PKI 憑證部署 Configuration Manager 的逐步範例:Windows Server 2008 證書頒發機構單位
適用於:Configuration Manager (目前的分支)
此逐步範例部署使用 Windows Server 2008 證書頒發機構單位 (CA) ,其程式會示範如何建立及部署公鑰基礎結構, (Configuration Manager 使用的 PKI) 憑證。 這些程式會使用企業證書頒發機構單位 (CA) 和證書範本。 這些步驟僅適用於測試網路,作為概念證明。
因為不需要憑證的單一部署方法,請參閱您的特定 PKI 部署檔,以取得部署生產環境所需憑證所需的程式和最佳做法。 如需憑證需求的詳細資訊,請參閱 Configuration Manager 的 PKI 憑證需求。
提示
您可以針對測試網路需求一節中未記載的作系統,調整本主題中的指示。 不過,如果您在 Windows Server 2012 上執行發行 CA,系統不會提示您輸入證書範本版本。 請改為在樣本屬性的 [ 相容性 ] 索引標籤上指定此專案:
-
證書頒發機構單位:Windows Server 2003
- 憑證收件者: Windows XP/ Server 2003
測試網路需求
逐步指示具有下列需求:
測試網路執行 Active Directory 網域服務 Windows Server 2008,並安裝為單一網域、單一樹系。
您有一個執行 Windows Server 2008 Enterprise Edition 的成員伺服器,其上已安裝 Active Directory 憑證服務角色,且已設定為 CA) (企業跟證書授權單位。
您有一部計算機已安裝 Windows Server 2008 (Standard 版或 Enterprise Edition、R2 或更新版本) ,該計算機已指定為成員伺服器,而 Internet Information Services (IIS) 已安裝在該電腦上。 如果您必須支援 Configuration Manager 和因特網上用戶端所註冊的行動裝置,則此計算機將會是您將使用內部網路完整域名 (FQDN) 設定的 Configuration Manager 月台系統伺服器,以支援內部網路上的用戶端連線和因特網 FQDN。
您有一個已安裝最新 Service Pack 的 Windows Vista 用戶端,且此電腦是以包含 ASCII 字元的電腦名稱設定,並已加入網域。 這部計算機將會是 Configuration Manager 客戶端電腦。
您可以使用根域系統管理員帳戶或企業網域系統管理員帳戶登入,並將此帳戶用於此範例部署中的所有程式。
憑證概觀
下表列出 Configuration Manager 可能需要的 PKI 憑證類型,並說明其使用方式。
| 憑證需求 | 憑證描述 |
|---|---|
| 執行 IIS 之站台系統的 Web 伺服器證書 | 此憑證可用來加密數據,以及向客戶端驗證伺服器。 它必須從執行 Internet Information Services (IIS) 且在 Configuration Manager 中設定為使用 HTTPS 的站台系統伺服器上,從 Configuration Manager 安裝。 如需設定及安裝此憑證的步驟,請參閱本主題中的 為執行 IIS 的月臺系統部署 Web 伺服器證書 。 |
| 用戶端連線到雲端發佈點的服務憑證 | 如需設定及安裝此憑證的步驟,請參閱本主題中的 部署雲端發佈點的服務憑證 。 重要: 此憑證會與 Windows Azure 管理憑證搭配使用。 如需管理憑證的詳細資訊,請參閱 如何建立管理憑證 和 如何將管理憑證新增至 Windows Azure 訂用帳戶。 |
| Windows 計算機的用戶端憑證 | 此憑證可用來向設定為使用 HTTPS 的站台系統驗證 Configuration Manager 客戶端電腦。 它也可以用於管理點和狀態移轉點,以在設定為使用 HTTPS 時監視其作狀態。 它必須從電腦上的 Configuration Manager 安裝在外部。 如需設定及安裝此憑證的步驟,請參閱本主題中的 部署 Windows 計算機的客戶端憑證 。 |
| 發佈點的客戶端憑證 | 此憑證有兩個用途: 憑證是用來在發佈點傳送狀態消息之前,向已啟用 HTTPS 的管理點驗證發佈點。 選取 [ 為用戶端啟用 PXE 支援 ] 發佈點選項時,憑證會傳送至 PXE 開機的計算機,以便在部署作系統期間連線到已啟用 HTTPS 的管理點。 如需設定及安裝此憑證的步驟,請參閱本主題中的 部署發佈點的客戶端憑證 。 |
