AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构

应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

此分步示例包含一些过程,指导您完成创建和部署 Configuration Manager 2007 SP1 以及更高版本中进行带外管理和 AMT 所需的公钥基础结构 (PKI) 证书的过程。有关 Configuration Manager 中带外管理的详细信息,请参阅带外管理概述

备注

本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。

本示例中的过程使用 Microsoft 证书服务,以及带企业证书颁发机构 (CA) 和证书模板的 Windows Server 2003 Enterprise Edition。这些步骤仅适用于网络测试,作为对概念的验证。

由于部署所需的证书不止有一种方法,您将需要参考特定 PKI 部署文档,获取为特定生产环境部署所需证书必需的过程和最佳方案。有关 AMT 和带外管理的证书要求的详细信息,请参阅带外管理的证书要求

重要

在 Configuration Manager 2007 SP1 和更高版本中进行 AMT 设置要求 Microsoft 证书服务使用企业 CA 和证书模板。有关证书部署要求和用法的详细信息,请参阅关于带外管理的证书

本节内容

本示例的以下几节涵盖创建和部署 Configuration Manager 2007 SP1 和更高版本站点带外管理计算机所需的证书:

测试网络要求

概述

为站点系统服务器创建 Windows 安全组

申请、安装和准备 AMT 设置证书

为基于 AMT 的计算机准备 Web 服务器证书

为 802.1X 基于 AMT 的计算机准备客户端身份验证证书

测试网络要求

本示例具有下列要求:

  • 测试网络运行 Microsoft Windows Server 2003 的 Active Directory 域服务并且是作为单个域、单个林安装的。

  • 具有运行 Windows Server 2003 Enterprise Edition Service Pack 2 的域控制器,该域控制器上安装了下列各项:

    • Internet Information Services (IIS).

    • 作为企业根证书颁发机构 (CA) 安装的证书服务。

      备注

      确保在安装证书服务之前安装了 IIS,以便配置 Web 注册。

  • 具有一台安装了 Windows Server 2003(Standard Edition 或 Enterprise Edition)Service Pack 1 并指定作为成员服务器的计算机。

  • 可以使用根域管理员帐户或企业域管理员帐户登录,并在此示例部署中使用此帐户进行所有过程。

概述

在 Configuration Manager 2007 中带外管理计算机之前,必须准备并安装 PKI 证书。本示例提供部署为 AMT 设置计算机以便这些计算机可以进行带外管理所需证书的步骤。有关带外管理配置的详细信息,请参阅配置带外管理

下表列出了带外管理 AMT 计算机所需的 PKI 证书,并描述了如何在 Configuration Manager 2007 SP1 或更高版本站点中使用这些证书。

证书要求 证书描述

AMT 设置证书

此证书用于准备基于 AMT 的计算机,以便由 Configuration Manager 2007 SP1 进行带外管理。

有关 AMT 设置的详细信息,请参阅关于带外管理的 AMT 设置

Web 服务器证书

此证书由主站点服务器代表基于 AMT 的计算机进行申请,然后将其安装在计算机的 AMT 固件中。

安装此证书之后,此证书将使基于 AMT 的计算机验证到带外服务点站点系统服务器和运行带外管理控制台的计算机,并对它们之间使用传输层安全性 (TLS) 传输的所有数据进行加密。

客户端身份验证证书

仅适用于 Configuration Manager 2007 SP2:如果您要带外管理基于 AMT 的计算机,而这些计算机在经过 802.1X 身份验证的有线或无线连接上,则可能需要使用客户端身份验证证书(要求使用 EAP-TLS 身份验证,也可以使用 EAP-TTLS/MSCHAPv2 和 PEAPv0/EAP-MSCHAPv2 身份验证方法)。此证书由主站点服务器代表基于 AMT 的计算机进行申请,然后将其安装在计算机的 AMT 固件中。

安装此证书后,使用此证书对基于 AMT 的计算机到 RADIUS 服务器进行身份验证,以便它可以经过身份验证并授权网络访问。

有关证书的详细信息,请参阅带外管理的证书要求

按照本示例中的步骤实现下列目标:

  • 创建与证书模板配合使用的 Windows 安全组。

  • 申请、安装和准备 AMT 设置证书。

  • 通过在颁发 CA 时设置证书模板来准备 Web 服务器证书。

  • 仅适用于 Configuration Manager 2007 SP2:通过在颁发 CA 时配置证书模板来准备客户端身份验证证书以便用于 802.1X 客户端身份验证。

为站点系统服务器创建 Windows 安全组

使用下列过程为站点系统服务器创建 Windows 安全组。这些安全组将用于帮助确保只有所需的服务器才可以使用 AMT 设置所需的两个证书模板。

为站点系统服务器创建 Windows 安全组

  1. 在域控制器上,依次单击“开始”、“程序”、“管理工具”、“Active Directory 用户和计算机”。

  2. 右键单击该域,单击“新建”,然后单击“组”。

  3. 在“新建对象 – 组”对话框中,输入 ConfigMgr 主站点服务器作为“组名称”,然后单击“确定”。

  4. 在“Active Directory 用户和计算机”中,右键单击刚创建的组,然后单击“属性”。

  5. 单击“成员”选项卡,然后单击“添加”并选择成员服务器。

  6. 单击“确定”,然后再次单击“确定”以关闭组属性对话框。

  7. 重复步骤 2 至步骤 6,此时将组命名为 ConfigMgr 带外服务点

  8. 重新启动成员服务器(如果正在运行)以便它可以选择新的组成员身份。

    备注

    在测试环境中,只添加一个服务器,此服务器将用于主站点服务器和带外服务点。但是,在生产环境中,可能会有多个支持带外管理的主站点,而且可能要在站点服务器之外的不同服务器上安装带外服务点。因此,对两个组分配权限,然后将所有主站点服务器添加到一个组并将所有带外服务点站点系统添加到另一个组是一种很好的方案。

    为这些服务器创建安全组,使您能够分配权限,从而仅这些服务器可以申请这些证书。

申请、安装和准备 AMT 设置证书

此步骤具有下列过程:

  • 根据要求不同,仅使用下列过程之一申请和安装 AMT 设置证书:

    • 从外部证书颁发机构申请和安装 AMT 设置证书

    • 从内部 CA 申请和安装 AMT 设置证书

  • 准备用于带外管理组件的 AMT 设置证书

仅当通过内部根 CA 的证书指纹配置基于 AMT 的计算机时,才从内部 CA 申请设置证书。有关选择外部 CA 和使用内部 CA 的详细信息,请参阅关于带外管理的证书。如果在查找内部根证书指纹时需要帮助,请参阅如何查找用于 AMT 设置的内部根证书的证书指纹

从外部证书颁发机构申请和安装 AMT 设置证书

重要

如有来自颁发 AMT 设置证书公司的备用说明,请在下列过程的步骤中优先使用他们的说明。当颁发公司无法支持 AMT 设置对象标识符时,这一点尤其重要,并且必须使用 Intel(R) Client Setup Certificate 的 OU 属性。还可以在 Intel vPro Expert Center 找到所选外部 CA 的详细说明:Microsoft vPro Manageability 网站 (https://go.microsoft.com/fwlink/?LinkId=132001)(页面可能为英文)。

从外部 CA 申请和安装 AMT 设置证书的步骤

  1. 在运行 Windows Server 2003 控制台的域控制器上,依次单击“开始”、“程序”、“管理工具”和“证书颁发机构”。

  2. 展开 CA 的名称,然后单击“证书模板”。

  3. 右键单击“证书模板”,然后单击“管理”以加载证书模板管理控制台。

  4. 在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。

  5. 在“新模板的属性”对话框中的“常规”选项卡上,输入 AMT 设置证书模板的模板名称,例如ConfigMgr AMT 设置

  6. 单击“请求处理”选项卡,然后选择“允许导出私钥”。

  7. 单击“扩展”选项卡,确保选择“应用程序策略”,然后单击“编辑”。

  8. 在“编辑应用程序策略扩展”对话框中,单击“添加”。

  9. 在“添加应用程序策略”对话框中,单击“新建”。

  10. 在“新建应用程序策略”对话框中,在“名称”字段键入 AMT 设置,然后为“对象标识符”键入下列数字:2.16.840.1.113741.1.2.3.

