关于带外管理的证书
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
此主题提供有关部署和使用带外管理所使用的 Configuration Manager 2007 SP1 和更高版本公钥基础结构 (PKI) 证书的详细信息,包括以下几个方面:
带外管理的证书颁发机构要求
AMT 设置证书
基于 AMT 的计算机的 Web 服务器证书
仅在 Configuration Manager 2007 SP2 中基于 AMT 的计算机的可选客户端证书
带外管理证书的 CRL 检查和证书吊销
备注
本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。
有关证书要求的列表,请参阅带外管理的证书要求。
有关分步示例部署,请参阅以下内容:
带外管理的证书颁发机构要求
AMT 设置的证书部署要求包括使用自动批准证书,从而使站点服务器可以为其设置的每台基于 AMT 的计算机申请并立即检索证书。为帮助保护自动批准的安全,需要使用安全控制来帮助确保只有受信任的计算机才能申请证书。使用 Microsoft 企业证书颁发机构 (CA) 的证书模板并通过对证书模板进行访问级别控制可提供此级别的安全控制。虽然您可以使用独立的 Microsoft CA 自动批准所有证书申请,但此解决方案不提供任何安全控制,且不受 Configuration Manager 2007 SP1 和更高版本中的带外管理支持。
Microsoft 企业 CA 支持以下版本的证书模板:
版本 1 随 Windows Server 2000 推出,受 Windows Server 2003 和 Windows Server 2008 的所有服务器版本支持。
版本 2 随 Windows Server 2003 推出,受 Windows Server 2003 和 Windows Server 2008 的 Enterprise 和 Datacenter Edition 支持。版本 2 模板不受 Windows Server 2003 和 Windows Server 2008 的 Standard Editions 支持。
版本 3 随 Windows Server 2008 推出,Windows Server 2008 的 Enterprise 和 Datacenter Edition 均支持该版本。但是,这些证书模板会创建与 Configuration Manager 不兼容的证书,并且不用于带外管理或纯模式。
您可以通过参考“最低支持的 CA”列来查看证书模板 MMC 中不同的模板版本。版本 1 模板以“Windows 2000”列出,版本 2 模板以“Windows Server 2003,Enterprise Edition”列出,版本 3 模板以“Windows Server 2008”列出。
版本 1 证书模板允许您配置安全权限,帮助保护可以读取、注册和管理模板的人员安全。但是,要更改证书模板的任何其他属性,例如名称、其预期目的和有效期,则必须使用版本 2 或版本 3 模板。
建议为带外管理自定义证书模板,而且该自定义证书模板可能是部署设置证书必需的,如下列各节所述。最佳安全方案是,对带外管理所使用的所有证书使用专用的证书模板。所有模板自定义都要求 CA 运行 Windows Server 操作系统的 Enterprise Edition。
证书模板版本和设置证书
除服务器身份验证功能 (OID 1.3.6.1.5.5.7.3.1) 外,安装在将对基于 AMT 的计算机进行带外管理的每个站点上的设置证书通常还需要默认证书模板中不存在的特定对象标识符 (OID)。这意味着必须修改现有证书模板以包括自定义对象标识符。为此,请使用版本 2 证书模板,因为 Configuration Manager 不支持使用版本 3 模板创建的证书。Windows Server 2003 或 Windows Server 2008 的 Standard Edition 不支持版本 2 模板。
但是,如果您使用外部 CA 来设置证书,且公司提供其自己的申请证书的方法(例如,连接到他们的 Web 注册站点),则不需要使用证书模板来设置证书。
如果您使用要求使用证书申请文件提交申请的外部 CA,或者如果您使用自己的内部 CA 来提供设置证书,则当证书包含自定义 OID 时不能使用版本 1 证书模板。相反,您必须使用版本 2 模板,以便能够将这些模板修改为包含自定义 OID。有关向外部 CA 提交证书申请以及使用您自己的内部 CA 的示例部署,请参阅AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构。
