設定與內部部署 MDM 的信任通訊憑證

適用於：Configuration Manager (目前的分支)

Configuration Manager內部部署行動裝置管理 (MDM) 需要您設定月臺系統角色，以便與受控裝置進行信任的通訊。 您需要兩種類型的憑證：

• IIS 中裝載必要月臺系統角色之伺服器上的 Web 服務器 證書。 如果一部伺服器裝載多個月臺系統角色，則該伺服器只需要一個憑證。 如果每個角色都位於不同的伺服器上，則每部伺服器都需要個別的憑證。

• 發行 Web 服務器證書之憑證授權單位單位的 受信任根憑證 (CA) 。 在需要連線到月臺系統角色的所有裝置上安裝此根憑證。

針對已加入網域的裝置，如果您使用 Active Directory 憑證服務，它可以在所有裝置上自動安裝這些憑證。 對於未加入網域的裝置，請以其他方式安裝受信任的根憑證。

針對大量註冊的裝置，您可以在註冊套件中包含憑證。 針對使用者註冊的裝置，您必須透過電子郵件、Web 下載或其他方法來新增憑證。

如果您使用公用和全域信任的憑證提供者來發行伺服器憑證，您可以避免必須在每個裝置上手動安裝受信任的根憑證。 大部分的裝置原本就信任這些公用機關。 此方法是使用者註冊裝置的實用替代方案，而不是透過其他方式安裝憑證。

重要事項

有許多方式可設定裝置與內部部署 MDM 之月臺系統伺服器之間信任通訊的憑證。 本文中的資訊是其中一種方式的範例。 此方法需要具有憑證授權單位單位和憑證授權單位單位 Web 註冊角色的 Active Directory 憑證服務。 如需詳細資訊，請參閱 Active Directory 憑證服務。

發佈 CRL

根據預設，Active Directory 憑證授權單位單位 (CA) 會使用 LDAP 型憑證撤銷清單 (CRL) 。 它允許連線到已加入網域之裝置的 CRL。 若要允許未加入網域的裝置信任從 CA 簽發的憑證，請新增以 HTTP 為基礎的 CRL。

1. 在執行您網站憑證授權單位單位的伺服器上，移至 [ 開始 ] 功能表，選取 [ 系統管理工具]，然後選擇 [ 憑證授權單位單位]。

2. 在 [憑證授權單位單位] 主控台中，以滑鼠右鍵按一下 [CertificateAuthority]，然後選取 [ 屬性]。

3. 在 CertificateAuthority 屬性中，切換至 [ 延伸模組] 索引卷 標。請確定 [選取延伸 模組] 已設定為 CRL 發佈點 (CDP) 。

4. 選取 http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl 。 然後選取下列選項：

   • 包含在 CRL 中。 用戶端會使用此選項來尋找 Delta CRL 位置。

   • 包含在已發行憑證的 CDP 擴充功能中。

   • 包含在所發行 CRL 的 IDP 擴充功能中

5. 切換至 [ 結束模組] 索引卷 標。選取 [屬性]，然後選取 [ 允許將憑證發佈至檔案系統]。 您會看到重新開機 Active Directory 憑證服務的通知。

6. 以滑鼠右鍵按一下 [撤銷憑證]，選取 [ 所有工作]，然後選擇 [ 發佈]。

7. 在 [發佈 CRL] 視窗中，選取 [ 僅限 Delta CRL]，然後選取 [ 確定 ] 以關閉視窗。

建立憑證範本

CA 會使用 Web 服務器憑證範本，為裝載月臺系統角色的伺服器簽發憑證。 這些伺服器將是月臺系統角色與已註冊裝置之間信任通訊的 SSL 端點。

1. 建立名為 ConfigMgr MDM 伺服器的網域安全性群組。 將月臺系統伺服器的電腦帳戶新增至群組。

2. 在 [憑證授權單位單位] 主控台中，以滑鼠右鍵按一下 [ 憑證範本]，然後選擇 [ 管理]。 此動作會載入憑證範本主控台。

3. 在結果窗格中，以滑鼠右鍵按一下 [範本顯示名稱] 資料行中顯示Web 服務器的專案，然後選取 [複製範本]。

4. 在 [複製範本] 視窗中，選取[Windows 2003 Server]、[Enterprise Edition] 或 [Windows 2008 伺服器]，Enterprise Edition]，然後選取 [確定]。

   提示

   Configuration Manager支援 Windows 2008 Server 憑證範本，也稱為 V3 或密碼編譯：新一代 (CNG) 憑證。 如需詳細資訊，請參閱 CNG v3 憑證概觀。

   如果您的 CA 在 Windows Server 2012 或更新版本上執行，則此視窗不會顯示憑證範本版本的選項。 複製範本之後，請在範本屬性的 [ 相容性 ] 索引標籤上選取版本。

5. 在 [ 新增範本的屬性 ] 視窗的 [一 般 ] 索引標籤上，輸入範本名稱。 CA 會使用此名稱來產生將用於Configuration Manager月臺系統上的 Web 憑證。 例如，輸入 ConfigMgr MDM 網頁伺服器。

6. 切換至 [ 主體名稱] 索引標籤，然後 選取 [從 Active Directory 資訊建置]。 針對主體名稱格式，指定 DNS 名稱。 如果選取 了 UPN (使用者主體名稱) ，請停用替代主體名稱的選項。

