Configuration Manager 纯模式所需的 PKI 证书的分步部署示例
2009-03-05 13:36
309 查看
Configuration Manager 纯模式所需的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构
此分步示例部署使用 Windows Server 2008 证书颁发机构 (CA),提供一些过程以指导您完成创建和部署 Configuration Manager 2007 在纯模式下操作所需的公钥基础结构 (PKI) 证书的过程。纯模式为 Configuration Manager 2007 站点提供最高级别的安全性,是基于 Internet 的客户端管理必需的。有关 Configuration Manager 纯模式的详细信息,请参阅使用纯模式的优势。
本示例中的过程以 Microsoft PKI 解决方案作为参考,使用企业证书颁发机构 (CA) 和证书模板。这些步骤仅适用于网络测试,作为对概念的验证。
由于部署所需的证书不止有一种方法,您将需要参考特定 PKI 部署文档,获取为特定生产环境部署所需证书必需的过程和最佳方案。有关可能的部署方法的详细信息,请参阅部署纯模式所需的 PKI 证书。
本示例包含下列章节,涵盖创建和部署 Configuration Manager 2007 站点在 Intranet 连接的纯模式下操作所需的基本证书:
测试网络要求
概述
部署站点服务器签名证书
部署 Web 服务器证书
部署客户端证书
测试网络运行 Windows Server 2008 的 Active Directory 域服务并且是作为单个域、单个林安装的。
具有运行 Windows Server 2008 Enterprise Edition 的域控制器,它上面安装了 Active Directory 证书服务角色,并配置为企业根证书颁发机构 (CA)。
具有一台安装了 Windows Server 2008(Standard Edition 或 Enterprise Edition)并指定为成员服务器的计算机,并在该计算机上安装了 Internet Information Services (IIS)。
具有一个安装了最新 Service Pack 的 Windows Vista 客户端,并且此计算机配置了由 ASCII 字符组成的计算机名称并加入到域。
您可以使用根域管理员帐户或企业域管理员帐户登录,然后使用此帐户来完成本示例部署中的所有过程。
下表列出了所需的三种 PKI 证书类型,并描述在纯模式 Configuration Manager 2007 站点中如何使用这些证书:
有关证书的详细信息,请参阅纯模式的证书要求。
按照本示例中的步骤实现下列目标:
使用 Configuration Manager 2007 站点服务器签名证书设置成员服务器,以便它可以在纯模式下作为 Configuration Manager 2007 站点服务器运行。
使用 Web 服务器证书设置成员服务器,以便它可以在纯模式下作为 Configuration Manager 2007 站点系统服务器运行,该站点系统服务器可以运行下列任何 Configuration Manager 站点系统角色:管理点、分发点、软件更新点和状态迁移点。
使用客户端证书设置工作站和成员服务器,以便工作站可以作为 Configuration Manager 2007 纯模式客户端运行,以及管理点可以向站点服务器报告其状态。
在证书颁发机构创建和颁发站点服务器签名证书模板
为将运行 Configuration Manager 2007 站点服务器的服务器申请站点服务器签名证书
在证书颁发机构批准站点服务器签名证书
在将运行 Configuration Manager 2007 站点服务器的服务器上安装站点服务器签名证书
在运行 Windows Server 2008 控制台的域控制器上,依次单击“开始”、“程序”、“管理工具”和“证书颁发机构”。
展开证书颁发机构 (CA) 的名称,然后单击“证书模板”。
右键单击“证书模板”,然后单击“管理”以加载证书模板管理控制台。
在结果窗格中,右键单击在“模板显示名称”列中显示“计算机”的条目,然后单击“复制模板”。
在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。
在“新模板的属性”对话框的“常规”选项卡上,为站点服务器签名证书模板输入模板名称(如 ConfigMgr 站点服务器签名证书)。
单击“颁发要求”选项卡并选择“CA 证书管理程序批准”。
单击“使用者名称”选项卡,然后单击“在请求中提供”。
单击“扩展”选项卡,确保选择“应用程序策略”,然后单击“编辑”。
