如何在 Configuration Manager 中将客户端安装在 Mac 计算机上
适用对象:System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
注意 |
---|
本主题中的信息适用于 System Center 2012 Configuration Manager SP1 和更高版本以及 System Center 2012 R2 Configuration Manager 和更高版本。 |
在 System Center 2012 Configuration Manager 中为 Mac 计算机安装和管理客户端需要公钥基础结构 (PKI) 证书。配置管理器 可通过将 Microsoft 证书服务与企业证书颁发机构 (CA)、配置管理器 注册点和注册代理点站点系统角色一起使用,从而请求和安装用户客户端证书。 或者,如果证书满足 配置管理器 的要求,你可以独立于 配置管理器 请求和安装计算机证书。 PKI 证书通过使用手动身份验证和加密的数据传输来保护 Mac 计算机和 配置管理器 站点之间的通信的安全。
重要事项 |
---|
配置管理器 Mac 客户端始终执行证书吊销检查;与 Windows 上运行的 配置管理器 客户端不同,你无法禁用此证书吊销列表 (CRL) 检查功能。 如果 Mac 客户端由于无法找到 CRL 而无法确认服务器证书的证书吊销状态,它们将无法成功连接到 配置管理器 站点系统,例如管理点和分发点。 特别是,对于所在的林与证书颁发机构不同的 Mac 客户端,请检查你的 CRL 设计以确保 Mac 客户端可找到并连接到 CRL 分发点 (CDP) 以便连接站点系统服务器。 |
在 Mac 计算机上安装 配置管理器 客户端之前,请决定安装客户端证书的方式:
通过 CMEnroll 工具使用 配置管理器 注册,并按照本主题的下一部分中的步骤进行操作。 注册过程不支持自动证书续订,因此你必须在安装的证书过期之前重新注册 Mac 计算机。
使用与 配置管理器 无关的证书请求和安装方法。 有关安装方法,请参见此主题中的 使用与 Configuration Manager 无关的证书请求和安装方法 部分。
注意 |
---|
有关 Mac 客户端证书要求和支持 Mac 计算机所需的其他 PKI 证书的详细信息,请参阅 Configuration Manager 的 PKI 证书要求。 |
会自动将 Mac 客户端分配给对其进行管理的 配置管理器 站点。 即使仅与 Intranet 通信,Mac 客户端也将安装为仅 Internet 的客户端。 这种客户端配置意味着,当你将为客户端分配的站点中的站点系统角色(管理点和分发点)配置为允许来自 Internet 的客户端连接时,它们只会与这些站点系统角色通信。 Mac 计算机不会与为其分配的站点范围外的站点系统角色通信。
重要事项 |
---|
配置管理器 Mac 客户端不能用于连接至配置为使用数据库副本的管理点。 有关数据库副本的信息,请参阅配置管理点的数据库副本。 |
使用下列部分来为 配置管理器 安装、配置和管理 Mac 计算机:
为 Mac 计算机安装和配置客户端的步骤
- 为 Mac 计算机安装和配置客户端的补充过程
为 Mac 计算机升级客户端的步骤
使用与 Configuration Manager 无关的证书请求和安装方法
为 Mac 计算机安装和配置客户端的步骤
使用下表来了解有关如何为 Mac 计算机安装和配置客户端的步骤、详情及更多信息。
重要事项 |
---|
在执行这些步骤之前,请确保 Mac 计算机满足 主题的 受支持的配置的配置管理器 部分中列出的先决条件。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigMacClientReq |
步骤 |
详细信息 |
更多信息 |
||||
---|---|---|---|---|---|---|
步骤 1:将 Web 服务器证书部署到站点系统服务器。 |
这些站点系统对于其他 配置管理器 客户端可能已经有此证书。 如果没有,请将 Web 服务器证书部署到容纳下列站点系统角色的计算机:
|
有关创建和安装此 Web 服务器证书的示例部署,请参见 为运行 IIS 的站点系统部署 Web 服务器证书 主题中的 Configuration Manager 的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构 部分。
|
||||
步骤 2:将客户端身份验证证书部署到站点系统服务器。 |
这些站点系统对于 配置管理器 功能可能已经有此证书。 如果没有,请将客户端身份验证证书部署到容纳下列站点系统角色的计算机:
|
有关创建和安装管理点的客户端证书的示例部署,请参见 为 Windows 计算机部署客户端证书 主题中的 Configuration Manager 的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构 部分。 有关创建和安装分发点的客户端证书的示例部署,请参见 为分发点部署客户端证书 主题中的Configuration Manager 的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构部分。 |
||||
步骤 3:为 Mac 计算机准备客户端证书模板。
|
对于将在 Mac 计算机上注册证书的用户帐户,证书模板必须具有“读取”和“注册”权限。 |
请参阅部署 Mac 计算机的客户端证书主题中的Configuration Manager 的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构部分。 |
||||
步骤 4:配置管理点和分发点。 |
为下列选项配置管理点:
尽管在 Mac 计算机上安装客户端无需分发点,但是,如果要在安装 配置管理器 客户端之后将软件部署到这些 Mac 计算机,你必须配置分发点以允许来自 Internet 的客户端连接。 |
