適用于 Configuration Manager 的 PKI 憑證部署逐步範例:Windows Server 2008 憑證授權單位單位
適用於:Configuration Manager (目前的分支)
此逐步範例部署使用 Windows Server 2008 憑證授權單位單位 (CA) ,其程式會示範如何建立及部署公開金鑰基礎結構, (Configuration Manager使用的 PKI) 憑證。 這些程式會使用企業憑證授權單位單位 (CA) 和憑證範本。 這些步驟僅適用于測試網路,作為概念證明。
因為不需要憑證的單一部署方法,請參閱您的特定 PKI 部署檔,以取得部署生產環境所需憑證所需的程式和最佳做法。 如需憑證需求的詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求。
提示
您可以針對測試網路需求一節中未記載的作業系統,調整本主題中的指示。 不過,如果您在Windows Server 2012上執行發行 CA,系統不會提示您輸入憑證範本版本。 請改為在範本屬性的 [ 相容性 ] 索引標籤上指定:
- 憑證授權單位單位: Windows Server 2003
- 憑證收件者: Windows XP/ Server 2003
測試網路需求
逐步指示具有下列需求:
測試網路Active Directory 網域服務 Windows Server 2008 執行,並安裝為單一網域、單一樹系。
您有一個執行 Windows Server 2008 Enterprise Edition的成員伺服器,其上已安裝 Active Directory 憑證服務角色,且已設定為企業根憑證授權單位 (CA) 。
您有一部電腦上已安裝 Windows Server 2008 (Standard Edition 或 Enterprise Edition、R2 或更新版本) ,該電腦已指定為成員伺服器,且其上已安裝 Internet Information Services (IIS) 。 如果您必須支援Configuration Manager和網際網路上用戶端所註冊的行動裝置,則此電腦將會是您將使用內部網路完整功能變數名稱 (FQDN) 設定的Configuration Manager月臺系統伺服器,以支援內部網路上的用戶端連線和網際網路 FQDN。
您有一個已安裝最新 Service Pack 的 Windows Vista 用戶端,且此電腦是以包含 ASCII 字元的電腦名稱稱設定,並已加入網域。 這部電腦將會是Configuration Manager用戶端電腦。
您可以使用根域系統管理員帳戶或企業網域系統管理員帳戶登入,並將此帳戶用於此範例部署中的所有程式。
憑證概觀
下表列出Configuration Manager可能需要的 PKI 憑證類型,並說明其使用方式。
| 憑證需求 | 憑證描述 |
|---|---|
| 執行 IIS 之月臺系統的 Web 服務器證書 | 此憑證可用來加密資料,以及向用戶端驗證服務器。 它必須從執行 Internet Information Services (IIS) 且在 Configuration Manager 中設定為使用 HTTPS 的月臺系統伺服器上的Configuration Manager外部安裝。 如需設定及安裝此憑證的步驟,請參閱本主題中的 為執行 IIS 的月臺系統部署 Web 服務器證書 。 |
| 用戶端連線到雲端發佈點的服務憑證 | 如需設定及安裝此憑證的步驟,請參閱本主題中的 部署雲端發佈點的服務憑證 。 重要: 此憑證會與 Windows Azure 管理憑證搭配使用。 如需管理憑證的詳細資訊,請參閱 如何建立管理憑證 和 如何將管理憑證新增至 Windows Azure 訂用帳戶。 |
| Windows 電腦的用戶端憑證 | 此憑證可用來向設定為使用 HTTPS 的月臺系統驗證Configuration Manager用戶端電腦。 它也可以用於管理點和狀態移轉點,以在設定為使用 HTTPS 時監視其操作狀態。 它必須從電腦上的Configuration Manager安裝在外部。 如需設定和安裝此憑證的步驟,請參閱本主題中的 部署 Windows 電腦的用戶端憑證 。 |
| 發佈點的用戶端憑證 | 此憑證有兩個用途: 憑證是用來在發佈點傳送狀態訊息之前,向已啟用 HTTPS 的管理點驗證發佈點。 選取 [ 為用戶端啟用 PXE 支援 ] 發佈點選項時,憑證會傳送至 PXE 開機的電腦,以便在部署作業系統期間連線到已啟用 HTTPS 的管理點。 如需設定及安裝此憑證的步驟,請參閱本主題中的 部署發佈點的用戶端憑證 。 |