| 行動裝置的註冊憑證 | 此憑證可用來向設定為使用 HTTPS 的站台系統驗證 Configuration Manager 行動裝置用戶端。 它必須安裝為 Configuration Manager 中行動裝置註冊的一部分,而且您選擇已設定的證書範本作為行動裝置客戶端設定。 如需設定此憑證的步驟,請參閱本主題中的 部署行動裝置的註冊憑證 。 |
| Mac 電腦的客戶端憑證 | 您可以在使用 Configuration Manager 註冊時,從 Mac 計算機要求並安裝此憑證,並選擇已設定的證書範本作為行動裝置客戶端設定。 如需設定此憑證的步驟,請參閱本主題中的 部署Mac計算機的客戶端憑證 。 |
為執行 IIS 的站台系統部署 Web 伺服器證書
此憑證部署具有下列程式:
在證書頒發機構單位上建立和發行 Web 伺服器證書範本
要求 Web 伺服器證書
設定 IIS 以使用 Web 伺服器證書
在證書頒發機構單位上建立和發行 Web 伺服器證書範本
此程式會建立 Configuration Manager 月台系統的證書範本,並將其新增至證書頒發機構單位。
在證書頒發機構單位上建立和發行 Web 伺服器證書範本
建立名為 ConfigMgr IIS 伺服器的安全組,其成員伺服器可安裝 Configuration Manager 執行 IIS 的月台系統。
在已安裝憑證服務的成員伺服器上,於 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本 ],然後選擇 [ 管理 ] 以載入 [ 證書範本] 控制台。
在結果窗格中,以滑鼠右鍵按兩下 [範本顯示名稱] 資料行中具有 Web 伺服器的專案,然後選擇 [複製範本]。
在 [複製範本] 對話框中,確定已選取 [Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server,Enterprise Edition]。
在 [新增範本的屬性] 對話方塊的 [一般] 索引卷標上,輸入範本名稱,例如 ConfigMgr Web 伺服器證書],以產生將用於 Configuration Manager 月台系統上的 Web 憑證。
選擇 [ 主體名稱] 索引標籤,並確定已選取 [在要求中提供 ]。
選擇 [安全性] 索引標籤,然後從 [網域管理員] 和 [企業系統管理員] 安全組中移除 [註冊] 許可權。
選擇 [新增],在文本框中輸入 ConfigMgr IIS 伺服器],然後選擇 [確定]。
選擇此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [確定],然後關閉 [ 證書範本控制台]。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],選擇 [ 新增],然後選擇 [要發出的證書範本]。
在 [啟用證書範本] 對話框中,選擇您剛才建立的新範本,ConfigMgr Web 伺服器證書],然後選擇 [確定]。
如果您不需要建立並簽發更多憑證,請關閉 證書頒發機構單位。
要求 Web 伺服器證書
此程式可讓您指定將在月台系統伺服器屬性中設定的內部網路和因特網 FQDN 值,然後將 Web 伺服器證書安裝到執行 IIS 的成員伺服器。
要求 Web 伺服器證書
重新啟動執行 IIS 的成員伺服器,以確保電腦可以使用您設定的 讀 取和 註冊 許可權來存取您建立的證書範本。
選擇 [ 開始],選擇 [ 執行],然後輸入 mmc.exe] 。 在空白控制台中,選擇 [檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話框中,從 [可用的嵌入式管理單元] 列表中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話框中,選擇 [ 計算機帳戶],然後選擇 [ 下一步]。
在 [ 選取計算機 ] 對話框中,確定已選取 [ 本機計算機: () 執行此控制台的計算機 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話框中,選擇 [ 確定]。
在控制台中,展開 [ 本機計算機 (憑證) ],然後選擇 [ 個人]。
以滑鼠右鍵按兩下 [憑證],選擇 [ 所有工作],然後選擇 [ 要求新憑證]。
在 [ 開始之前] 頁面上,選擇 [ 下一步]。