在“编辑应用程序策略扩展”对话框中,选择“客户端身份验证”,按 Shift 并选择“服务器身份验证”,然后单击“删除”。
在“编辑应用程序策略扩展”对话框中,单击“添加”。
在“添加应用程序策略”对话框中,选择“文档签名”作为唯一的应用程序策略,然后单击“确定”。
在“新模板的属性”对话框中,现在应看到作为应用程序策略的描述列出的以下项:文档签名。
单击“确定”,单击“确定”以关闭“新模板的属性”,然后关闭证书模板控制台。
在证书颁发机构控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。
在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr 站点服务器签名证书”,然后单击“确定”。
不要关闭证书颁发机构控制台。
在成员服务器上创建一个文件夹以包含您的证书文件。
打开记事本或类似的自选文本文件。将下列文本复制并粘贴到文件中:
复制代码
将文本 <site-code> 替换为您自己的站点代码。例如,如果您的站点代码是 A01,该行将变成:Subject = “CN=此站点服务器的站点代码为 A01”。
使用名称 sitesigning.inf 保存文件,并将其保存到您创建的证书文件夹中。
在您创建的证书文件夹中打开命令窗口,键入下列命令,然后按 Enter:
certreq –new sitesigning.inf sitesigning.req
键入下列命令,然后按 Enter:
certreq –submit sitesigning.req sitesigning.cer
系统将提示您在“选择证书颁发机构”对话框中选择颁发 CA。选择 CA,然后单击“确定”。颁发证书时,您将看到 RequestId:<编号> 显示,其中 <编号> 是指颁发 CA 获得的下一顺序证书申请。记下此号码。
不要关闭命令提示符。
在域控制器上的“证书颁发机构”中,单击“挂起的申请”。
在结果窗格中,您将看到申请的证书,以及随最后的 Certreq 命令显示的申请 ID。
右键单击申请的证书,单击“所有任务”,然后单击“颁发”。
不要关闭证书颁发机构控制台。
在成员服务器的命令窗口中,键入下列命令,然后按 Enter:
certreq –retrieve <编号> sitesigning.cer
例如,如果先前显示的申请编号是 12,请键入:certreq –retrieve 12 sitesigning.cer
系统将提示您在“选择证书颁发机构”对话框中选择颁发 CA。选择 CA,然后单击“确定”。
键入下列命令,然后按 Enter:
certreq –accept sitesigning.cer
成员服务器现在设置了 Configuration Manager 2007 站点服务器签名证书。
为站点系统服务器创建 Windows 安全组
在证书颁发机构创建和颁发 Web 服务器证书模板
申请 Web 服务器证书
将 IIS 配置为使用 Web 服务器证书
在域控制器上,依次单击“开始”、“管理工具”,然后单击“Active Directory 用户和计算机”。
右键单击该域,单击“新建”,然后单击“组”。
在“新建对象 – 组”对话框中,输入 ConfigMgr IIS 服务器作为“组名称”,然后单击“确定”。
在“Active Directory 用户和计算机”中,右键单击刚创建的组,然后单击“属性”。
单击“成员”选项卡,然后单击“添加”并选择成员服务器。
单击“确定”,然后再次单击“确定”以关闭组属性对话框。
重新启动成员服务器(如果正在运行)以便它可以选择新的组成员身份。
在域控制器上,在运行证书颁发机构控制台的同时右键单击“证书模板”,并单击“管理”以加载证书模板控制台。
在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。
在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。
在“新模板的属性”对话框的“常规”选项卡上,输入模板名称以生成将在 Configuration Manager 站点系统中使用的 Web 证书(如ConfigMgr Web 服务器证书)。
单击“使用者名称”选项卡,单击“用 Active Directory 中的信息生成”,然后为“使用者名称格式:”选择下列其中一项:
公用名:如果您将对 Configuration Manager 中的站点系统使用完全限定的域名,则选择此选项(对基于 Internet 的客户端管理要求使用,对 Intranet 中的客户端建议使用)。
完全可分辨名称:如果不会在 Configuration Manager 中使用完全限定的域名,则选择此选项。
清除选项“用户主体名称 (UPN)”。