| 行動裝置的註冊憑證 | 此憑證可用來向設定為使用 HTTPS 的月臺系統驗證Configuration Manager行動裝置用戶端。 它必須安裝為 Configuration Manager 中行動裝置註冊的一部分,而且您選擇已設定的憑證範本作為行動裝置用戶端設定。 如需設定此憑證的步驟,請參閱本主題中的 部署行動裝置的註冊憑證 。 |
| Mac 電腦的用戶端憑證 | 您可以在使用Configuration Manager註冊時,從 Mac 電腦要求並安裝此憑證,並選擇已設定的憑證範本作為行動裝置用戶端設定。 如需設定此憑證的步驟,請參閱本主題中的 部署 Mac 電腦的用戶端憑證 。 |
為執行 IIS 的月臺系統部署 Web 服務器證書
此憑證部署具有下列程式:
在憑證授權單位單位上建立和發行 Web 服務器憑證範本
要求 Web 服務器證書
設定 IIS 以使用 Web 服務器證書
在憑證授權單位單位上建立和發行 Web 服務器憑證範本
此程式會建立Configuration Manager月臺系統的憑證範本,並將其新增至憑證授權單位單位。
在憑證授權單位單位上建立和發行 Web 服務器憑證範本
建立名為ConfigMgr IIS Servers的安全性群組,其成員伺服器可安裝Configuration Manager執行 IIS 的月臺系統。
在已安裝憑證服務的成員伺服器上,于 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本 ],然後選擇 [ 管理 ] 以載入 [ 憑證範本 ] 主控台。
在結果窗格中,以滑鼠右鍵按一下 [範本顯示名稱] 資料行中具有Web 服務器的專案,然後選擇 [複製範本]。
在 [複製範本] 對話方塊中,確定已選取[Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server],Enterprise Edition]。
在 [新增範本的屬性] 對話方塊的 [一般] 索引標籤上,輸入範本名稱,例如ConfigMgr Web 服務器證書,以產生將用於Configuration Manager月臺系統上的 Web 憑證。
選擇 [ 主體名稱] 索引標籤,並確定已選取 [在要求中提供 ]。
選擇 [安全性]索引標籤,然後從[網域管理員] 和[企業系統管理員] 安全性群組中移除 [註冊] 許可權。
選擇 [新增],在文字方塊中輸入 ConfigMgr IIS 伺服器 ,然後選擇 [ 確定]。
選擇此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [確定],然後關閉 [ 憑證範本主控台]。
在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],選擇 [ 新增],然後選擇 [要發出的憑證範本]。
在 [ 啟用憑證範本 ] 對話方塊中,選擇您剛才建立的新範本 ConfigMgr Web 服務器證書,然後選擇 [ 確定]。
如果您不需要建立並簽發更多憑證,請關閉 憑證授權單位單位。
要求 Web 服務器證書
此程式可讓您指定將在月臺系統伺服器屬性中設定的內部網路和網際網路 FQDN 值,然後將 Web 服務器證書安裝到執行 IIS 的成員伺服器。
要求 Web 服務器證書
重新開機執行 IIS 的成員伺服器,以確保電腦可以使用您設定的 讀 取和 註冊 許可權來存取您建立的憑證範本。
選擇 [ 開始],選擇 [ 執行],然後輸入 mmc.exe]。 在空白主控台中,選擇 [檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,從[可用的嵌入式管理單元] 清單中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話方塊中,選擇 [ 電腦帳戶],然後選擇 [ 下一步]。
在 [ 選取電腦 ] 對話方塊中,確定已選取 [ 本機電腦: () 執行此主控台的電腦 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話方塊中,選擇 [ 確定]。
在主控台中,展開 [ 本機電腦 (憑證) ],然後選擇 [ 個人]。
以滑鼠右鍵按一下 [憑證],選擇 [ 所有工作],然後選擇 [ 要求新憑證]。
在 [ 開始之前] 頁面上,選擇 [ 下一步]。