如果您看到 [ 選取憑證註冊原則 ] 頁面,請選擇 [下一步]。
在 [要求憑證] 頁面上,從可用憑證清單中識別 ConfigMgr Web 伺服器證書,然後選擇 [需要更多資訊才能註冊此憑證]。按這裏設定設定。
在 [ 憑證內容] 對話框的 [ 主體 ] 索引標籤中,不要對 [主體名稱] 進行任何變更。 這表示 [主體名稱] 區段的 [值] 方塊會保持空白。 相反地,從 [ 替代名稱] 區段中,選擇 [ 類型 ] 下拉式列表,然後選擇 [DNS]。
在 [值] 方塊中,指定您將在 Configuration Manager 月台系統屬性中指定的 FQDN 值,然後選擇 [確定] 關閉 [憑證屬性] 對話框。
範例:
如果站台系統只會接受來自內部網路的用戶端連線,且站台系統伺服器的內部網路 FQDN 已 server1.internal.contoso.com,請輸入 server1.internal.contoso.com,然後選擇 [ 新增]。
如果站臺系統接受來自內部網路和因特網的用戶端連線,且月台系統伺服器的內部網路 FQDN 已 server1.internal.contoso.com ,且站台系統伺服器的因特網 FQDN 為 server.contoso.com:
輸入 server1.internal.contoso.com,然後選擇 [ 新增]。
輸入 server.contoso.com,然後選擇 [ 新增]。
注意事項
您可以依任何順序指定 Configuration Manager 的 FQDN。 不過,請檢查將使用憑證的所有裝置,例如行動裝置和 Proxy 網頁伺服器,都可以使用憑證主體別名 (SAN) 和 SAN 中的多個值。 如果裝置在憑證中對SAN值的支援有限,您可能必須變更 FQDN 的順序,或改用 Subject 值。
在 [要求憑證] 頁面上,從可用憑證清單中選擇 [ConfigMgr Web 伺服器證書],然後選擇 [註冊]。
在 [ 憑證安裝結果 ] 頁面上,等候憑證安裝完成,然後選擇 [ 完成]。
關閉 本機電腦 () 憑證 。
設定 IIS 以使用 Web 伺服器證書
此程式會將已安裝的憑證系結至 IIS 預設網站。
若要設定 IIS 以使用 Web 伺服器證書
在已安裝 IIS 的成員伺服器上,依序選擇 [ 啟動]、[ 程式]、[ 系統管理工具],然後選擇 [ Internet Information Services (IIS) Manager]。
展開 [網站],以滑鼠右鍵按兩下 [預設網站],然後選擇 [ 編輯系結]。
選擇 HTTPs 專案,然後選擇 [ 編輯]。
在 [編輯網站系結] 對話框中,選取您使用 [ConfigMgr Web 伺服器證書] 範本要求的憑證,然後選擇 [確定]。
注意事項
如果您不確定哪一個是正確的憑證,請選擇一個憑證,然後選擇 [ 檢視]。 這可讓您將選取的憑證詳細數據與 [憑證] 嵌入式管理單元中的憑證進行比較。 例如,[憑證] 嵌入式管理單元會顯示用來要求憑證的證書範本。 然後,您可以使用 [ConfigMgr Web 伺服器證書] 範本,將所要求憑證的憑證指紋與 [編輯網站系結] 對話框中目前選取之憑證的憑證指紋進行比較。
在 [編輯網站系結] 對話框中選擇 [確定],然後選擇 [關閉]。
關閉 Internet Information Services (IIS) Manager。
成員伺服器現在已設定為 Configuration Manager Web 伺服器證書。
重要事項
當您在此電腦上安裝 Configuration Manager 月台系統伺服器時,請確定您在月臺系統屬性中指定的 FQDN 與您要求憑證時所指定的 FQDN 相同。
部署雲端發佈點的服務憑證
此憑證部署具有下列程式:
在證書頒發機構單位上建立和發行自定義 Web 伺服器證書範本
此程式會建立以 Web 伺服器證書範本為基礎的自定義證書範本。 憑證適用於 Configuration Manager 雲端式發佈點,且私鑰必須可匯出。 建立證書範本之後,它會新增至證書頒發機構單位。
注意事項
此程式會使用與您為執行 IIS 之站台系統建立的 Web 伺服器證書範本不同的證書範本。 雖然這兩個憑證都需要伺服器驗證功能,但雲端式發佈點的憑證會要求您輸入自定義定義的主體名稱值,而且必須匯出私鑰。 安全性最佳做法是,除非需要此設定,否則請勿設定證書範本,以便匯出私鑰。 雲端式發佈點需要此設定,因為您必須將憑證匯入為檔案,而不是從證書存儲中選擇它。