请参阅本主题中的以下过程:步骤 4:配置管理点和分发点以支持 Mac 计算机。 |
||||
步骤 5:配置注册代理点和注册点。 |
你必须在同一站点中安装这两个站点系统角色,但不必将它们安装在同一站点系统服务器上或同一 Active Directory 林中。 |
有关站点系统角色布局和注意事项的详细信息,请参阅规划将站点系统角色安装在层次结构中的何处主题中的在 Configuration Manager 中规划站点系统部分。 若要配置注册代理点和注册点,请参阅本主题中的以下过程:步骤 5:安装和配置注册站点系统。 |
||||
步骤 6:可选:
|
如果要为 Mac 计算机运行报表,请安装 Reporting Services 点。 |
有关如何安装和配置 Reporting Services 点的详细信息,请参阅在 Configuration Manager 中配置报告。 |
||||
步骤 7:为注册配置客户端设置。 |
你必须使用默认客户端设置来为 Mac 计算机配置注册;你无法使用自定义客户端设置。 |
有关客户端设置的详细信息,请参阅关于 Configuration Manager 中的客户端设置。 有关如何配置这些客户端设置的信息,请参阅本主题中的以下过程:步骤 7:为注册配置客户端设置。 |
||||
步骤 8:为 Mac 客户端下载客户端源文件。 |
下载安装文件,然后将它们安装在 Mac 计算机上。 |
请参阅本主题中的以下过程:步骤 8:下载和安装 Mac 客户端文件。 |
||||
步骤 9:在 Mac 计算机上安装客户端,然后注册客户端证书。 |
在使用 配置管理器 注册时,你必须首先通过使用 Ccmsetup 应用程序安装客户端,然后通过使用 CMEnroll 工具注册客户端证书。 |
请参阅本主题中的以下过程:步骤 9:在 Mac 计算机上安装客户端并使用 CMEnroll 工具注册证书。 |
为 Mac 计算机安装和配置客户端的补充过程
如果上表中的步骤需要执行补充过程,请使用以下信息。
步骤 4:配置管理点和分发点以支持 Mac 计算机
此过程配置现有管理点和分发点以支持 Mac 计算机。 在开始此过程之前,请确保运行管理点和分发点的站点系统服务器配置为包含 Internet FQDN。 如果这些站点系统服务器将不支持基于 Internet 的客户端管理,你可以指定 Intranet FQDN 作为 Internet FQDN 值。 此外,这些站点系统角色必须位于主站点中。
要配置管理点和分发点以支持 Mac 计算机
-
在 配置管理器 控制台中,单击“管理”。
-
在“管理”工作区中,展开“站点配置”,选择“服务器和站点系统角色”,然后选择容纳要配置的站点系统角色的服务器。
-
在详细信息窗格中,右键单击“管理点”,单击“角色属性”,并在“管理点属性”对话框中配置下列选项,然后单击“确定”:
选择“HTTPS”。
选择“仅允许 Internet 客户端连接”或“允许 Intranet 和 Internet 客户端连接”。 这些选项要求在站点系统属性中指定 Internet FQDN(即使站点系统服务器将不可从 Internet 中访问)。
选择“允许移动设备和 Mac 计算机使用此管理点”。
-
在详细信息窗格中,右键单击“分发点”,单击“角色属性”,并在“分发点属性”对话框中配置下列选项,然后单击“确定”:
- 选择“HTTPS”。 - 选择“仅允许 Internet 客户端连接”或“允许 Intranet 和 Internet 客户端连接”。 这些选项要求在站点系统属性中指定 Internet FQDN(即使站点系统服务器将不可从 Internet 中访问)。 - 单击“导入证书”,浏览到导出的客户端分发点证书文件,然后指定密码。
-
为将用于 Mac 计算机的主站点中的所有管理点和分发点重复此过程中的步骤 2 至 4。
步骤 5:安装和配置注册站点系统
这些过程配置站点系统角色以支持 Mac 计算机。 根据你是将安装新站点系统服务器来支持 Mac 计算机还是使用现有站点系统服务器,选择这些过程之一:
安装和配置注册站点系统:新建站点系统服务器
-
在 Configuration Manager 控制台中,单击“管理”。
-
在“管理”工作区中,展开“站点配置”,并单击“服务器和站点系统角色”
-
在“主页”选项卡上的“创建”组中,单击“创建站点系统服务器”。
-
在“常规”页上,指定站点系统的常规设置,然后单击“下一步”。
重要事项 即使站点系统服务器将不可从 Internet 中访问,也要确保为 Internet FQDN 指定值。 如果由于站点系统服务器将不可从 Internet 中访问而没有 Internet FQDN,你可以指定 Intranet FQDN 值作为 Internet FQDN。 Mac 计算机始终连接到 Internet FQDN,即便当它们位于 Intranet 上时也是如此。
-
在“系统角色选择”页上,从可用角色列表中选择“注册代理点”和“注册点”,然后单击“下一步”。
-
在“注册代理点”页上,查看设置并进行任何所需更改,然后单击“下一步”。
-
在“注册点设置”页上,查看设置并进行任何所需更改,然后单击“下一步”。
-
完成向导。
安装和配置注册站点系统:现有站点系统服务器
-
在 配置管理器 控制台中,单击“管理”。
-
在“管理”工作区中,展开“站点配置”,选择“服务器和站点系统角色”,然后选择要用于支持 Mac 计算机的服务器。
-
在“主页”选项卡上的“创建”组中,单击“添加站点系统角色”。
-
在“常规”页上,指定站点系统的常规设置,然后单击“下一步”。
重要事项 即使站点系统服务器将不可从 Internet 中访问,也要确保为 Internet FQDN 指定值。 如果由于站点系统服务器将不可从 Internet 中访问而没有 Internet FQDN,你可以指定 Intranet FQDN 值作为 Internet FQDN。 Mac 计算机始终连接到 Internet FQDN,即便当它们位于 Intranet 上时也是如此。