如果您看到 [ 選取憑證註冊原則 ] 頁面,請選擇 [下一步]。
在 [ 要求憑證] 頁面上,從可用憑證清單中識別 [ConfigMgr Web 服務器 證書],然後選擇 [需要更多資訊才能註冊此憑證]。按一下這裡設定設定。
在 [ 憑證內容] 對話方塊的 [ 主體 ] 索引標籤中,不要對 [主體名稱] 進行任何變更。 這表示 [主體名稱] 區段的[值] 方塊會保持空白。 相反地,從 [ 替代名稱] 區段中,選擇 [ 類型 ] 下拉式清單,然後選擇 [DNS]。
在 [值]方塊中,指定您將在Configuration Manager月臺系統屬性中指定的 FQDN 值,然後選擇 [確定] 關閉 [憑證屬性] 對話方塊。
範例:
如果月臺系統只會接受來自內部網路的用戶端連線,且月臺系統伺服器的內部網路 FQDN 已 server1.internal.contoso.com,請輸入 server1.internal.contoso.com,然後選擇 [ 新增]。
如果月臺系統接受來自內部網路和網際網路的用戶端連線,且月臺系統伺服器的內部網路 FQDN 已 server1.internal.contoso.com ,且月臺系統伺服器的網際網路 FQDN 為 server.contoso.com:
輸入 server1.internal.contoso.com,然後選擇 [ 新增]。
輸入 server.contoso.com,然後選擇 [ 新增]。
注意事項
您可以依任何順序指定Configuration Manager的 FQDN。 不過,請檢查將使用憑證的所有裝置,例如行動裝置和 Proxy 網頁伺服器,都可以使用憑證主體別名 (SAN) 和 SAN 中的多個值。 如果裝置在憑證中對 SAN 值的支援有限,您可能必須變更 FQDN 的順序,或改用 Subject 值。
在 [ 要求憑證] 頁面上,從可用憑證清單中選擇 [ ConfigMgr Web 服務器證書 ],然後選擇 [ 註冊]。
在 [ 憑證安裝結果 ] 頁面上,等候憑證安裝完成,然後選擇 [ 完成]。
關閉 本機電腦 () 憑證 。
設定 IIS 以使用 Web 服務器證書
此程式會將已安裝的憑證系結至 IIS 預設網站。
若要設定 IIS 以使用 Web 服務器證書
在已安裝 IIS 的成員伺服器上,依序選擇 [ 啟動]、[ 程式]、[系統 管理工具],然後選擇 [ Internet Information Services (IIS) Manager]。
展開 [網站],以滑鼠右鍵按一下 [預設網站],然後選擇 [ 編輯系結]。
選擇 HTTPs 專案,然後選擇 [ 編輯]。
在 [ 編輯網站系 結] 對話方塊中,選取您使用 ConfigMgr Web 服務器憑證範本要求的憑證,然後選擇 [ 確定]。
注意事項
如果您不確定哪一個是正確的憑證,請選擇一個憑證,然後選擇 [ 檢視]。 這可讓您將選取的憑證詳細資料與 [憑證] 嵌入式管理單元中的憑證進行比較。 例如,[憑證] 嵌入式管理單元會顯示用來要求憑證的憑證範本。 然後,您可以使用 ConfigMgr Web 服務器憑證範本,將所要求憑證的憑證指紋與 [ 編輯網站 系結] 對話方塊中目前選取之憑證的憑證指紋進行比較。
在 [編輯網站系結] 對話方塊中選擇 [確定],然後選擇 [關閉]。
關閉 Internet Information Services (IIS) Manager。
成員伺服器現在已設定為Configuration Manager Web 服務器證書。
重要事項
當您在此電腦上安裝Configuration Manager月臺系統伺服器時,請確定您在月臺系統屬性中指定的 FQDN 與您要求憑證時所指定的 FQDN 相同。
部署雲端發佈點的服務憑證
此憑證部署具有下列程式:
在憑證授權單位單位上建立和發行自訂 Web 服務器憑證範本
此程式會建立以 Web 服務器憑證範本為基礎的自訂憑證範本。 憑證適用于Configuration Manager雲端式發佈點,且私密金鑰必須可匯出。 建立憑證範本之後,它會新增至憑證授權單位單位。
注意事項
此程式會使用與您為執行 IIS 之月臺系統建立的 Web 服務器憑證範本不同的憑證範本。 雖然這兩個憑證都需要伺服器驗證功能,但雲端式發佈點的憑證會要求您輸入自訂定義的主體名稱值,而且必須匯出私密金鑰。 安全性最佳做法是,除非需要此設定,否則請勿設定憑證範本,以便匯出私密金鑰。 雲端式發佈點需要此設定,因為您必須將憑證匯入為檔案,而不是從憑證存放區中選擇它。
