Konfigurera certifikatinfrastruktur

Gäller för: Konfigurationshanteraren (current branch)

Viktigt

Från och med version 2203 stöds inte längre den här åtkomstfunktionen för företagsresurser. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.

Lär dig hur du konfigurerar certifikatinfrastrukturen i Configuration Manager. Innan du börjar kontrollerar du om det finns krav i Krav för certifikatprofiler.

Använd de här stegen för att konfigurera infrastrukturen för SCEP- eller PFX-certifikat.

Steg 1 – Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden (endast för SCEP-certifikat)

Du måste installera och konfigurera rolltjänsten registreringstjänst för nätverksenheter för Active Directory Certificate Services (AD CS), ändra säkerhetsbehörigheterna för certifikatmallarna, distribuera ett PKI-klientautentiseringscertifikat (Public Key Infrastructure) och redigera registret för att öka standardstorleksgränsen för INTERNET Information Services (IIS). Om det behövs måste du även konfigurera den utfärdande certifikatutfärdare (CA) för att tillåta en anpassad giltighetsperiod.

Viktigt

Innan du konfigurerar Configuration Manager att arbeta med registreringstjänsten för nätverksenheter kontrollerar du installationen och konfigurationen av registreringstjänsten för nätverksenheter. Om dessa beroenden inte fungerar korrekt har du problem med att felsöka certifikatregistrering med hjälp av Configuration Manager.

Så här installerar och konfigurerar du registreringstjänsten för nätverksenheter och beroenden

1. På en server som kör Windows Server 2012 R2 installerar och konfigurerar du rolltjänsten Registreringstjänst för nätverksenheter för Serverrollen Active Directory Certificate Services. Mer information finns i Vägledning för registreringstjänsten för nätverksenheter.

2. Kontrollera och ändra vid behov säkerhetsbehörigheterna för certifikatmallarna som registreringstjänsten för nätverksenheter använder:

   • För det konto som kör Configuration Manager-konsolen: Läsbehörighet.

     Den här behörigheten krävs så att du när du kör guiden Skapa certifikatprofil kan bläddra för att välja den certifikatmall som du vill använda när du skapar en SCEP-inställningsprofil. Att välja en certifikatmall innebär att vissa inställningar i guiden fylls i automatiskt, så det finns mindre att konfigurera och det finns mindre risk för att välja inställningar som inte är kompatibla med de certifikatmallar som registreringstjänsten för nätverksenheter använder.

   • För SCEP-tjänstkontot som programpoolen för registreringstjänsten för nätverksenheter använder: Läs- och registreringsbehörigheter.

     Det här kravet är inte specifikt för Configuration Manager utan ingår i konfigurationen av registreringstjänsten för nätverksenheter. Mer information finns i Vägledning för registreringstjänsten för nätverksenheter.

   Tips

   Du kan identifiera vilka certifikatmallar registreringstjänsten för nätverksenheter använder genom att visa följande registernyckel på den server som kör registreringstjänsten för nätverksenheter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Obs!

   Det här är de standardsäkerhetsbehörigheter som är lämpliga för de flesta miljöer. Du kan dock använda en alternativ säkerhetskonfiguration. Mer information finns i Planera för certifikatmallsbehörigheter för certifikatprofiler.

3. Distribuera ett PKI-certifikat till den här servern som stöder klientautentisering. Du kanske redan har ett lämpligt certifikat installerat på den dator som du kan använda, eller så kanske du måste (eller föredrar att) distribuera ett certifikat specifikt för detta ändamål. Mer information om kraven för det här certifikatet finns i informationen för Servrar som kör Configuration Manager-principmodulen med rolltjänsten Registreringstjänst för nätverksenheter i avsnittet PKI-certifikat för servrar i avsnittet PKI-certifikatkrav för Configuration Manager.

   Tips

   Om du behöver hjälp med att distribuera det här certifikatet kan du använda anvisningarna för att distribuera klientcertifikatet för distributionsplatser eftersom certifikatkraven är desamma med ett undantag:

   • Markera inte kryssrutan Tillåt att privat nyckel exporteras på fliken Hantering av begäranden i egenskaperna för certifikatmallen.

     Du behöver inte exportera det här certifikatet med den privata nyckeln eftersom du kommer att kunna bläddra till det lokala datorarkivet och välja det när du konfigurerar Configuration Manager-principmodulen.

4. Leta upp rotcertifikatet som klientautentiseringscertifikatet kedjar till. Exportera sedan rotcertifikatutfärdarcertifikatet till en certifikatfil (.cer). Spara den här filen på en säker plats som du kan komma åt på ett säkert sätt när du senare installerar och konfigurerar platssystemservern för certifikatregistreringsplatsen.

5. På samma server använder du registereditorn för att öka storleksgränsen för IIS-standard-URL genom att ange följande DWORD-värden för registernyckeln i HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   • Ange nyckeln MaxFieldLength till 65534.

   • Ange nyckeln MaxRequestBytes till 16777216.

     Mer information finns i Microsoft Support artikel 820129: Http.sys registerinställningar för Windows.

6. På samma server i IIS-hanteraren (Internet Information Services) ändrar du inställningarna för filtrering av begäran för programmet /certsrv/mscep och startar sedan om servern. I dialogrutan Redigera inställningar för filtrering av begäranden bör inställningarna för begärandebegränsningar vara följande:

   • Maximal tillåten innehållslängd (byte): 30000000

   • Maximal URL-längd (byte): 65534

   • Maximal frågesträng (byte): 65534

     Mer information om de här inställningarna och hur du konfigurerar dem finns i Begränsningar för IIS-begäranden.

7. Om du vill kunna begära ett certifikat som har en lägre giltighetsperiod än den certifikatmall som du använder: Den här konfigurationen är inaktiverad som standard för en företagscertifikatutfärdare. Om du vill aktivera det här alternativet på en företagscertifikatutfärdare använder du kommandoradsverktyget Certutil och stoppar och startar sedan om certifikattjänsten med hjälp av följande kommandon:

   1. certutil – setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      Mer information finns i Verktyg och inställningar för certifikattjänster.

8. Kontrollera att registreringstjänsten för nätverksenheter fungerar med hjälp av följande länk som exempel: https://server.contoso.com/certsrv/mscep/mscep.dll. Du bör se den inbyggda webbsidan registreringstjänst för nätverksenheter. Den här webbsidan förklarar vad tjänsten är och förklarar att nätverksenheter använder URL:en för att skicka certifikatbegäranden.

   Nu när registreringstjänsten för nätverksenheter och beroenden har konfigurerats är du redo att installera och konfigurera certifikatregistreringsplatsen.

Steg 2 – Installera och konfigurera certifikatregistreringsplatsen.

Du måste installera och konfigurera minst en certifikatregistreringsplats i Configuration Manager-hierarkin, och du kan installera den här platssystemrollen på den centrala administrationsplatsen eller på en primär plats.

Viktigt

Innan du installerar certifikatregistreringsplatsen kan du läsa avsnittet Krav för platssystem i avsnittet Konfigurationer som stöds för Configuration Manager för operativsystemkrav och beroenden för certifikatregistreringsplatsen.

Installera och konfigurera certifikatregistreringsplatsen

1. I Configuration Manager-konsolen klickar du på Administration.

2. På arbetsytan Administration expanderar du Platskonfiguration, klickar på Servrar och platssystemroller och väljer sedan den server som du vill använda för certifikatregistreringsplatsen.

3. Klicka på Lägg till platssystemroller i gruppen Server på fliken Start.

4. På sidan Allmänt anger du de allmänna inställningarna för platssystemet och klickar sedan på Nästa.

5. På sidan Proxy klickar du på Nästa. Certifikatregistreringsplatsen använder inte Internetproxyinställningar.

6. På sidan Val av systemroll väljer du Certifikatregistreringsplats i listan över tillgängliga roller och klickar sedan på Nästa.

7. På sidan Certifikatregistreringsläge väljer du om du vill att certifikatregistreringsplatsen ska bearbeta SCEP-certifikatbegäranden eller Bearbeta PFX-certifikatbegäranden. En certifikatregistreringsplats kan inte bearbeta båda typerna av begäranden, men du kan skapa flera certifikatregistreringsplatser om du arbetar med båda certifikattyperna.

   Om du bearbetar PFX-certifikat måste du välja en certifikatutfärdare, antingen Microsoft eller Entrust.

8. Sidan Inställningar för certifikatregistreringsplats varierar beroende på certifikattyp:

   • Om du har valt Bearbeta SCEP-certifikatbegäranden konfigurerar du följande:

     • Webbplatsnamn, HTTPS-portnummer och Virtuellt programnamn för certifikatregistreringsplatsen. Dessa fält fylls i automatiskt med standardvärden.
     • URL för registreringstjänsten för nätverksenheter och rotcertifikatutfärdarcertifikatet – Klicka på Lägg till. I dialogrutan Lägg till URL och rotcertifikatutfärdarcertifikat anger du följande:
       • URL för registreringstjänsten för nätverksenheter: Ange URL:en i följande format: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Om till exempel det fullständiga domännamnet för servern som kör registreringstjänsten för nätverksenheter är server1.contoso.com skriver du https://server1.contoso.com/certsrv/mscep/mscep.dll.
       • Rotcertifikatutfärdarcertifikat: Bläddra till och välj certifikatfilen (.cer) som du skapade och sparade i steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden. Med det här rotcertifikatutfärdarcertifikatet kan certifikatregistreringsplatsen verifiera det klientautentiseringscertifikat som Configuration Manager principmodulen använder.

   • Om du har valt Bearbeta PFX-certifikatbegäranden konfigurerar du anslutningsinformationen och autentiseringsuppgifterna för den valda certifikatutfärdare.

     • Om du vill använda Microsoft som certifikatutfärdare klickar du på Lägg till och i dialogrutan Lägg till certifikatutfärdare och konto anger du följande:

       • Servernamn för certifikatutfärdare – Ange namnet på certifikatutfärdarservern.

       • Certifikatutfärdarkonto – Klicka på Ange för att välja eller skapa det konto som har behörighet att registrera sig i mallar på certifikatutfärdaren.

       • Anslutningskonto för certifikatregistreringsplats – Välj eller skapa det konto som ansluter certifikatregistreringsplatsen till Configuration Manager-databasen. Alterativt kan du använda det lokala datorkontot för den dator som är värd för certifikatregistreringsplatsen.

       • Active Directory-certifikatpubliceringskonto – Välj ett konto eller skapa ett nytt konto som ska användas för att publicera certifikat till användarobjekt i Active Directory.

       • I dialogrutan URL för registrerings- och rotcertifikatutfärdarcertifikat för nätverksenheter anger du följande och klickar sedan på OK:

     • Om du vill använda Entrust som certifikatutfärdare anger du:

       • URL för MDM-webbtjänsten

       • Autentiseringsuppgifterna för användarnamn och lösenord för URL:en.

         När du använder MDM-API:et för att definiera url:en för entrust-webbtjänsten måste du använda minst version 9 av API:et, enligt följande exempel:

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         Tidigare versioner av API:et stöder inte Entrust.

9. Klicka på Nästa och slutför guiden.

10. Vänta några minuter så att installationen slutförs och kontrollera sedan att certifikatregistreringsplatsen har installerats med någon av följande metoder:

    • I arbetsytan Övervakning expanderar du Systemstatus, klickar på Komponentstatus och letar efter statusmeddelanden från SMS_CERTIFICATE_REGISTRATION_POINT komponenten.

    • På platssystemservern använder du <installationsfilen ConfigMgr Path>\Logs\crpsetup.log och <installationsfilen> ConfigMgr\Logs\crpmsi.log. En lyckad installation returnerar slutkoden 0.

    • Genom att använda en webbläsare kontrollerar du att du kan ansluta till URL:en för certifikatregistreringsplatsen. Till exempel https://server1.contoso.com/CMCertificateRegistration. Du bör se en serverfelsida för programnamnet med en HTTP 404-beskrivning.

11. Leta upp den exporterade certifikatfilen för rotcertifikatutfärdaren som certifikatregistreringsplatsen automatiskt skapade i följande mapp på den primära platsserverdatorn: <ConfigMgr Installation Path>\inboxes\certmgr.box. Spara den här filen på en säker plats som du kan komma åt på ett säkert sätt när du senare installerar Configuration Manager principmodulen på den server som kör registreringstjänsten för nätverksenheter.

    Tips

    Det här certifikatet är inte omedelbart tillgängligt i den här mappen. Du kan behöva vänta en stund (till exempel en halvtimme) innan Configuration Manager kopierar filen till den här platsen.

Steg 3 – Installera Configuration Manager-principmodulen (endast för SCEP-certifikat).

Du måste installera och konfigurera Configuration Manager principmodulen på varje server som du angav i steg 2: Installera och konfigurera certifikatregistreringsplatsen som URL för registreringstjänsten för nätverksenheter i egenskaperna för certifikatregistreringsplatsen.

Så här installerar du principmodulen

1. På servern som kör registreringstjänsten för nätverksenheter loggar du in som domänadministratör och kopierar följande filer från <mappen ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 på Configuration Manager installationsmediet till en tillfällig mapp:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Om du dessutom har en LanguagePack-mapp på installationsmediet kopierar du den här mappen och dess innehåll.

2. Från den tillfälliga mappen kör du PolicyModuleSetup.exe för att starta installationsguiden för Configuration Manager principmodul.

3. På den första sidan i guiden klickar du på Nästa, godkänner licensvillkoren och klickar sedan på Nästa.

4. På sidan Installationsmapp godkänner du standardinstallationsmappen för principmodulen eller anger en alternativ mapp och klickar sedan på Nästa.

5. På sidan Certifikatregistreringsplats anger du URL:en för certifikatregistreringsplatsen med hjälp av FQDN för platssystemservern och det virtuella programnamn som anges i egenskaperna för certifikatregistreringsplatsen. Standardnamnet för det virtuella programmet är CMCertificateRegistration. Om platssystemservern till exempel har ett FQDN för server1.contoso.com och du använde standardnamnet för det virtuella programmet anger du https://server1.contoso.com/CMCertificateRegistration.

6. Acceptera standardporten 443 eller ange det alternativa portnummer som certifikatregistreringsplatsen använder och klicka sedan på Nästa.

7. På sidan Klientcertifikat för principmodulenbläddrar du till och anger det klientautentiseringscertifikat som du distribuerade i steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroenden och klicka sedan på Nästa.

8. På sidan Certifikatregistreringsplatscertifikat klickar du på Bläddra för att välja den exporterade certifikatfilen för den rotcertifikatutfärdare som du lokaliserade och sparade i slutet av steg 2: Installera och konfigurera certifikatregistreringsplatsen.

   Obs!

   Om du inte sparade den här certifikatfilen tidigare finns den <i rutan ConfigMgr Installation Path>\inboxes\certmgr.box på platsserverdatorn.

9. Klicka på Nästa och slutför guiden.

   Om du vill avinstallera Configuration Manager-principmodulen använder du Program och funktioner i Kontrollpanelen.

Nu när du har slutfört konfigurationsstegen är du redo att distribuera certifikat till användare och enheter genom att skapa och distribuera certifikatprofiler. Mer information om hur du skapar certifikatprofiler finns i Så här skapar du certifikatprofiler.