AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构

应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

此分步示例部署使用 Windows Server 2008 证书颁发机构 (CA),提供一些过程以指导您完成创建和部署 Configuration Manager 2007 SP1 和更高版本进行带外管理以及 AMT 所需的公钥基础结构 (PKI) 证书的过程。有关 Configuration Manager 中带外管理的详细信息,请参阅带外管理概述

备注

本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。

本示例中的过程使用 Active Directory 证书服务,以及带企业 CA 和证书模板的 Windows Server 2008 Enterprise Edition。这些步骤仅适用于网络测试,作为对概念的验证。

由于部署所需的证书不止有一种方法,您将需要参考特定 PKI 部署文档,获取为特定生产环境部署所需证书必需的过程和最佳方案。有关 AMT 和带外管理的证书要求的详细信息,请参阅带外管理的证书要求

重要

在 Configuration Manager 2007 SP1 和更高版本中进行 AMT 设置要求 Microsoft Active Directory 证书服务使用企业 CA 和证书模板。有关证书部署要求和用法的详细信息,请参阅关于带外管理的证书

本节内容

本示例的以下几节涵盖创建和部署 Configuration Manager 2007 SP1 和更高版本站点带外管理计算机所需的证书:

测试网络要求

概述

为站点系统服务器创建 Windows 安全组

申请、安装和准备 AMT 设置证书

为基于 AMT 的计算机准备 Web 服务器证书

为 802.1X 基于 AMT 的计算机准备客户端身份验证证书

测试网络要求

本示例具有下列要求:

  • 测试网络运行 Windows Server 2008 的 Active Directory 域服务并且是作为单个域、单个林安装的。

  • 您有运行 Windows Server 2008 Enterprise Edition 的域控制器,该域控制器上安装了下列服务器角色:作为企业根 CA 安装的 Active Directory 证书服务。

  • 具有一台安装了 Windows Server 2008(Standard Edition 或 Enterprise Edition)并指定作为成员服务器的计算机。

  • 可以使用根域管理员帐户或企业域管理员帐户登录,并在此示例部署中使用此帐户进行所有过程。

概述

在 Configuration Manager 2007 SP1 和更高版本中带外管理计算机之前,必须准备并安装 PKI 证书。本示例提供部署为 AMT 设置计算机以便这些计算机可以进行带外管理所需证书的步骤。有关 Configuration Manager 2007 SP1 和更高版本进行带外管理配置的详细信息,请参阅配置带外管理

下表列出了带外管理 AMT 计算机所需的 PKI 证书,并描述了如何在 Configuration Manager 2007 站点中使用这些证书。

证书要求 证书描述

AMT 设置证书

此证书用于准备基于 AMT 的计算机,以便由 Configuration Manager 2007 SP1 进行带外管理。

有关 AMT 设置的详细信息,请参阅关于带外管理的 AMT 设置

Web 服务器证书

此证书由主站点服务器代表基于 AMT 的计算机进行申请,然后将其安装在计算机的 AMT 固件中。

安装此证书之后,此证书将使基于 AMT 的计算机验证到带外服务点站点系统服务器和运行带外管理控制台的计算机,并对它们之间使用传输层安全性 (TLS) 传输的所有数据进行加密。

客户端身份验证证书

仅适用于 Configuration Manager 2007 SP2:如果您要带外管理基于 AMT 的计算机,而这些计算机在经过 802.1X 身份验证的有线或无线连接上,则可能需要使用客户端身份验证证书(要求使用 EAP-TLS 身份验证,也可以使用 EAP-TTLS/MSCHAPv2 和 PEAPv0/EAP-MSCHAPv2 身份验证方法)。此证书由主站点服务器代表基于 AMT 的计算机进行申请,然后将其安装在计算机的 AMT 固件中。

安装此证书后,使用此证书对基于 AMT 的计算机到 RADIUS 服务器进行身份验证,以便它可以经过身份验证并授权网络访问。

有关证书的详细信息,请参阅带外管理的证书要求

按照本示例中的步骤实现下列目标:

  • 创建与证书模板配合使用的 Windows 安全组。

  • 申请、安装和准备 AMT 设置证书。

  • 通过在颁发 CA 时设置证书模板来准备 Web 服务器证书。

  • 仅适用于 Configuration Manager 2007 SP2:通过在颁发 CA 时配置证书模板来准备客户端身份验证证书以便用于 802.1X 客户端身份验证。

