分享方式:


設定憑證基礎結構

適用於:Configuration Manager (目前的分支)

重要事項

從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

瞭解如何在Configuration Manager中設定憑證基礎結構。 開始之前,請檢查憑 證設定檔的必要條件中所列的任何必要條件。

使用下列步驟來設定 SCEP 或 PFX 憑證的基礎結構。

步驟 1 - 僅針對 SCEP 憑證安裝和設定網路裝置註冊服務和相依性 ()

您必須安裝及設定 Active Directory 憑證服務 (AD CS) 的網路裝置註冊服務角色服務、變更憑證範本的安全性許可權、部署公開金鑰基礎結構 (PKI) 用戶端驗證憑證,以及編輯登錄以增加網際網路資訊服務 (IIS) 預設 URL 大小限制。 如有必要,您也必須將頒發憑證授權單位單位 (CA) 設定為允許自訂有效期間。

重要事項

將Configuration Manager設定為使用網路裝置註冊服務之前,請確認網路裝置註冊服務的安裝和設定。 如果這些相依性無法正常運作,您將難以使用Configuration Manager來針對憑證註冊進行疑難排解。

安裝和設定網路裝置註冊服務和相依性

  1. 在執行 Windows Server 2012 R2 的伺服器上,安裝並設定 Active Directory 憑證服務伺服器角色的網路裝置註冊服務角色服務。 如需詳細資訊,請參閱 網路裝置註冊服務指引

  2. 如有必要,請檢查網路裝置註冊服務所使用之憑證範本的安全性許可權:

    • 針對執行 Configuration Manager 主控台的帳戶:取許可權。

      此許可權是必要的,因此當您執行 [建立憑證設定檔精靈] 時,您可以流覽以選取您要在建立 SCEP 設定設定檔時使用的憑證範本。 選取憑證範本表示精靈中的某些設定會自動填入,因此您要設定的設定較少,而且選取與網路裝置註冊服務所使用的憑證範本不相容的設定風險較低。

    • 針對網路裝置註冊服務應用程式集區使用的 SCEP 服務帳戶: 取和 註冊 許可權。

      此需求並非專屬於Configuration Manager,而是設定網路裝置註冊服務的一部分。 如需詳細資訊,請參閱 網路裝置註冊服務指引

    提示

    若要識別網路裝置註冊服務所使用的憑證範本,請在執行網路裝置註冊服務的伺服器上檢視下列登錄機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP。

    注意事項

    這些是適用于大部分環境的預設安全性許可權。 不過,您可以使用替代的安全性設定。 如需詳細資訊,請參閱 規劃憑證設定檔的憑證範本許可權

  3. 將支援用戶端驗證的 PKI 憑證部署至此伺服器。 您可能已經在可以使用的電腦上安裝適當的憑證,或者您可能必須 (或偏好) 特別針對此目的部署憑證。 如需此憑證需求的詳細資訊,請參閱 PKI certificate requirements for Configuration Manager 主題中PKI Certificate for Servers一節中,使用網路裝置註冊服務角色服務執行Configuration Manager 原則模組的伺服器詳細資料。

    提示

    如果您需要部署此憑證的協助,您可以使用部署 發佈點的客戶端憑證指示,因為憑證需求相同,但有一個例外:

    • 請勿選取憑證範本屬性之 [要求處理] 索引標籤上的 [允許匯出私密金鑰] 核取方塊。

      您不需要使用私密金鑰匯出此憑證,因為您可以流覽至本機電腦存放區,並在設定Configuration Manager原則模組時加以選取。

  4. 找出用戶端驗證憑證所鏈結的根憑證。 然後,將此根 CA 憑證匯出至憑證 (.cer) 檔案。 將此檔案儲存到安全的位置,稍後安裝並設定憑證登錄點的月臺系統伺服器時,您可以安全地存取該位置。

  5. 在同一部伺服器上,使用登錄編輯器在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters 中設定下列登錄機碼 DWORD 值,以增加 IIS 預設 URL 大小限制:

  6. 在同一部伺服器的 Internet Information Services (IIS) Manager 中,修改 /certsrv/mscep 應用程式的要求篩選設定,然後重新開機伺服器。 在 [ 編輯要求篩選設定 ] 對話方塊中, [要求限制 ] 設定應如下所示:

    • 允許的內容長度上限 (位元組) 300000000

    • 最大 URL 長度 (位元組) 65534

    • 最大查詢字串 (位元組) 65534

      如需這些設定及其設定方式的詳細資訊,請參閱 IIS 要求限制

  7. 如果您想要要求的有效期間低於您所使用的憑證範本的憑證:企業 CA 預設會停用此設定。 若要在企業 CA 上啟用此選項,請使用 Certutil 命令列工具,然後使用下列命令來停止並重新啟動憑證服務:

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

      如需詳細資訊,請參閱 憑證服務工具和設定

  8. 使用下列連結作為範例,確認網路裝置註冊服務是否正常運作: https://server.contoso.com/certsrv/mscep/mscep.dll 。 您應該會看到內建的網路裝置註冊服務網頁。 此網頁說明服務是什麼,並說明網路裝置使用 URL 來提交憑證要求。

    現在已設定網路裝置註冊服務和相依性,您已準備好安裝和設定憑證註冊點。

步驟 2 - 安裝和設定憑證登錄點。

您必須在Configuration Manager階層中安裝和設定至少一個憑證註冊點,而且可以在管理中心網站或主要月臺中安裝此月臺系統角色。

重要事項

安裝憑證登錄點之前,請參閱支援Configuration Manager設定主題中的月臺系統需求一節,以瞭解憑證登錄點的作業系統需求和相依性。

安裝和設定憑證登錄點
  1. 在Configuration Manager主控台中,按一下 [系統管理]

  2. 在 [ 系統管理 ] 工作區中,展開 [ 月臺設定],按一下 [ 伺服器和月臺系統角色],然後選取您要用於憑證登錄點的伺服器。

  3. 在 [ 首頁] 索引標籤的 [伺服器 ] 群組中,按一下 [ 新增月臺系統角色]

  4. 在 [ 一般] 頁面上,指定月臺系統的一般設定,然後按 [ 下一步]

  5. 在 [ Proxy] 頁面上,按 [ 下一步]。 憑證註冊點不會使用網際網路 Proxy 設定。

  6. 在 [ 系統角色選取 ] 頁面上,從可用角色清單中選取 [憑 證登錄點 ],然後按 [ 下一步]

  7. 在 [ 憑證註冊模式] 頁面上,選取您要將此憑證登錄點選取為 [處理 SCEP 憑證要求] 或 [ 處理 PFX 憑證要求]。 憑證註冊點無法處理這兩種要求,但如果您同時使用這兩種憑證類型,則可以建立多個憑證註冊點。

    如果處理 PFX 憑證,您必須選擇憑證授權單位單位,Microsoft或 Entrust。

  8. [ 憑證註冊點設定] 頁面會根據憑證類型而有所不同:

    • 如果您選取 [處理 SCEP 憑證要求],請設定下列專案:

      • 憑證登錄點的網站名稱HTTPS 埠號碼虛擬應用程式名稱。 這些欄位會自動填入預設值。
      • 網路裝置註冊服務和根 CA 憑證的 URL - 按一下 [ 新增],然後在 [ 新增 URL 和根 CA 憑證 ] 對話方塊中指定下列專案:
        • 網路裝置註冊服務的 URL:以下列格式指定 URL:HTTPs:// < server_FQDN >/certsrv/mscep/mscep.dll。 例如,如果執行網路裝置註冊服務之伺服器的 FQDN 是 server1.contoso.com,請輸入 https://server1.contoso.com/certsrv/mscep/mscep.dll
        • 根 CA 憑證:流覽至並選取您在 步驟 1:安裝和設定網路裝置註冊服務和相依性中建立和儲存的憑證 (.cer) 檔案。 此根 CA 憑證可讓憑證登錄點驗證Configuration Manager原則模組將使用的用戶端驗證憑證。
    • 如果您選取 [ 處理 PFX 憑證要求],則會設定所選取憑證授權單位單位的連線詳細資料和認證。

      • 若要使用Microsoft作為憑證授權單位單位,請按一下 [新增],然後在 [新增憑證授權單位單位和帳戶]對話方塊中指定下列專案:

        • 憑證授權單位單位伺服器名稱 - 輸入憑證授權單位單位伺服器的名稱。

        • 憑證授權單位單位帳戶 - 按一下 [設定 ] 以選取或建立有權在憑證授權單位單位的範本中註冊的帳戶。

        • 憑證註冊點線上帳戶- 選取或建立將憑證登錄點連線至Configuration Manager資料庫的帳戶。 您也可以使用裝載憑證登錄點之電腦的本機電腦帳戶。

        • Active Directory 憑證發佈帳戶 - 選取帳戶,或建立將用來將憑證發佈至 Active Directory 中使用者物件的新帳戶。

        • 在 [ 網路裝置註冊和根 CA 憑證] 對話方塊的 [URL ] 中,指定下列專案,然後按一下 [ 確定]