當您為此憑證建立新的證書範本時,可以限制可要求其私鑰可匯出之憑證的計算機。 在生產網路上,您也可以考慮為此憑證新增下列變更:
- 需要核准才能安裝憑證,以取得額外的安全性。
- 增加憑證有效期間。 因為每次憑證到期之前都必須匯出和匯入憑證,所以有效期間的增加可減少重複此程序的頻率。 不過,有效期間的增加也會降低憑證的安全性,因為它提供更多時間讓攻擊者解密私鑰並竊取憑證。
- 使用憑證主體別名 (SAN) 中的自定義值,協助您從與 IIS 搭配使用的標準 Web 伺服器證書中識別此憑證。
在證書頒發機構單位上建立和發行自定義 Web 伺服器證書範本
建立名為 ConfigMgr 月臺伺服器的安全組,其成員伺服器可安裝 Configuration Manager 將管理雲端架構發佈點的主要站台伺服器。
在執行證書頒發機構單位控制台的成員伺服器上,以滑鼠右鍵按兩下 [ 證書範本],然後選擇 [ 管理 ] 以載入證書範本管理控制台。
在結果窗格中,以滑鼠右鍵按兩下 [範本顯示名稱] 資料行中具有 Web 伺服器的專案,然後選擇 [複製範本]。
在 [複製範本] 對話框中,確定已選取 [Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server,Enterprise Edition]。
在 [新增範本的屬性] 對話方塊的 [一般] 索引卷標上,輸入範本名稱,例如 ConfigMgr Cloud-Based 發佈點憑證,以產生雲端架構發佈點的 Web 伺服器證書。
選擇 [ 要求處理] 索引標籤,然後選擇 [ 允許匯出私鑰]。
選擇 [安全性] 索引標籤,然後從 Enterprise Admins 安全組移除 [註冊] 許可權。
選擇 [新增],在文本框中輸入 ConfigMgr 月臺伺服器],然後選擇 [確定]。
選取此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [ 密碼編譯] 索引 標籤,並確定 [金鑰大小下限 ] 已設定為 2048。
選擇 [確定],然後關閉 [ 證書範本控制台]。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],選擇 [ 新增],然後選擇 [要發出的證書範本]。
在 [啟用證書範本] 對話框中,選擇您剛才建立的新範本,ConfigMgr Cloud-Based 發佈點憑證],然後選擇 [確定]。
如果您不需要建立並發行更多憑證,請關閉 證書頒發機構單位。
要求自訂 Web 伺服器證書
此程式會要求,然後在將執行月臺伺服器的成員伺服器上安裝自定義 Web 伺服器證書。
要求自訂 Web 伺服器證書
建立並設定 ConfigMgr 月臺伺服器安全組之後,請重新啟動成員伺服器,以確保計算機可以使用您設定的讀取和註冊許可權來存取您所建立的證書範本。
選擇 [ 開始],選擇 [ 執行],然後輸入 mmc.exe。 在空白控制台中,選擇 [檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話框中,從 [可用的嵌入式管理單元] 列表中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話框中,選擇 [ 計算機帳戶],然後選擇 [ 下一步]。
在 [ 選取計算機 ] 對話框中,確定已選取 [ 本機計算機: () 執行此控制台的計算機 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話框中,選擇 [ 確定]。
在控制台中,展開 [ 本機計算機 (憑證) ],然後選擇 [ 個人]。
以滑鼠右鍵按兩下 [憑證],選擇 [ 所有工作],然後選擇 [ 要求新憑證]。
在 [ 開始之前] 頁面上,選擇 [ 下一步]。
如果您看到 [ 選取憑證註冊原則 ] 頁面,請選擇 [下一步]。
在 [要求憑證] 頁面上,從可用憑證清單中識別 ConfigMgr Cloud-Based 發佈點憑證,然後選擇 [需要更多資訊才能註冊此憑證]。請選擇此處設定設定。
在 [ 憑證內容] 對話框的 [ 主體] 索引標籤中,針對 [ 主體名稱] 選擇 [ 一般名稱 ] 作為 [類型]。
在 [ 值] 方塊中,使用 FQDN 格式指定您選擇的服務名稱和功能變數名稱。 例如: clouddp1.contoso.com。
注意事項
讓服務名稱在命名空間中是唯一的。 您將使用 DNS 建立別名 (CNAME 記錄) 將此服務名稱對應至自動產生的識別碼 (GUID) 以及來自 Windows Azure 的 IP 位址。