-
在“系统角色选择”页上,从可用角色列表中选择“注册代理点”和“注册点”,然后单击“下一步”。
-
在“注册代理点”页上,查看设置并进行任何所需更改,然后单击“下一步”。
-
在“注册点设置”页上,查看设置并进行任何所需更改,然后单击“下一步”。
-
完成向导。
步骤 7:为注册配置客户端设置
配置管理器 需要此步骤以便在 Mac 计算机上请求和安装证书。
为 Configuration Manager 配置默认客户端设置以便为 Mac 计算机注册证书
-
在 配置管理器 控制台中,单击“管理”。
-
在“管理”工作区中,单击“客户端设置”。
-
单击“默认客户端设置”。
重要事项 你无法为注册配置使用自定义客户端设置;你必须使用默认客户端设置。
-
在“主页”选项卡上的“属性”组中,单击“属性”。
-
选择“注册”部分,然后配置下列用户设置:
允许用户注册移动设备和 Mac 计算机: “是”
**注册配置文件:**单击“设置配置文件”。
-
在“移动设备注册配置文件”对话框中,单击“创建”。
-
在“创建注册配置文件”对话框中,输入此注册配置文件的名称,然后配置“管理站点代码”。 选择包含将管理 Mac 计算机的管理点的 配置管理器 SP1 主站点。
注意 如果无法选择站点,则检查是否将站点中的至少一个管理点配置为支持移动设备。
-
单击“添加”。
-
在“添加移动设备证书颁发机构”对话框中,选择将向 Mac 计算机颁发证书的证书颁发机构 (CA) 服务器,然后单击“确定”。
-
在“创建注册配置文件”对话框中,选择在步骤 3 中创建的 Mac 计算机证书模板,然后单击“确定”。
-
单击“确定”关闭“注册配置文件”对话框,然后单击“确定”关闭“默认客户端设置”对话框。
提示 如果想要更改客户端策略间隔,请使用“客户端策略”客户端设置组中的“客户端策略轮询间隔”客户端设置。
当所有用户下一次下载客户端策略时,将使用这些设置对它们进行配置。 若要启动单个客户端策略检索,请参阅 为 Configuration Manager 客户端启动策略检索 主题中的 如何在 Configuration Manager 中管理客户端 部分。
除了注册客户端设置之外,请确保配置了以下 配置管理器 客户端设备设置:
硬件清单:如果想要从 Mac 和 Windows 客户端计算机中收集硬件清单,请启用和配置此客户端设置。 有关详细信息,请参阅 如何配置 Configuration Manager 中的硬件清单。
符合性设置:如果想要评估和修正 Mac 和 Windows 客户端计算机上的设置,请启用和配置此客户端设置。 有关详细信息,请参阅 Configuration Manager 中配置的符合性设置。
注意 |
---|
有关 配置管理器 客户端设置的详细信息,请参阅如何在 Configuration Manager 中配置客户端设置。 |
步骤 8:下载和安装 Mac 客户端文件
在 Mac 计算机上安装和管理 配置管理器 客户端之前,必须下载和安装以下程序:
Ccmsetup:使用此应用程序在组织中的 Mac 计算机上安装 配置管理器 客户端。
CMDiagnostics:使用此工具在组织中的 Mac 计算机上收集与 配置管理器 客户端相关的诊断信息。
CMUninstall:使用此工具从组织中的 Mac 计算机中卸载 配置管理器 客户端。
CMAppUtil:使用此工具将 Apple 应用程序包转换为可部署为 配置管理器 应用程序的格式。
CMEnroll:使用此工具请求和安装 Mac 计算机的客户端证书,以便以后可以安装 配置管理器 客户端。
重要事项 |
---|
当你为 Mac 计算机安装新客户端时,你可能还需要安装 配置管理器 更新以反映 配置管理器 控制台中的新客户端信息。 有关最新信息,请参见主题中的 受支持的配置的配置管理器部分。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigMacClientReq |
下载并安装 Mac OS X 客户端文件
-
下载 Mac OS X 客户端文件包“ConfigmgrMacClient.msi”并将其保存在运行 Windows 的计算机上。
配置管理器 安装媒体上不提供此文件。 可从适用于 配置管理器 SP1 的 Microsoft 下载中心和适用于 System Center 2012 R2 Configuration Manager 的 Microsoft 下载中心下载此文件。
-
在 Windows 计算机上运行刚下载的“ConfigmgrMacClient.msi”文件,以将 Mac 客户端包 Macclient.dmg 提取到本地磁盘上的文件夹(默认位置为 C:\Program Files (x86) \Microsoft\System Center 2012 Configuration Manager Mac Client\)。
-
将 Macclient.dmg 文件复制到 Mac 计算机上的文件夹中。
-
在 Mac 计算机上,运行刚才下载的 Macclient.dmg 文件以将文件提取到本地磁盘上的文件夹中。
-
在此文件夹中,请确保提取 Ccmsetup 和 CMClient.pkg 文件,并且创建一个包含 CMDiagnostics、CMUninstall、CMAppUtil 和 CMEnroll 工具的名称为“工具”的文件夹。
步骤 9:在 Mac 计算机上安装客户端并使用 CMEnroll 工具注册证书
此过程安装客户端,然后使用 CMEnroll 工具为 Mac 计算机请求和安装客户端证书,以便你以后可以使用 配置管理器 管理此计算机。
适用于 System Center 2012 R2 Configuration Manager 和更高版本:你可以使用“Mac 计算机注册向导”来注册客户端,而不必使用 CMEnroll 工具。 有关详细信息,请参阅下面的过程。