单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。
单击“添加”,在文本框中输入 ConfigMgr IIS 服务器,然后单击“确定”。
为此组选择“注册”权限,并且不要清除“读取”权限。
单击“确定”,然后关闭证书模板控制台。
在证书颁发机构控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。
在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr Web 服务器证书”,然后单击“确定”。
不要关闭证书颁发机构控制台。
重新启动成员服务器,确保它可以使用配置的权限访问证书模板。
依次单击“开始”、“运行”,然后输入 mmc.exe。在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。
在“添加/删除管理单元”对话框中,从“可用的管理单元”列表中选择“证书”,然后单击“添加”。
在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。
在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。
在“添加/删除管理单元”对话框中,单击“确定”。
在控制台中展开“证书(本地计算机)”,然后单击“个人”。
右键单击“证书”,单击“所有任务”,然后单击“申请新证书”。
在“开始之前”页面上,单击“下一步”。
在“申请证书”页面上,从显示的证书列表中选择“ConfigMgr Web 服务器证书”,然后单击“注册”。
在“证书安装结果”页面中,等待证书安装完成,然后单击“完成”。
关闭“证书(本地计算机)”。
在成员服务器上依次单击“开始”、“程序”、“管理工具”,然后单击“Internet 信息服务 (IIS) 管理器”。
展开“站点”,右键单击“默认网站”,然后选择“编辑绑定”。
单击“https”条目,然后单击“编辑”。
在“编辑站点绑定”对话框中,使用“ConfigMgr Web 服务器证书”模板选择您申请的证书,然后单击“确定”。
在“编辑网站绑定”对话框中单击“确定”,然后单击“关闭”。
关闭 Internet Information Services (IIS) 管理器。
成员服务器现在设置有 Configuration Manager 2007 Web 服务器证书。
在证书颁发机构创建和颁发工作站身份验证证书模板
使用组策略配置工作站身份验证模板的自动注册
自动注册工作站身份验证证书并验证其在计算机上的安装
在域控制器上,在运行证书颁发机构控制台的同时右键单击“证书模板”,并单击“管理”以加载证书模板管理控制台。
在结果窗格中,右键单击在“模板显示名称”列中显示“工作站身份验证”的条目,然后单击“复制模板”。
在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。
在“新模板的属性”对话框的“常规”选项卡上,输入模板名称以生成将在 Configuration Manager 客户端计算机上使用的客户端证书(如 ConfigMgr Web 客户端证书)。
单击“安全”选项卡,选择“域计算机”组,然后选择其他权限“读取”和“自动注册”。不要清除“注册”。
单击“确定”,然后关闭证书模板控制台。
在证书颁发机构控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。
在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr 客户端证书”,然后单击“确定”。
关闭证书颁发机构控制台。
在域控制器上,依次单击“开始”、“管理工具”,然后单击“组策略管理”。
导航到您的域,右键单击域,然后选择“在这个域中创建 GPO 并在此处链接”。
在“新建 GPO”对话框中,为新的组策略输入名称,如自动注册证书,然后单击“确定”。
在结果窗格的“链接的组策略对象”选项卡上,右键单击新的组策略,然后单击“编辑”。
在组策略管理编辑器中,展开“计算机配置”之下的“策略”,然后导航到“Windows 设置/安全设置/公钥策略”。
右键单击名为“证书服务客户端 - 自动注册”的对象类型,然单击“属性”。
从“配置型号”下拉列表中,依次选择“已启用”、“续订过期证书、更新未决证书并删除吊销的证书”、“更新使用证书模板的证书”,然后单击“确定”。
关闭“组策略管理”。
重新启动工作站计算机,并等待几分钟再登录。
使用具有管理特权的帐户登录。
在搜索框中,键入 mmc.exe.,然后按 Enter。
在空管理控制台中,单击“文件”,然后单击“添加/删除管理单元”。