  11. 单击“确定”,然后单击“添加应用程序策略”对话框中的“确定”。

  12. 单击“编辑应用程序策略扩展”对话框中的“确定”。

  13. 现在,在“新模板的属性”对话框中,您会看到如“应用程序策略”描述中所列的下列内容:“服务器身份验证”和“AMT 设置”。

  14. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  15. 单击“添加”,在文本框中输入ConfigMgr 带外服务点,然后单击“确定”。

  16. 对此组选择下列“允许”权限:“读取”和“注册”。

  17. 单击“确定”并关闭证书模板管理员控制台 certtmpl – [证书模板]

  18. 在“证书颁发机构”中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  19. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr AMT 设置”,然后单击“确定”。

    备注

    如果不能完成步骤 18 或 19,请检查您是否正在使用 Windows Server 2003 Enterprise Edition。虽然可以使用 Windows Server Standard Edition 和证书服务配置模板,但是只有使用 Windows Server 2003 Enterprise Edition 时才能使用修改的证书模板部署证书。

  20. 不要关闭“证书颁发机构”。

  21. 在成员服务器上,使用地址 http://*<服务器>/*certsrv 加载 Internet Explorer 并连接至 Web 注册服务,其中 <服务器> 是企业 CA 的名称或 IP 地址。

  22. 在“欢迎”页面上,选择“申请一个证书”。

  23. 在“申请一个证书”页面上,选择“高级证书申请”。

  24. 在“高级证书申请”页面上,选择“创建并向此 CA 提交一个申请”。

  25. 在“高级证书申请”页面上,指定下列内容:

    1. 为“证书模板”选择“ConfigMgr AMT 设置”。

      备注

      如果看不到此证书模板,请检查您在先前的过程中配置安全组后是否重新启动了成员服务器(如果它正在运行)。

    2. 在“名称”字段中键入完全限定的带外服务点域名称 (FQDN)。

    3. 在“电子邮件”字段中键入公司的联系人电子邮件地址。

    4. 在“公司”字段中键入公司名称。

    5. 在“部门”字段中键入公司部门的名称。

    6. 在“城市”字段中键入公司所在的城市名。

    7. 在“州”字段中键入公司所在的州(全名或缩写)。

    8. 在“国家/地区”字段中键入公司所在的国家代码和地区。

    9. 在“密钥选项”部分之下,启用“将证书保存在本地计算机存储中”。

    10. 在“其他选项”之下,单击“PKC10”,单击“将请求保存到文件”,然后键入脱机证书请求文件的完整路径和名称,例如 C:\certreq_amt_<服务器名称>.txt,其中 <服务器名称> 是带外服务点的主机名。