为站点系统服务器创建 Windows 安全组

使用下列过程为站点系统服务器创建 Windows 安全组。这些安全组将用于帮助确保只有所需的服务器才可以使用 AMT 设置所需的两个证书模板。

为站点系统服务器创建 Windows 安全组

  1. 在域控制器上,依次单击“开始”、“管理工具”,然后单击“Active Directory 用户和计算机”。

  2. 右键单击该域,单击“新建”,然后单击“组”。

  3. 在“新建对象 – 组”对话框中,输入 ConfigMgr 主站点服务器作为“组名称”,然后单击“确定”。

  4. 在“Active Directory 用户和计算机”中,右键单击刚创建的组,然后单击“属性”。

  5. 单击“成员”选项卡,然后单击“添加”并选择成员服务器。

  6. 单击“确定”,然后再次单击“确定”以关闭组属性对话框。

  7. 重复步骤 2 至步骤 6,此时将组命名为 ConfigMgr 带外服务点

  8. 重新启动成员服务器(如果正在运行)以便它可以选择新的组成员身份。

    备注

    在测试环境中,只添加一个服务器,此服务器将用于主站点服务器和带外服务点。但是,在生产环境中,可能会有多个支持带外管理的主站点,而且可能要在站点服务器之外的不同服务器上安装带外服务点。因此,对两个组分配权限,然后将所有主站点服务器添加到一个组并将所有带外服务点站点系统添加到另一个组是一种很好的方案。

    为这些服务器创建安全组,使您能够分配权限,从而仅这些服务器可以申请这些证书。

申请、安装和准备 AMT 设置证书

此步骤具有下列过程:

  • 根据要求不同,仅使用下列过程之一申请和安装 AMT 设置证书:

    • 从外部 CA 申请和安装 AMT 设置证书

    • 从内部 CA 申请和安装 AMT 设置证书

  • 准备用于带外管理组件的 AMT 设置证书

仅当通过内部根 CA 的证书指纹配置基于 AMT 的计算机时,才从内部 CA 申请设置证书。有关选择外部 CA 和使用内部 CA 的详细信息,请参阅关于带外管理的证书。如果在查找内部根证书指纹时需要帮助,请参阅如何查找用于 AMT 设置的内部根证书的证书指纹

从外部 CA 申请和安装 AMT 设置证书

使用来自颁发 AMT 设置证书的公司的说明,通常这些说明将涉及从该公司的公开网站申请证书。还可以在 Intel vPro Expert Center 找到所选外部 CA 的详细说明:Microsoft vPro Manageability 网站 (https://go.microsoft.com/fwlink/?LinkId=132001)(页面可能为英文)。

重要

外部 CA 可能不支持 Intel AMT 设置对象标识符。如果是这样,则使用提供 Intel(R) Client Setup Certificate 的 OU 属性的备用方法。

应该将来自外部 CA 的 AMT 设置证书安装到宿主带外服务点的成员服务器的计算机个人证书存储中。完成此过程之后,就可以准备带外管理组件了。

从内部 CA 申请和安装 AMT 设置证书

从内部 CA 申请和安装 AMT 设置证书的步骤

  1. 在运行 Windows Server 2008 控制台的域控制器上,依次单击“开始”、“程序”,然后单击“证书颁发机构”。

  2. 展开 CA 的名称,然后单击“证书模板”。

  3. 右键单击“证书模板”,然后单击“管理”以加载“证书模板”控制台。

  4. 在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。

  5. 在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。

    重要

    不要选择“Windows 2008 Server,Enterprise Edition”。

  6. 在“新模板的属性”对话框中的“常规”选项卡上,输入 AMT 设置证书模板的模板名称,例如 ConfigMgr AMT 设置

  7. 单击“请求处理”选项卡,然后选择“允许导出私钥”。

  8. 单击“使用者名称”选项卡,选择“用 Active Directory 中的信息生成”,然后选择“公用名”。

  9. 单击“扩展”选项卡,确保选择“应用程序策略”,然后单击“编辑”。

  10. 在“编辑应用程序策略扩展”对话框中,单击“添加”。

  11. 在“添加应用程序策略”对话框中,单击“新建”。

  12. 在“新建应用程序策略”对话框中,在“名称”字段键入 AMT 设置,然后为“对象标识符”键入下列数字:2.16.840.1.113741.1.2.3.

  13. 单击“确定”,然后单击“添加应用程序策略”对话框中的“确定”。

  14. 单击“编辑应用程序策略扩展”对话框中的“确定”。

  15. 现在,在“新模板的属性”对话框中,您会看到如“应用程序策略”描述中所列的下列内容:“服务器身份验证”和“AMT 设置”。

  16. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  17. 单击“添加”,在文本框中输入 ConfigMgr 带外服务点,然后单击“确定”。

  18. 对此组选择下列“允许”权限:“读取”和“注册”。

  19. 单击“确定”,然后关闭“证书模板”控制台。

  20. 在“证书颁发机构”中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  21. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr AMT 设置”,然后单击“确定”。

    备注

    如果不能完成步骤 19 或 20,请检查您是否正在使用 Windows Server 2008 Enterprise Edition。虽然可以使用 Windows Server Standard Edition 和证书服务配置模板,但是只有使用 Windows Server 2008 Enterprise Edition 时才能使用修改的证书模板部署证书。

  22. 不要关闭“证书颁发机构”。

  23. 在成员服务器上,单击“开始”,单击“运行”,然后键入 mmc.exe。在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。

