带外管理的证书要求
应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
本主题中的 Configuration Manager 2007 SP1 和更高版本的带外管理证书信息假定读者具有 PKI 证书的基础知识。有关 Microsoft PKI 解决方案的详细信息,请参阅下列参考资料:
Windows Server 2008 中的 Active Directory 证书服务:https://go.microsoft.com/fwlink/?LinkId=115018(页面可能为英文)
Windows Server 2003 中的证书服务:https://go.microsoft.com/fwlink/?LinkId=78389(页面可能为英文)
备注
本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。
此 PKI 解决方案要求 Microsoft 证书服务使用由企业证书颁发机构颁发的证书模板。基于模板的证书只能由在 Windows Server 2003 或 Windows Server 2008 的 Enterprise Edition 或 Datacenter Edition 上运行的企业证书颁发机构颁发。但是,请勿使用版本 3 模板(“Windows Server 2008,Enterprise Edition”)。这些证书模板会创建与 Configuration Manager 不兼容的证书。有关证书部署和使用的详细信息,请参阅关于带外管理的证书。
有关分步部署这些证书的示例,请参阅以下内容:
重要
要在 Configuration Manager 2007 SP1 或更高版本的站点中使用带外管理,必须已完成前面引用的主题中所述的证书步骤。
带外管理必需的证书
下表列出了在 Configuration Manager 2007 SP1 或更高版本中使用带外管理所需的公钥基础结构 (PKI) 证书。
| Configuration Manager 组件 | 证书使用 | 要使用的 Microsoft 证书模板 | 证书中的特定信息 | 如何在 Configuration Manager 中使用证书 |
|---|---|---|---|---|
带外服务点 |
AMT 设置 |
Web 服务器(已修改) 宿主带外服务点站点系统角色的服务器要求对此证书模板具有读取或注册Windows 安全权限。 |
“增强型密钥用法”值必须包含“服务器身份验证 (1.3.6.1.5.5.7.3.1)”及下列对象标识符:2.16.840.1.113741.1.2.3. 使用者名称字段必须包含宿主带外服务点的服务器的完全限定域名 (FQDN)。 备注 如果您从外部证书颁发机构而不是从您自己的内部证书颁发机构申请 AMT 设置证书,并且该证书不支持 AMT 设置对象标识符 2.16.840.1.113741.1.2.3,您可以另行指定以下文本字符串,作为证书使用者名称中的 OU 属性:Intel(R) Client Setup Certificate。使用此英文形式的精确文本字符串须满足:在相同情况下,无结尾句点,除宿主带外服务点的服务器的 FQDN 以外。 SHA-1 是唯一受支持的哈希算法。 支持的密钥长度:1024、1536 和 2048 位。 |
此证书驻留在带外服务点站点系统服务器的计算机证书存储中的 Windows 个人存储中。 此 AMT 设置证书用来准备计算机以进行带外管理。此证书在带外管理组件中配置,然后自动安装在带外服务点站点系统服务器上。 您必须从提供 AMT 设置证书的证书颁发机构申请此证书,且必须使用此设置证书的根证书指纹(也称证书哈希)来配置基于 AMT 的计算机的 BIOS 扩展。 VeriSign 是提供 AMT 设置证书的外部证书颁发机构的典型示例,但您也可以使用自己的内部证书颁发机构。 宿主带外服务点的服务器必须能够成功链接到证书的根证书颁发机构。(VeriSign 的根证书颁发机构证书和中间证书颁发机构证书随 Windows 默认安装。) |
基于 AMT 的计算机 |
服务器身份验证 |
Web 服务器 宿主主站点服务器站点系统角色的服务器要求对此证书模板具有读取或注册Windows 安全权限。 |
“增强型密钥用法”值必须包含“服务器身份验证 (1.3.6.1.5.5.7.3.1)”。 使用者名称字段必须包含基于 AMT 的计算机的 FQDN。此值由站点服务器自动提供,因此证书模板必须配置为具有“在请求中提供”的使用者值。 SHA-1 是唯一受支持的哈希算法。 支持的最大密钥长度:2048 位。 |
此证书驻留在计算机管理控制器的稳定随机存取内存中,不在 Windows 中显示。 主站点服务器会对它所设置的每台基于 AMT 的计算机申请此证书。如果对基于 AMT 的计算机删除 AMT 设置信息,主站点服务器也会吊销它颁发的证书。 此解决方案要求具有自动批准来自主站点服务器的证书申请的 Microsoft 企业证书颁发机构,并且该证书颁发机构配置为对主站点服务器具有“颁发和管理证书”的权限。站点服务器的计算机帐户必须具有从证书颁发机构申请证书的 DCOM 权限。请确保站点服务器计算机是证书颁发机构所在的域中安全组 Certificate Service DCOM Access(对于 Windows Server 2008)或 CERTSVC_DCOM_ACCESS(对于 Windows Server 2003 SP1 和更高版本)的成员。 重要 当在基于 AMT 的计算机上安装此证书时,也会安装与根证书颁发机构的证书链。基于 AMT 的计算机不能支持密钥长度大于 2048 位的证书颁发机构证书。 在基于 AMT 的计算机上安装证书后,此证书将使基于 AMT 的计算机验证到带外服务点站点系统服务器和运行带外管理控制台的计算机,并对它们之间使用传输层安全性 (TLS) 传输的所有数据进行加密。 |
仅适用于 Configuration Manager SP2 的附加证书
如果要对 802.1X 经过身份验证的有线网络或无线网络使用客户端证书以支持在这些网络上进行带外管理,则需要下表中列出的附加 PKI 证书。
| Configuration Manager 组件 | 证书使用 | 要使用的 Microsoft 证书模板 | 证书中的特定信息 | 如何在 Configuration Manager 中使用证书 |
|---|---|---|---|---|
基于 AMT 的计算机 |
客户端身份验证 |
工作站身份验证 宿主主站点服务器站点系统角色的服务器要求对此证书模板具有读取或注册Windows 安全权限。 |
“增强型密钥用法”值必须包含“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。 使用者名称字段必须包含基于 AMT 的计算机的 FQDN。此值由站点服务器自动提供,因此证书模板必须配置为具有“在请求中提供”的使用者值。 支持的最大密钥长度:2048 位。 |
此证书驻留在计算机管理控制器的稳定随机存取内存中,不在 Windows 中显示。 主站点服务器会为它所设置并随后更新的每台基于 AMT 的计算机申请此证书。如果对基于 AMT 的计算机删除了 AMT 设置信息,主站点服务器也不会吊销此证书。 此解决方案要求具有自动批准来自主站点服务器的证书申请的 Microsoft 企业证书颁发机构,并且该证书颁发机构配置为对主站点服务器具有“颁发和管理证书”的权限。站点服务器的计算机帐户必须具有从证书颁发机构申请证书的 DCOM 权限。请确保站点服务器计算机是证书颁发机构所在的域中安全组 Certificate Service DCOM Access(对于 Windows Server 2008)或 CERTSVC_DCOM_ACCESS(对于 Windows Server 2003 SP1 和更高版本)的成员。 在基于 AMT 的计算机上安装证书后,此证书会向 RADIUS 服务器验证该基于 AMT 的计算机的身份,以便该计算机随后可被授予网络访问权限。 |
另请参阅
任务
概念
关于带外管理的 AMT 设置
关于带外管理的证书
带外管理概述
AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。