通过

  • 项目

了解自签名证书要求

上一次修改主题: 2009-05-27

本节概述需要安装自签名证书的移动设备。如果您的组织使用的是公共证书颁发机构 (CA),则移动设备上可能已经安装有根证书。安装证书是一项重要任务。只有必须在其移动设备上安装自签名证书的那些用户才有必要阅读本节。安装证书时,请确认 Communicator Mobile 没有运行。如果没有进行此操作,可能必须重新启动设备才能使用证书。

证书的作用

证书可以对 Office Communicator Mobile 连接到的 Office Communications Server 2007 R2 进行身份验证,从而帮助保护网络安全。为了执行身份验证,Office Communicator Mobile 要求在设备上安装作为服务器证书一部分的根证书。如果组织使用公共证书颁发机构,则用户的移动设备上可能已装有根证书。

默认情况下,采用 Windows Mobile 系统的设备附带了多种证书。有关安装 Windows Mobile 6 的设备当前附带的证书列表,请参阅 Microsoft 网站上的 Windows Mobile 5.0 和 Windows Mobile 6 证书(英文)。继续之前,应确认在移动设备上尚未安装作为服务器证书一部分的根证书。

证书工具

以下内容介绍可用于在 Windows Mobile 设备上安装根证书的一些工具和策略,其中介绍了各种安装过程。在安装证书之前,应熟悉用于在 Windows Mobile 设备上安装证书的工具和策略。

SPAddCert

使用 SPAddCert 实用程序,可以将根证书添加到具有 Unrestricted Application Security 策略的基于 Windows Mobile 的设备,但不能使用该实用程序安装中间 CA 证书。

如果移动运营商对设备进行了限制,则尝试运行 SPAddCert 时将收到以下错误消息:“此设备当前受到保护,因此无法将证书添加到根存储区。要获得相关支持,请与设备管理员联系。”

仅当您使用的 SPAddCert 版本由移动运营商签名和分发时,才可以在受限制的设备上运行 SPAddCert。有关如何下载 SPAddCert 实用程序的详细信息,请参阅 Microsoft 知识库文章 841060“如何将根证书添加到 Windows Mobile 2003 Smartphone 和 Windows Mobile 2002 Smartphone”,网址为 https://go.microsoft.com/fwlink/?LinkId=126908

SPAddCert 说明

  • 为了使未签名的应用程序(如 SPAddCert)可在设备上运行,必须将设备上的 Unsigned Applications 策略 (4102) 设置为 1。默认值为 0。如果该策略配置不正确,SPAddCert 将失败。
  • 可以通过手动编辑注册表来修改此策略设置。通过手动编辑,也可能使其他未签名的应用程序也能运行,从而导致安全风险。
  • 要在注册表中修改此策略的设置,请转到注册表项 HKEY\LOCAL_MACHINE\Security\Policies\Policies\。在 00001006 (4102) 下,将值更改为 1。如有必要,请创建新的 DWORD 值。

Certinst 和 Grant Manager 策略

Certinst 是 Pocket PC 设备上的一个内置实用程序,当您选择证书时该实用程序会安装这些证书。Certinst 可用于安装根证书或者中间 CA 证书。Grant Manager 策略是 Windows Mobile 设备上的一项安全策略,它指定您对设备上资源所具有的访问权限级别(例如在安装新应用程序或证书期间)。例如,为了使设备使用内置 Certinst 实用程序来安装证书,您的帐户必须在 Pocket PC 上被授予 Manager 角色。当 Grant Manager 策略的值设置为 USER_AUTH (16) 时,会对您的帐户授予 Manager 角色。

Certinst 和 Grant Manager 说明

  • 要使 Certinst 正常运行,设备上的 Grant Manager 策略 (4119) 必须设置为 16,它标识 USER_AUTH 角色。默认情况下,该策略设置为 128(OPERATOR_TPS 角色)。如果该策略配置不正确,Certinst 将失败。
    您可以通过手动编辑注册表或设备设置文件来添加 USER_AUTH 角色。但是,通过手动编辑,您会将 USER_AUTH 安全角色的权限提升为系统管理权限,这可能导致安全风险。
    要在注册表中修改此策略的设置,请转到注册表项 HKEY\LOCAL_MACHINE\Security\Policies\Policies\。在“00001017”(4119) 下,将值改为 16。
  • 如果设备上没有可用于修改 Grant Manager 策略的内置注册表编辑器,则可以使用 Web 上提供的某种免费注册表编辑器。