如何在 Configuration Manager 中建立憑證設定檔
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題中的資訊僅適用於 System Center 2012 R2 Configuration Manager 版本。 |
System Center 2012 Configuration Manager 中的憑證設定檔會與 Active Directory 憑證服務和網路裝置註冊服務角色整合,以使用驗證憑證佈建受管理的裝置,如此使用者便可使用憑證存取公司資源。 本主題中的資訊可協助您在 Configuration Manager 中建立憑證設定檔。
.jpeg "System_CAPS_important") 重要事項 |
|---|
您必須先執行設定,才能建立憑證設定檔。 如需詳細資訊,請參閱在 Configuration Manager 中設定憑證設定檔。 |
建立憑證設定檔的步驟
透過下列必要步驟以使用 [建立憑證設定檔精靈] 來建立憑證設定檔。
步驟 |
詳細資料 |
詳細資訊 |
|---|---|---|
步驟 1:啟動建立憑證設定檔精靈 |
從 [相容性設定] 節點中的 [資產與相容性] 工作區啟動精靈。 |
請參閱本主題的步驟 1:啟動建立憑證設定檔精靈一節。 |
步驟 2:提供憑證設定檔的一般相關資訊 |
提供一般資訊,例如憑證設定檔的名稱和說明,以及您要建立的憑證設定檔類型。 |
請參閱本主題的步驟 2:提供與憑證設定檔有關的一般資訊一節。 |
步驟 3:提供憑證設定檔的相關資訊 |
提供憑證設定檔的設定資訊。 |
請參閱本主題的步驟 3:提供與憑證設定檔有關的資訊一節。 |
步驟 4:設定憑證設定檔的支援平台 |
指定您要安裝憑證設定檔的作業系統。 |
請參閱本主題的步驟 4:設定憑證設定檔的支援平台一節。 |
步驟 5:完成精靈 |
完成精靈以建立新的憑證設定檔。 |
請參閱本主題的步驟 5:完成精靈一節。 |
.jpeg "System_CAPS_caution") 警告 |
|---|
如果您已使用簡單憑證註冊通訊協定 (SCEP) 憑證設定檔部署憑證,則變更某些設定選項,將會導致系統要求具有新值的新憑證。 如果憑證要求更新次數因為這些變更而提高,這些更新可能會造成執行網路裝置註冊服務的伺服器 CPU 處理量增加。 若憑證要求是針對內部網路上的用戶端 (例如 Windows 8.1),在要求具有新值的新憑證時,將會刪除原始憑證。 不過,當憑證要求是針對使用 Microsoft Intune 連接器管理的用戶端時,原始憑證不會從裝置刪除且會維持安裝。 下列各節將指出導致憑證更新要求的設定。 |
建立新憑證設定檔的補充程序
當上表中的步驟需要補充程序時,可利用下列資訊。
步驟 1:啟動建立憑證設定檔精靈
使用此程序以啟動 [建立憑證設定檔精靈]。
啟動建立憑證設定檔精靈
-
在 Configuration Manager 主控台中,按一下 [資產與相容性]。
-
在 [資產與相容性] 工作區中,依序展開 [相容性設定] 和 [公司資源存取],然後按一下 [憑證設定檔]。
-
在 [首頁] 索引標籤的 [建立] 群組中,按一下 [建立憑證設定檔]。
步驟 2:提供與憑證設定檔有關的一般資訊
使用此程序以提供與憑證設定檔有關的一般資訊。
提供與憑證設定檔有關的一般資訊
-
在 [建立憑證設定檔精靈] 的 [一般] 頁面上,指定下列資訊:
- **名稱**:輸入憑證設定檔的唯一名稱。 您最多可以使用 256 個字元。 - **描述**:提供一段描述以提供憑證設定檔的概觀,以及可協助您在 Configuration Manager 主控台中進行識別的其他相關資訊。 您最多可以使用 256 個字元。 - **指定您想要建立的憑證設定檔類型**:選擇下列其中一個憑證設定檔類型: - **信任的 CA 憑證**:當使用者或裝置必須驗證其他裝置時,如果您要部署信任的根憑證授權單位 (CA) 或中繼 CA 憑證以組成信任的憑證鏈結,請選取此憑證設定檔類型。 例如,裝置可能是遠端驗證撥入使用者服務 (RADIUS) 伺服器或虛擬私人網路 (VPN) 伺服器。 在建立 SCEP 憑證設定檔之前,您還必須設定信任的 CA 憑證設定檔。 在此情況中,信任的 CA 憑證設定檔必須是發行憑證至使用者或裝置之 CA 的受信任根憑證。 - **簡單憑證註冊通訊協定 (SCEP) 設定**:如果您想要使用簡單憑證註冊通訊協定和網路裝置註冊服務角色服務,來要求使用者或裝置的憑證,請選取此憑證設定檔類型。
步驟 3:提供與憑證設定檔有關的資訊
利用下列其中一項程序來設定受信任 CA 憑證的憑證設定檔資訊,以及憑證設定檔中的 SCEP 憑證。
| 重要事項 |
|---|
在建立 SCEP 憑證設定檔之前,您還必須設定至少一個信任的 CA 憑證設定檔。 |
設定受信任 CA 憑證
-
在 [建立憑證設定檔精靈] 的 [信任的 CA 憑證] 頁面上,指定下列資訊:
- **憑證檔案**:按一下\[匯入\],然後瀏覽至您要使用的憑證檔案。 - **目的地存放區**:若裝置有多個憑證存放區,請選取儲存憑證的存放區。 若裝置只有一個存放區,則忽略此設定。 -
使用 [憑證指紋] 值來確認您已匯入正確的憑證。
繼續步驟 4:設定憑證設定檔的支援平台。
設定 SCEP 憑證資訊
-
在 [建立憑證設定檔精靈] 的 [SCEP 註冊] 頁面上,指定下列資訊:
