設定憑證以與內部部署 MDM 進行信任的通訊
適用於:Configuration Manager (目前的分支)
Configuration Manager 內部部署行動裝置管理 (MDM) 需要您設定月台系統角色,以便與受管理裝置進行信任的通訊。 您需要兩種類型的憑證:
IIS 中裝載必要站台系統角色之伺服器上的 Web 伺服器 證書。 如果一部伺服器裝載多個月台系統角色,則該伺服器只需要一個憑證。 如果每個角色都位於不同的伺服器上,則每部伺服器都需要個別的憑證。
發行 Web 伺服器證書之證書頒發機構單位的 受信任跟證書 (CA) 。 在需要連線到站台系統角色的所有裝置上安裝此跟證書。
針對已加入網域的裝置,如果您使用 Active Directory 憑證服務,它可以在所有裝置上自動安裝這些憑證。 對於未加入網域的裝置,請以其他方式安裝受信任的跟證書。
針對大量註冊的裝置,您可以在註冊套件中包含憑證。 針對使用者註冊的裝置,您必須透過電子郵件、Web 下載或其他方法來新增憑證。
如果您使用公用和全域信任的憑證提供者來發行伺服器證書,您可以避免在每個裝置上手動安裝受信任的跟證書。 大部分的裝置原本就信任這些公用機關。 此方法是用戶註冊裝置的實用替代方案,而不是透過其他方式安裝憑證。
重要事項
有許多方式可設定裝置與內部部署 MDM 之站台系統伺服器之間信任通訊的憑證。 本文中的資訊是其中一種方式的範例。 此方法需要具有證書頒發機構單位和證書頒發機構單位 Web 註冊角色的 Active Directory 憑證服務。 如需詳細資訊,請參閱 Active Directory 憑證服務。
發佈CRL
根據預設,Active Directory 證書頒發機構單位 (CA) 會使用 LDAP 型證書吊銷清單 (CRL) 。 它允許連線到已加入網域之裝置的CRL。 若要允許未加入網域的裝置信任從 CA 簽發的憑證,請新增以 HTTP 為基礎的 CRL。
在執行您網站證書頒發機構單位的伺服器上,移至 [ 開始 ] 功能表,選取 [ 系統管理工具],然後選擇 [ 證書頒發機構單位]。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [CertificateAuthority],然後選取 [ 屬性]。
在 CertificateAuthority 屬性中,切換至 [ 延伸模組] 索引卷 標。請確定 [選取延伸 模組] 已設定為 [CRL 發佈點 (CDP) 。
選取
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl。 然後選取下列選項:包含在CRL中。 用戶端會使用此選項來尋找 Delta CRL 位置。
包含在已發行憑證的CDP擴充功能中。
包含在所發行CRL的IDP擴充功能中
切換至 [ 結束模組] 索引標籤 。選取 [屬性],然後選取 [ 允許將憑證發佈至文件系統]。 您會看到重新啟動 Active Directory 憑證服務的通知。
以滑鼠右鍵按兩下 [撤銷憑證],選取 [ 所有工作],然後選擇 [ 發佈]。
在 [發佈 CRL] 視窗中,選取 [ 僅限 Delta CRL],然後選取 [ 確定 ] 以關閉視窗。
建立證書範本
CA 會使用 Web 伺服器證書範本,為裝載月台系統角色的伺服器簽發憑證。 這些伺服器將是站台系統角色與已註冊裝置之間信任通訊的 SSL 端點。
建立名為 ConfigMgr MDM 伺服器的網域安全組。 將站台系統伺服器的電腦帳戶新增至群組。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],然後選擇 [ 管理]。 此動作會載入證書範本主控台。
在結果窗格中,以滑鼠右鍵按兩下 [範本顯示名稱] 資料行中顯示 Web 伺服器的項目,然後選取 [複製範本]。
在 [複製範本] 視窗中,選取 [Windows 2003 Server]、[Enterprise Edition] 或 [Windows 2008 Server],Enterprise Edition],然後選取 [確定]。
提示
Configuration Manager 支援 Windows 2008 Server 證書範本,也稱為 V3 或密碼編譯:新一代 (CNG) 憑證。 如需詳細資訊,請參閱 CNG v3 憑證概觀。
如果您的 CA 在 Windows Server 2012 或更新版本上執行,則此視窗不會顯示證書範本版本的選項。 複製範本之後,請在範本屬性的 [ 相容性 ] 索引卷標上選取版本。
在 [ 新增範本的屬性 ] 視窗的 [一 般 ] 索引標籤上,輸入範本名稱。 CA 會使用此名稱來產生將用於 Configuration Manager 月台系統上的 Web 憑證。 例如,輸入 ConfigMgr MDM 網頁伺服器。