選擇 [新增],然後選擇 [ 確定] 以關閉 [ 憑證內容 ] 對話框。
在 [要求憑證] 頁面上,從可用憑證清單中選擇 [ConfigMgr Cloud-Based 發佈點憑證],然後選擇 [註冊]。
在 [ 憑證安裝結果 ] 頁面上,等候憑證安裝完成,然後選擇 [ 完成]。
關閉 本機電腦 () 憑證 。
匯出雲端發佈點的自定義 Web 伺服器證書
此程式會將自定義 Web 伺服器證書匯出至檔案,以便在您建立雲端發佈點時匯入。
匯出雲端發佈點的自定義 Web 伺服器證書
在 [ 本機計算機 (憑證]) 控制台中,以滑鼠右鍵按下您剛安裝的憑證,選擇 [ 所有工作],然後選擇 [ 匯出]。
在 [憑證導出精靈] 中,選擇 [ 下一步]。
在 [ 匯出私鑰 ] 頁面上,選擇 [ 是],匯出私鑰,然後選擇 [ 下一步]。
注意事項
如果無法使用此選項,則已建立憑證,而沒有匯出私鑰的選項。 在此案例中,您無法以必要的格式匯出憑證。 您必須設定證書範本,才能匯出私鑰,然後再次要求憑證。
在 [ 匯出檔格式] 頁面上,確定 個人資訊交換 - PKCS #12 (。已選取 PFX) 選項。
在 [ 密碼] 頁面上,指定強密碼以使用其私鑰保護導出的憑證,然後選擇 [ 下一步]。
在 [ 要導出的檔案 ] 頁面上,指定您要導出的檔名,然後選擇 [ 下一步]。
若要關閉精靈,請在 [憑證導出精靈] 頁面中選擇 [完成],然後在確認對話框中選擇 [確定]。
關閉 本機電腦 () 憑證 。
安全地儲存盤案,並確保您可以從 Configuration Manager 主控台存取它。
當您建立雲端發佈點時,憑證現在已準備好匯入。
部署 Windows 電腦的客戶端憑證
此憑證部署具有下列程式:
在證書頒發機構單位上建立和發行工作站驗證證書範本
使用 群組原則 設定工作站驗證範本的自動註冊
自動註冊工作站驗證憑證,並在計算機上驗證其安裝
在證書頒發機構單位上建立和發行工作站驗證證書範本
此程式會建立 Configuration Manager 用戶端計算機的證書範本,並將它新增至證書頒發機構單位。
在證書頒發機構單位上建立和發行工作站驗證證書範本
在執行證書頒發機構單位控制台的成員伺服器上,以滑鼠右鍵按兩下 [ 證書範本],然後選擇 [ 管理 ] 以載入證書範本管理控制台。
在結果窗格中,以滑鼠右鍵按兩下 [範本顯示名稱] 資料列中具有工作站驗證的專案,然後選擇 [複製範本]。
在 [複製範本] 對話框中,確定已選取 [Windows 2003 Server, Enterprise Edition],然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server,Enterprise Edition]。
在 [新增範本的屬性] 對話方塊的 [一般] 索引卷標上,輸入範本名稱,例如 ConfigMgr 客戶端憑證,以產生將用於用戶端計算機 Configuration Manager 客戶端憑證。
選擇 [ 安全性] 索 引標籤,選取 [網域計算機 ] 群組,然後選取 [ 讀 取] 和 [ 自動註冊] 的其他許可權。 請勿清除 [註冊]。
選擇 [確定],然後關閉 [ 證書範本控制台]。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],選擇 [ 新增],然後選擇 [要發出的證書範本]。
在 [啟用證書範本] 對話框中,選擇您剛才建立的新範本,ConfigMgr 客戶端憑證],然後選擇 [確定]。
如果您不需要建立並簽發更多憑證,請關閉 證書頒發機構單位。
使用 群組原則 設定工作站驗證範本的自動註冊
此程式會設定 群組原則 在計算機上自動註冊客戶端憑證。
若要使用 群組原則 設定工作站驗證範本的自動註冊
在域控制器上,選擇 [啟動],選擇 [系統管理工具],然後選擇 [群組原則 管理]。
移至您的網域,以滑鼠右鍵按兩下網域,然後選擇 [ 在此網域中建立 GPO],然後將它連結到這裡。
注意事項
此步驟會使用建立自定義設定之新 群組原則 的最佳做法,而不是編輯與 Active Directory 網域服務 一起安裝的預設網域原則。 當您在網域層級指派此 群組原則 時,會將它套用至網域中的所有計算機。 在生產環境中,您可以限制自動註冊,使其只在選取的計算機上註冊。 您可以在組織單位層級指派 群組原則,也可以使用安全組篩選網域 群組原則,使其僅適用於群組中的計算機。 如果您限制自動註冊,請記得包含設定為管理點的伺服器。
