Przykładowe wdrożenie krok po kroku certyfikatów infrastruktury kluczy publicznych dla Configuration Manager: urząd certyfikacji systemu Windows Server 2008
Dotyczy: programu Configuration Manager (bieżąca gałąź)
To przykładowe wdrożenie krok po kroku korzystające z urzędu certyfikacji systemu Windows Server 2008 zawiera procedury, które pokazują, jak tworzyć i wdrażać certyfikaty infrastruktury kluczy publicznych (PKI), które Configuration Manager używane. Te procedury korzystają z urzędu certyfikacji przedsiębiorstwa i szablonów certyfikatów. Kroki są odpowiednie tylko dla sieci testowej jako dowód koncepcji.
Ponieważ nie ma jednej metody wdrażania wymaganych certyfikatów, zapoznaj się z konkretną dokumentacją wdrożenia infrastruktury kluczy publicznych, aby uzyskać wymagane procedury i najlepsze rozwiązania dotyczące wdrażania wymaganych certyfikatów w środowisku produkcyjnym. Aby uzyskać więcej informacji na temat wymagań dotyczących certyfikatów, zobacz Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych dla Configuration Manager.
Porada
W tym temacie można dostosować instrukcje dotyczące systemów operacyjnych, które nie zostały udokumentowane w sekcji Testowe wymagania dotyczące sieci. Jeśli jednak uruchamiasz urząd wystawiający certyfikaty na Windows Server 2012, nie zostanie wyświetlony monit o wersję szablonu certyfikatu. Zamiast tego określ to na karcie Zgodność właściwości szablonu:
-
Urząd certyfikacji: Windows Server 2003
- Adresat certyfikatu: Windows XP / Server 2003
Testowanie wymagań sieciowych
Instrukcje krok po kroku mają następujące wymagania:
Sieć testowa działa Active Directory Domain Services z systemem Windows Server 2008 i jest zainstalowana jako pojedyncza domena, pojedynczy las.
Masz serwer członkowski z systemem Windows Server 2008 Enterprise Edition, na którym zainstalowano rolę Usług certyfikatów Active Directory i jest on skonfigurowany jako główny urząd certyfikacji przedsiębiorstwa.
Masz na nim zainstalowany jeden komputer z zainstalowanym systemem Windows Server 2008 (wersja Standardowa lub Enterprise Edition, R2 lub nowsza), ten komputer jest wyznaczony jako serwer członkowski, a na nim są zainstalowane usługi Internet Information Services (IIS). Ten komputer będzie serwerem systemu lokacji Configuration Manager, który zostanie skonfigurowany przy użyciu intranetowej w pełni kwalifikowanej nazwy domeny (FQDN) do obsługi połączeń klienckich w intranecie i internetowej nazwy FQDN, jeśli musisz obsługiwać urządzenia przenośne zarejestrowane przez Configuration Manager i klientów w Internecie.
Masz jednego klienta systemu Windows Vista, który ma zainstalowany najnowszy dodatek Service Pack, a ten komputer jest skonfigurowany z nazwą komputera, która składa się z znaków ASCII i jest przyłączona do domeny. Ten komputer będzie komputerem klienckim Configuration Manager.
Możesz zalogować się przy użyciu konta administratora domeny głównej lub konta administratora domeny przedsiębiorstwa i użyć tego konta do wszystkich procedur w tym przykładowym wdrożeniu.
Omówienie certyfikatów
W poniższej tabeli wymieniono typy certyfikatów infrastruktury kluczy publicznych, które mogą być wymagane dla Configuration Manager, i opisano sposób ich użycia.
Wymaganie certyfikatu | Opis certyfikatu |
---|---|
Certyfikat serwera sieci Web dla systemów lokacji z uruchomionymi usługami IIS | Ten certyfikat służy do szyfrowania danych i uwierzytelniania serwera klientom. Należy go zainstalować zewnętrznie z Configuration Manager na serwerach systemów lokacji z uruchomionymi usługami Internet Information Services (IIS) i które są skonfigurowane w Configuration Manager do korzystania z protokołu HTTPS. Aby uzyskać instrukcje dotyczące konfigurowania i instalowania tego certyfikatu, zobacz Deploy the web server certificate for site systems that run IIS (Wdrażanie certyfikatu serwera internetowego dla systemów lokacji z uruchomionymi usługami IIS ) w tym temacie. |
Certyfikat usługi dla klientów umożliwiający nawiązywanie połączenia z chmurowymi punktami dystrybucji | Aby uzyskać instrukcje konfigurowania i instalowania tego certyfikatu, zobacz Wdrażanie certyfikatu usługi dla chmurowych punktów dystrybucji w tym temacie. Ważne: Ten certyfikat jest używany w połączeniu z certyfikatem zarządzania platformy Windows Azure. Aby uzyskać więcej informacji na temat certyfikatu zarządzania, zobacz How to Create a Management Certificate and How to Add a Management Certificate to a Windows Azure Subscription (Jak utworzyć certyfikat zarządzania i jak dodać certyfikat zarządzania do subskrypcji platformy Azure systemu Windows). |
Certyfikat klienta dla komputerów z systemem Windows | Ten certyfikat służy do uwierzytelniania Configuration Manager komputerów klienckich w systemach lokacji skonfigurowanych do korzystania z protokołu HTTPS. Może również służyć do punktów zarządzania i punktów migracji stanu do monitorowania ich stanu operacyjnego, gdy są skonfigurowane do korzystania z protokołu HTTPS. Musi być zainstalowany zewnętrznie z Configuration Manager na komputerach. Aby uzyskać instrukcje dotyczące konfigurowania i instalowania tego certyfikatu, zobacz Wdrażanie certyfikatu klienta dla komputerów z systemem Windows w tym temacie. |
Certyfikat klienta dla punktów dystrybucji | Ten certyfikat ma dwa cele: Certyfikat służy do uwierzytelniania punktu dystrybucji w punkcie zarządzania obsługującym protokół HTTPS, zanim punkt dystrybucji wyśle komunikaty o stanie. Po wybraniu opcji Włącz obsługę środowiska PXE dla punktu dystrybucji klientów certyfikat jest wysyłany do komputerów, na których uruchomiono środowisko PXE, aby mogły łączyć się z punktem zarządzania obsługującym protokół HTTPS podczas wdrażania systemu operacyjnego. Aby uzyskać instrukcje konfigurowania i instalowania tego certyfikatu, zobacz Wdrażanie certyfikatu klienta dla punktów dystrybucji w tym temacie. |
Certyfikat rejestracji dla urządzeń przenośnych | Ten certyfikat służy do uwierzytelniania klientów urządzeń przenośnych Configuration Manager w systemach lokacji skonfigurowanych do korzystania z protokołu HTTPS. Należy go zainstalować w ramach rejestracji urządzeń przenośnych w Configuration Manager i wybrać skonfigurowany szablon certyfikatu jako ustawienie klienta urządzenia przenośnego. Aby uzyskać instrukcje konfigurowania tego certyfikatu, zobacz Wdrażanie certyfikatu rejestracji dla urządzeń przenośnych w tym temacie. |
Certyfikat klienta dla komputerów Mac | Możesz zażądać i zainstalować ten certyfikat z komputera Mac podczas korzystania z rejestracji Configuration Manager i wybrać skonfigurowany szablon certyfikatu jako ustawienie klienta urządzenia przenośnego. Aby uzyskać instrukcje konfigurowania tego certyfikatu, zobacz Wdrażanie certyfikatu klienta dla komputerów Mac w tym temacie. |
Wdrażanie certyfikatu serwera internetowego dla systemów lokacji z uruchomionymi usługami IIS
To wdrożenie certyfikatu ma następujące procedury:
Tworzenie i wystawianie szablonu certyfikatu serwera internetowego w urzędzie certyfikacji
Żądanie certyfikatu serwera internetowego
Konfigurowanie usług IIS do korzystania z certyfikatu serwera internetowego
Tworzenie i wystawianie szablonu certyfikatu serwera internetowego w urzędzie certyfikacji
Ta procedura tworzy szablon certyfikatu dla Configuration Manager systemów lokacji i dodaje go do urzędu certyfikacji.
Aby utworzyć i wystawić szablon certyfikatu serwera internetowego w urzędzie certyfikacji
Utwórz grupę zabezpieczeń o nazwie Serwery IIS programu ConfigMgr, która ma serwery członkowskie do instalowania Configuration Manager systemów lokacji z uruchomionymi usługami IIS.
Na serwerze członkowskim z zainstalowanymi usługami certyfikatów w konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów , a następnie wybierz pozycję Zarządzaj , aby załadować konsolę Szablony certyfikatów .
W okienku wyników kliknij prawym przyciskiem myszy wpis z serwerem sieci Web w kolumnie Nazwa wyświetlana szablonu , a następnie wybierz pozycję Duplikuj szablon.
W oknie dialogowym Duplikuj szablon upewnij się, że wybrano opcję Windows 2003 Server, Enterprise Edition, a następnie wybierz przycisk OK.
Ważna
Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu, taką jak certyfikat serwera sieci Web programu ConfigMgr, aby wygenerować certyfikaty sieci Web, które będą używane w Configuration Manager systemach lokacji.
Wybierz kartę Nazwa podmiotu i upewnij się, że wybrano pozycję Podaj w żądaniu .
Wybierz kartę Zabezpieczenia , a następnie usuń uprawnienie Zarejestruj z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa .
Wybierz pozycję Dodaj, wprowadź ciąg Serwery IIS programu ConfigMgr w polu tekstowym, a następnie wybierz przycisk OK.
Wybierz uprawnienie Zarejestruj dla tej grupy i nie usuwaj uprawnień odczytu .
Wybierz przycisk OK, a następnie zamknij konsolę Szablony certyfikatów.
W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia.
W oknie dialogowym Włączanie szablonów certyfikatów wybierz nowo utworzony szablon , certyfikat serwera sieci Web programu ConfigMgr, a następnie wybierz przycisk OK.
Jeśli nie musisz tworzyć i wystawiać większej liczby certyfikatów, zamknij urząd certyfikacji.
Żądanie certyfikatu serwera internetowego
Ta procedura umożliwia określenie intranetowych i internetowych wartości nazw FQDN, które zostaną skonfigurowane we właściwościach serwera systemu lokacji, a następnie zainstalowanie certyfikatu serwera sieci Web na serwerze członkowskim z uruchomionymi usługami IIS.
Aby zażądać certyfikatu serwera internetowego
Uruchom ponownie serwer członkowski z uruchomionymi usługami IIS, aby upewnić się, że komputer może uzyskać dostęp do szablonu certyfikatu utworzonego przy użyciu skonfigurowanych uprawnień odczytu i rejestracji .
Wybierz pozycję Start, wybierz pozycję Uruchom, a następnie wpisz mmc.exe. W pustej konsoli wybierz pozycję Plik, a następnie wybierz pozycję Dodaj/Usuń przystawkę.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty z listy Dostępne przystawki, a następnie wybierz pozycję Dodaj.
W oknie dialogowym Przystawka certyfikatu wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej.
W oknie dialogowym Wybieranie komputera upewnij się, że wybrano pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie wybierz pozycję Zakończ.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK.
W konsoli rozwiń węzeł Certyfikaty (komputer lokalny), a następnie wybierz pozycję Osobiste.
Kliknij prawym przyciskiem myszy pozycję Certyfikaty, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Zażądaj nowego certyfikatu.
Na stronie Przed rozpoczęciem wybierz pozycję Dalej.
Jeśli zostanie wyświetlona strona Wybieranie zasad rejestracji certyfikatów , wybierz pozycję Dalej.
Na stronie Żądanie certyfikatów zidentyfikuj certyfikat serwera sieci Web programu ConfigMgr z listy dostępnych certyfikatów, a następnie wybierz pozycję Więcej informacji jest wymaganych do zarejestrowania tego certyfikatu. Kliknij tutaj, aby skonfigurować ustawienia.
W oknie dialogowym Właściwości certyfikatu na karcie Temat nie wprowadzaj żadnych zmian w nazwie podmiotu. Oznacza to, że pole Wartość dla sekcji Nazwa podmiotu pozostaje puste. Zamiast tego w sekcji Nazwa alternatywna wybierz listę rozwijaną Typ , a następnie wybierz pozycję DNS.
W polu Wartość określ wartości FQDN, które zostaną określone w Configuration Manager właściwości systemu lokacji, a następnie wybierz przycisk OK, aby zamknąć okno dialogowe Właściwości certyfikatu.
Przykłady:
Jeśli system lokacji akceptuje tylko połączenia klienta z intranetu, a intranetowa nazwa FQDN serwera systemu lokacji jest server1.internal.contoso.com, wprowadź server1.internal.contoso.com, a następnie wybierz pozycję Dodaj.
Jeśli system lokacji zaakceptuje połączenia klienta z intranetu i Internetu, a intranetowa nazwa FQDN serwera systemu lokacji jest server1.internal.contoso.com , a internetowa nazwa FQDN serwera systemu lokacji jest server.contoso.com:
Wprowadź server1.internal.contoso.com, a następnie wybierz pozycję Dodaj.
Wprowadź server.contoso.com, a następnie wybierz pozycję Dodaj.
Uwaga
Nazwy FQDN dla Configuration Manager można określić w dowolnej kolejności. Sprawdź jednak, czy wszystkie urządzenia, które będą używać certyfikatu, takie jak urządzenia przenośne i serwery internetowe serwera proxy, mogą używać alternatywnej nazwy podmiotu certyfikatu (SAN) i wielu wartości w sieci SAN. Jeśli urządzenia mają ograniczoną obsługę wartości sieci SAN w certyfikatach, może być konieczne zmianę kolejności nazw FQDN lub użycie wartości Podmiot.
Na stronie Żądanie certyfikatów wybierz pozycję Certyfikat serwera sieci Web programu ConfigMgr z listy dostępnych certyfikatów, a następnie wybierz pozycję Zarejestruj.
Na stronie Wyniki instalacji certyfikatów poczekaj na zainstalowanie certyfikatu, a następnie wybierz pozycję Zakończ.
Zamknij certyfikaty (komputer lokalny).
Konfigurowanie usług IIS do korzystania z certyfikatu serwera internetowego
Ta procedura wiąże zainstalowany certyfikat z domyślną witryną sieci Web usług IIS.
Aby skonfigurować usługi IIS do używania certyfikatu serwera internetowego
Na serwerze członkowskim z zainstalowanymi usługami IIS wybierz pozycję Start, wybierz pozycję Programy, wybierz pozycję Narzędzia administracyjne, a następnie wybierz pozycję Menedżer usług Internet Information Services (IIS).
Rozwiń węzeł Witryny, kliknij prawym przyciskiem myszy pozycję Domyślna witryna sieci Web, a następnie wybierz pozycję Edytuj powiązania.
Wybierz wpis https , a następnie wybierz pozycję Edytuj.
W oknie dialogowym Edytowanie powiązania witryny wybierz żądany certyfikat przy użyciu szablonu Certyfikaty serwera sieci Web programu ConfigMgr, a następnie wybierz przycisk OK.
Uwaga
Jeśli nie masz pewności, który certyfikat jest prawidłowy, wybierz go, a następnie wybierz pozycję Wyświetl. Dzięki temu można porównać szczegóły wybranego certyfikatu z certyfikatami w przystawki Certyfikaty. Na przykład przystawka Certyfikaty pokazuje szablon certyfikatu, który został użyty do żądania certyfikatu. Następnie można porównać odcisk palca certyfikatu żądanego przy użyciu szablonu Certyfikaty serwera sieci Web programu ConfigMgr z odciskiem palca certyfikatu aktualnie wybranego w oknie dialogowym Edytowanie powiązania witryny .
Wybierz przycisk OK w oknie dialogowym Edytowanie powiązania witryny , a następnie wybierz pozycję Zamknij.
Zamknij Menedżera usług Internet Information Services (IIS).
Serwer członkowski jest teraz skonfigurowany z certyfikatem serwera internetowego Configuration Manager.
Ważna
Podczas instalowania serwera systemu lokacji Configuration Manager na tym komputerze należy określić te same nazwy FQDN we właściwościach systemu lokacji, jak określono podczas żądania certyfikatu.
Wdrażanie certyfikatu usługi dla chmurowych punktów dystrybucji
To wdrożenie certyfikatu ma następujące procedury:
Tworzenie i wystawianie niestandardowego szablonu certyfikatu serwera internetowego w urzędzie certyfikacji
Ta procedura tworzy niestandardowy szablon certyfikatu oparty na szablonie certyfikatu serwera internetowego. Certyfikat jest przeznaczony dla Configuration Manager chmurowych punktów dystrybucji, a klucz prywatny musi być eksportowany. Po utworzeniu szablonu certyfikatu jest on dodawany do urzędu certyfikacji.
Uwaga
Ta procedura używa innego szablonu certyfikatu niż szablon certyfikatu serwera internetowego utworzony dla systemów lokacji z uruchomionymi usługami IIS. Mimo że oba certyfikaty wymagają możliwości uwierzytelniania serwera, certyfikat dla chmurowych punktów dystrybucji wymaga wprowadzenia niestandardowej wartości dla nazwy podmiotu i klucza prywatnego musi zostać wyeksportowany. Najlepszym rozwiązaniem w zakresie zabezpieczeń nie należy konfigurować szablonów certyfikatów, aby można było wyeksportować klucz prywatny, chyba że ta konfiguracja jest wymagana. Chmurowy punkt dystrybucji wymaga tej konfiguracji, ponieważ należy zaimportować certyfikat jako plik, a nie wybrać go z magazynu certyfikatów.
Podczas tworzenia nowego szablonu certyfikatu dla tego certyfikatu można ograniczyć komputery, które mogą żądać certyfikatu, którego klucz prywatny można wyeksportować. W sieci produkcyjnej możesz również rozważyć dodanie następujących zmian dla tego certyfikatu:
- Wymagaj zatwierdzenia w celu zainstalowania certyfikatu w celu zapewnienia dodatkowych zabezpieczeń.
- Zwiększ okres ważności certyfikatu. Ponieważ certyfikat należy wyeksportować i zaimportować za każdym razem, zanim wygaśnie, zwiększenie okresu ważności zmniejsza częstotliwość powtarzania tej procedury. Jednak wydłużenie okresu ważności zmniejsza również bezpieczeństwo certyfikatu, ponieważ zapewnia on atakującemu więcej czasu na odszyfrowanie klucza prywatnego i kradzież certyfikatu.
- Użyj wartości niestandardowej w alternatywnej nazwie podmiotu certyfikatu (SAN), aby ułatwić identyfikację tego certyfikatu na podstawie standardowych certyfikatów serwera internetowego używanych z usługami IIS.
Aby utworzyć i wydać niestandardowy szablon certyfikatu serwera internetowego w urzędzie certyfikacji
Utwórz grupę zabezpieczeń o nazwie Serwery lokacji programu ConfigMgr, która ma serwery członkowskie do instalowania Configuration Manager serwerów lokacji głównej, które będą zarządzać chmurowymi punktami dystrybucji.
Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Zarządzaj , aby załadować konsolę zarządzania Szablony certyfikatów.
W okienku wyników kliknij prawym przyciskiem myszy wpis z serwerem sieci Web w kolumnie Nazwa wyświetlana szablonu , a następnie wybierz pozycję Duplikuj szablon.
W oknie dialogowym Duplikuj szablon upewnij się, że wybrano opcję Windows 2003 Server, Enterprise Edition, a następnie wybierz przycisk OK.
Ważna
Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu, taką jak configMgr Cloud-Based certyfikat punktu dystrybucji, aby wygenerować certyfikat serwera internetowego dla chmurowych punktów dystrybucji.
Wybierz kartę Obsługa żądań , a następnie wybierz pozycję Zezwalaj na eksportowanie klucza prywatnego.
Wybierz kartę Zabezpieczenia , a następnie usuń uprawnienie Zarejestruj z grupy zabezpieczeń Administratorzy przedsiębiorstwa .
Wybierz pozycję Dodaj, wprowadź ciąg Serwery lokacji programu ConfigMgr w polu tekstowym, a następnie wybierz przycisk OK.
Wybierz uprawnienie Zarejestruj dla tej grupy i nie usuwaj uprawnień Odczyt .
Wybierz kartę Kryptografia i upewnij się, że minimalny rozmiar klucza został ustawiony na 2048.
Wybierz przycisk OK, a następnie zamknij konsolę Szablony certyfikatów.
W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia.
W oknie dialogowym Włączanie szablonów certyfikatów wybierz nowo utworzony szablon ConfigMgr Cloud-Based certyfikat punktu dystrybucji, a następnie wybierz przycisk OK.
Jeśli nie musisz tworzyć i wystawiać większej liczby certyfikatów, zamknij urząd certyfikacji.
Żądanie niestandardowego certyfikatu serwera internetowego
Ta procedura wymaga, a następnie instaluje niestandardowy certyfikat serwera sieci Web na serwerze członkowskim, na który będzie uruchamiany serwer lokacji.
Aby zażądać niestandardowego certyfikatu serwera internetowego
Uruchom ponownie serwer członkowski po utworzeniu i skonfigurowaniu grupy zabezpieczeń Serwery lokacji programu ConfigMgr , aby upewnić się, że komputer może uzyskać dostęp do szablonu certyfikatu utworzonego przy użyciu skonfigurowanych uprawnień odczytu i rejestracji .
Wybierz pozycję Start, wybierz pozycję Uruchom, a następnie wprowadź mmc.exe. W pustej konsoli wybierz pozycję Plik, a następnie wybierz pozycję Dodaj/Usuń przystawkę.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty z listy Dostępne przystawki, a następnie wybierz pozycję Dodaj.
W oknie dialogowym Przystawka certyfikatu wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej.
W oknie dialogowym Wybieranie komputera upewnij się, że wybrano pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie wybierz pozycję Zakończ.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK.
W konsoli rozwiń węzeł Certyfikaty (komputer lokalny), a następnie wybierz pozycję Osobiste.
Kliknij prawym przyciskiem myszy pozycję Certyfikaty, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Zażądaj nowego certyfikatu.
Na stronie Przed rozpoczęciem wybierz pozycję Dalej.
Jeśli zostanie wyświetlona strona Wybieranie zasad rejestracji certyfikatów , wybierz pozycję Dalej.
Na stronie Żądanie certyfikatów zidentyfikuj certyfikat Cloud-Based punktu dystrybucji programu ConfigMgr z listy dostępnych certyfikatów, a następnie wybierz pozycję Więcej informacji jest wymaganych do zarejestrowania tego certyfikatu. Wybierz tutaj, aby skonfigurować ustawienia.
W oknie dialogowym Właściwości certyfikatu na karcie Temat w polu Nazwa podmiotu wybierz pozycję Nazwa pospolita jako Typ.
W polu Wartość określ wybraną nazwę usługi i nazwę domeny przy użyciu formatu FQDN. Na przykład: clouddp1.contoso.com.
Uwaga
Ustaw nazwę usługi na unikatową w przestrzeni nazw. Za pomocą usługi DNS utworzysz alias (rekord CNAME), aby zamapować tę nazwę usługi na automatycznie wygenerowany identyfikator (GUID) i adres IP z platformy Windows Azure.
Wybierz pozycję Dodaj, a następnie wybierz przycisk OK , aby zamknąć okno dialogowe Właściwości certyfikatu .
Na stronie Żądanie certyfikatów wybierz pozycję ConfigMgr Cloud-Based Certyfikat punktu dystrybucji z listy dostępnych certyfikatów, a następnie wybierz pozycję Zarejestruj.
Na stronie Wyniki instalacji certyfikatów poczekaj na zainstalowanie certyfikatu, a następnie wybierz pozycję Zakończ.
Zamknij certyfikaty (komputer lokalny).
Eksportowanie niestandardowego certyfikatu serwera internetowego dla chmurowych punktów dystrybucji
Ta procedura eksportuje niestandardowy certyfikat serwera internetowego do pliku, aby można go było zaimportować podczas tworzenia chmurowego punktu dystrybucji.
Aby wyeksportować niestandardowy certyfikat serwera internetowego dla chmurowych punktów dystrybucji
W konsoli Certyfikaty (komputer lokalny) kliknij prawym przyciskiem myszy właśnie zainstalowany certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Eksportuj.
W Kreatorze eksportowania certyfikatów wybierz pozycję Dalej.
Na stronie Eksportowanie klucza prywatnego wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz pozycję Dalej.
Uwaga
Jeśli ta opcja nie jest dostępna, certyfikat został utworzony bez możliwości wyeksportowania klucza prywatnego. W tym scenariuszu nie można wyeksportować certyfikatu w wymaganym formacie. Należy skonfigurować szablon certyfikatu, aby można było wyeksportować klucz prywatny, a następnie zażądać certyfikatu ponownie.
Na stronie Eksportowanie formatu pliku upewnij się, że program Wymiany informacji osobistych — PKCS #12 (. Wybrano opcję PFX ).
Na stronie Hasło określ silne hasło, aby chronić wyeksportowany certyfikat przy użyciu jego klucza prywatnego, a następnie wybierz pozycję Dalej.
Na stronie Plik do eksportu określ nazwę pliku, który chcesz wyeksportować, a następnie wybierz pozycję Dalej.
Aby zamknąć kreatora, wybierz pozycję Zakończ na stronie Kreator eksportu certyfikatów , a następnie wybierz przycisk OK w oknie dialogowym potwierdzenia.
Zamknij certyfikaty (komputer lokalny).
Zapisz plik w bezpieczny sposób i upewnij się, że możesz uzyskać do niego dostęp z poziomu konsoli Configuration Manager.
Certyfikat jest teraz gotowy do zaimportowania podczas tworzenia chmurowego punktu dystrybucji.
Wdrażanie certyfikatu klienta dla komputerów z systemem Windows
To wdrożenie certyfikatu ma następujące procedury:
Tworzenie i wystawianie szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji
Konfigurowanie automatycznej rejestracji szablonu uwierzytelniania stacji roboczej przy użyciu zasady grupy
Automatyczne rejestrowanie certyfikatu uwierzytelniania stacji roboczej i weryfikowanie jego instalacji na komputerach
Tworzenie i wystawianie szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji
Ta procedura tworzy szablon certyfikatu dla Configuration Manager komputerów klienckich i dodaje go do urzędu certyfikacji.
Aby utworzyć i wydać szablon certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji
Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Zarządzaj , aby załadować konsolę zarządzania Szablony certyfikatów.
W okienku wyników kliknij prawym przyciskiem myszy wpis z uwierzytelnianiem stacji roboczej w kolumnie Nazwa wyświetlana szablonu , a następnie wybierz pozycję Duplikuj szablon.
W oknie dialogowym Duplikuj szablon upewnij się, że wybrano opcję Windows 2003 Server, Enterprise Edition, a następnie wybierz przycisk OK.
Ważna
Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu, taką jak Certyfikat klienta programu ConfigMgr, aby wygenerować certyfikaty klienta, które będą używane na Configuration Manager komputerach klienckich.
Wybierz kartę Zabezpieczenia , wybierz grupę Komputery domeny , a następnie wybierz dodatkowe uprawnienia odczytu i automatycznego rejestrowania. Nie wyczyść pozycji Zarejestruj.
Wybierz przycisk OK, a następnie zamknij konsolę Szablony certyfikatów.
W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia.
W oknie dialogowym Włączanie szablonów certyfikatów wybierz nowo utworzony szablon, certyfikat klienta programu ConfigMgr, a następnie wybierz przycisk OK.
Jeśli nie musisz tworzyć i wystawiać większej liczby certyfikatów, zamknij urząd certyfikacji.
Konfigurowanie automatycznej rejestracji szablonu uwierzytelniania stacji roboczej przy użyciu zasady grupy
Ta procedura konfiguruje zasady grupy do automatycznego rejestrowania certyfikatu klienta na komputerach.
Aby skonfigurować automatyczne wyrejestrowanie szablonu uwierzytelniania stacji roboczej przy użyciu zasady grupy
Na kontrolerze domeny wybierz pozycję Start, wybierz pozycję Narzędzia administracyjne, a następnie wybierz pozycję zasady grupy Management.
Przejdź do domeny, kliknij prawym przyciskiem myszy domenę, a następnie wybierz pozycję Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj.
Uwaga
W tym kroku zamiast edytowania domyślnych zasad domeny zainstalowanych z Active Directory Domain Services najlepszym rozwiązaniem jest utworzenie nowego zasady grupy dla ustawień niestandardowych. Po przypisaniu tej zasady grupy na poziomie domeny zastosujesz ją do wszystkich komputerów w domenie. W środowisku produkcyjnym można ograniczyć automatyczne rejestrowanie, tak aby było rejestrowane tylko na wybranych komputerach. Możesz przypisać zasady grupy na poziomie jednostki organizacyjnej lub filtrować zasady grupy domeny za pomocą grupy zabezpieczeń, tak aby była stosowana tylko do komputerów w grupie. Jeśli ograniczysz automatyczną rejestrację, pamiętaj, aby uwzględnić serwer skonfigurowany jako punkt zarządzania.
W oknie dialogowym Nowy obiekt zasad grupy wprowadź nazwę, taką jak Autoenroll Certificates, dla nowego zasady grupy, a następnie wybierz przycisk OK.
W okienku wyników na karcie Połączone obiekty zasady grupy kliknij prawym przyciskiem myszy nową zasady grupy, a następnie wybierz pozycję Edytuj.
W edytorze zarządzania zasady grupy rozwiń węzeł Zasady w obszarze Konfiguracja komputera, a następnie przejdź do pozycji Ustawienia / systemu WindowsUstawienia / zabezpieczeńZasady klucza publicznego.
Kliknij prawym przyciskiem myszy typ obiektu o nazwie Certificate Services Client — Autorejestracja, a następnie wybierz pozycję Właściwości.
Z listy rozwijanej Model konfiguracji wybierz pozycję Włączone, wybierz pozycję Odnów wygasłe certyfikaty, zaktualizuj oczekujące certyfikaty, usuń odwołane certyfikaty, wybierz pozycję Aktualizuj certyfikaty korzystające z szablonów certyfikatów, a następnie wybierz przycisk OK.
Zamknij zasady grupy Management.
Automatyczne rejestrowanie certyfikatu uwierzytelniania stacji roboczej i weryfikowanie jego instalacji na komputerach
Ta procedura instaluje certyfikat klienta na komputerach i weryfikuje instalację.
Aby automatycznie zarejestrować certyfikat uwierzytelniania stacji roboczej i zweryfikować jego instalację na komputerze klienckim
Uruchom ponownie komputer stacji roboczej i poczekaj kilka minut, zanim się zalogujesz.
Uwaga
Ponowne uruchomienie komputera jest najbardziej niezawodną metodą zapewnienia powodzenia automatycznej rejestracji certyfikatu.
Zaloguj się przy użyciu konta z uprawnieniami administracyjnymi.
W polu wyszukiwania wprowadź mmc.exe., a następnie naciśnij klawisz Enter.
W pustej konsoli zarządzania wybierz pozycję Plik, a następnie wybierz pozycję Dodaj/Usuń przystawkę.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty z listy Dostępne przystawki, a następnie wybierz pozycję Dodaj.
W oknie dialogowym Przystawka certyfikatu wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej.
W oknie dialogowym Wybieranie komputera upewnij się, że wybrano pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie wybierz pozycję Zakończ.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK.
W konsoli rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste, a następnie wybierz pozycję Certyfikaty.
W okienku wyników upewnij się, że certyfikat ma uwierzytelnianie klienta w kolumnie Zamierzony cel , a certyfikat klienta programu ConfigMgr znajduje się w kolumnie Szablon certyfikatu .
Zamknij certyfikaty (komputer lokalny).
Powtórz kroki od 1 do 11 dla serwera członkowskiego, aby sprawdzić, czy serwer, który zostanie skonfigurowany jako punkt zarządzania, ma również certyfikat klienta.
Komputer jest teraz skonfigurowany z certyfikatem klienta Configuration Manager.
Wdrażanie certyfikatu klienta dla punktów dystrybucji
Uwaga
Ten certyfikat może być również używany w przypadku obrazów multimedialnych, które nie korzystają z rozruchu środowiska PXE, ponieważ wymagania dotyczące certyfikatu są takie same.
To wdrożenie certyfikatu ma następujące procedury:
Tworzenie i wystawianie niestandardowego szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji
Żądanie niestandardowego certyfikatu uwierzytelniania stacji roboczej
Eksportowanie certyfikatu klienta dla punktów dystrybucji
Tworzenie i wystawianie niestandardowego szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji
Ta procedura tworzy niestandardowy szablon certyfikatu dla Configuration Manager punktów dystrybucji, aby można było wyeksportować klucz prywatny i dodać szablon certyfikatu do urzędu certyfikacji.
Uwaga
Ta procedura używa innego szablonu certyfikatu niż szablon certyfikatu utworzony dla komputerów klienckich. Mimo że oba certyfikaty wymagają możliwości uwierzytelniania klienta, certyfikat punktów dystrybucji wymaga wyeksportowania klucza prywatnego. Najlepszym rozwiązaniem w zakresie zabezpieczeń nie należy konfigurować szablonów certyfikatów, aby można było wyeksportować klucz prywatny, chyba że ta konfiguracja jest wymagana. Punkt dystrybucji wymaga tej konfiguracji, ponieważ należy zaimportować certyfikat jako plik, a nie wybrać go z magazynu certyfikatów.
Podczas tworzenia nowego szablonu certyfikatu dla tego certyfikatu można ograniczyć komputery, które mogą żądać certyfikatu, którego klucz prywatny można wyeksportować. W naszym przykładowym wdrożeniu będzie to grupa zabezpieczeń utworzona wcześniej dla Configuration Manager serwerów systemu lokacji z uruchomionymi usługami IIS. W sieci produkcyjnej, która dystrybuuje role systemu lokacji usług IIS, rozważ utworzenie nowej grupy zabezpieczeń dla serwerów z uruchomionymi punktami dystrybucji, aby można było ograniczyć certyfikat tylko do tych serwerów systemu lokacji. Możesz również rozważyć dodanie następujących modyfikacji dla tego certyfikatu:
- Wymagaj zatwierdzenia w celu zainstalowania certyfikatu w celu zapewnienia dodatkowych zabezpieczeń.
- Zwiększ okres ważności certyfikatu. Ponieważ certyfikat należy wyeksportować i zaimportować za każdym razem, zanim wygaśnie, zwiększenie okresu ważności zmniejsza częstotliwość powtarzania tej procedury. Jednak wydłużenie okresu ważności zmniejsza również bezpieczeństwo certyfikatu, ponieważ zapewnia on atakującemu więcej czasu na odszyfrowanie klucza prywatnego i kradzież certyfikatu.
- Użyj wartości niestandardowej w polu Podmiot certyfikatu lub Alternatywna nazwa podmiotu (SAN), aby ułatwić identyfikację tego certyfikatu na podstawie standardowych certyfikatów klienta. Może to być szczególnie przydatne, jeśli będziesz używać tego samego certyfikatu dla wielu punktów dystrybucji.
Aby utworzyć i wydać niestandardowy szablon certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji
Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Zarządzaj , aby załadować konsolę zarządzania Szablony certyfikatów.
W okienku wyników kliknij prawym przyciskiem myszy wpis z uwierzytelnianiem stacji roboczej w kolumnie Nazwa wyświetlana szablonu , a następnie wybierz pozycję Duplikuj szablon.
W oknie dialogowym Duplikuj szablon upewnij się, że wybrano opcję Windows 2003 Server, Enterprise Edition, a następnie wybierz przycisk OK.
Ważna
Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu, taką jak certyfikat punktu dystrybucji klienta programu ConfigMgr, aby wygenerować certyfikat uwierzytelniania klienta dla punktów dystrybucji.
Wybierz kartę Obsługa żądań , a następnie wybierz pozycję Zezwalaj na eksportowanie klucza prywatnego.
Wybierz kartę Zabezpieczenia , a następnie usuń uprawnienie Zarejestruj z grupy zabezpieczeń Administratorzy przedsiębiorstwa .
Wybierz pozycję Dodaj, wprowadź ciąg Serwery IIS programu ConfigMgr w polu tekstowym, a następnie wybierz przycisk OK.
Wybierz uprawnienie Zarejestruj dla tej grupy i nie usuwaj uprawnień Odczyt .
Wybierz przycisk OK, a następnie zamknij konsolę Szablony certyfikatów.
W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia.
W oknie dialogowym Włączanie szablonów certyfikatów wybierz nowo utworzony szablon , certyfikat punktu dystrybucji klienta programu ConfigMgr, a następnie wybierz przycisk OK.
Jeśli nie musisz tworzyć i wystawiać większej liczby certyfikatów, zamknij urząd certyfikacji.
Żądanie niestandardowego certyfikatu uwierzytelniania stacji roboczej
Ta procedura wymaga, a następnie instaluje niestandardowy certyfikat klienta na serwerze członkowskim z uruchomionymi usługami IIS i zostanie on skonfigurowany jako punkt dystrybucji.
Aby zażądać niestandardowego certyfikatu uwierzytelniania stacji roboczej
Wybierz pozycję Start, wybierz pozycję Uruchom, a następnie wprowadź mmc.exe. W pustej konsoli wybierz pozycję Plik, a następnie wybierz pozycję Dodaj/Usuń przystawkę.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty z listy Dostępne przystawki, a następnie wybierz pozycję Dodaj.
W oknie dialogowym Przystawka certyfikatu wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej.
W oknie dialogowym Wybieranie komputera upewnij się, że wybrano pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie wybierz pozycję Zakończ.
W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK.
W konsoli rozwiń węzeł Certyfikaty (komputer lokalny), a następnie wybierz pozycję Osobiste.
Kliknij prawym przyciskiem myszy pozycję Certyfikaty, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Zażądaj nowego certyfikatu.
Na stronie Przed rozpoczęciem wybierz pozycję Dalej.
Jeśli zostanie wyświetlona strona Wybieranie zasad rejestracji certyfikatów , wybierz pozycję Dalej.
Na stronie Żądanie certyfikatów wybierz pozycję Certyfikat punktu dystrybucji klienta programu ConfigMgr z listy dostępnych certyfikatów, a następnie wybierz pozycję Zarejestruj.
Na stronie Wyniki instalacji certyfikatów poczekaj na zainstalowanie certyfikatu, a następnie wybierz pozycję Zakończ.
W okienku wyników upewnij się, że certyfikat ma uwierzytelnianie klienta w kolumnie Zamierzony cel , a certyfikat punktu dystrybucji klienta programu ConfigMgr znajduje się w kolumnie Szablon certyfikatu .
Nie zamykaj certyfikatów (komputer lokalny).
Eksportowanie certyfikatu klienta dla punktów dystrybucji
Ta procedura eksportuje niestandardowy certyfikat uwierzytelniania stacji roboczej do pliku, aby można go było zaimportować we właściwościach punktu dystrybucji.
Aby wyeksportować certyfikat klienta dla punktów dystrybucji
W konsoli Certyfikaty (komputer lokalny) kliknij prawym przyciskiem myszy właśnie zainstalowany certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Eksportuj.
W Kreatorze eksportowania certyfikatów wybierz pozycję Dalej.
Na stronie Eksportowanie klucza prywatnego wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz pozycję Dalej.
Uwaga
Jeśli ta opcja nie jest dostępna, certyfikat został utworzony bez możliwości wyeksportowania klucza prywatnego. W tym scenariuszu nie można wyeksportować certyfikatu w wymaganym formacie. Należy skonfigurować szablon certyfikatu, aby można było wyeksportować klucz prywatny, a następnie zażądać certyfikatu ponownie.
Na stronie Eksportowanie formatu pliku upewnij się, że program Wymiany informacji osobistych — PKCS #12 (. Wybrano opcję PFX ).
Na stronie Hasło określ silne hasło, aby chronić wyeksportowany certyfikat przy użyciu jego klucza prywatnego, a następnie wybierz pozycję Dalej.
Na stronie Plik do eksportu określ nazwę pliku, który chcesz wyeksportować, a następnie wybierz pozycję Dalej.
Aby zamknąć kreatora, wybierz pozycję Zakończ na stronie Kreator eksportu certyfikatów i wybierz przycisk OK w oknie dialogowym potwierdzenia.
Zamknij certyfikaty (komputer lokalny).
Zapisz plik w bezpieczny sposób i upewnij się, że możesz uzyskać do niego dostęp z poziomu konsoli Configuration Manager.
Certyfikat jest teraz gotowy do zaimportowania po skonfigurowaniu punktu dystrybucji.
Porada
Tego samego pliku certyfikatu można użyć podczas konfigurowania obrazów multimediów dla wdrożenia systemu operacyjnego, które nie korzysta z rozruchu środowiska PXE, a sekwencja zadań do zainstalowania obrazu musi skontaktować się z punktem zarządzania, który wymaga połączeń klienta HTTPS.
Wdrażanie certyfikatu rejestracji dla urządzeń przenośnych
To wdrożenie certyfikatu ma jedną procedurę tworzenia i wystawiania szablonu certyfikatu rejestracji w urzędzie certyfikacji.
Tworzenie i wystawianie szablonu certyfikatu rejestracji w urzędzie certyfikacji
Ta procedura tworzy szablon certyfikatu rejestracji dla Configuration Manager urządzeń przenośnych i dodaje go do urzędu certyfikacji.
Aby utworzyć i wydać szablon certyfikatu rejestracji w urzędzie certyfikacji
Utwórz grupę zabezpieczeń zawierającą użytkowników, którzy będą rejestrować urządzenia przenośne w Configuration Manager.
Na serwerze członkowskim z zainstalowanymi usługami certyfikatów w konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Zarządzaj , aby załadować konsolę zarządzania Szablony certyfikatów.
W okienku wyników kliknij prawym przyciskiem myszy wpis z uwierzytelnioną sesją w kolumnie Nazwa wyświetlana szablonu , a następnie wybierz pozycję Duplikuj szablon.
W oknie dialogowym Duplikuj szablon upewnij się, że wybrano opcję Windows 2003 Server, Enterprise Edition, a następnie wybierz przycisk OK.
Ważna
Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu, taką jak certyfikat rejestracji urządzeń przenośnych programu ConfigMgr, aby wygenerować certyfikaty rejestracji dla urządzeń przenośnych, które mają być zarządzane przez Configuration Manager.
Wybierz kartę Nazwa podmiotu , upewnij się, że wybrano opcję Kompiluj z tych informacji usługi Active Directory , wybierz pozycję Nazwa pospolita w formacie Nazwa podmiotu:, a następnie wyczyść nazwę główną użytkownika (UPN) z pozycji Dołącz te informacje do alternatywnej nazwy podmiotu.
Wybierz kartę Zabezpieczenia , wybierz grupę zabezpieczeń zawierającą użytkowników, którzy mają urządzenia przenośne do zarejestrowania, a następnie wybierz dodatkowe uprawnienie Rejestrowanie. Nie wyczyść odczytu.
Wybierz przycisk OK, a następnie zamknij konsolę Szablony certyfikatów.
W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia.
W oknie dialogowym Włączanie szablonów certyfikatów wybierz nowo utworzony szablon, certyfikat rejestracji urządzeń przenośnych programu ConfigMgr, a następnie wybierz przycisk OK.
Jeśli nie musisz tworzyć i wystawiać większej liczby certyfikatów, zamknij konsolę Urząd certyfikacji.
Szablon certyfikatu rejestracji urządzeń przenośnych jest teraz gotowy do wybrania po skonfigurowaniu profilu rejestracji urządzeń przenośnych w ustawieniach klienta.
Wdrażanie certyfikatu klienta dla komputerów Mac
To wdrożenie certyfikatu ma jedną procedurę tworzenia i wystawiania szablonu certyfikatu rejestracji w urzędzie certyfikacji.
Tworzenie i wystawianie szablonu certyfikatu klienta komputera Mac w urzędzie certyfikacji
Ta procedura tworzy niestandardowy szablon certyfikatu dla komputerów Configuration Manager Mac i dodaje szablon certyfikatu do urzędu certyfikacji.
Uwaga
Ta procedura używa innego szablonu certyfikatu niż szablon certyfikatu, który mógł zostać utworzony dla komputerów klienckich z systemem Windows lub punktów dystrybucji.
Podczas tworzenia nowego szablonu certyfikatu dla tego certyfikatu można ograniczyć żądanie certyfikatu do autoryzowanych użytkowników.
Aby utworzyć i wystawić szablon certyfikatu klienta komputera Mac w urzędzie certyfikacji
Utwórz grupę zabezpieczeń zawierającą konta użytkowników dla użytkowników administracyjnych, którzy zarejestrują certyfikat na komputerze Mac przy użyciu Configuration Manager.
Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Zarządzaj , aby załadować konsolę zarządzania Szablony certyfikatów.
W okienku wyników kliknij prawym przyciskiem myszy wpis wyświetlający uwierzytelnioną sesję w kolumnie Nazwa wyświetlana szablonu , a następnie wybierz pozycję Duplikuj szablon.
W oknie dialogowym Duplikuj szablon upewnij się, że wybrano opcję Windows 2003 Server, Enterprise Edition, a następnie wybierz przycisk OK.
Ważna
Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu, taką jak certyfikat klienta programu ConfigMgr dla komputerów Mac, aby wygenerować certyfikat klienta mac.
Wybierz kartę Nazwa podmiotu , upewnij się, że wybrano opcję Kompiluj z tych informacji usługi Active Directory , wybierz pozycję Nazwa pospolita w formacie Nazwa podmiotu:, a następnie wyczyść nazwę główną użytkownika (UPN) z pozycji Uwzględnij te informacje w alternatywnej nazwie podmiotu.
Wybierz kartę Zabezpieczenia , a następnie usuń uprawnienie Zarejestruj z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa .
Wybierz pozycję Dodaj, określ grupę zabezpieczeń utworzoną w kroku 1, a następnie wybierz przycisk OK.
Wybierz uprawnienie Zarejestruj dla tej grupy i nie usuwaj uprawnień odczytu .
Wybierz przycisk OK, a następnie zamknij konsolę Szablony certyfikatów.
W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia.
W oknie dialogowym Włączanie szablonów certyfikatów wybierz nowo utworzony szablon , certyfikat klienta programu ConfigMgr dla komputerów Mac, a następnie wybierz przycisk OK.
Jeśli nie musisz tworzyć i wystawiać większej liczby certyfikatów, zamknij urząd certyfikacji.
Szablon certyfikatu klienta komputera Mac jest teraz gotowy do wybrania podczas konfigurowania ustawień klienta na potrzeby rejestracji.