切換至 [ 主體名稱] 索引標籤,然後 選取 [從 Active Directory 資訊建置]。 針對主體名稱格式,指定 DNS 名稱。 如果選取 了 UPN (用戶主體名稱) ,請停用替代主體名稱的選項。
切換至 [ 安全性] 索引 標籤。
從網域管理員和企業系統管理員安全組移除註冊許可權。
選 取 [新增],然後輸入安全組的名稱。 例如,ConfigMgr MDM 伺服器。 選取 [確定 ] 以關閉視窗。
選取此群組的 [註冊 ] 許可權。 請勿移除 讀 取許可權。
選取 [確定 ] 以儲存您的變更,然後關閉 [證書範本] 主控台。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],選取 [ 新增],然後選擇 [要發出的證書範本]。
在 [ 啟用證書範本 ] 視窗中,選取新的範本。 例如,ConfigMgr MDM 網頁伺服器。 然後選取 [確定] 以儲存並關閉視窗。
要求憑證
此程式描述如何要求 IIS 的 Web 伺服器證書。 針對裝載內部部署 MDM 其中一個角色的每部站台系統伺服器執行此程式。
在裝載其中一個角色的站台系統伺服器上,以系統管理員身分開啟命令提示字元。 輸入
mmc以開啟空白Microsoft管理控制台。在主控台視窗中,移至 [ 檔案] 功能表,然後選取 [ 新增/移除嵌入式管理單元]。
從可用的嵌入式管理單元清單中選擇 [ 憑證 ],然後選取 [ 新增]。
在 [憑證] 嵌入式管理單元視窗中,選擇 [ 計算機帳戶]。 選取 [下一步],然後選取 [ 完成 ] 以管理本機計算機。
選取 [確定] 結束 [新增或移除嵌入式管理單元] 視窗。
展開 [本機計算機 (憑證) ],然後選取 [個人 ] 存放區。 移至 [ 動作] 功能表,選取 [ 所有工作],然後選擇 [ 要求新憑證]。 此動作會與 Active Directory 憑證服務通訊,以使用您先前建立的範本建立新的憑證。
在 [憑證註冊精靈] 的 [開始之前] 頁面上,選取 [ 下一步]。
在 [選取憑證註冊原則] 頁面上,選取 [ Active Directory 註冊原則],然後選取 [ 下一步]。
選取您的 Web 伺服器證書範本 (ConfigMgr MDM Web Server) ,然後選取 [註冊]。
要求憑證之後,選取 [ 完成]。
每部伺服器都需要唯一的 Web 伺服器證書。 針對裝載其中一個必要月台系統角色的每部伺服器重複此程式。 如果一部伺服器裝載所有站台系統角色,您只需要要求一個 Web 伺服器證書。
系結憑證
下一個步驟是將新的憑證系結至 Web 伺服器。 針對裝載 註冊點 和 註冊 Proxy 點 站台系統角色的每部伺服器,請遵循此程式。 如果一部伺服器裝載所有站台系統角色,您只需要執行此程式一次。
注意事項
您不需要針對發佈點和裝置管理點站台系統角色執行此程式。 他們會在註冊期間自動收到必要的憑證。
在裝載註冊點或註冊 Proxy 點的伺服器上,移至 [ 開始 ] 功能表,選取 [ 系統管理工具],然後選擇 [IIS 管理員]。
在 Connections 清單中,選取 [默認網站],然後選取 [編輯系結]。
在 [網站系結] 視窗中,選取 [https],然後選取 [ 編輯]。
在 [編輯網站系結] 視窗中,選取新註冊的 SSL 憑證憑證。 選取 [確定 ] 以儲存,然後選取 [ 關閉]。
在 IIS 管理員主控台的 Connections 清單中,選取網頁伺服器。 在右側的 [動作] 面板中,選取 [ 重新啟動]。 此動作會重新啟動 Web 伺服器服務。
匯出受信任的跟證書
Active Directory 憑證服務會自動在所有已加入網域的裝置上,從 CA 安裝必要的憑證。 若要取得未加入網域的裝置與站台系統角色通訊所需的憑證,請從系結至網頁伺服器的憑證導出憑證。
在 [IIS 管理員] 中,選取 [默認網站]。 在右側的 [動作] 面板中,選取 [ 系結]。
在 [網站系結] 視窗中,選取 [https],然後選取 [ 編輯]。
選取 Web 伺服器證書,然後選取 [ 檢視]。
在 Web 伺服器憑證的內容中,切換至 [ 認證路徑] 索引標籤 。選取認證路徑的根目錄,然後選 取 [檢視憑證]。
在跟證書的內容中,切換至 [詳細數據] 索 引標籤,然後選取 [ 複製到檔案]。
在 [憑證導出精靈] 的 [歡迎使用] 頁面上,選取 [ 下一步]。
選 取 DER 編碼的二進位 X.509 (。CER) 為格式,然後選取 [ 下一步]。
輸入路徑和檔名以識別此受信任的跟證書。 針對檔名,按兩下 [ 流覽...],選擇儲存憑證檔案的位置、為檔案命名,然後選取 [ 下一步]。
檢閱設定,然後選取 [完成] 將憑證導出至檔案。
根據您的證書頒發機構單位設計,您可能需要匯出其他次級 CA 跟證書。 重複此程式,以匯出 Web 伺服器證書認證路徑中的其他憑證。