安装客户端并使用 CMEnroll 工具注册证书
-
在 Mac 计算机上,导航到文件夹,你在该文件夹中已经提取了从 Microsoft 下载中心下载的 Macclient.dmg 文件的内容。
-
输入以下命令行:sudo ./ccmsetup
-
请一直等到看到“已完成安装”消息。 虽然安装程序显示一条表明现在必须重启的消息,但现在请不要重启,而是继续进行下一步。
-
从 Mac 计算机上的工具文件夹中,键入以下内容:sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>
注意 在 System Center 2012 R2 Configuration Manager 中,“Mac 计算机注册向导”将在客户端安装后打开,以帮助你注册 Mac 计算机。 要用此方法注册客户端,请参见此主题中的使用“Mac 计算机注册向导”来注册客户端(仅限 System Center 2012 R2 Configuration Manager)。
随后将提示你键入 Active Directory 用户帐户的密码。
重要事项 输入此命令时,实际上会提示你输入两个密码:第一个提示用于运行命令的超级用户帐户。 第二个提示用于 Active Directory 用户帐户。 提示看起来相同,因此请确保按正确的顺序指定它们。
用户名可以是以下格式:
- “域\\名称”。 例如:“contoso\\mnorth” - “用户@域”。 例如:“mnorth@contoso.com”
用户名和对应的密码必须与被授予 Mac 客户端证书模板的“读取”和“注册”权限的 Active Directory 用户帐户匹配。
例如:如果注册代理点服务器名为 server02.contoso.com,并且向 contoso\mnorth 用户名授予了对 Mac 客户端证书模板的权限,请键入以下内容:sudo ./CMEnroll -s server02.contoso.com –ignorecertchainvalidation -u 'contoso\mnorth'
重要事项 如果用户名包含以下任一字符:<>"+=,,则注册将失败。
若要解决此问题,获取带有不包含这些字符的用户名的带外证书。
注意 为了获得更加完美的用户体验,你可以对安装步骤和命令编写脚本,以便用户只须提供其用户名和密码。
-
请一直等到看到“已成功注册”消息。
-
仅适用于 配置管理器 SP1:若要将注册的证书限制在 配置管理器 范围内,请在 Mac 计算机上打开终端窗口并进行以下更改:
输入命令 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
在“密钥链访问”对话框中的“密钥链”部分中,单击“系统”,然后在“类别”部分中,单击“密钥”。
展开密钥以查看客户端证书。 标识了具有刚才安装的私钥的证书后,双击密钥。
在“访问控制”选项卡上,选择“在允许访问前确认”。
浏览到“/Library/Application Support/Microsoft/CCM”,选择“CCMClient”,然后单击“添加”。
单击“保存更改”并关闭“密钥链访问”对话框。
-
重新启动 Mac 计算机。
在 Mac 计算机上的“系统首选项”中打开“Configuration Manager”项以验证客户端安装是否成功。 也可以更新和查看“所有系统”集合,以确认现在 Mac 计算机在此集合中显示为托管客户端。
提示 |
---|
为了帮助排查 Mac 客户端的任何问题,你可以使用 Mac OS X 客户端包附带的 CMDiagnostics 程序收集以下诊断信息:
CmDiagnostics 收集的信息会添加到一个 zip 文件中,该文件将保存到计算机的桌面上并且名为 cmdiag-<主机名>-<日期和时间>.zip。 |
使用“Mac 计算机注册向导”来注册客户端(仅限 System Center 2012 R2 Configuration Manager)
-
安装完客户端后,“计算机注册向导”将打开。 单击“下一步”继续通过欢迎页。
注意 如果向导未打开或者你无意中关闭了向导,请单击“Configuration Manager”首选项页中的“注册”以打开向导。
-
在向导的下一页上,指定下列信息:
- **用户名** - 用户名可以是以下格式: - “域\\名称”。 例如:“contoso\\mnorth” - “用户@域”。 例如:“mnorth@contoso.com” <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/JJ605416.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要事项</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>使用电子邮件地址填充“用户名”字段时,配置管理器 将自动使用该电子邮件地址的域名和注册代理点服务器的默认名称填充“服务器名称”字段。 如果此域名和服务器名称与注册代理点服务器的名称不匹配,你必须告知用户要使用的正确名称,使他们能够在注册其 Mac 计算机时输入此项。</p></td> </tr> </tbody> </table> </div> 用户名和对应的密码必须与被授予 Mac 客户端证书模板的“读取”和“注册”权限的 Active Directory 用户帐户匹配。 - **密码** – 为指定的用户名输入对应的密码。 - **服务器名称** – 输入注册代理点服务器的名称。
-
单击“下一步”继续,然后完成向导。
卸载 Mac 客户端
如果要卸载 Mac 客户端,请使用与你从 Web 中下载的 Mac 客户端文件一起提供的 CMUninstall 脚本。 使用以下过程帮助你从 Mac 计算机中卸载 Configuration Manager 客户端。
要卸载 Mac 客户端
-
在 Mac 计算机上,打开终端窗口并导航到文件夹,你在该文件夹中已经提取了从 Microsoft 下载中心下载的 macclient.dmg 文件的内容。