    11. 为“友好名称”,键入选择的名称,例如“<FQDN> 的 ConfigMgr AMT 设置证书”,其中 <FQDN> 是带外服务点的完全限定的名称。

  26. 单击“保存”。

  27. 当“潜在的脚本冲突”对话框中出现提示时,单击“是”。

  28. 当“证书注册”对话框中出现提示时,单击“是”。

  29. 单击“确定”确认请求已保存到文件。

  30. 退出 Internet Explorer。

  31. 使用提供的任意说明,将文件发送到外部证书颁发机构 (CA)。

  32. 当从 CA 收到 AMT 设置证书时,可能是电子邮件格式。复制文本并将其粘贴到记事本,用 .p7b 扩展名保存文件。确保可以从成员服务器访问文件。

  33. 在成员服务器上,依次单击“开始”、“运行”,在“运行”对话框中键入 MMC,然后单击“确定”。

  34. 在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。

  35. 在“添加/删除管理单元”对话框中,单击“添加”。

  36. 从“可用的管理单元”中选择“证书”,然后单击“添加”。

  37. 在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。

  38. 在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。

  39. 在“添加独立管理单元”对话框中,单击“关闭”。

  40. 在“添加/删除管理单元”对话框中,单击“确定”。

  41. 在控制台中,展开“证书(本地计算机)”。

  42. 展开“个人”,然后右键单击“证书”。

  43. 单击“所有任务”,然后单击“导入”。

  44. 在“欢迎使用证书导入向导”页面中,单击“下一步”。

  45. 在“要导入的文件”页面上,单击“浏览”导航到扩展名为 .p7b 的已保存文件,然后单击“下一步”。

  46. 选择“将所有证书放入下列存储”,然后单击“下一步”,然后单击“完成”。

  47. 按 F5 刷新,现在您会看到设置证书显示。

  48. 不要关闭“证书(本地计算机)”。

来自外部证书颁发机构的 AMT 设置证书现已安装,并且准备用于带外管理组件。

从内部 CA 申请和安装 AMT 设置证书

从内部 CA 申请和安装 AMT 设置证书的步骤

  1. 在运行 Windows Server 2003 控制台的域控制器上,依次单击“开始”、“程序”、“管理工具”和“证书颁发机构”。

  2. 展开 CA 的名称,然后单击“证书模板”。

  3. 右键单击“证书模板”,然后单击“管理”以加载“证书模板”管理控制台。

  4. 在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。

  5. 在“新模板的属性”对话框中的“常规”选项卡上,输入 AMT 设置证书模板的模板名称,例如 ConfigMgr AMT 设置

  6. 单击“请求处理”选项卡,然后选择“允许导出私钥”。

  7. 单击“使用者名称”选项卡,选择“用 Active Directory 中的信息生成”,然后选择“公用名”。

  8. 单击“扩展”选项卡,确保选择“应用程序策略”,然后单击“编辑”。

  9. 在“编辑应用程序策略扩展”对话框中,单击“添加”。

  10. 在“添加应用程序策略”对话框中,单击“新建”。

  11. 在“新建应用程序策略”对话框中,在“名称”字段键入 AMT 设置,然后为“对象标识符”键入下列数字:2.16.840.1.113741.1.2.3.

  12. 单击“确定”,然后单击“添加应用程序策略”对话框中的“确定”。

  13. 单击“编辑应用程序策略扩展”对话框中的“确定”。

  14. 现在,在“新模板的属性”对话框中,您会看到如“应用程序策略”描述中所列的下列内容:“服务器身份验证”和“AMT 设置”。

  15. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  16. 单击“添加”,在文本框中输入 ConfigMgr 带外服务点,然后单击“确定”。

  17. 对此组选择下列“允许”权限:“读取”和“注册”。

  18. 单击“确定”并关闭“证书模板”管理员控制台 certtmpl – [证书模板]

  19. 在“证书颁发机构”中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  20. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr AMT 设置”,然后单击“确定”。

    备注

    如果不能完成步骤 19 或 20,请检查您是否正在使用 Windows Server 2003 Enterprise Edition。虽然可以使用 Windows Server Standard Edition 和证书服务配置模板,但是只有使用 Windows Server 2003 Enterprise Edition 时才能使用修改的证书模板部署证书。

  21. 不要关闭“证书颁发机构”。

  22. 在成员服务器上,单击“开始”,单击“运行”,然后键入 mmc.exe。在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。