      • 若要使用 Entrust 作為憑證授權單位單位,請指定:

        • MDM Web 服務 URL

        • URL 的使用者名稱和密碼認證。

          使用 MDM API 來定義 Entrust Web 服務 URL 時,請務必至少使用第 9 版的 API,如下列範例所示:

          https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

          舊版的 API 不支援 Entrust。

  9. [下一步 ] 並完成精靈。

  10. 請稍候幾分鐘,讓安裝完成,然後使用下列任何一種方法來確認憑證登錄點已成功安裝:

    • 在 [ 監視] 工作區中,展開 [系統狀態],按一下 [ 元件狀態],然後從 SMS_CERTIFICATE_REGISTRATION_POINT 元件尋找狀態訊息。

    • 在月臺系統伺服器上,使用< ConfigMgr 安裝路徑 >\Logs\crpsetup.log 檔案和< ConfigMgr 安裝路徑 >\Logs\crpmsi.log 檔案。 成功安裝會傳回 0 的結束代碼。

    • 使用瀏覽器,確認您可以連線到憑證登錄點的 URL。 例如,https://server1.contoso.com/CMCertificateRegistration。 您應該會看到應用程式名稱的 [伺服器錯誤 ] 頁面,其中包含 HTTP 404 描述。

  11. 在主要月臺伺服器電腦的下列資料夾中,找出憑證登錄點自動建立之根 CA 的匯出憑證檔案:< ConfigMgr 安裝路徑 >\inboxes\certmgr.box。 將此檔案儲存到安全的位置,當您稍後在執行網路裝置註冊服務的伺服器上安裝Configuration Manager原則模組時,可以安全地存取該位置。

    提示

    此憑證無法立即在此資料夾中使用。 例如,您可能需要稍候一段時間 (,在Configuration Manager將檔案複製到此位置之前,) 5 小時。

步驟 3 - 僅) 安裝 SCEP 憑證的Configuration Manager原則模組 (。

您必須在步驟2:安裝憑證註冊點的內容中,將憑證註冊點設定為網路裝置註冊服務的 URL,並在您指定的每部伺服器上安裝和設定Configuration Manager原則模組。

安裝原則模組
  1. 在執行網路裝置註冊服務的伺服器上,以網域系統管理員身分登入,並將下列檔案從 < Configuration Manager安裝媒體上的 ConfigMgrInstallationMedia > \SMSSETUP\POLICYMODULE\X64 資料夾複製到暫存資料夾:

    • PolicyModule.msi

    • PolicyModuleSetup.exe

    此外,如果您在安裝媒體上有 LanguagePack 資料夾,請複製此資料夾及其內容。

  2. 從暫存資料夾執行PolicyModuleSetup.exe,以啟動 [Configuration Manager 原則模組設定精靈]。

  3. 在精靈的初始頁面上,按 [ 下一步],接受授權條款,然後按 [ 下一步]

  4. 在 [ 安裝資料夾] 頁面上,接受原則模組的預設安裝資料夾或指定替代資料夾,然後按 [ 下一步]

  5. 在 [ 憑證登錄點 ] 頁面上,使用月臺系統伺服器的 FQDN 和憑證登錄點屬性中指定的虛擬應用程式名稱,指定憑證登錄點的 URL。 預設虛擬應用程式名稱為 CMCertificateRegistration。 例如,如果月臺系統伺服器的 FQDN 為 server1.contoso.com,而且您使用預設的虛擬應用程式名稱,請指定 https://server1.contoso.com/CMCertificateRegistration

  6. 接受預設埠 443 ,或指定憑證註冊點正在使用的替代埠號碼,然後按 [ 下一步]

  7. 在 [原則 模組]頁面的 [用戶端憑證] 頁面上,流覽並指定您在 步驟 1:安裝和設定網路裝置註冊服務和相依性中部署的用戶端驗證憑證,然後按 [ 下一步]

  8. 在 [ 憑證註冊點憑證 ] 頁面上,按一下 [ 流覽 ] 以選取您在 步驟 2:安裝和設定憑證登錄點結尾找到並儲存的根 CA 匯出的憑證檔案。

    注意事項

    如果您先前未儲存此憑證檔案,它位於 < 月臺伺服器電腦上的 ConfigMgr 安裝路徑 > \inboxes\certmgr.box 中。

  9. [下一步 ] 並完成精靈。

    如果您想要卸載Configuration Manager原則模組,請在主控台中使用程式和功能

現在您已完成設定步驟,您可以建立及部署憑證設定檔,以將憑證部署至使用者和裝置。 如需如何建立憑證設定檔的詳細資訊,請參閱 如何建立憑證設定檔