當您為此憑證建立新的憑證範本時,可以限制可要求其私密金鑰可匯出之憑證的電腦。 在生產網路上,您也可以考慮為此憑證新增下列變更:
- 需要核准才能安裝憑證,以取得額外的安全性。
- 增加憑證有效期間。 因為每次憑證到期之前都必須匯出和匯入憑證,所以有效期間的增加可減少重複此程式的頻率。 不過,有效期間的增加也會降低憑證的安全性,因為它提供更多時間讓攻擊者解密私密金鑰並竊取憑證。
- 使用憑證主體別名 (SAN) 中的自訂值,協助您從與 IIS 搭配使用的標準 Web 服務器證書中識別此憑證。
在憑證授權單位單位上建立和發行自訂 Web 服務器憑證範本
建立名為ConfigMgr 月臺伺服器的安全性群組,其成員伺服器可安裝Configuration Manager將管理雲端架構發佈點的主要月臺伺服器。
在執行憑證授權單位單位主控台的成員伺服器上,以滑鼠右鍵按一下 [ 憑證範本],然後選擇 [ 管理 ] 以載入憑證範本管理主控台。
在結果窗格中,以滑鼠右鍵按一下 [範本顯示名稱] 資料行中具有Web 服務器的專案,然後選擇 [複製範本]。
在 [複製範本] 對話方塊中,確定已選取[Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server],Enterprise Edition]。
在 [ 新增範本的 屬性] 對話方塊的 [一 般 ] 索引標籤上,輸入範本名稱,例如 ConfigMgr Cloud-Based發佈點憑證,以產生雲端架構發佈點的 Web 服務器證書。
選擇 [ 要求處理] 索引標籤,然後選擇 [ 允許匯出私密金鑰]。
選擇 [安全性] 索引標籤,然後從Enterprise Admins安全性群組移除 [註冊] 許可權。
選擇 [新增],在文字方塊中輸入 ConfigMgr 月臺伺服器 ,然後選擇 [ 確定]。
選取此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [ 密碼編譯] 索引 標籤,並確定 [金鑰大小下限 ] 已設定為 2048。
選擇 [確定],然後關閉 [ 憑證範本主控台]。
在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],選擇 [ 新增],然後選擇 [要發出的憑證範本]。
在 [ 啟用憑證範本 ] 對話方塊中,選擇您剛才建立的新範本 ConfigMgr Cloud-Based發佈點憑證,然後選擇 [ 確定]。
如果您不需要建立併發行更多憑證,請關閉 憑證授權單位單位。
要求自訂 Web 服務器證書
此程式會要求,然後在將執行月臺伺服器的成員伺服器上安裝自訂 Web 服務器證書。
要求自訂 Web 服務器證書
建立並設定 ConfigMgr 月臺伺服器 安全性群組之後,請重新開機成員伺服器,以確保電腦可以使用您設定的 讀 取和 註冊 許可權來存取您所建立的憑證範本。
選擇 [ 開始],選擇 [ 執行],然後輸入 mmc.exe。 在空白主控台中,選擇 [檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,從[可用的嵌入式管理單元] 清單中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話方塊中,選擇 [ 電腦帳戶],然後選擇 [ 下一步]。
在 [ 選取電腦 ] 對話方塊中,確定已選取 [ 本機電腦: () 執行此主控台的電腦 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話方塊中,選擇 [ 確定]。
在主控台中,展開 [ 本機電腦 (憑證) ],然後選擇 [ 個人]。
以滑鼠右鍵按一下 [憑證],選擇 [ 所有工作],然後選擇 [ 要求新憑證]。
在 [ 開始之前] 頁面上,選擇 [ 下一步]。
如果您看到 [ 選取憑證註冊原則 ] 頁面,請選擇 [下一步]。
在 [ 要求憑證] 頁面上,從可用憑證清單中識別 [ ConfigMgr Cloud-Based發佈點憑證 ],然後選擇 [需要更多資訊才能註冊此憑證]。請選擇此處設定設定。
在 [ 憑證內容] 對話方塊的 [ 主體] 索引標籤中,針對 [ 主體名稱] 選擇 [ 一般名稱 ] 作為 [類型]。
在 [ 值] 方塊中,使用 FQDN 格式指定您選擇的服務名稱和功能變數名稱。 例如: clouddp1.contoso.com。
注意事項
讓服務名稱在命名空間中是唯一的。 您將使用 DNS 建立別名 (CNAME 記錄) 將此服務名稱對應至自動產生的識別碼 (GUID) 以及來自 Windows Azure 的 IP 位址。