  24. 在“添加/删除管理单元”对话框中,从“可用的管理单元”列表中选择“证书”,然后单击“添加”。

  25. 在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。

  26. 在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。

  27. 在“添加/删除管理单元”对话框中,单击“确定”。

  28. 在控制台中展开“证书(本地计算机)”,然后单击“个人”。

  29. 右键单击“证书”,单击“所有任务”,然后单击“申请新证书”。

  30. 在“开始之前”页面上,单击“下一步”。

  31. 如果您看到“选择证书注册策略”页,请单击“下一步”。

  32. 在“申请证书”页面上,从显示的证书列表中选择“ConfigMgr AMT 设置”,然后单击“注册”。

    备注

    如果看不到此证书模板,请检查您在先前的过程中配置安全组后是否重新启动了成员服务器(如果它正在运行)。

  33. 在“证书安装结果”页面中,等待证书安装完成,然后单击“完成”。现在您应看到设置证书显示。

    不要关闭“证书(本地计算机)”。

来自内部证书颁发机构的 AMT 设置证书现已安装,并且准备用于带外管理组件。

准备用于带外管理组件的 AMT 设置证书

准备用于带外管理组件的 AMT 设置证书

  1. 在成员服务器上运行的“证书(本地计算机)”中,右键单击设置证书,单击“所有任务”,然后单击“导出”。

  2. 在证书导出向导中,单击“下一步”。

  3. 在“导出私钥”页面上,选择“是,导出私钥”,然后单击“下一步”。

  4. 在“导出文件格式”页面上,确保选择“个人信息交换 - PKCS #12 (.PFX)”,然后选择“如果可能,在证书路径中包括所有证书”。

  5. 在“密码”页面上,指定一个强密码来保护导出的证书及其私钥,然后单击“下一步”。

  6. 在“要导出的文件”页面上,指定您要导出的文件的路径和名称,然后单击“下一步”。

  7. 单击“完成证书导出向导”页面中的“完成”,然后单击“证书导出向导”对话框中的“确定”。

  8. 安全地存储文件,确保您可以从 Configuration Manager 控制台访问该文件。

现在即准备为带外管理组件配置 AMT 设置证书。有关详细信息,请参阅如何配置 AMT 设置

为基于 AMT 的计算机准备 Web 服务器证书

使用以下过程为基于 AMT 的计算机准备 Web 服务器证书。

在 CA 上创建和颁发 Web 服务器证书模板的步骤

  1. 在运行“证书颁发机构”的域控制器上,右键单击“证书模板”,然后单击“管理”以加载“证书模板”控制台。

  2. 在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。

  3. 在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。

    重要

    不要选择“Windows 2008 Server,Enterprise Edition”。

  4. 在“新模板的属性”对话框的“常规”选项卡上,输入模板名称以生成将用于 AMT 计算机上带外管理的 Web 证书,如 ConfigMgr AMT Web 服务器证书

  5. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  6. 单击“添加”,在文本框中输入 ConfigMgr 主站点服务器,然后单击“确定”。

  7. 对此组选择下列“允许”权限:“读取”、“注册”和“自动注册”。

  8. 单击“确定”,然后关闭“证书模板”控制台。

  9. 在“证书颁发机构”控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  10. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr AMT Web 服务器证书”,然后单击“确定”。

  11. 关闭“证书颁发机构”。

现在,AMT Web 服务器模板准备通过 Web 服务器证书来设置 AMT 计算机。

为 802.1X 基于 AMT 的计算机准备客户端身份验证证书

仅适用于 Configuration Manager 2007 SP2:如果您要对经过 802.1X 身份验证的有线或无线网络使用客户端证书,请使用以下过程为基于 AMT 的计算机准备客户端身份验证证书。

在 CA 上创建和颁发客户端身份验证证书模板的步骤

  1. 在运行“证书颁发机构”管理控制台的域控制器上,右键单击“证书模板”,然后单击“管理”以加载“证书模板”管理控制台。

  2. 在结果窗格中,右键单击在“模板显示名称”列中显示“工作站身份验证”的条目,然后单击“复制模板”。

    重要

    不要选择“Windows 2008 Server,Enterprise Edition”。

  3. 在“新模板的属性”对话框的“常规”选项卡上,输入模板名称以生成将用于 AMT 计算机上带外管理的客户端证书,如 ConfigMgr AMT 802.1X 客户端身份验证证书

  4. 单击“使用者名称”选项卡,然后单击“在请求中提供”。在此设置的警告对话框中,单击“确定”。

  5. 单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。

  6. 单击“添加”,在文本框中输入 ConfigMgr 主站点服务器,然后单击“确定”。

  7. 对此组选择下列“允许”权限:“读取”和“注册”。

  8. 单击“确定”,并关闭“证书模板”管理控制台 certtmpl – [证书模板]

  9. 在“证书颁发机构”管理控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。

  10. 在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr AMT 802.1X 客户端身份验证证书”,然后单击“确定”。

  11. 关闭“证书颁发机构”。

客户端身份验证证书模板现在已准备好向基于 AMT 的计算机颁发用于 802.1X 客户端身份验证的证书。

另请参阅

任务

如何针对 AMT 设置计算机

概念

关于带外管理的 AMT 设置

其他资源

配置带外管理
Configuration Manager 2007 SP1 和更高版本中的带外管理

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。