证书模板版本和基于 AMT 的计算机证书
每台基于 AMT 的计算机都需要安装在管理控制器内存中的证书,而此证书仅需要服务器身份验证功能 (OID 1.3.6.1.5.5.7.3.1)。此要求匹配名为“Web 服务器”的默认版本 1 模板。因此,您可以使用 Web 服务器模板,仅修改安全权限,使站点服务器可以使用此模板进行读取和注册。
但是,如果您复制 Web 服务器模板,则对使用的证书拥有更多控制权,因为您可以更改名称和描述,标识该模板与带外管理配合使用。您还可以更改证书的属性,例如其有效期和密钥大小。由于版本 2 模板提供更大的控制权,建议对带外管理使用这些模板。使用这些模板需要 Windows Server 操作系统的 Enterprise Edition。
如果需要为 Configuration Manager 2007 SP2 提供经过 802.1X 身份验证的有线和无线网络的客户端证书,也需要 Windows Server 操作系统的 Enterprise Edition。有关此证书的详细信息,请参阅仅在 Configuration Manager 2007 SP2 中基于 AMT 的计算机的可选客户端证书。
AMT 设置证书
下列各节提供有关是可以使用自己的内部 CA 还是必须使用外部 CA 来申请设置证书的信息,以及有关证书使用者名称要求的信息。
选择外部 CA 和使用内部 CA
如果未设置,Configuration Manager 无法对基于 AMT 的计算机进行带外管理。默认情况下,基于 AMT 的计算机由计算机制造商配置为使用外部证书颁分机构 (CA),如 VeriSign、Go Daddy、Comodo 和 Starfield。如果从外部 CA 之一购买设置证书,并配置 Configuration Manager 以使用此设置证书,则基于 AMT 的计算机将信任设置证书的 CA,设置将成功。
如果您计划使用内部 CA 来提供设置证书,必须符合下列条件之一:
计算机供应商为您提供了包含内部根证书的证书指纹的自定义固件映像。建议这样做是出于安全原因,目的是防止恶意设置服务器。有关使用自定义固件映像的详细信息,请参阅决定是否需要从计算机制造商获取自定义固件映像。
您将手动将内部根证书的证书指纹添加到将被设置为在 Configuration Manager 2007 SP1 或更高版本中进行带外管理的每台计算机上。有关如何使用证书指纹值来配置 AMT 证书哈希选项的信息,请参阅计算机制造商说明。
如果您需要有关如何查找内部根证书指纹的证书指纹的详细信息,请参阅如何查找用于 AMT 设置的内部根证书的证书指纹。
证书使用者名称要求
在 AMT 设置过程中,Configuration Manager 将使用从 Configuration Manager 数据库检索的基于 AMT 的计算机的 FQDN 在 AMT BIOS 扩展中配置主机名称和 DNS 后缀。然后对照设置证书中的使用者名称检查 DNS 后缀。设置证书中的使用者名称包含使用带外服务点角色配置的站点系统服务器的 FQDN。
如果基于 AMT 的计算机的 FQDN 与 AMT 设置证书中指定的 FQDN 共享同一个命名空间,AMT 设置将成功。如果基于 AMT 的计算机的 FQDN 与 AMT 设置证书中指定的 FQDN 不共享同一个命名空间,AMT 设置将失败。
以下是基于 AMT 的计算机与带外服务点共享同一命名空间的示例:
基于 AMT 的计算机的 FQDN 为 computer1.contoso.com,而带外服务点的 FQDN 为 server1.contoso.com。
基于 AMT 的计算机的 FQDN 为 computer1.sales.contoso.com,而带外服务点的 FQDN 为 server1.contoso.com。
基于 AMT 的计算机的 FQDN 为 computer1.sales.contoso.com,而带外服务点的 FQDN 为 server1.marketing.contoso.com。
在上面的示例中,基于 AMT 的计算机与带外服务点共享 contoso.com 命名空间。
以下是基于 AMT 的计算机与带外服务点不共享同一命名空间的示例:
基于 AMT 的计算机的 FQDN 为 computer1.contoso.com,而带外服务点的 FQDN 为 server1.northwindtraders.com。