- **重試**:指定裝置自動向執行網路裝置註冊服務的伺服器要求重試憑證的次數。 此設定可支援 CA 管理員在接受之前必須先核准憑證要求的情況。 這項設定通常用於高安全性環境,或是您具有獨立的發行 CA 而非企業 CA 的情況。 您可能也會基於測試目的使用此設定,使您可以在發行 CA 處理憑證要求之前檢查憑證要求選項。 搭配 \[重試延遲 (分鐘)\] 設定來使用此設定。 - **重試延遲 (分鐘)**:指定在發行 CA 處理憑證要求之前使用 CA 管理員核准時,每一次註冊嘗試之間的間隔分鐘數。 如果您基於測試目的來使用管理員核准,您可能會指定較低的值,使您在核准要求之後,不需要長時間等待裝置重試憑證要求。 不過,如果您在生產網路中使用管理員核准,您可能會需要指定較高的值,使 CA 系統管理原有較充裕的時間來檢查以及核准或拒絕擱置中的核准。 - **更新閾值 (%)**:指定裝置要求憑證更新之前,剩餘的憑證存留時間百分比。 - **金鑰儲存提供者 (KSP)**:指定要儲存憑證金鑰的位置。 選擇下列其中一個值: - **若有的話,安裝至可信賴平台模組 (TPM)**:將金鑰安裝至 TPM。 如果 TPM 不存在,金鑰將會安裝至軟體金鑰的儲存提供者。 - **安裝至可信賴平台模組 (TPM),否則會失敗**:將金鑰安裝至 TPM。 如果 TPM 模組不存在,安裝將會失敗。 - **安裝至軟體金鑰儲存提供者**:將金鑰安裝至軟體金鑰的儲存提供者。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **要註冊憑證的裝置**:如果憑證設定檔部署至使用者集合,則選取只允許在使用者的主要裝置上,還是允許在使用者登入的所有裝置上註冊憑證。 如果憑證設定檔部署至裝置集合,則選取只允許裝置的主要使用者註冊,還是允許登入裝置的所有使用者註冊憑證。 -
在 [建立憑證設定檔精靈] 的 [憑證內容] 頁面上,指定下列資訊:
- **憑證範本名稱**:按一下 \[瀏覽\] 以選取網路裝置註冊服務已設定使用,且已新增至發行 CA 的憑證範本名稱。 若要成功瀏覽至憑證範本,您執行 Configuration Manager 主控台所使用的使用者帳戶必須具有憑證範本的 \[讀取\] 權限。 或者如果您無法使用 \[瀏覽\],請輸入憑證範本的名稱。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh771094.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果憑證範本名稱包含非 ASCII 字元 (例如中文字母中的字元),憑證將不會部署。 為確保憑證能順利部署,您必須在 CA 上建立憑證範本的複本,並使用 ASCII 字元重新命名該複本。</p></td> </tr> </tbody> </table> </div> 依據您是瀏覽到憑證範本還是輸入憑證名稱,請注意下列事項: - 如果您瀏覽以選取憑證範本的名稱,頁面上的某些欄位會自動從憑證範本填入。 在某些情況下,除非您選擇不同的憑證範本,否則無法變更這些值。 - 如果您輸入憑證範本的名稱,請確定該名稱完全符合執行網路裝置註冊服務的伺服器之登錄中列出的其中一個憑證範本。 請確定您指定的是憑證範本的名稱,而非憑證範本的顯示名稱。 若要尋找憑證範本的名稱,請瀏覽至下列機碼:HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP。 您將會看見憑證範本已列為 \[EncryptionTemplate\]、\[GeneralPurposeTemplate\] 和 \[SignatureTemplate\] 的值。 根據預示,這三個憑證範本的值是 \[IPSECIntermediateOffline\],並對應至 \[IPSec (Offline request)\] 的範本顯示名稱。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Gg712308.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-warning(TechNet.10).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />警告</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>當您輸入憑證範本的名稱而非使用瀏覽方式時,由於 Configuration Manager 無法確認憑證範本的內容,您可能會選取憑證範本不支援的選項,因而造成憑證要求失敗。 當發生此情況時,您將會在 CPR.log 檔案中看見 w3wp.exe 的錯誤訊息,表示憑證簽署要求 (CSR) 中的範本名稱與挑戰不相符。</p> <p>當您輸入為 [GeneralPurposeTemplate] 值指定的憑證範本名稱時,您必須為此憑證設定檔選取 [金鑰編密] 和 [數位簽章] 選項。 不過,如果您只要在此憑證設定檔中啟用 [金鑰編密] 選項,請指定 [EncryptionTemplate] 金鑰的憑證範本名稱。 同樣地,如果您只要在此憑證設定檔中啟用 [數位簽章] 選項,請指定 [SignatureTemplate] 金鑰的憑證範本名稱。</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **憑證類型**:選取要將憑證部署至裝置或使用者。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **主體名稱格式**:從清單中,選取 Configuration Manager 如何在憑證要求中自動建立主體名稱。 如果憑證是針對使用者,您也可以在主體名稱中包含使用者的電子郵件地址。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **主體別名**:指定 Configuration Manager 要如何自動建立憑證要求中主體別名 (SAN) 的值。 