選擇 [新增],然後選擇 [ 確定] 以關閉 [ 憑證內容 ] 對話方塊。
在 [ 要求憑證] 頁面上,從可用憑證清單中選擇 [ ConfigMgr Cloud-Based發佈點 憑證],然後選擇 [ 註冊]。
在 [ 憑證安裝結果 ] 頁面上,等候憑證安裝完成,然後選擇 [ 完成]。
關閉 本機電腦 () 憑證 。
匯出雲端發佈點的自訂 Web 服務器證書
此程式會將自訂 Web 服務器證書匯出至檔案,以便在您建立雲端發佈點時匯入。
匯出雲端式發佈點的自訂 Web 服務器證書
在 [ 本機電腦 (憑證]) 主控台中,以滑鼠右鍵按一下您剛安裝的憑證,選擇 [ 所有工作],然後選擇 [ 匯出]。
在 [憑證匯出精靈] 中,選擇 [ 下一步]。
在 [ 匯出私密金鑰 ] 頁面上,選擇 [ 是],匯出私密金鑰,然後選擇 [ 下一步]。
注意事項
如果無法使用此選項,則已建立憑證,而沒有匯出私密金鑰的選項。 在此案例中,您無法以必要的格式匯出憑證。 您必須設定憑證範本,才能匯出私密金鑰,然後再次要求憑證。
在 [ 匯出檔案格式] 頁面上,確定 個人資訊交換 - PKCS #12 (。已選取 PFX) 選項。
在 [ 密碼] 頁面上,指定強式密碼以使用其私密金鑰保護匯出的憑證,然後選擇 [ 下一步]。
在 [ 要匯出的檔案 ] 頁面上,指定您要匯出的檔案名,然後選擇 [ 下一步]。
若要關閉精靈,請在 [憑證匯出精靈] 頁面中選擇 [完成],然後在確認對話方塊中選擇 [確定]。
關閉 本機電腦 () 憑證 。
安全地儲存檔案,並確保您可以從 Configuration Manager 主控台存取它。
當您建立雲端發佈點時,憑證現在已準備好匯入。
部署 Windows 電腦的用戶端憑證
此憑證部署具有下列程式:
在憑證授權單位單位上建立和發行工作站驗證憑證範本
使用 群組原則 設定工作站驗證範本的自動註冊
自動註冊工作站驗證憑證,並在電腦上驗證其安裝
在憑證授權單位單位上建立和發行工作站驗證憑證範本
此程式會建立Configuration Manager用戶端電腦的憑證範本,並將其新增至憑證授權單位單位。
在憑證授權單位單位上建立和發行工作站驗證憑證範本
在執行憑證授權單位單位主控台的成員伺服器上,以滑鼠右鍵按一下 [ 憑證範本],然後選擇 [ 管理 ] 以載入憑證範本管理主控台。
在結果窗格中,以滑鼠右鍵按一下 [範本顯示名稱] 資料行中具有工作站驗證的專案,然後選擇 [複製範本]。
在 [複製範本] 對話方塊中,確定已選取[Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server],Enterprise Edition]。
在 [新增範本的內容] 對話方塊的 [一般] 索引標籤上,輸入範本名稱,例如ConfigMgr 客戶端憑證,以產生將用於用戶端電腦Configuration Manager用戶端憑證。
選擇 [ 安全性] 索 引標籤,選取 [網域電腦 ] 群組,然後選取 [ 讀 取] 和 [ 自動註冊] 的其他許可權。 請勿清除 [註冊]。
選擇 [確定],然後關閉 [ 憑證範本主控台]。
在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],選擇 [ 新增],然後選擇 [要發出的憑證範本]。
在 [ 啟用憑證範本 ] 對話方塊中,選擇您剛才建立的新範本 ConfigMgr 用戶端憑證,然後選擇 [ 確定]。
如果您不需要建立並簽發更多憑證,請關閉 憑證授權單位單位。
使用 群組原則 設定工作站驗證範本的自動註冊
此程式會設定群組原則在電腦上自動註冊用戶端憑證。
若要使用 群組原則 設定工作站驗證範本的自動註冊
在網域控制站上,選擇 [啟動],選擇 [系統管理工具],然後選擇[群組原則管理]。
移至您的網域,以滑鼠右鍵按一下網域,然後選擇 [ 在此網域中建立 GPO],然後將它連結到這裡。
注意事項
此步驟會使用建立自訂設定之新群組原則的最佳做法,而不是編輯與 Active Directory 網域服務 一起安裝的預設網域原則。 當您在網域層級指派此群組原則時,會將它套用至網域中的所有電腦。 在生產環境中,您可以限制自動註冊,使其只在選取的電腦上註冊。 您可以在組織單位層級指派群組原則,也可以使用安全性群組篩選網域群組原則,使其僅適用于群組中的電腦。 如果您限制自動註冊,請記得包含設定為管理點的伺服器。