基于 AMT 的计算机的 FQDN 为 computer1.northwindtraders.com,而带外服务点的 FQDN 为 server1.contoso.com。
在上面的示例中,基于 AMT 的计算机与带外服务点不共享公共命名空间。因此,即使两台计算机都属于同一 Active Directory 林,AMT 设置都将失败。此外,带外管理不支持不连续的命名空间。例如,带外管理无法成功对以下基于 AMT 的计算机进行设置:即 FQDN 为 computer1.contoso.com 且位于名为 na.corp.contoso.com 的 Active Directory 域中的计算机。
设置证书安装在带外服务点站点系统服务器上,必须在设置证书的使用者名称中提供此服务器的 FQDN。如果您使用自己的内部 CA 来提供设置证书,则可以使用证书申请自动配置带外服务点站点系统服务器的 FQDN。有关详细信息,请参阅AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构。
重要
如果基于 AMT 的计算机不与带外服务点共享同一命名空间,则您将无法设置它们。这意味着不能设置来自不同 Active Directory 林的基于 AMT 的计算机,且命名空间不连续的林将无法使用带外管理(除非基于 AMT 的计算机和带外服务点属于同一 DNS 树)。而且也不支持同一树中不连续的命名空间。
续订 AMT 设置证书
由于 AMT 设置证书过期将导致设置失败,请确保在原 AMT 设置证书过期之前续订该证书,并使用新的证书来配置带外管理。请确保在现有证书过期之前申请新证书,这一点在使用外部 CA 来设置证书时尤为重要。
为帮助您确定 AMT 设置证书何时即将到期,当使用中的设置证书还有 40 天(或少于 40 天)就到期时,Configuration Manager 将生成一条 ID 为 7210 的警告状态消息。此状态消息将每天重复一次,直到证书有效期替换为大于 40 天或者直到有效期少于 15 天。当有效期少于 15 天时,将生成 ID 为 7211 的错误状态消息,直到证书有效期替换为多于 15 天。
备注
必须使用新证书来配置带外管理组件配置属性。将新证书安装在带外服务点站点系统计算机的本地存储“证书”中是不够的。有关详细信息,请参阅如何配置 AMT 设置。
有关使用状态消息来监视带外管理的详细信息,请参阅如何监视带外管理。
有关站点状态配置的详细信息,请参阅如何配置站点状态配置。
基于 AMT 的计算机的 Web 服务器证书
虽然我们通常认为工作站计算机充当服务器上的网站的客户端,但对于带外管理而言,这一点刚好相反。基于 AMT 的计算机在其固件内运行 Web 服务器组件,而管理它们的计算机(带外服务点以及运行带外管理控制台的任何计算机)则充当客户端。
安装在 AMT 内存中的证书需要服务器身份验证功能,以便验证到对其进行管理的计算机,且它们之间发送的数据将使用传输层安全性 (TLS) 进行加密。TLS 是与 SSL 3.0 密切相关的行业标准协议,帮助防止消息被篡改、侦听和伪造。有关 TLS 的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=108709(页面可能为英文)。
带外管理不使用 PKI 相互身份验证;尽管基于 AMT 的计算机已验证到对其进行管理的计算机,但对其进行管理的计算机上没有相应的客户端 PKI 证书。相反,这些通信使用 TLS 连接和下列用户帐户进行保护:
使用 Kerberos 身份验证运行带外管理控制台的 Windows 用户帐户。
使用 HTTP Digest 身份验证的 AMT 设置和发现帐户。
使用 HTTP Digest 身份验证的 AMT MEBx 帐户。
使用 Kerberos 身份验证的 AMT 用户帐户。
使用 HTTP Digest 身份验证的 AMT 远程管理帐户。
为基于 AMT 的计算机续订 Web 服务器证书
未对基于 AMT 的计算机续订已过期的 Web 服务器证书将导致 Configuration Manager 无法对该计算机进行带外管理。
Configuration Manager 会监视它部署到基于 AMT 的计算机的证书,并在原证书过期之前自动申请新证书。当无法立即联系到颁发 CA 时,这样可以帮助确保无缝的连续性和足够的宽限期。
安装带外服务点时,将自动启用带外管理维护任务,定期检查颁发给基于 AMT 的计算机的证书的剩余有效期。它每隔 7 天检查一次,并在有效期只剩 42 天或更少时申请新证书。
如果需要调整这些设置或对即将过期的证书启动检查,请参阅如何为带外管理自定义维护任务。