-
导航到“工具”文件夹并输入以下命令行:
./CMUninstall -c
注意 –c 属性指示客户端卸载也会删除客户端崩溃日志和日志文件。 这是可选项,但如果你以后重新安装客户端,那么这是帮助避免混淆的最佳方案。
-
如果需要,手动删除 配置管理器 所使用的客户端身份验证证书,或将其吊销。 CMUnistall 不会删除或吊销此证书。
续订 Mac 客户端证书
使用下列方法之一续订 Mac 客户端证书:
使用续订证书向导续订 Mac 客户端证书(仅限 System Center 2012 R2 Configuration Manager)
手动续订 Mac 客户端证书
使用续订证书向导续订 Mac 客户端证书(仅限 System Center 2012 R2 Configuration Manager)
使用下列过程在 System Center 2012 R2 Configuration Manager 中配置和使用续订证书向导。
要使用续订证书向导续订 Mac 客户端证书
-
在 ccmclient.plist 文件中配置以下值以控制续订证书向导的打开时间:
重要事项 你必须以字符串形式配置这些值。 如果将值配置为整数数据类型(通过使用“–int” 属性),则将不会读取这些值。
- **RenewalPeriod1** – 指定用户可以在其中续订证书的第一个续订期间(以秒为单位)。 默认值为 3,888,000 秒(45 天)。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果将“RenewalPeriod1”配置为大于或等于 300 秒,则将使用配置的值。 如果配置的值大于 0 而小于 300 秒,则将使用默认值 45 天。</p></td> </tr> </tbody> </table> </div> - **RenewalPeriod2** – 指定用户可以在其中续订证书的第二个续订期间(以秒为单位)。 默认值为 259,200 秒(3 天)。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果将“RenewalPeriod2”配置为大于或等于 300 秒且小于或等于“RenewalPeriod1”,则将使用配置的值。 如果“RenewalPeriod1”大于 3 天,则“RenewalPeriod2”将使用的值为 3 天。 如果“RenewalPeriod1”小于 3 天,则“RenewalPeriod2”设置为与“RenewalPeriod1”相同的值。</p></td> </tr> </tbody> </table> </div> - **RenewalReminderInterval1** – 指定在第一个续订期间将向用户显示续订证书向导的频率(以秒为单位)。 默认值为 86,400 秒(1 天)。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果“RenewalReminderInterval1”大于 300 秒且小于为“RenewalPeriod1”配置的值,则将使用配置的值。 否则,将使用默认值,即 1 天。</p></td> </tr> </tbody> </table> </div> - **RenewalReminderInterval2** – 指定在第二个续订期间将向用户显示续订证书向导的频率(以秒为单位)。 默认值为 28,800 秒(8 小时)。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221349.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果“RenewalReminderInterval2”大于 300 秒、小于等于“RenewalReminderInterval1”且小于等于“RenewalPeriod2”,则将使用配置的值。 否则,将使用的值为 8 小时。</p></td> </tr> </tbody> </table> </div>
**例如:**如果将各值保留为其默认值,则在证书到期前 45 天,将每 24 小时打开该向导。 在证书到期前 3 天内,将每隔 8 小时打开该向导。
**例如:**使用以下命令行或脚本将第一个续订期间设置为 20 天。
sudo defaults write com.microsoft.ccmclient RenewalPeriod1 1728000
-
当预订证书向导打开时,通常将预先填充“用户名”和“服务器名称”字段,用户只需输入密码即可续订证书。
注意 如果向导未打开或者你无意中关闭了向导,请单击“Configuration Manager”首选项页中的“续订”以打开向导。
手动续订 Mac 客户端证书
Mac 客户端证书的有效期通常为 1 年。配置管理器 不自动续订其在注册过程中请求的用户证书,因此你必须使用以下程序来手动续订证书。
重要事项 |
---|
如果证书过期,你必须卸载、重新安装并随后重新注册 Mac 客户端。 |
此过程会删除为相同 Mac 计算机请求新证书所需的 SMSID。 请求新证书后,配置管理器 会自动使用该证书。
重要事项 |
---|
如果删除和替换客户端 SMSID,则从 配置管理器 控制台中删除客户端之后会删除诸如清单之类的任何存储的客户端历史记录。 |
要手动续订 Mac 客户端证书
-
为必须续订用户证书的 Mac 计算机创建设备集合,然后将 Mac 计算机添加到该集合中。
警告 配置管理器 不监视它为 Mac 计算机注册的证书的有效期。 你必须独立于 配置管理器 监视此有效期,以标识要添加到此集合中的 Mac 计算机。
-
在“资产和符合性”工作区中,启动“创建配置项目向导”。
-
在向导的“常规”页上,指定下列信息:
- **名称:** **删除 Mac 的 SMSID** - **类型:** **Mac OS X**