在 [新增 GPO]對話方塊中,輸入新群組原則的名稱,例如[自動註冊憑證],然後選擇 [確定]。
在結果窗格的 [連結群組原則物件] 索引標籤上,以滑鼠右鍵按一下新的群組原則,然後選擇 [編輯]。
在[群組原則 管理編輯器] 中,展開 [電腦設定] 底下的 [原則],然後移至 [Windows 設定安全性 / / 設定] [公開金鑰原則]。
以滑鼠右鍵按一下名為 [憑證服務用戶端 - 自動註冊] 的物件類型,然後選擇 [ 屬性]。
從 [ 組態模型] 下拉式清單中,依序選擇 [ 啟用]、[ 更新過期的憑證]、更新擱置中的憑證、移除撤銷的憑證、 選擇 [更新使用憑證範本的憑證],然後選擇 [ 確定]。
關閉群組原則 管理]。
自動註冊工作站驗證憑證,並在電腦上驗證其安裝
此程式會在電腦上安裝用戶端憑證,並驗證安裝。
自動註冊工作站驗證憑證,並在用戶端電腦上驗證其安裝
重新開機工作站電腦,並在登入前等候幾分鐘。
注意事項
重新開機電腦是確保憑證自動註冊成功的最可靠方法。
使用具有系統管理許可權的帳戶登入。
在搜尋方塊中,輸入mmc.exe.,然後按Enter。
在空的管理主控台中,選擇 [ 檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,從[可用的嵌入式管理單元] 清單中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話方塊中,選擇 [ 電腦帳戶],然後選擇 [ 下一步]。
在 [ 選取電腦 ] 對話方塊中,確定已選取 [ 本機電腦: () 執行此主控台的電腦 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話方塊中,選擇 [ 確定]。
在主控台中,展開 [ 憑證 (本機電腦) ],展開 [ 個人],然後選擇 [ 憑證]。
在結果窗格中,確認憑證在 [預定用途] 資料行中有 [用戶端驗證],且[ConfigMgr 用戶端憑證] 位於 [憑證範本] 資料行中。
關閉 本機電腦 () 憑證 。
針對成員伺服器重複步驟 1 到 11,以確認將設定為管理點的伺服器也具有用戶端憑證。
電腦現在已設定Configuration Manager用戶端憑證。
部署發佈點的用戶端憑證
注意事項
此憑證也可用於不使用 PXE 開機的媒體映射,因為憑證需求相同。
此憑證部署具有下列程式:
在憑證授權單位單位上建立和發行自訂工作站驗證憑證範本
要求自訂工作站驗證憑證
匯出發佈點的用戶端憑證
在憑證授權單位單位上建立和發行自訂工作站驗證憑證範本
此程式會建立Configuration Manager發佈點的自訂憑證範本,以便匯出私密金鑰,並將憑證範本新增至憑證授權單位單位。
注意事項
此程式會使用與您為用戶端電腦建立的憑證範本不同的憑證範本。 雖然這兩個憑證都需要用戶端驗證功能,但發佈點的憑證需要匯出私密金鑰。 安全性最佳做法是,除非需要此設定,否則請勿設定憑證範本,以便匯出私密金鑰。 發佈點需要此設定,因為您必須將憑證匯入為檔案,而不是從憑證存放區中選擇它。
當您為此憑證建立新的憑證範本時,可以限制可要求其私密金鑰可匯出之憑證的電腦。 在我們的範例部署中,這會是您先前為執行 IIS 之月臺系統伺服器建立Configuration Manager的安全性群組。 在散發 IIS 月臺系統角色的生產網路上,請考慮為執行發佈點的伺服器建立新的安全性群組,以便將憑證限制為僅限這些月臺系統伺服器。 您也可以考慮為此憑證新增下列修改:
- 需要核准才能安裝憑證,以取得額外的安全性。
- 增加憑證有效期間。 因為每次憑證到期之前都必須匯出和匯入憑證,所以有效期間的增加可減少重複此程式的頻率。 不過,有效期間的增加也會降低憑證的安全性,因為它提供更多時間讓攻擊者解密私密金鑰並竊取憑證。
- 在憑證 [主體] 欄位或 [主體別名] (SAN) 中使用自訂值,以協助從標準用戶端憑證識別此憑證。 如果您將相同的憑證用於多個發佈點,這會特別有用。
在憑證授權單位單位上建立和發行自訂工作站驗證憑證範本
在執行憑證授權單位單位主控台的成員伺服器上,以滑鼠右鍵按一下 [ 憑證範本],然後選擇 [ 管理 ] 以載入憑證範本管理主控台。
在結果窗格中,以滑鼠右鍵按一下 [範本顯示名稱] 資料行中具有工作站驗證的專案,然後選擇 [複製範本]。
在 [複製範本] 對話方塊中,確定已選取[Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server],Enterprise Edition]。