备注
如果 Configuration Manager 2007 SP2 中的带外服务点使用无线网络连接连接到基于 AMT 的计算机,则无法进行证书续订。
仅在 Configuration Manager 2007 SP2 中基于 AMT 的计算机的可选客户端证书
Configuration Manager 2007 SP2 支持在经过 802.1X 身份验证的有线网络和无线网络上进行带外管理。在这些情况下,基于 AMT 的计算机可能需要客户端证书才能对 RADIUS 服务器进行身份验证。当 RADIUS 服务器是为 EAP-TLS 身份验证而配置时,始终需要客户端证书。当 RADIUS 服务器是为 EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 而配置时,RADIUS 配置应指定是否需要客户端证书。
站点服务器会在设置过程中为基于 AMT 的计算机申请客户端证书,或者如果已设置基于 AMT 的计算机,但没有有效的客户端证书,并且通过有线连接更新管理控制器,也会申请。为经过 802.1X 身份验证的有线网络配置支持时,可以指定使用一个客户端证书模板,为不同的无线网络配置支持时,最多可以指定使用 8 个不同的客户端证书模板。但是,作为最佳安全方案以及便于管理,请指定同一证书模板,除非您有很好的业务理由使用不同的客户端证书(如不同的密钥大小和有效日期,或不同的根 CA)。此附加证书(也安装在 AMT 内存中)仅需要客户端身份验证功能 (OID 1.3.6.1.5.5.7.3.2),以便基于 AMT 的计算机可以身份验证到 RADIUS 服务器。身份验证成功之后,便可以对基于 AMT 的计算机进行授权和配置以便进行网络访问。从不使用此证书将计算机验证到 Configuration Manager 基础结构。
为一台基于 AMT 的计算机申请多个客户端证书时,AMT 会保持跟踪每个证书,以便使用正确的客户端证书以及相应的配置。例如,如果指定第二个无线配置文件并将其配置为使用与第一个无线配置文件中所指定的证书模板不同的证书模板,则当基于 AMT 的计算机使用第一个无线配置文件连接到无线网络时,将从不使用为第二个无线配置文件申请和安装的证书。
除了证书模板中的客户端身份验证功能之外,还必须指定“在申请中提供”,以便申请证书的站点服务器可以提供每台基于 AMT 的计算机的 FQDN。必须使用自定义的证书模板,配置同时具有客户端身份验证功能以及“在申请中提供”的证书模板。要使用的秘密证书模板为“工作站身份验证”,您可以复制该模板,然后针对证书使用者配置进行自定义并修改安全权限。配置重复的证书模板需要 Enterprise Edition 的 Windows Server 操作系统。有关如何为可选客户端身份验证证书配置示例证书模板的详细信息,请参阅本主题开始部分引用的分步示例部署。
为基于 AMT 的计算机续订客户端证书
如果未对基于 AMT 的计算机续订已过期的客户端证书,将导致 Configuration Manager 无法使用关联的经过 802.1X 身份验证的有线网络或无线网络对该计算机进行带外管理。
除了监视它部署到基于 AMT 的计算机的 Web 服务器证书之外,Configuration Manager 还监视它部署的所有客户端证书,并在原始证书过期之前自动申请新证书。有关续订证书以便进行带外管理的详细信息,请参阅上一节中的为基于 AMT 的计算机续订 Web 服务器证书。
带外管理证书的 CRL 检查和证书吊销
下列各节包含带外服务点上的设置证书、基于 AMT 的计算机上的 Web 服务器证书以及 Configuration Manager 2007 SP2 中基于 AMT 的计算机上可选客户端证书的证书吊销和证书吊销列表 (CRL) 检查。
设置证书的 CRL 检查
基于 AMT 的计算机不支持下载证书吊销列表 (CRL) 以检查设置证书是否已吊销。这意味着基于 AMT 的计算机将继续接受已被颁发 CA 吊销的设置证书。如果您知道该设置证书已被吊销,请将其从带外服务点站点系统服务器上的证书存储中删除。然后部署新的设置证书,并在带外管理组件属性中配置它。如果无法立即部署有效的 AMT 设置证书,请在使用替换证书前删除带外服务点角色。
Web 服务器证书的 CRL 检查