在 [新增 GPO] 對話框中,輸入新 群組原則 的名稱,例如 [自動註冊憑證],然後選擇 [確定]。
在結果窗格的 [鏈接 群組原則 物件] 索引標籤上,以滑鼠右鍵按兩下新的 群組原則,然後選擇 [編輯]。
在 [群組原則 管理] 編輯器 中,展開 [計算機設定] 底下的 [原則],然後移至 [Windows 設定安全性 / 設定] / [公鑰原則]。
以滑鼠右鍵按兩下名為 [憑證服務用戶端 - 自動註冊] 的物件類型,然後選擇 [ 屬性]。
從 [ 組態模型] 下拉式清單中,依序選擇 [ 啟用]、[ 更新過期的憑證]、更新擱置中的憑證、移除撤銷的憑證、選擇 [ 更新使用證書範本的憑證],然後選擇 [ 確定]。
關閉 群組原則 管理]。
自動註冊工作站驗證憑證,並在計算機上驗證其安裝
此程式會在計算機上安裝客戶端憑證,並驗證安裝。
自動註冊工作站驗證憑證,並在用戶端計算機上驗證其安裝
重新啟動工作站計算機,並在登入前等候幾分鐘。
注意事項
重新啟動計算機是確保憑證自動註冊成功的最可靠方法。
使用具有系統管理許可權的帳戶登入。
在搜尋方塊中,輸入 mmc.exe.,然後按 Enter。
在空的管理控制台中,選擇 [ 檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話框中,從 [可用的嵌入式管理單元] 列表中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話框中,選擇 [ 計算機帳戶],然後選擇 [ 下一步]。
在 [ 選取計算機 ] 對話框中,確定已選取 [ 本機計算機: () 執行此控制台的計算機 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話框中,選擇 [ 確定]。
在控制台中,展開 [ 憑證 (本機計算機) ],展開 [ 個人],然後選擇 [ 憑證]。
在結果窗格中,確認憑證在 [預定目的] 資料行中有 [用戶端驗證],且 [ConfigMgr 客戶端憑證] 位於 [證書範本] 數據行中。
關閉 本機電腦 () 憑證 。
針對成員伺服器重複步驟 1 到 11,以確認將設定為管理點的伺服器也具有客戶端憑證。
計算機現在已設定 Configuration Manager 客戶端憑證。
部署發佈點的客戶端憑證
注意事項
此憑證也可用於不使用 PXE 開機的媒體映像,因為憑證需求相同。
此憑證部署具有下列程式:
在證書頒發機構單位上建立和發行自定義工作站驗證證書範本
要求自定義工作站驗證憑證
匯出發佈點的客戶端憑證
在證書頒發機構單位上建立和發行自定義工作站驗證證書範本
此程式會建立 Configuration Manager 發佈點的自定義證書範本,以便匯出私鑰,並將證書範本新增至證書頒發機構單位。
注意事項
此程式會使用與您為用戶端電腦建立的證書範本不同的證書範本。 雖然這兩個憑證都需要客戶端驗證功能,但發佈點的憑證需要匯出私鑰。 安全性最佳做法是,除非需要此設定,否則請勿設定證書範本,以便匯出私鑰。 發佈點需要此設定,因為您必須將憑證匯入為檔案,而不是從證書存儲中選擇它。
當您為此憑證建立新的證書範本時,可以限制可要求其私鑰可匯出之憑證的計算機。 在我們的範例部署中,這會是您先前為執行 IIS 之站台系統伺服器建立 Configuration Manager 的安全組。 在散發 IIS 站台系統角色的生產網路上,請考慮為執行發佈點的伺服器建立新的安全組,以便將憑證限制為僅限這些站台系統伺服器。 您也可以考慮為此憑證新增下列修改:
- 需要核准才能安裝憑證,以取得額外的安全性。
- 增加憑證有效期間。 因為每次憑證到期之前都必須匯出和匯入憑證,所以有效期間的增加可減少重複此程序的頻率。 不過,有效期間的增加也會降低憑證的安全性,因為它提供更多時間讓攻擊者解密私鑰並竊取憑證。
- 在憑證 [主體] 字段或 [主體別名] (SAN) 中使用自定義值,以協助從標準用戶端憑證識別此憑證。 如果您將相同的憑證用於多個發佈點,這會特別有用。
在證書頒發機構單位上建立和發行自定義工作站驗證證書範本
在執行證書頒發機構單位控制台的成員伺服器上,以滑鼠右鍵按兩下 [ 證書範本],然後選擇 [ 管理 ] 以載入證書範本管理控制台。
在結果窗格中,以滑鼠右鍵按兩下 [範本顯示名稱] 資料列中具有工作站驗證的專案,然後選擇 [複製範本]。