7. 切換至 [ 安全性] 索引 標籤。

   1. 從網域管理員和企業系統管理員安全性群組移除註冊許可權。

   2. 選取 [新增]，然後輸入安全性群組的名稱。 例如， ConfigMgr MDM 伺服器。 選取 [確定 ] 以關閉視窗。

   3. 選取此群組的 [註冊 ] 許可權。 請勿移除 讀 取許可權。

8. 選取 [確定 ] 以儲存您的變更，然後關閉 [憑證範本] 主控台。

9. 在 [憑證授權單位單位] 主控台中，以滑鼠右鍵按一下 [ 憑證範本]，選取 [ 新增]，然後選擇 [要發出的憑證範本]。

10. 在 [ 啟用憑證範本 ] 視窗中，選取新的範本。 例如， ConfigMgr MDM 網頁伺服器。 然後選取 [確定] 以儲存並關閉視窗。

要求憑證

此程式描述如何要求 IIS 的 Web 服務器證書。 針對裝載內部部署 MDM 其中一個角色的每部月臺系統伺服器執行此程式。

1. 在裝載其中一個角色的月臺系統伺服器上，以系統管理員身分開啟命令提示字元。 輸入 mmc 以開啟空白Microsoft管理主控台。

2. 在主控台視窗中，移至 [ 檔案] 功能表，然後選取 [ 新增/移除嵌入式管理單元]。

   1. 從可用的嵌入式管理單元清單中選擇 [ 憑證 ]，然後選取 [ 新增]。

   2. 在 [憑證] 嵌入式管理單元視窗中，選擇 [ 電腦帳戶]。 選取 [下一步]，然後選取 [ 完成 ] 以管理本機電腦。

   3. 選取 [確定] 結束 [新增或移除嵌入式管理單元] 視窗。

3. 展開 [本機電腦 (憑證) ]，然後選取 [個人 ] 存放區。 移至 [ 動作] 功能表，選取 [ 所有工作]，然後選擇 [ 要求新憑證]。 此動作會與 Active Directory 憑證服務通訊，以使用您先前建立的範本建立新的憑證。

   1. 在 [憑證註冊精靈] 的 [開始之前] 頁面上，選取 [ 下一步]。

   2. 在 [選取憑證註冊原則] 頁面上，選取 [ Active Directory 註冊原則]，然後選取 [ 下一步]。

   3. (ConfigMgr MDM Web Server) 選取您的 Web 服務器憑證範本，然後選取 [ 註冊]。

   4. 要求憑證之後，選取 [ 完成]。

每部伺服器都需要唯一的 Web 服務器證書。 針對裝載其中一個必要月臺系統角色的每部伺服器重複此程式。 如果一部伺服器裝載所有月臺系統角色，您只需要要求一個 Web 服務器證書。

系結憑證

下一個步驟是將新的憑證系結至 Web 服務器。 針對裝載 註冊點 和 註冊 Proxy 點 月臺系統角色的每部伺服器，請遵循此程式。 如果一部伺服器裝載所有月臺系統角色，您只需要執行此程式一次。

注意事項

您不需要針對發佈點和裝置管理點月臺系統角色執行此程式。 他們會在註冊期間自動收到必要的憑證。

1. 在裝載註冊點或註冊 Proxy 點的伺服器上，移至 [ 開始 ] 功能表，選取 [ 系統管理工具]，然後選擇 [IIS 管理員]。

2. 在 [連線] 清單中，選取 [預設網站]，然後選取 [ 編輯系結]。

   1. 在 [網站系結] 視窗中，選取 [HTTPs]，然後選取 [ 編輯]。

   2. 在 [編輯網站系結] 視窗中，選取新註冊的 SSL 憑證憑證。 選取 [確定 ] 以儲存，然後選取 [ 關閉]。

3. 在 IIS 管理員主控台的 [連線] 清單中，選取網頁伺服器。 在右側的 [動作] 面板中，選取 [ 重新開機]。 此動作會重新開機 Web 服務器服務。

匯出受信任的根憑證

Active Directory 憑證服務會自動在所有已加入網域的裝置上，從 CA 安裝必要的憑證。 若要取得未加入網域的裝置與月臺系統角色通訊所需的憑證，請從系結至網頁伺服器的憑證匯出憑證。

1. 在 [IIS 管理員] 中，選取 [預設網站]。 在右側的 [動作] 面板中，選取 [ 系結]。

2. 在 [網站系結] 視窗中，選取 [HTTPs]，然後選取 [ 編輯]。

3. 選取 Web 服務器證書，然後選取 [ 檢視]。

4. 在 Web 服務器證書的內容中，切換至 [ 認證路徑] 索引卷 標。選取認證路徑的根目錄，然後選 取 [檢視憑證]。

5. 在根憑證的內容中，切換至 [詳細資料] 索 引標籤，然後選取 [ 複製到檔案]。

6. 在 [憑證匯出精靈] 的 [歡迎使用] 頁面上，選取 [ 下一步]。

7. 選 取 DER 編碼的二進位 X.509 (。CER) 格式，然後選取 [ 下一步]。

8. 輸入路徑和檔案名以識別此受信任的根憑證。 針對檔案名，按一下 [ 流覽...]，選擇儲存憑證檔案的位置、為檔案命名，然後選取 [ 下一步]。

9. 檢閱設定，然後選取 [完成] 將憑證匯出至檔案。

根據您的憑證授權單位單位設計，您可能需要匯出其他次級 CA 根憑證。 重複此程式，以匯出 Web 服務器證書認證路徑中的其他憑證。

下一步

設定裝置註冊