-
在向导的“支持的平台”页上,确保选择所有的 Mac OS X 版本。
-
在向导的“设置”页上,单击“新建”,然后在“创建设置”对话框中指定以下信息:
- **名称:** **删除 Mac 的 SMSID** - **设置类型:** **脚本** - **数据类型:** **字符串**
-
在“创建设置”对话框中,对于“发现脚本”,请单击“添加脚本”以指定发现配置有 SMSID 的 Mac 计算机的脚本。
-
在“编辑发现脚本”对话框中,输入以下外壳脚本:
defaults read com.microsoft.ccmclient SMSID
-
单击“确定”以关闭“编辑发现脚本”对话框。
-
在“创建设置”对话框中,对于“修正脚本(可选)”,请单击“添加脚本”以指定在 Mac 计算机上发现 SMSID 时将其删除的脚本。
-
在“创建修正脚本”对话框中,输入以下外壳脚本:
defaults delete com.microsoft.ccmclient SMSID
-
单击“确定”以关闭“创建修正脚本”对话框。
-
在向导的“符合性规则”页上,单击“新建”,然后在“创建规则”对话框中指定以下信息:
名称: 删除 Mac 的 SMSID
**选定的设置:**单击“浏览”,然后选择你先前指定的发现脚本。
在“以下值”字段中,输入 The domain/default pair of (com.microsoft.ccmclient, SMSID) does not exist。
启用“当此设置不符合时运行指定的修正脚本”选项。
-
完成“创建配置项目向导”。
-
创建一个包含你刚刚创建的配置项目的配置基线,然后将它部署到你在步骤 1 中创建的设备集合。
有关如何创建和部署配置基线的详细信息,请参阅如何为 Configuration Manager 中的符合性设置创建配置基线和如何部署 Configuration Manager 中的配置基线。
-
在删除了 SMSID 的 Mac 计算机上,运行以下命令以安装新证书:
sudo ./CMEnroll -s <enrollment_proxy_server_name> -ignorecertchainvalidation -u <'user name'>
出现提示时,提供超级用户帐户的密码以运行命令,然后提供 Active Directory 用户帐户的密码。
-
仅适用于 配置管理器 SP1:若要将注册的证书限制在 配置管理器 范围内,请在 Mac 计算机上打开终端窗口并进行以下更改:
输入命令 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
在“密钥链访问”对话框中的“密钥链”部分中,单击“系统”,然后在“类别”部分中,单击“密钥”。
展开密钥以查看客户端证书。 标识了具有刚才安装的私钥的证书后,双击密钥。
在“访问控制”选项卡上,选择“在允许访问前确认”。
浏览到“/Library/Application Support/Microsoft/CCM”,选择“CCMClient”,然后单击“添加”。
单击“保存更改”并关闭“密钥链访问”对话框。
-
重新启动 Mac 计算机。
为 Mac 计算机升级客户端的步骤
适用于 System Center 2012 R2 Configuration Manager 和更高版本:
使用下表来了解有关如何使用 配置管理器 应用程序为 Mac 计算机升级客户端的步骤、详情及更多信息。 或者,你也可以下载 Mac 客户端安装文件,将其复制到 Mac 计算机上的共享网络位置或本地文件夹,然后指示用户手动运行安装。
注意 |
---|
在执行这些步骤之前,请确保 Mac 计算机满足 主题的 受支持的配置的配置管理器 部分中列出的先决条件。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigMacClientReq |
步骤 |
详细信息 |
更多信息 |
---|---|---|
步骤 1:从 Microsoft 下载中心下载最新的 Mac 客户端安装文件 |
配置管理器 安装媒体上未提供 配置管理器 的 Mac 客户端,必须从 Microsoft 下载中心下载。 Mac 客户端安装文件包含在名为 ConfigmgrMacClient.msi 的 Windows Installer 文件中。 |
可从适用于 配置管理器 SP1 的 Microsoft 下载中心和适用于 System Center 2012 R2 Configuration Manager 的 Microsoft 下载中心下载此文件。 |
步骤 2:运行下载的安装文件以创建 Mac 客户端安装文件。 |
在运行 Windows 的计算机上,运行下载的“ConfigmgrMacClient.msi”以解压缩名为“Macclient.dmg”的 Mac 客户端安装文件。 默认情况下,在你解压缩文件之后,此文件可在 Windows 计算机上的“C:\Program Files (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client”文件夹中找到。 |
无更多信息。 |
步骤 3:提取客户端安装文件。 |
将 Macclient.dmg 文件复制到网络共享或 Mac 计算机上的本地文件夹。 然后,从 Mac 计算机中装载并随后打开 Macclient.dmg 文件,并将文件复制到 Mac 计算机上的某个文件夹。 |
无更多信息。 |
步骤 4:创建可用于创建应用程序的 .cmmac 文件。 |
使用“CMAppUtil”工具(位于 Mac 客户端安装文件的“Tools”文件夹中)通过客户端安装包创建 .cmmac 文件。 此文件将用于创建 配置管理器 应用程序。 将新文件“CMClient.pkg.cmmac”复制到可供运行 配置管理器 控制台的计算机使用的位置。 |
有关详细信息,请参阅步骤 1:准备用于 Configuration Manager 的 Mac 应用程序主题中的如何在 Configuration Manager 中针对 Mac 计算机创建和部署应用程序部分。 |
步骤 5:创建并部署包含 Mac 客户端文件的 配置管理器 应用程序。 |
在 配置管理器 控制台中,从包含客户端安装文件的“CMClient.pkg.cmmac”文件创建应用程序。 将此应用程序部署到层次结构中的 Mac 计算机。 |
有关详细信息,请参阅 如何在 Configuration Manager 中针对 Mac 计算机创建和部署应用程序。 |
步骤 6:用户安装最新的客户端。 |
将向 Mac 客户端的用户发出提示,指出 配置管理器 客户端的更新可用并且必须安装。 用户安装客户端后,他们必须重启其 Mac 计算机。 |
计算机重启后,“计算机注册向导”将自动运行以请求新用户证书。 如果不想使用 配置管理器 注册,而想从 配置管理器 独立地安装客户端证书,请参见本主题中升级客户端部分的使用与 Configuration Manager 无关的证书请求和安装方法。 |
使用与 Configuration Manager 无关的证书请求和安装方法
但如果不使用 配置管理器 注册,请独立于 配置管理器 请求和安装客户端证书,配置步骤略微不同:
执行步骤 1、2、4、6(可选)和 8。
不执行步骤 3、5、7 和 9。
按照以下说明安装客户端。
独立于 Configuration Manager 安装客户端证书并安装客户端
-
要独立于 配置管理器 安装客户端证书,请使用所选证书部署方法附带的说明在 Mac 计算机上请求和安装客户端证书。
-
导航到文件夹,你在该文件夹中已经提取了从 Microsoft 下载中心下载的 macclient.dmg 文件的内容。
-
输入以下命令行:sudo ./ccmsetup –MP <management point Internet FQDN> -SubjectName <certificate subject value>
重要事项 证书使用者值区分大小写,因此请键入与证书详细信息中显示的值完全相同的值。
例如:如果站点系统属性中的 Internet FQDN 为 server03.contoso.com,并且 Mac 客户端证书以 mac12.contoso.com 的 FQDN 作为证书使用者中的公用名,请键入:sudo ./ccmsetup –MP server03.contoso.com –SubjectName mac12.contoso.com
-
请一直等到看到“已完成安装”消息,然后重启 Mac 计算机。
-
要确保 配置管理器 可以访问此证书,请在 Mac 计算机上打开终端窗口并进行以下更改:
输入命令 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
在“密钥链访问”对话框中的“密钥链”部分中,单击“系统”,然后在“类别”部分中,单击“密钥”。
展开密钥以查看客户端证书。 标识了具有刚才安装的私钥的证书后,双击密钥。
在“访问控制”选项卡上,选择“在允许访问前确认”。
浏览到“/Library/Application Support/Microsoft/CCM”,选择“CCMClient”,然后单击“添加”。
单击“保存更改”并关闭“密钥链访问”对话框。
-
如果有多个包含同一使用者值的证书,你必须指定证书序列号以标识要用于 配置管理器 客户端的证书。 若要执行此操作,请使用下列命令:sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"。
例如:sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
-
若要将此证书限制在 配置管理器 范围内,请在 Mac 计算机上打开终端窗口并进行以下更改:
输入命令 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
在“密钥链访问”对话框中的“密钥链”部分中,单击“系统”,然后在“类别”部分中,单击“密钥”。
展开密钥以查看客户端证书。 标识了具有刚才安装的私钥的证书后,双击密钥。
在“访问控制”选项卡上,选择“在允许访问前确认”。
浏览到“/Library/Application Support/Microsoft/CCM”,选择“CCMClient”,然后单击“添加”。
单击“保存更改”并关闭“密钥链访问”对话框。
在 Mac 计算机上的“系统首选项”中打开“Configuration Manager”项以验证客户端安装是否成功。 也可以更新和查看“所有系统”集合,以确认现在 Mac 计算机在此集合中显示为托管客户端。
续订 Mac 客户端证书
在 Mac 计算机上续订计算机证书之前,请使用以下过程。
此过程会删除客户端在 Mac 计算机上使用新证书或续订的证书所需的 SMSID。
重要事项 |
---|
如果删除和替换客户端 SMSID,则从 配置管理器 控制台中删除客户端之后会删除诸如清单之类的任何存储的客户端历史记录。 |
要续订 Mac 客户端证书
-
为必须续订计算机证书的 Mac 计算机创建设备集合,然后将 Mac 计算机添加到该集合中。
-
在“资产和符合性”工作区中,启动“创建配置项目向导”。
-
在向导的“常规”页上,指定下列信息:
- **名称:** **删除 Mac 的 SMSID** - **类型:** **Mac OS X**
-
在向导的“支持的平台”页上,确保选择所有的 Mac OS X 版本。
-
在向导的“设置”页上,单击“新建”,然后在“创建设置”对话框中指定以下信息:
- **名称:** **删除 Mac 的 SMSID** - **设置类型:** **脚本** - **数据类型:** **字符串**
-
在“创建设置”对话框中,对于“发现脚本”,请单击“添加脚本”以指定发现配置有 SMSID 的 Mac 计算机的脚本。
-
在“编辑发现脚本”对话框中,输入以下外壳脚本:
defaults read com.microsoft.ccmclient SMSID
-
单击“确定”以关闭“编辑发现脚本”对话框。
-
在“创建设置”对话框中,对于“修正脚本(可选)”,请单击“添加脚本”以指定在 Mac 计算机上发现 SMSID 时将其删除的脚本。
-
在“创建修正脚本”对话框中,输入以下外壳脚本:
defaults delete com.microsoft.ccmclient SMSID
-
单击“确定”以关闭“创建修正脚本”对话框。
-
在向导的“符合性规则”页上,单击“新建”,然后在“创建规则”对话框中指定以下信息:
名称: 删除 Mac 的 SMSID
**选定的设置:**单击“浏览”,然后选择你先前指定的发现脚本。
在“以下值”字段中,输入 The domain/default pair of (com.microsoft.ccmclient, SMSID) does not exist。
启用“当此设置不符合时运行指定的修正脚本”选项。
-
完成“创建配置项目向导”。
-
创建一个包含你刚刚创建的配置项目的配置基线,然后将它部署到你在步骤 1 中创建的设备集合。
有关如何创建和部署配置基线的详细信息,请参阅如何为 Configuration Manager 中的符合性设置创建配置基线和如何部署 Configuration Manager 中的配置基线。
-
在删除了 SMSID 的 Mac 计算机上安装了新的证书后,运行以下命令,以便将客户端配置为使用此新证书:
sudo defaults write com.microsoft.ccmclient SubjectName –string <Subject_Name_of_New_Certificate>
-
如果有多个包含同一使用者值的证书,你必须随后指定证书序列号以标识要用于 配置管理器 客户端的证书。 若要执行此操作,请使用下列命令:sudo defaults write com.microsoft.ccmclient SerialNumber -data "<serial number>"。
例如:sudo defaults write com.microsoft.ccmclient SerialNumber -data "17D4391A00000003DB"
-
重新启动 Mac 计算机。
升级客户端
适用于 System Center 2012 R2 Configuration Manager 和更高版本:
按照 为 Mac 计算机升级客户端的步骤 操作。 升级客户端之后,请运行下列过程以防止“计算机注册向导”运行,并配置升级的客户端以使用现有客户端证书。
配置升级的客户端以使用现有证书
-
在 配置管理器 控制台中,创建“Mac OS X”类型的配置项目。
-
使用设置类型“脚本”将设置添加到此配置项。
-
将下列脚本添加到设置:
#!/bin/sh echo "Starting script\n" echo "Changing directory to MAC Client\n" cd /Users/Administrator/Desktop/'MAC Client'/ echo "Import root cert\n" /usr/bin/sudo /usr/bin/security import /Users/Administrator/Desktop/'MAC Client'/Root.pfx -A -k /Library/Keychains/System.Keychain -P ROOT echo "Using openssl to convert pfx to a crt\n" /usr/bin/sudo openssl pkcs12 -in /Users/Administrator/Desktop/'MAC Client'/Root.pfx -out Root1.crt -nokeys -clcerts -passin pass:ROOT echo "Adding trust to root cert\n" /usr/bin/sudo /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.Keychain Root1.crt echo "Import client cert\n" /usr/bin/sudo /usr/bin/security import /Users/Administrator/Desktop/'MAC Client'/MacClient.pfx -A -k /Library/Keychains/System.Keychain -P MAC echo "Executing ccmclient with MP\n" sudo ./ccmsetup -MP https://SCCM34387.SCCM34387DOM.NET/omadm/cimhandler.ashx echo "Editing Plist file\n" sudo /usr/libexec/Plistbuddy -c 'Add:SubjectName string CMMAC003L' /Library/'Application Support'/Microsoft/CCM/ccmclient.plist echo "Changing directory to CCM\n" cd /Library/'Application Support'/Microsoft/CCM/ echo "Making connection to the server\n" sudo open ./CCMClient echo "Ending Script\n" exit
-
将配置项添加到配置基线,然后将该配置基线部署到独立于 配置管理器 安装证书的所有 Mac 计算机。
有关如何为 Mac 计算机创建和部署配置项的详细信息,请参阅如何创建 Configuration Manager 中的 Mac 计算机配置项目和如何部署 Configuration Manager 中的配置基线。