 配置为使用 Web 服务器证书

  1. 在成员服务器上依次单击“开始”、“程序”、“管理工具”,然后单击“Internet 信息服务 (IIS) 管理器”。

  2. 展开“网站”,右键单击“默认网站”,然后选择“属性”。

  3. 单击“目录安全性”选项卡,然后单击“服务器证书”。

  4. 在“欢迎使用 Web 服务器证书向导”页面上,单击“下一步”。

  5. 在“服务器证书”页面上,单击“分配现有证书”并单击“下一步”。

  6. 在“可用证书”页面上,选择刚申请的 Web 服务器证书,通过值为“服务器身份验证”的“预期目的”字段以及您提供的“友好名称”识别它,然后单击“下一步”。

  7. 在“SSL 端口”页面上,接受默认端口号 443,然后单击“下一步”。

  8. 在“证书摘要”页面上,单击“下一步”。

  9. 在“完成 Web 服务器证书向导”页面上,单击“完成”。

  10. 单击“确定”以关闭“默认网站属性”。

  11. 关闭“Internet Information Services (IIS) 管理器”。

成员服务器现在设置有 Configuration Manager 2007 Web 服务器证书。

备注

如果将为软件更新配置该服务器,则需要进行其他 IIS 配置,这些配置必须在安装 WSUS 之后执行。有关详细信息,请参阅如何将 WSUS 网站配置为使用 SSL

部署客户端证书

此步骤有两个过程:

  • 使用组策略配置计算机模板的自动注册

  • 自动注册计算机证书并验证其在计算机上的安装

使用组策略配置计算机模板的自动注册

使用组策略配置计算机模板的自动注册

  1. 在域控制器上,依次单击“开始”、“管理工具”,然后单击“组策略管理”。

  2. 右键单击该域,然后选择“在此处创建一个 GPO 并链接”。

    备注

    此步骤使用为自定义设置创建新的组策略这一最佳方案,而不是编辑随 Active Directory 域服务安装的默认域策略。通过在域级别分配此组策略,您会将它应用到域中的所有计算机。但是在生产环境中,您可以通过在组织单位 (OU) 级别分配组策略来限制自动注册,以便它仅在选择的计算机上注册,或者您也可以使用安全组筛选域组策略,以便它仅应用于组中的计算机。如果限制自动注册,请记住包括配置为管理点的服务器。

  3. 在“新建 GPO”对话框中,为新的组策略输入名称,如自动注册证书,然后单击“确定”。

  4. 在结果窗格的“链接的组策略对象”选项卡上,右键单击新的组策略,然后单击“编辑”。

  5. 在“组策略对象编辑器”中,导航到“计算机配置/Windows 设置/安全设置/公钥策略”。

  6. 右键单击“自动证书申请设置”,单击“新建”,然后单击“自动证书申请”。

  7. 在“欢迎使用自动证书申请设置向导”中,单击“下一步”。

  8. 在“证书模板”页面上,从可用证书模板列表中选择“计算机”,然后单击“下一步”。

  9. 在“正在完成自动证书申请设置向导”页面上,单击“完成”。

  10. 关闭“组策略管理”。

自动注册计算机证书并验证其在计算机上的安装

自动注册计算机证书并验证其在客户端计算机上的安装

  1. 重新启动工作站计算机,并等待几分钟再登录。

    备注

    重新启动计算机是确保证书注册成功最可靠的方法。

  2. 使用具有管理特权的帐户登录。

  3. 依次单击“开始”、“运行”,然后键入 mmc.exe

  4. 在空管理控制台中,单击“文件”,然后单击“添加/删除管理单元”。

  5. 在“添加/删除管理单元”对话框中,单击“添加”,再单击“证书”,然后单击“添加”。

  6. 在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。

  7. 在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。

  8. 在“添加独立管理单元”对话框中,单击“关闭”。

  9. 在“添加/删除管理单元”对话框中,单击“确定”。

  10. 在现在显示“证书(本地计算机)”的控制台中,展开“证书(本地计算机)”,然后单击“个人”。

  11. 在结果窗格中,确认是否显示了在“预期目的”字段中显示“客户端身份验证”以及在“证书模板”字段中显示“计算机”的证书。

  12. 关闭“证书(本地计算机)”。

  13. 对成员服务器重复步骤 1 至 12,以验证将被配置为管理点的服务器是否也具有客户端证书。

工作站和成员服务器现在设置有 Configuration Manager 2007 客户端证书。

另请参阅

任务

如何将站点模式从混合模式迁移到纯模式

概念

管理员清单:部署纯模式的 PKI 要求
管理员工作流:部署纯模式的 PKI 要求
使用纯模式的优势
纯模式的证书要求
基于 Internet 的客户端管理概述
纯模式的先决条件
Configuration Manager 纯模式所需的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。