在 [ 新增範本的內容 ] 對話方塊的 [一 般 ] 索引標籤上,輸入範本名稱,例如 ConfigMgr 用戶端發佈點憑證,以產生發佈點的用戶端驗證憑證。
選擇 [ 要求處理] 索引標籤,然後選擇 [ 允許匯出私密金鑰]。
選擇 [安全性] 索引標籤,然後從Enterprise Admins安全性群組移除 [註冊] 許可權。
選擇 [新增],在文字方塊中輸入 ConfigMgr IIS 伺服器 ,然後選擇 [ 確定]。
選取此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [確定],然後關閉 [ 憑證範本主控台]。
在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],選擇 [ 新增],然後選擇 [要發出的憑證範本]。
在 [ 啟用憑證範本 ] 對話方塊中,選擇您剛才建立的新範本 ConfigMgr 用戶端發佈點憑證,然後選擇 [ 確定]。
如果您不需要建立併發行更多憑證,請關閉 憑證授權單位單位。
要求自訂工作站驗證憑證
此程式會要求 ,然後將自訂用戶端憑證安裝到執行 IIS 且將設定為發佈點的成員伺服器上。
要求自訂工作站驗證憑證
選擇 [ 開始],選擇 [ 執行],然後輸入 mmc.exe。 在空白主控台中,選擇 [檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,從[可用的嵌入式管理單元] 清單中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話方塊中,選擇 [ 電腦帳戶],然後選擇 [ 下一步]。
在 [ 選取電腦 ] 對話方塊中,確定已選取 [ 本機電腦: () 執行此主控台的電腦 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話方塊中,選擇 [ 確定]。
在主控台中,展開 [ 本機電腦 (憑證) ],然後選擇 [ 個人]。
以滑鼠右鍵按一下 [憑證],選擇 [ 所有工作],然後選擇 [ 要求新憑證]。
在 [ 開始之前] 頁面上,選擇 [ 下一步]。
如果您看到 [ 選取憑證註冊原則 ] 頁面,請選擇 [下一步]。
在 [ 要求憑證] 頁面上,從可用憑證清單中選擇 [ ConfigMgr 用戶端發佈點憑證 ],然後選擇 [ 註冊]。
在 [ 憑證安裝結果 ] 頁面上,等候憑證安裝完成,然後選擇 [ 完成]。
在結果窗格中,確認憑證在 [預定用途] 資料行中有 [用戶端驗證],且[ConfigMgr 用戶端發佈點憑證] 位於 [憑證範本] 資料行中。
請勿關閉 本機電腦 () 憑證 。
匯出發佈點的用戶端憑證
此程式會將自訂工作站驗證憑證匯出至檔案,以便在發佈點屬性中匯入。
匯出發佈點的用戶端憑證
在 [ 本機電腦 (憑證]) 主控台中,以滑鼠右鍵按一下您剛安裝的憑證,選擇 [ 所有工作],然後選擇 [ 匯出]。
在 [憑證匯出精靈] 中,選擇 [ 下一步]。
在 [ 匯出私密金鑰 ] 頁面上,選擇 [ 是],匯出私密金鑰,然後選擇 [ 下一步]。
注意事項
如果無法使用此選項,則已建立憑證,而沒有匯出私密金鑰的選項。 在此案例中,您無法以必要的格式匯出憑證。 您必須設定憑證範本,才能匯出私密金鑰,然後再次要求憑證。
在 [ 匯出檔案格式] 頁面上,確定 個人資訊交換 - PKCS #12 (。已選取 PFX) 選項。
在 [ 密碼] 頁面上,指定強式密碼以使用其私密金鑰保護匯出的憑證,然後選擇 [ 下一步]。
在 [ 要匯出的檔案 ] 頁面上,指定您要匯出的檔案名,然後選擇 [ 下一步]。
若要關閉精靈,請在 [憑證匯出精靈] 頁面上選擇 [完成],然後在確認對話方塊中選擇 [確定]。
關閉 本機電腦 () 憑證 。
安全地儲存檔案,並確保您可以從 Configuration Manager 主控台存取它。
當您設定發佈點時,憑證現在已準備好匯入。
提示
當您為不使用 PXE 開機的作業系統部署設定媒體映射時,可以使用相同的憑證檔案,而安裝映射的工作順序必須連絡需要 HTTPS 用戶端連線的管理點。
部署行動裝置的註冊憑證
此憑證部署具有單一程式,可在憑證授權單位單位上建立和發行註冊憑證範本。
在憑證授權單位單位上建立併發行註冊憑證範本
此程式會為Configuration Manager行動裝置建立註冊憑證範本,並將它新增至憑證授權單位單位。
在憑證授權單位單位上建立和發行註冊憑證範本
建立安全性群組,其中包含將在Configuration Manager中註冊行動裝置的使用者。