  23. 在“添加/删除管理单元”对话框中,单击“添加”,再单击“证书”,然后单击“添加”。

  24. 在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。

  25. 在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。

  26. 在“添加独立管理单元”对话框中,单击“关闭”。

  27. 在“添加/删除管理单元”对话框中,单击“确定”。

  28. 在现在显示“证书(本地计算机)”的控制台中,展开“证书(本地计算机)”,然后单击“个人”。

  29. 右键单击“证书”,单击“所有任务”,然后单击“申请新证书”。

  30. 在“欢迎使用证书申请向导”页面上,单击“下一步”。

  31. 在“证书类型”页面上,从显示的证书列表中选择“ConfigMgr AMT 设置”,然后单击“下一步”。

    备注

    如果看不到此证书模板,请检查您在先前的过程中配置安全组后是否重新启动了成员服务器(如果它正在运行)。

  32. 在“证书的好记的名称和描述”页面上,选择性地输入友好名称和描述以帮助您识别此证书,然后单击“下一步”。

  33. 在“正在完成证书申请向导”页面上,单击“完成”。

  34. 您应该看到“证书申请向导”对话框,通知您证书申请成功。单击“确定”。

  35. 现在您应看到设置证书显示。

  36. 不要关闭“证书(本地计算机)”。

来自内部证书颁发机构的 AMT 设置证书现已安装,并且准备用于带外管理组件。

准备用于带外管理组件的 AMT 设置证书

准备用于带外管理组件的 AMT 设置证书

  1. 在成员服务器上运行的“证书(本地计算机)”中,右键单击设置证书,单击“所有任务”,然后单击“导出”。

  2. 在证书导出向导中,单击“下一步”。

  3. 在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。

  4. 在“导出文件格式”页面上,确保选择“个人信息交换 - PKCS #12 (.PFX)”,然后选择“如果可能,在证书路径中包括所有证书”。

  5. 在“密码”页面上,指定一个强密码来保护导出的证书及其私钥,然后单击“下一步”。

  6. 单击“下一步”,在“要导出的文件”页面上,指定您要导出的文件路径和名称,然后单击“下一步”。

  7. 单击“完成证书导出向导”页面中的“完成”,然后单击“证书导出向导”对话框中的“确定”。

  8. 安全地存储文件,确保您可以从 Configuration Manager 控制台访问该文件。

现在即准备为带外管理组件配置 AMT 设置证书。有关详细信息,请参阅如何配置 AMT 设置

为基于 AMT 的计算机准备 Web 服务器证书

使用以下过程为基于 AMT 的计算机准备 Web 服务器证书。

在 CA 上创建和颁发 Web 服务器证书模板的步骤

  1. 在运行“证书颁发机构”管理控制台的域控制器上,右键单击“证书模板”,然后单击“管理”以加载“证书模板”管理控制台。

  2. 在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。

  3. 在“新模板的属性”对话框的“常规”选项卡上,输入模板名称以生成将用于 AMT 计算机上带外管理的 Web 证书,如 ConfigMgr AMT Web 服务器证书

  4. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  5. 单击“添加”,在文本框中输入 ConfigMgr 主站点服务器,然后单击“确定”。

  6. 对此组选择下列“允许”权限:“读取”、“注册”和“自动注册”。

  7. 单击“确定”,并关闭“证书模板”管理控制台 certtmpl – [证书模板]

  8. 在“证书颁发机构”管理控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  9. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr AMT Web 服务器证书”,然后单击“确定”。

  10. 关闭“证书颁发机构”。

现在,AMT Web 服务器证书模板准备通过 Web 服务器证书来设置 AMT 计算机。

为 802.1X 基于 AMT 的计算机准备客户端身份验证证书

仅适用于 Configuration Manager 2007 SP2:如果您要对经过 802.1X 身份验证的有线或无线网络使用客户端证书,请使用以下过程为基于 AMT 的计算机准备客户端身份验证证书。

在 CA 上创建和颁发客户端身份验证证书模板的步骤

  1. 在运行“证书颁发机构”管理控制台的域控制器上,右键单击“证书模板”,然后单击“管理”以加载“证书模板”管理控制台。

  2. 在结果窗格中,右键单击在“模板显示名称”列中显示“工作站身份验证”的条目,然后单击“复制模板”。

  3. 在“新模板的属性”对话框的“常规”选项卡上,输入模板名称以生成将用于 AMT 计算机上带外管理的客户端证书,如 ConfigMgr AMT 802.1X 客户端身份验证证书

  4. 单击“使用者名称”选项卡,然后单击“在请求中提供”。

  5. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  6. 单击“添加”,在文本框中输入 ConfigMgr 主站点服务器,然后单击“确定”。

  7. 对此组选择下列“允许”权限:“读取”和“注册”。

  8. 单击“确定”,并关闭“证书模板”管理控制台 certtmpl – [证书模板]

  9. 在“证书颁发机构”管理控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  10. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr AMT 802.1X 客户端身份验证证书”,然后单击“确定”。

  11. 关闭“证书颁发机构”。

客户端身份验证证书模板现在已准备好向基于 AMT 的计算机颁发用于 802.1X 客户端身份验证的证书。

另请参阅

任务

如何针对 AMT 设置计算机

概念

关于带外管理的 AMT 设置

其他资源

配置带外管理
Configuration Manager 2007 SP1 和更高版本中的带外管理

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。