在 [複製範本] 對話框中,確定已選取 [Windows 2003 Server, Enterprise Edition],然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server,Enterprise Edition]。
在 [新增範本的內容] 對話方塊的 [一般] 索引卷標上,輸入範本名稱,例如 ConfigMgr 用戶端發佈點憑證,以產生發佈點的客戶端驗證憑證。
選擇 [ 要求處理] 索引標籤,然後選擇 [ 允許匯出私鑰]。
選擇 [安全性] 索引標籤,然後從 Enterprise Admins 安全組移除 [註冊] 許可權。
選擇 [新增],在文本框中輸入 ConfigMgr IIS 伺服器],然後選擇 [確定]。
選取此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [確定],然後關閉 [ 證書範本控制台]。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],選擇 [ 新增],然後選擇 [要發出的證書範本]。
在 [啟用證書範本] 對話框中,選擇您剛才建立的新範本,ConfigMgr 客戶端發佈點憑證],然後選擇 [確定]。
如果您不需要建立並發行更多憑證,請關閉 證書頒發機構單位。
要求自定義工作站驗證憑證
此程式會要求 ,然後將自定義用戶端憑證安裝到執行 IIS 且將設定為發佈點的成員伺服器上。
要求自定義工作站驗證憑證
選擇 [ 開始],選擇 [ 執行],然後輸入 mmc.exe。 在空白控制台中,選擇 [檔案],然後選擇 [ 新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話框中,從 [可用的嵌入式管理單元] 列表中選擇 [憑證],然後選擇 [新增]。
在 [ 憑證嵌入式 管理單元] 對話框中,選擇 [ 計算機帳戶],然後選擇 [ 下一步]。
在 [ 選取計算機 ] 對話框中,確定已選取 [ 本機計算機: () 執行此控制台的計算機 ],然後選擇 [ 完成]。
在 [ 新增或移除嵌入式 管理單元] 對話框中,選擇 [ 確定]。
在控制台中,展開 [ 本機計算機 (憑證) ],然後選擇 [ 個人]。
以滑鼠右鍵按兩下 [憑證],選擇 [ 所有工作],然後選擇 [ 要求新憑證]。
在 [ 開始之前] 頁面上,選擇 [ 下一步]。
如果您看到 [ 選取憑證註冊原則 ] 頁面,請選擇 [下一步]。
在 [要求憑證] 頁面上,從可用憑證清單中選擇 [ConfigMgr 客戶端發佈點憑證],然後選擇 [註冊]。
在 [ 憑證安裝結果 ] 頁面上,等候憑證安裝完成,然後選擇 [ 完成]。
在結果窗格中,確認憑證在 [預定用途] 數據行中有 [用戶端驗證],且 [用戶端發佈點憑證] ConfigMgr 位於 [證書範本] 數據行中。
請勿關閉 本機電腦 () 憑證 。
匯出發佈點的客戶端憑證
此程式會將自定義工作站驗證憑證導出至檔案,以便在發佈點屬性中匯入。
匯出發佈點的客戶端憑證
在 [ 本機計算機 (憑證]) 控制台中,以滑鼠右鍵按下您剛安裝的憑證,選擇 [ 所有工作],然後選擇 [ 匯出]。
在 [憑證導出精靈] 中,選擇 [ 下一步]。
在 [ 匯出私鑰 ] 頁面上,選擇 [ 是],匯出私鑰,然後選擇 [ 下一步]。
注意事項
如果無法使用此選項,則已建立憑證,而沒有匯出私鑰的選項。 在此案例中,您無法以必要的格式匯出憑證。 您必須設定證書範本,才能匯出私鑰,然後再次要求憑證。
在 [ 匯出檔格式] 頁面上,確定 個人資訊交換 - PKCS #12 (。已選取 PFX) 選項。
在 [ 密碼] 頁面上,指定強密碼以使用其私鑰保護導出的憑證,然後選擇 [ 下一步]。
在 [ 要導出的檔案 ] 頁面上,指定您要導出的檔名,然後選擇 [ 下一步]。
若要關閉精靈,請在 [憑證導出精靈] 頁面上選擇 [完成],然後在確認對話框中選擇 [確定]。
關閉 本機電腦 () 憑證 。
安全地儲存盤案,並確保您可以從 Configuration Manager 主控台存取它。
當您設定發佈點時,憑證現在已準備好匯入。
提示
當您為不使用 PXE 開機的作系統部署設定媒體映射時,可以使用相同的憑證檔案,而安裝映射的工作順序必須連絡需要 HTTPS 用戶端連線的管理點。
部署行動裝置的註冊憑證
此憑證部署具有單一程式,可在證書頒發機構單位上建立和發行註冊證書範本。
在證書頒發機構單位上建立併發行註冊證書範本
此程式會建立 Configuration Manager 行動裝置的註冊證書範本,並將它新增至證書頒發機構單位。
在證書頒發機構單位上建立和發行註冊證書範本
建立安全組,其中包含將在 Configuration Manager 中註冊行動裝置的使用者。
在已安裝憑證服務的成員伺服器上,於 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],然後選擇 [ 管理 ] 以載入證書範本管理控制台。
在結果窗格中,以滑鼠右鍵按兩下 [範本顯示名稱] 資料行中具有 [已驗證的會話] 的項目,然後選擇 [複製範本]。
在 [複製範本] 對話框中,確定已選取 [Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server,Enterprise Edition]。
在 [新增範本的屬性] 對話方塊的 [一般] 索引卷標上,輸入範本名稱,例如 ConfigMgr 行動裝置註冊憑證,以產生由 Configuration Manager 管理之行動裝置的註冊憑證。
選擇 [主體名稱] 索引標籤,確定已選取 [從此 Active Directory 資訊建置],選取 [主體名稱] 格式的 [一般名稱]:,然後從 [將此資訊包含在替代主體名稱中] 中清除 [UPN) ( 的用戶主體名稱]。
選擇 [ 安全性] 索引標籤,選擇具有行動裝置註冊使用者的安全組,然後選擇 [註冊] 的其他權 限。 請勿清除 [讀取]。
選擇 [確定],然後關閉 [ 證書範本控制台]。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],選擇 [ 新增],然後選擇 [要發出的證書範本]。
在 [啟用證書範本] 對話框中,選擇您剛才建立的新範本,ConfigMgr 行動裝置註冊憑證],然後選擇 [確定]。
如果您不需要建立並發行更多憑證,請關閉證書頒發機構單位控制台。
當您在客戶端設定中設定行動裝置註冊配置檔時,現在可以選取行動裝置註冊證書範本。
部署 Mac 電腦的客戶端憑證
此憑證部署具有單一程式,可在證書頒發機構單位上建立和發行註冊證書範本。
在證書頒發機構單位上建立和發行 Mac 用戶端證書範本
此程式會為 Configuration Manager Mac 電腦建立自訂證書範本,並將證書範本新增至證書頒發機構單位。
注意事項
此程式會使用不同於您可能為 Windows 用戶端電腦或發佈點建立之證書範本的證書範本。
當您為此憑證建立新的證書範本時,可以將憑證要求限製為授權的使用者。
在證書頒發機構單位上建立和發行 Mac 用戶端證書範本
建立安全組,其具有系統管理使用者的用戶帳戶,這些使用者會使用 Configuration Manager 在 Mac 計算機上註冊憑證。
在執行證書頒發機構單位控制台的成員伺服器上,以滑鼠右鍵按兩下 [ 證書範本],然後選擇 [ 管理 ] 以載入證書範本管理控制台。
在結果窗格中,以滑鼠右鍵按兩下 [範本顯示名稱] 資料行中顯示 [已驗證的會話] 的項目,然後選擇 [複製範本]。
在 [複製範本] 對話框中,確定已選取 [Windows 2003 Server] Enterprise Edition,然後選擇 [確定]。
重要事項
請勿選取 [Windows 2008 Server,Enterprise Edition]。
在 [新增範本的內容] 對話方塊的 [一般] 索引卷標上,輸入範本名稱,例如 ConfigMgr Mac 客戶端憑證],以產生 Mac 用戶端憑證。
選擇 [主體名稱] 索引標籤,確定已選取 [從此 Active Directory 資訊建置],選擇 [主體名稱] 格式的 [一般名稱]:,然後從 [將此資訊包含在替代主體名稱中] 中清除 [UPN (UPN) ] 中的 [用戶主體名稱]。
選擇 [安全性] 索引標籤,然後從 [網域管理員] 和 [企業系統管理員] 安全組中移除 [註冊] 許可權。
選擇 [新增],指定您在步驟 1 中建立的安全組,然後選擇 [ 確定]。
選擇此群組的 [註冊 ] 許可權,而不要清除 [讀 取] 許可權。
選擇 [確定],然後關閉 [ 證書範本控制台]。
在 [證書頒發機構單位] 控制台中,以滑鼠右鍵按兩下 [ 證書範本],選擇 [ 新增],然後選擇 [要發出的證書範本]。
在 [啟用證書範本] 對話框中,選擇您剛才建立的新範本,ConfigMgr Mac 客戶端憑證],然後選擇 [確定]。
如果您不需要建立並發行更多憑證,請關閉 證書頒發機構單位。
當您設定註冊的客戶端設定時,現在可以選取 Mac 用戶端證書範本。