在已安裝憑證服務的成員伺服器上,于 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],然後選擇 [ 管理 ] 以載入憑證範本管理主控台。
在結果窗格中,以滑鼠右鍵按一下 [範本顯示名稱] 資料行中具有[已驗證的會話] 的專案,然後選擇 [複製範本]。
在 [複製範本] 對話方塊中,確定已選取[Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server],Enterprise Edition]。
在 [新增範本的內容] 對話方塊的 [一般] 索引標籤上,輸入範本名稱,例如ConfigMgr 行動裝置註冊憑證,以產生由 Configuration Manager 管理之行動裝置的註冊憑證。
選擇 [主體名稱]索引標籤,確定已選取[從此 Active Directory 資訊建置],選取 [主體名稱] 格式的 [一般名稱]:,然後從 [將此資訊包含在替代主體名稱中] 中清除 [UPN) (的使用者主體名稱]。
選擇 [ 安全性] 索引標籤,選擇具有行動裝置註冊使用者的安全性群組,然後選擇 [註冊] 的其他權 限。 請勿清除 [讀取]。
選擇 [確定],然後關閉 [ 憑證範本主控台]。
在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],選擇 [ 新增],然後選擇 [要發出的憑證範本]。
在 [ 啟用憑證範本 ] 對話方塊中,選擇您剛才建立的新範本 ConfigMgr 行動裝置註冊憑證,然後選擇 [ 確定]。
如果您不需要建立併發行更多憑證,請關閉憑證授權單位單位主控台。
當您在用戶端設定中設定行動裝置註冊設定檔時,現在可以選取行動裝置註冊憑證範本。
部署 Mac 電腦的用戶端憑證
此憑證部署具有單一程式,可在憑證授權單位單位上建立和發行註冊憑證範本。
在憑證授權單位單位上建立和發行 Mac 用戶端憑證範本
此程式會為 Configuration Manager Mac 電腦建立自訂憑證範本,並將憑證範本新增至憑證授權單位單位。
注意事項
此程式會使用不同于您可能為 Windows 用戶端電腦或發佈點建立之憑證範本的憑證範本。
當您為此憑證建立新的憑證範本時,可以將憑證要求限制為授權的使用者。
在憑證授權單位單位上建立和發行 Mac 用戶端憑證範本
建立安全性群組,其具有系統管理使用者的使用者帳戶,這些使用者會使用 Configuration Manager 在 Mac 電腦上註冊憑證。
在執行憑證授權單位單位主控台的成員伺服器上,以滑鼠右鍵按一下 [ 憑證範本],然後選擇 [ 管理 ] 以載入憑證範本管理主控台。
在結果窗格中,以滑鼠右鍵按一下 [範本顯示名稱] 資料行中顯示 [已驗證的會話] 的專案,然後選擇 [複製範本]。
在 [複製範本] 對話方塊中,確定已選取[Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server],Enterprise Edition]。
在 [ 新增範本的內容 ] 對話方塊的 [一 般 ] 索引標籤上,輸入範本名稱,例如 ConfigMgr Mac 客戶端憑證,以產生 Mac 用戶端憑證。
選擇 [主體名稱] 索引標籤,確定已選取[從此 Active Directory 資訊建置],選擇 [主體名稱] 格式的 [一般名稱]:,然後從 [將此資訊包含在替代主體名稱中] 中清除 [UPN (UPN) ] 中的 [使用者主體名稱]。
選擇 [安全性]索引標籤,然後從[網域管理員] 和[企業系統管理員] 安全性群組中移除 [註冊] 許可權。
選擇 [新增],指定您在步驟 1 中建立的安全性群組,然後選擇 [ 確定]。
選擇此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [確定],然後關閉 [ 憑證範本主控台]。
在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],選擇 [ 新增],然後選擇 [要發出的憑證範本]。
在 [ 啟用憑證範本 ] 對話方塊中,選擇您剛才建立的新範本 ConfigMgr Mac 客戶端憑證,然後選擇 [ 確定]。
如果您不需要建立併發行更多憑證,請關閉 憑證授權單位單位。
當您設定註冊的用戶端設定時,現在可以選取 Mac 用戶端憑證範本。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: