配置证书基础结构
适用于: Configuration Manager(current branch)
重要
从版本 2203 开始,不再支持此公司资源访问功能。 有关详细信息,请参阅 有关弃用资源访问的常见问题。
了解如何在 Configuration Manager 中配置证书基础结构。 在开始之前,请检查 证书配置文件的先决条件中列出的任何先决条件。
使用这些步骤为 SCEP 或 PFX 证书配置基础结构。
步骤 1 - 安装和配置仅限 SCEP 证书的网络设备注册服务和依赖项 ()
必须安装并配置 Active Directory 证书服务 (AD CS) 的网络设备注册服务角色服务,更改证书模板的安全权限, (PKI) 客户端身份验证证书部署公钥基础结构,并编辑注册表以增加 Internet Information Services (IIS) 默认 URL 大小限制。 如有必要,还必须配置颁发证书颁发机构 (CA) ,以允许自定义有效期。
重要
在配置Configuration Manager以使用网络设备注册服务之前,请验证网络设备注册服务的安装和配置。 如果这些依赖项无法正常工作,则很难使用 Configuration Manager 对证书注册进行故障排除。
安装和配置网络设备注册服务和依赖项
在运行 Windows Server 2012 R2 的服务器上,安装并配置 Active Directory 证书服务服务器角色的网络设备注册服务角色服务。 有关详细信息,请参阅 网络设备注册服务指南。
检查并在必要时修改网络设备注册服务使用的证书模板的安全权限:
对于运行 Configuration Manager 控制台的帐户:读取权限。
需要此权限,以便在运行“创建证书配置文件向导”时,可以浏览以选择要在创建 SCEP 设置配置文件时使用的证书模板。 选择证书模板意味着向导中的某些设置会自动填充,因此配置较少,并且选择与网络设备注册服务使用的证书模板不兼容的设置的风险也较小。
对于网络设备注册服务应用程序池使用的 SCEP 服务帐户: 读取 和 注册 权限。
此要求并非特定于Configuration Manager而是配置网络设备注册服务的一部分。 有关详细信息,请参阅 网络设备注册服务指南。
提示
若要确定网络设备注册服务使用的证书模板,请在运行网络设备注册服务的服务器上查看以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP。
注意
这些是适用于大多数环境的默认安全权限。 但是,可以使用备用安全配置。 有关详细信息,请参阅 规划证书配置文件的证书模板权限。
将支持客户端身份验证的 PKI 证书部署到此服务器。 你可能已在可以使用的计算机上安装了合适的证书,或者可能必须 (或更愿意) 部署专用于此目的的证书。 有关此证书的要求的详细信息,请参阅Configuration Manager的 PKI 证书要求主题的 PKI 证书部分的运行具有网络设备注册服务角色服务Configuration Manager策略模块的服务器的详细信息。
提示
如果需要有关部署此证书的帮助,可以使用 为分发点部署客户端证书的说明,因为证书要求相同,但有一个例外:
不要选中证书模板属性的“请求处理”选项卡上的“允许导出私钥”复选框。
无需使用私钥导出此证书,因为可以在配置Configuration Manager策略模块时浏览到本地计算机存储并选择它。
找到客户端身份验证证书链接到的根证书。 然后,将此根 CA 证书导出到证书 (.cer) 文件。 将此文件保存到安全位置,以后安装并配置证书注册点的站点系统服务器时,可以安全地访问该文件。
在同一服务器上,使用注册表编辑器通过在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters 中设置以下注册表项 DWORD 值来增加 IIS 默认 URL 大小限制:
将 MaxFieldLength 键设置为 65534。
将 MaxRequestBytes 键设置为 16777216。
有关详细信息,请参阅Microsoft 支持部门文章820129:Http.sys Windows 注册表设置。
在同一服务器上,在 Internet Information Services (IIS) Manager 中,修改 /certsrv/mscep 应用程序的请求筛选设置,然后重启服务器。 在 “编辑请求筛选设置 ”对话框中, “请求限制 ”设置应如下所示:
允许的最大内容长度 (字节) : 30000000
最大 URL 长度 (字节) : 65534
最大查询字符串 (字节) : 65534
有关这些设置以及如何配置它们的详细信息,请参阅 IIS 请求限制。
如果希望能够请求有效期低于所使用的证书模板的证书,则默认禁用企业 CA 的此配置。 若要在企业 CA 上启用此选项,请使用 Certutil 命令行工具,然后使用以下命令停止并重启证书服务:
certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
有关详细信息,请参阅 证书服务工具和设置。
使用以下链接作为示例验证网络设备注册服务是否正常工作:
https://server.contoso.com/certsrv/mscep/mscep.dll
。 应会看到内置的网络设备注册服务网页。 此网页介绍服务是什么,并说明网络设备使用该 URL 提交证书请求。配置网络设备注册服务和依赖项后,即可安装和配置证书注册点。
步骤 2 - 安装和配置证书注册点。
必须在Configuration Manager层次结构中安装并配置至少一个证书注册点,并且可以在管理中心站点或主站点中安装此站点系统角色。
重要
安装证书注册点之前,请参阅Configuration Manager支持的配置主题中的站点系统要求部分,了解证书注册点的操作系统要求和依赖项。
安装和配置证书注册点
在Configuration Manager控制台中,单击“管理”。
在 “管理 ”工作区中,展开“ 站点配置”,单击“ 服务器和站点系统角色”,然后选择要用于证书注册点的服务器。
在“ 主页 ”选项卡上的“ 服务器 ”组中,单击“ 添加站点系统角色”。
在“ 常规 ”页上,指定站点系统的常规设置,然后单击“ 下一步”。
在“ 代理 ”页上,单击“ 下一步”。 证书注册点不使用 Internet 代理设置。
在 “系统角色选择” 页上,从可用角色列表中选择“ 证书注册点 ”,然后单击“ 下一步”。
在“ 证书注册模式 ”页上,选择是要此证书注册点 处理 SCEP 证书请求,还是 要处理 PFX 证书请求。 证书注册点无法处理这两种类型的请求,但如果同时使用这两种证书类型,则可以创建多个证书注册点。
如果处理 PFX 证书,则需要选择证书颁发机构,Microsoft或委托。
“证书注册点设置”页因证书类型而异:
如果选择了 “处理 SCEP 证书请求”,请配置以下内容:
- 证书注册点的网站名称、HTTPS 端口号和虚拟应用程序名称。 这些字段会自动填充默认值。
-
网络设备注册服务和根 CA 证书的 URL - 单击“ 添加”,然后在“ 添加 URL 和根 CA 证书 ”对话框中指定以下内容:
-
网络设备注册服务的 URL:按以下格式指定 URL:https:// <server_FQDN>/certsrv/mscep/mscep.dll。 例如,如果运行网络设备注册服务的服务器的 FQDN server1.contoso.com,请键入
https://server1.contoso.com/certsrv/mscep/mscep.dll
。 - 根 CA 证书:浏览并选择在 步骤 1:安装和配置网络设备注册服务和依赖项中创建并保存的证书 (.cer) 文件。 此根 CA 证书允许证书注册点验证Configuration Manager策略模块将使用的客户端身份验证证书。
-
网络设备注册服务的 URL:按以下格式指定 URL:https:// <server_FQDN>/certsrv/mscep/mscep.dll。 例如,如果运行网络设备注册服务的服务器的 FQDN server1.contoso.com,请键入
如果选择了 “处理 PFX 证书请求”,则会为所选证书颁发机构配置连接详细信息和凭据。
若要将 Microsoft 用作证书颁发机构,请单击“添加”,然后在“添加证书颁发机构和帐户”对话框中指定以下内容:
证书颁发机构服务器名称 - 输入证书颁发机构服务器的名称。
证书颁发机构帐户 - 单击“ 设置 ”以选择或创建有权在证书颁发机构上注册模板的帐户。
证书注册点连接帐户 - 选择或创建将证书注册点连接到 Configuration Manager 数据库的帐户。 可以更改使用托管证书注册点的计算机的本地计算机帐户。
Active Directory 证书发布帐户 - 选择一个帐户,或创建一个新帐户,该帐户将用于将证书发布到 Active Directory 中的用户对象。
在 “网络设备注册和根 CA 证书的 URL ”对话框中,指定以下内容,然后单击“ 确定”:
若要使用 Entrust 作为证书颁发机构,请指定:
MDM Web 服务 URL
URL 的用户名和密码凭据。
使用 MDM API 定义 Entrust Web 服务 URL 时,请确保至少使用 API 版本 9,如以下示例所示:
https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9
早期版本的 API 不支持 Entrust。
单击“ 下一步 ”并完成向导。
请等待几分钟以完成安装,然后使用以下任一方法验证证书注册点是否已成功安装:
在 “监视 ”工作区中,展开“ 系统状态”,单击“ 组件状态”,然后查找 来自SMS_CERTIFICATE_REGISTRATION_POINT 组件的状态消息。
在站点系统服务器上,使用 <ConfigMgr 安装路径>\Logs\crpsetup.log 文件和 <ConfigMgr 安装路径>\Logs\crpmsi.log 文件。 安装成功将返回退出代码 0。
使用浏览器验证是否可以连接到证书注册点的 URL。 例如,
https://server1.contoso.com/CMCertificateRegistration
。 应会看到应用程序名称的 “服务器错误 ”页,其中包含 HTTP 404 说明。
找到证书注册点在主站点服务器计算机上的以下文件夹中自动创建的根 CA 的导出证书文件: <ConfigMgr 安装路径>\inboxes\certmgr.box。 将此文件保存到以后在运行网络设备注册服务的服务器上安装 Configuration Manager 策略模块时可以安全访问的安全位置。
提示
此证书不在此文件夹中立即可用。 可能需要等待一段时间 (例如,) 半小时后,Configuration Manager将文件复制到此位置。
步骤 3 - 仅) 安装 SCEP 证书的 Configuration Manager 策略模块 (。
必须在步骤 2:在证书注册点的属性中将证书注册点安装和配置为网络设备注册服务的 URL 中指定的每台服务器上安装和配置Configuration Manager策略模块。
安装策略模块
在运行网络设备注册服务的服务器上,以域管理员身份登录,并将以下文件从<Configuration Manager安装媒体上的 ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 文件夹复制到临时文件夹:
PolicyModule.msi
PolicyModuleSetup.exe
此外,如果安装介质上有 LanguagePack 文件夹,请复制此文件夹及其内容。
从临时文件夹中,运行 PolicyModuleSetup.exe 以启动Configuration Manager策略模块安装向导。
在向导的初始页上,单击“ 下一步”,接受许可条款,然后单击“ 下一步”。
在“ 安装文件夹” 页上,接受策略模块的默认安装文件夹或指定备用文件夹,然后单击“ 下一步”。
在“ 证书注册点 ”页上,使用站点系统服务器的 FQDN 和在证书注册点的属性中指定的虚拟应用程序名称指定证书注册点的 URL。 默认虚拟应用程序名称为 CMCertificateRegistration。 例如,如果站点系统服务器的 FQDN 为 server1.contoso.com 并且你使用了默认的虚拟应用程序名称,请指定
https://server1.contoso.com/CMCertificateRegistration
。接受默认端口 443 或指定证书注册点使用的备用端口号,然后单击“ 下一步”。
在 “策略模块的客户端证书”页上,浏览到并指定在 步骤 1:安装和配置网络设备注册服务和依赖项中部署的客户端身份验证证书,然后单击“ 下一步”。
在“ 证书注册点证书 ”页上,单击“ 浏览 ”,选择在 步骤 2:安装和配置证书注册点末尾找到并保存的根 CA 的导出证书文件。
注意
如果以前未保存此证书文件,则该文件位于 <站点服务器计算机上的 ConfigMgr 安装路径>\inboxes\certmgr.box 中。
单击“ 下一步 ”并完成向导。
如果要卸载Configuration Manager策略模块,请使用 控制面板 中的程序和功能。
完成配置步骤后,即可通过创建和部署证书配置文件将证书部署到用户和设备。 有关如何创建证书配置文件的详细信息,请参阅 如何创建证书配置文件。