舉例來說,如果您選擇使用者憑證類型,您可以在主體別名中包含使用者主體名稱 (UPN)。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Gg712308.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />提示</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果用戶端憑證將用來驗證網路原則伺服器,您必須將主體別名設定成 UPN。</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh771094.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>iOS 裝置在 SCEP 憑證中支援的主體名稱格式和主體別名受到限制。 如果您指定不支援的格式,憑證將不會在 iOS 裝置上註冊。 當您設定將 SCEP 憑證設定檔部署至 iOS 裝置時,請使用 [一般名稱] 作為 [主體名稱格式],並使用 [DNS 名稱]、[電子郵件地址] 或 [UPN] 作為 [主體別名]。</p></td> </tr> </tbody> </table> </div> - **憑證有效期間**:如果您已在發行 CA 上執行 certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE 命令以允許自訂有效期間,您可以指定憑證到期之前的剩餘時間長度。 如需此命令的詳細資訊,請參閱[步驟 1:安裝及設定網路裝置註冊服務和相依性](dn270539\(v=technet.10\).md)主題中的[在 Configuration Manager 中設定憑證設定檔](dn270539\(v=technet.10\).md)。 您可以指定一個比憑證範本中指定之有效期間更低,而不是更高的值。 舉例來說,如果憑證範本中的憑證有效期間為兩年,您可以指定一年而不是五年的值。 該值也必須低於發行 CA 憑證之剩餘有效期。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **金鑰使用方式**:指定憑證的金鑰使用方式選項。 您可以選擇下列選項: - **金鑰編密**:只允許在金鑰加密後交換金鑰。 - **數位簽章**:只允許在以數位簽章協助保護金鑰後交換金鑰。 如果您是利用 \[瀏覽\] 選取憑證範本,除非選取不同的憑證範本,您可能無法變更這些設定。 您選取的憑證範本必須使用上述兩種金鑰使用方法選項或其中一種進行設定。 如果不是,您會在憑證註冊點記錄檔 **Crp.log** 中看到訊息 **CSR 與挑戰的金鑰使用方式不相符**。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **金鑰大小 (位元)**:選取金鑰大小 (以位元為單位)。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **擴充金鑰使用方式**:按一下 \[選取\] 以新增憑證的使用目的值。 在大部分情況下,憑證需要 \[用戶端驗證\],使用者或裝置才能向伺服器進行驗證。 不過,您可以視需要新增任何其他金鑰使用方式。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div> - **雜湊演算法**:選取其中一種可用的雜湊演算法類型,以搭配此憑證使用。 選取連線中裝置所支援的最強安全性層級。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>SHA-1</strong> 只支援 SHA-1。<strong>SHA-2</strong> 支援 SHA-256、SHA-384 和 SHA-512。<strong>SHA-3</strong> 只支援 SHA-3。</p></td> </tr> </tbody> </table> </div> - **根 CA 憑證**:按一下 \[選取\],選擇您之前設定並部署到使用者或裝置的根 CA 憑證設定檔。 此 CA 憑證必須是將發行憑證 (您在此憑證設定檔中設定) 之 CA 的根憑證。 <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh771094.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您指定未部署到使用者或裝置的根 CA 憑證,Configuration Manager 將不會起始您在此憑證設定檔中設定的憑證要求。</p></td> </tr> </tbody> </table> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>如果您部署憑證後變更此值,便會刪除舊憑證,並要求新憑證。</p></td> </tr> </tbody> </table> </div>
步驟 4:設定憑證設定檔的支援平台
請使用下列程序指定您要安裝憑證設定檔的作業系統。
指定憑證設定檔的支援平台
-
在 [建立憑證設定檔精靈] 的 [支援的平台] 頁面上,選取您要安裝憑證設定檔的作業系統。 或者,按一下 [全選] 將憑證設定檔安裝到所有可用的作業系統。
步驟 5:完成精靈
在精靈的 [摘要] 頁面上,檢閱將採取的動作,然後完成精靈。 新的憑證設定檔會出現在 [資產與相容性] 工作區的 [憑證設定檔] 節點,隨時可供部署到使用者或裝置。 如需詳細資訊,請參閱如何在 Configuration Manager 中部署憑證設定檔。