Configuration Manager中证书配置文件的先决条件
适用于: Configuration Manager(current branch)
Configuration Manager中的证书配置文件在产品中具有外部依赖项和依赖项。
重要
从版本 2203 开始,不再支持此公司资源访问功能。 有关详细信息,请参阅 有关弃用资源访问的常见问题。
外部依赖项Configuration Manager
| 相关项 | 更多信息 |
|---|---|
| (运行 Active Directory 证书服务 (AD CS) 的 CA) 颁发证书颁发机构的企业。 若要吊销证书,层次结构顶部的站点服务器的计算机帐户需要对 Configuration Manager 中的证书配置文件使用的每个证书模板的“颁发和管理证书”权限。 或者,授予证书管理器权限,以授予对该 CA 使用的所有证书模板的权限 支持对证书请求进行经理审批。 但是,用于颁发证书的证书模板必须配置为在证书使用者的请求中提供,以便Configuration Manager自动提供此值。 |
有关 Active Directory 证书服务的详细信息,请参阅 Active Directory 证书服务概述。 |
| 使用 PowerShell 脚本验证并根据需要安装网络设备注册服务 (NDES) 角色服务和Configuration Manager证书注册点的先决条件。 |
指令文件readme_crp.txt位于 ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64 中。 PowerShell 脚本(Test-NDES-CRP-Prereqs.ps1)与说明位于同一目录中。 PowerShell 脚本必须在 NDES 服务器上本地运行。 |
| Windows Server 2012 R2 上运行的 Active Directory 证书服务的网络设备注册服务 (NDES) 角色服务。 此外: 客户端与网络设备注册服务之间的通信不支持 HTTPS) 的 TCP 443 (或 HTTP) 的 TCP 80 (以外的端口号。 运行网络设备注册服务的服务器必须位于与颁发 CA 不同的服务器上。 |
Configuration Manager与 Windows Server 2012 R2 中的网络设备注册服务通信,以生成和验证简单证书注册协议 (SCEP) 请求。 如果要向从 Internet 连接的用户或设备(例如由 Microsoft Intune 管理的移动设备)颁发证书,则这些设备必须能够访问从 Internet 运行网络设备注册服务的服务器。 例如,在外围网络中安装服务器, (也称为 DMZ、隔离区域和屏蔽子网) 。 如果在运行网络设备注册服务的服务器与颁发 CA 之间有防火墙,则必须配置防火墙,以允许两个服务器之间的通信流量 (DCOM) 。 此防火墙要求也适用于运行 Configuration Manager 站点服务器的服务器和颁发 CA,以便Configuration Manager可以吊销证书。 如果网络设备注册服务配置为需要 SSL,则安全最佳做法是确保连接设备可以访问证书吊销列表 (CRL) 来验证服务器证书。 有关网络设备注册服务的详细信息,请参阅 将策略模块与网络设备注册服务配合使用。 |
| PKI 客户端身份验证证书和导出的根 CA 证书。 | 此证书对运行网络设备注册服务的服务器进行身份验证,以Configuration Manager。 有关详细信息,请参阅Configuration Manager的 PKI 证书要求。 |
| 支持的设备操作系统。 | 可以将证书配置文件部署到运行 Windows 8.1、Windows RT 8.1 和 Windows 10 的设备。 |
Configuration Manager依赖项
| 相关项 | 更多信息 |
|---|---|
| 证书注册点站点系统角色 | 必须先安装证书注册点站点系统角色,然后才能使用证书配置文件。 此角色与Configuration Manager数据库、Configuration Manager站点服务器和Configuration Manager策略模块通信。 有关此站点系统角色的系统要求以及层次结构中该角色的安装位置的详细信息,请参阅 Configuration Manager 支持的配置一文中的站点系统要求部分。 证书注册点不得安装在运行网络设备注册服务的同一台服务器上。 |
| Configuration Manager策略模块,该模块安装在运行 Active Directory 证书服务的网络设备注册服务角色服务的服务器上 | 若要部署证书配置文件,必须安装 Configuration Manager 策略模块。 可以在Configuration Manager安装媒体上找到此策略模块。 |
| 发现数据 | 证书使用者和使用者可选名称的值由 Configuration Manager 提供,并从发现收集的信息中检索: 对于用户证书:Active Directory 用户发现 对于计算机证书:Active Directory 系统发现和网络发现 |
| 用于管理证书配置文件的特定安全权限 | 必须具有以下安全权限才能管理公司资源访问设置,例如证书配置文件、Wi-Fi配置文件和 VPN 配置文件: 若要查看和管理证书配置文件的警报和报表:为 Alerts 对象创建、删除、修改、修改报表、读取和运行报表。 创建和管理证书配置文件:为证书配置文件对象创作策略、修改报表、读取和运行报表。 管理 Wi-Fi、证书和 VPN 配置文件部署:部署配置策略、修改集合对象的客户端状态警报、读取和读取资源。 管理所有配置策略:为配置策略对象创建、删除、修改、读取和设置安全范围。 若要运行与证书配置文件相关的查询:查询对象的读取权限。 若要在Configuration Manager控制台中查看证书配置文件信息,请执行以下操作:Site 对象的读取权限。 若要查看证书配置文件的状态消息:“状态消息”对象的读取权限。 创建和修改受信任的 CA 证书配置文件:创作策略、修改报表、读取和运行受信任 CA 证书配置文件对象的报表。 创建和管理 VPN 配置文件:为 VPN 配置文件对象创作策略、修改报表、读取和运行报表。 若要创建和管理Wi-Fi配置文件:创作策略、修改报表、读取和运行 Wi-Fi 配置文件对象的报表。 公司 Resource Access Manager 安全角色包括管理 Configuration Manager 中的证书配置文件所需的这些权限。 有关详细信息,请参阅配置安全性一文中的配置基于角色的管理部分。 |