连接到基于 AMT 的计算机的 Configuration Manager 计算机(带外服务点站点系统以及运行带外管理控制台的任何计算机)通过 Windows 远程管理 (WinRM) 进行 CRL 检查。随 Windows Server 2008 R2 和 Windows 7 之前的操作系统一起本机安装的 WinRM 版本不支持 CRL 检查。随 Windows Server 2008 R2 和 Windows 7 一起安装的 WinRM 版本支持 CRL 检查。还可以为早期的操作系统下载和安装支持 CRL 检查的更高版本的 WinRM。
不同版本的 WinRM 及其支持 CRL 检查的功能导致带外管理出现以下行为:
当带外服务点站点系统以及运行带外管理控制台的任何计算机不支持 CRL 检查时,这些计算机将仍然接受已经为基于 AMT 的计算机吊销的 Web 服务器证书。
当带外服务点站点系统以及运行带外管理控制台的任何计算机支持 CRL 检查时,这些计算机将不接受已经为基于 AMT 的计算机吊销的 Web 服务器证书。此外,对不受信任的证书提供进一步保护时,在这些情况下如果无法访问 CRL,则带外管理通信将会失败。(例如,脱机或网络通信问题阻止访问。)
备注
通常,不执行 CRL 检查的计算机运行的是 Windows Server 2008 R2 和 Windows 7 之前的操作系统。
在下列情况下,设置过程中对每台基于 AMT 的计算机颁发的 Web 服务器证书将自动被 Configuration Manager 吊销:
您使用 Configuration Manager 从计算机删除设置信息。站点服务器将吊销该证书,吊销原因为被取代。
您设置计算机,而 Configuration Manager 发现先前颁发给同一基于 AMT 的计算机的证书。如果使用“删除 BIOS 扩展中的设置配置”选项在本地配置了基于 AMT 的计算机,则可能发生这种情况。站点服务器将吊销该证书,吊销原因为被取代,并申请新证书。
带外管理维护任务“评估设置的 AMT 计算机证书”根据其配置计划运行。当在配置的续订有效期内找到证书时,站点服务器会吊销该证书,吊销原因为被取代,然后申请新的证书。有关此维护任务的详细信息,请参阅上一节“为基于 AMT 的计算机续订 Web 服务器证书”。
仅适用于 Configuration Manager 2007 SP2:阻止为 AMT 设置的 Configuration Manager 客户端。站点服务器将吊销该证书,吊销原因为被取代。有关此方案的详细信息,请参阅关于阻止客户端和带外管理。
在管理控制器中更新数据时,Web 服务器证书不会被吊销。
主站点服务器计算机必须对颁发证书颁发机构具有“颁发和管理证书”的权限。
重要
在 Web 服务器证书可以被 Configuration Manager 自动吊销的情况下,请务必与 PKI 管理员沟通。解释此操作是证书管理的预期过程,而不是表示基于 AMT 的计算机存在安全问题。
可选客户端证书的 CRL 检查
可选客户端证书用于验证到 RADIUS 服务器,且从不用于验证到 Configuration Manager 基础结构。这意味着 RADIUS 服务器执行对该客户端证书的 CRL 检查。有关是否支持 CRL 检查以及当客户端证书被吊销或者无法访问 CRL 时基于 AMT 的计算机所产生行为的信息,请查看文档以便获得 RADIUS 解决方案。
备注
Microsoft RADIUS 解决方案执行 CRL 检查。例如,当客户端证书被吊销或者由于无法访问 CRL 而无法验证时,Windows Server 2008 上的网络策略服务器为基于 AMT 的计算机执行 CRL 检查并拒绝连接请求。
Configuration Manager 自动吊销颁发给每台基于 AMT 的计算机的客户端证书,对于与吊销 Web 服务器证书相同的情况具有相同的吊销原因被取代。此外,根据您的配置,只要您更新管理控制器并且在 Configuration Manager 802.1X 有线网络配置上或为其中一个无线配置文件配置了客户端证书模板,就可能会吊销一个客户端证书(或多个客户端证书)。
重要
在客户端证书可以被 Configuration Manager 自动吊销的情况下,请务必与 PKI 管理员沟通。解释此操作是证书管理的预期过程,而不是表示基于 AMT 的计算机存在安全问题。
另请参阅
任务
如何针对 AMT 设置计算机
如何删除基于 AMT 的计算机的设置信息
如何使用带外管理更新已设置的计算机中的 AMT 设置
概念
关于带外管理的 AMT 设置
关于 AMT 设置和发现帐户
关于 AMT 远程管理帐户
关于 AMT 用户帐户
关于 MEBx 帐户
确定带外管理的管理员角色和过程
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。