在“添加/删除管理单元”对话框中,从“可用的管理单元”列表中选择“证书”,然后单击“添加”。
在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。
在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。
在“添加/删除管理单元”对话框中,单击“确定”。
在控制台中展开“证书(本地计算机)”,展开“个人”,然后单击“证书”。
在结果窗格中,确认显示证书,并且在“预期目的”列中显示“客户端身份验证”,在“证书模板”列中显示“ConfigMgr 客户端证书”。
关闭“证书(本地计算机)”。
对成员服务器重复步骤 1 至 11,以验证将被配置为管理点的服务器是否也具有客户端证书。
工作站和成员服务器现在设置有 Configuration Manager 2007 客户端证书。
此分步示例部署使用 Windows Server 2008 证书颁发机构 (CA),提供一些过程以指导您完成创建和部署 Configuration Manager 2007 在纯模式下操作所需的公钥基础结构 (PKI) 证书的过程。纯模式为 Configuration Manager 2007 站点提供最高级别的安全性,是基于 Internet 的客户端管理必需的。有关 Configuration Manager 纯模式的详细信息,请参阅使用纯模式的优势。
本示例中的过程以 Microsoft PKI 解决方案作为参考,使用企业证书颁发机构 (CA) 和证书模板。这些步骤仅适用于网络测试,作为对概念的验证。
由于部署所需的证书不止有一种方法,您将需要参考特定 PKI 部署文档,获取为特定生产环境部署所需证书必需的过程和最佳方案。有关可能的部署方法的详细信息,请参阅部署纯模式所需的 PKI 证书。
| 建议使用 Microsoft PKI 解决方案来支持 Configuration Manager 2007,但不要求使用。Configuration Manager 2007 使用标准的 PKI 证书,支持 x.509 证书格式版本 3。如果现有的 PKI 部署能够创建、部署和管理 Configuration Manager 2007 纯模式所需的证书,您可以使用现有的 PKI 基础结构。请参阅 PKI 文档,获取有关部署的详细信息。 |
测试网络要求
概述
部署站点服务器签名证书
部署 Web 服务器证书
部署客户端证书
测试网络要求
本示例具有下列要求:测试网络运行 Windows Server 2008 的 Active Directory 域服务并且是作为单个域、单个林安装的。
具有运行 Windows Server 2008 Enterprise Edition 的域控制器,它上面安装了 Active Directory 证书服务角色,并配置为企业根证书颁发机构 (CA)。
具有一台安装了 Windows Server 2008(Standard Edition 或 Enterprise Edition)并指定为成员服务器的计算机,并在该计算机上安装了 Internet Information Services (IIS)。
具有一个安装了最新 Service Pack 的 Windows Vista 客户端,并且此计算机配置了由 ASCII 字符组成的计算机名称并加入到域。
您可以使用根域管理员帐户或企业域管理员帐户登录,然后使用此帐户来完成本示例部署中的所有过程。
概述
在将 Configuration Manager 2007 配置为在纯模式下操作之前,必须先安装 PKI 证书。本示例不包括安装和配置 Configuration Manager 2007 的内容,但是提供有关使用计算机在 Configuration Manager 2007 纯模式下操作所需的证书对这些计算机进行设置的步骤。下表列出了所需的三种 PKI 证书类型,并描述在纯模式 Configuration Manager 2007 站点中如何使用这些证书:
| 站点服务器签名证书 | 此证书安装在将成为 Configuration Manager 2007 站点服务器的服务器上。它用于对客户端策略签名。 |
| Web 服务器证书 | 此证书安装在将成为 Configuration Manager 2007 站点系统的服务器上,角色为管理点和分发点等。它用于对数据进行加密以及对客户端验证服务器。 |
| 客户端证书 | 此证书安装在将成为 Configuration Manager 2007 客户端的计算机以及管理点上。它用于向站点系统验证客户端;在管理点上,则用于监视服务器的操作状态。 |
按照本示例中的步骤实现下列目标:
使用 Configuration Manager 2007 站点服务器签名证书设置成员服务器,以便它可以在纯模式下作为 Configuration Manager 2007 站点服务器运行。
使用 Web 服务器证书设置成员服务器,以便它可以在纯模式下作为 Configuration Manager 2007 站点系统服务器运行,该站点系统服务器可以运行下列任何 Configuration Manager 站点系统角色:管理点、分发点、软件更新点和状态迁移点。
使用客户端证书设置工作站和成员服务器,以便工作站可以作为 Configuration Manager 2007 纯模式客户端运行,以及管理点可以向站点服务器报告其状态。
部署站点服务器签名证书
此步骤有四个过程:在证书颁发机构创建和颁发站点服务器签名证书模板
为将运行 Configuration Manager 2007 站点服务器的服务器申请站点服务器签名证书
在证书颁发机构批准站点服务器签名证书
在将运行 Configuration Manager 2007 站点服务器的服务器上安装站点服务器签名证书
在证书颁发机构创建和颁发站点服务器签名证书模板
创建和颁发站点服务器签名证书模板在运行 Windows Server 2008 控制台的域控制器上,依次单击“开始”、“程序”、“管理工具”和“证书颁发机构”。
展开证书颁发机构 (CA) 的名称,然后单击“证书模板”。
右键单击“证书模板”,然后单击“管理”以加载证书模板管理控制台。
在结果窗格中,右键单击在“模板显示名称”列中显示“计算机”的条目,然后单击“复制模板”。
在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。
| 不要选择“Windows 2008 Server,Enterprise Edition”。 |
单击“颁发要求”选项卡并选择“CA 证书管理程序批准”。
单击“使用者名称”选项卡,然后单击“在请求中提供”。
单击“扩展”选项卡,确保选择“应用程序策略”,然后单击“编辑”。
在“编辑应用程序策略扩展”对话框中,选择“客户端身份验证”,按 Shift 并选择“服务器身份验证”,然后单击“删除”。
在“编辑应用程序策略扩展”对话框中,单击“添加”。
在“添加应用程序策略”对话框中,选择“文档签名”作为唯一的应用程序策略,然后单击“确定”。
在“新模板的属性”对话框中,现在应看到作为应用程序策略的描述列出的以下项:文档签名。
单击“确定”,单击“确定”以关闭“新模板的属性”,然后关闭证书模板控制台。
在证书颁发机构控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。
在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr 站点服务器签名证书”,然后单击“确定”。
| 如果不能完成步骤 15 或 16,请检查您是否正在使用 Windows Server 2008 Enterprise Edition。虽然可以使用 Windows Server Standard Edition 和 Active Directory 证书服务配置证书模板,但是除非使用 Windows Server 2008 Enterprise Edition ,否则不能使用修改的证书模板部署证书。 |
为将运行 Configuration Manager 2007 站点服务器的服务器申请站点服务器签名证书
申请站点服务器签名证书在成员服务器上创建一个文件夹以包含您的证书文件。
打开记事本或类似的自选文本文件。将下列文本复制并粘贴到文件中:
复制代码
[NewRequest] Subject = “CN=The site code of this site server is <site-code>” MachineKeySet = True [RequestAttributes] CertificateTemplate = ConfigMgrSiteServerSigningCertificate
将文本 <site-code> 替换为您自己的站点代码。例如,如果您的站点代码是 A01,该行将变成:Subject = “CN=此站点服务器的站点代码为 A01”。
| 站点代码和模板名称区分大小写。确保您指定的站点代码与在 Configuration Manager 控制台中显示的完全一样,以及您指定的站点服务器签名证书模板与在证书模板属性中作为“模板名称”(不是“模板显示名称”)显示的完全一样。 |
在您创建的证书文件夹中打开命令窗口,键入下列命令,然后按 Enter:
certreq –new sitesigning.inf sitesigning.req
键入下列命令,然后按 Enter:
certreq –submit sitesigning.req sitesigning.cer
系统将提示您在“选择证书颁发机构”对话框中选择颁发 CA。选择 CA,然后单击“确定”。颁发证书时,您将看到 RequestId:<编号> 显示,其中 <编号> 是指颁发 CA 获得的下一顺序证书申请。记下此号码。
不要关闭命令提示符。
在证书颁发机构批准站点服务器签名证书
批准站点服务器签名证书在域控制器上的“证书颁发机构”中,单击“挂起的申请”。
在结果窗格中,您将看到申请的证书,以及随最后的 Certreq 命令显示的申请 ID。
右键单击申请的证书,单击“所有任务”,然后单击“颁发”。
不要关闭证书颁发机构控制台。
在将运行 Configuration Manager 2007 站点服务器的服务器上安装站点服务器签名证书
检索并安装站点服务器签名证书在成员服务器的命令窗口中,键入下列命令,然后按 Enter:
certreq –retrieve <编号> sitesigning.cer
例如,如果先前显示的申请编号是 12,请键入:certreq –retrieve 12 sitesigning.cer
系统将提示您在“选择证书颁发机构”对话框中选择颁发 CA。选择 CA,然后单击“确定”。
键入下列命令,然后按 Enter:
certreq –accept sitesigning.cer
成员服务器现在设置了 Configuration Manager 2007 站点服务器签名证书。
部署 Web 服务器证书
此步骤有四个过程:为站点系统服务器创建 Windows 安全组
在证书颁发机构创建和颁发 Web 服务器证书模板
申请 Web 服务器证书
将 IIS 配置为使用 Web 服务器证书
为站点系统服务器(管理点、分发点、软件更新点和状态迁移点)创建 Windows 安全组
为站点系统服务器创建 Windows 安全组在域控制器上,依次单击“开始”、“管理工具”,然后单击“Active Directory 用户和计算机”。
右键单击该域,单击“新建”,然后单击“组”。
在“新建对象 – 组”对话框中,输入 ConfigMgr IIS 服务器作为“组名称”,然后单击“确定”。
在“Active Directory 用户和计算机”中,右键单击刚创建的组,然后单击“属性”。
单击“成员”选项卡,然后单击“添加”并选择成员服务器。
| 在我们的测试环境中,只添加一台服务器。但是在生产环境中,可能有各种服务器将宿主需要证书的 Configuration Manager 2007 站点系统,如站点的管理点和分发点。因此,对组分配权限,然后添加需要相同证书类型的站点系统是一种很好的方案。为这些服务器创建安全组使您能够分配权限,从而仅这些服务器可以使用这些证书。 |
重新启动成员服务器(如果正在运行)以便它可以选择新的组成员身份。
在证书颁发机构创建和颁发 Web 服务器证书模板
在证书颁发机构创建和颁发 Web 服务器证书模板在域控制器上,在运行证书颁发机构控制台的同时右键单击“证书模板”,并单击“管理”以加载证书模板控制台。
在结果窗格中,右键单击在“模板显示名称”列中显示“Web 服务器”的条目,然后单击“复制模板”。
在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。
| 不要选择“Windows 2008 Server,Enterprise Edition”。 |
单击“使用者名称”选项卡,单击“用 Active Directory 中的信息生成”,然后为“使用者名称格式:”选择下列其中一项:
公用名:如果您将对 Configuration Manager 中的站点系统使用完全限定的域名,则选择此选项(对基于 Internet 的客户端管理要求使用,对 Intranet 中的客户端建议使用)。
完全可分辨名称:如果不会在 Configuration Manager 中使用完全限定的域名,则选择此选项。
清除选项“用户主体名称 (UPN)”。
单击“安全”选项卡,并从安全组“域管理员”和“企业管理员”中删除“注册”权限。
单击“添加”,在文本框中输入 ConfigMgr IIS 服务器,然后单击“确定”。
为此组选择“注册”权限,并且不要清除“读取”权限。
单击“确定”,然后关闭证书模板控制台。
在证书颁发机构控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。
在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr Web 服务器证书”,然后单击“确定”。
不要关闭证书颁发机构控制台。
申请 Web 服务器证书
申请 Web 服务器证书重新启动成员服务器,确保它可以使用配置的权限访问证书模板。
依次单击“开始”、“运行”,然后输入 mmc.exe。在空白控制台中,单击“文件”,然后单击“添加/删除管理单元”。
在“添加/删除管理单元”对话框中,从“可用的管理单元”列表中选择“证书”,然后单击“添加”。
在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。
在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。
在“添加/删除管理单元”对话框中,单击“确定”。
在控制台中展开“证书(本地计算机)”,然后单击“个人”。
右键单击“证书”,单击“所有任务”,然后单击“申请新证书”。
在“开始之前”页面上,单击“下一步”。
在“申请证书”页面上,从显示的证书列表中选择“ConfigMgr Web 服务器证书”,然后单击“注册”。
在“证书安装结果”页面中,等待证书安装完成,然后单击“完成”。
关闭“证书(本地计算机)”。
将 IIS 配置为使用 Web 服务器证书
将 IIS 配置为使用 Web 服务器证书在成员服务器上依次单击“开始”、“程序”、“管理工具”,然后单击“Internet 信息服务 (IIS) 管理器”。
展开“站点”,右键单击“默认网站”,然后选择“编辑绑定”。
单击“https”条目,然后单击“编辑”。
在“编辑站点绑定”对话框中,使用“ConfigMgr Web 服务器证书”模板选择您申请的证书,然后单击“确定”。
| 如果您不确定哪一个是正确的证书,请选择一个证书,然后单击“查看”。这允许您将所选证书详细信息与证书管理单元中显示的证书进行比较。例如,证书管理单元显示用于申请证书的证书模板。然后,您可以将使用“ConfigMgr Web 服务器证书”模板申请的证书的证书指纹与当前在“编辑网站绑定”对话框中选择的证书的证书指纹进行比较。 |
关闭 Internet Information Services (IIS) 管理器。
成员服务器现在设置有 Configuration Manager 2007 Web 服务器证书。
部署客户端证书
此步骤有三个过程:在证书颁发机构创建和颁发工作站身份验证证书模板
使用组策略配置工作站身份验证模板的自动注册
自动注册工作站身份验证证书并验证其在计算机上的安装
在证书颁发机构创建和颁发工作站身份验证证书模板
在证书颁发机构创建和颁发工作站身份验证证书模板在域控制器上,在运行证书颁发机构控制台的同时右键单击“证书模板”,并单击“管理”以加载证书模板管理控制台。
在结果窗格中,右键单击在“模板显示名称”列中显示“工作站身份验证”的条目,然后单击“复制模板”。
在“复制模板”对话框中,确保已选择“Windows 2003 Server,Enterprise Edition”,然后单击“确定”。
| 不要选择“Windows 2008 Server,Enterprise Edition”。 |
单击“安全”选项卡,选择“域计算机”组,然后选择其他权限“读取”和“自动注册”。不要清除“注册”。
单击“确定”,然后关闭证书模板控制台。
在证书颁发机构控制台中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。
在“启用证书模板”对话框中,选择刚创建的新模板“ConfigMgr 客户端证书”,然后单击“确定”。
关闭证书颁发机构控制台。
使用组策略配置工作站身份验证模板的自动注册
使用组策略配置工作站身份验证模板的自动注册在域控制器上,依次单击“开始”、“管理工具”,然后单击“组策略管理”。
导航到您的域,右键单击域,然后选择“在这个域中创建 GPO 并在此处链接”。
| 此步骤使用为自定义设置创建新的组策略这一最佳方案,而不是编辑随 Active Directory 域服务安装的默认域策略。通过在域级别分配此组策略,您会将它应用到域中的所有计算机。但是在生产环境中,您可以通过在组织单位级别分配组策略来限制自动注册,以便它仅在选择的计算机上注册,或者您也可以使用安全组筛选域组策略,以便它仅应用于组中的计算机。如果限制自动注册,请记住包括配置为管理点的服务器。 |
在结果窗格的“链接的组策略对象”选项卡上,右键单击新的组策略,然后单击“编辑”。
在组策略管理编辑器中,展开“计算机配置”之下的“策略”,然后导航到“Windows 设置/安全设置/公钥策略”。
右键单击名为“证书服务客户端 - 自动注册”的对象类型,然单击“属性”。
从“配置型号”下拉列表中,依次选择“已启用”、“续订过期证书、更新未决证书并删除吊销的证书”、“更新使用证书模板的证书”,然后单击“确定”。
关闭“组策略管理”。
自动注册工作站身份验证证书并验证其在计算机上的安装
自动注册工作站身份验证证书并验证其在客户端计算机上的安装重新启动工作站计算机,并等待几分钟再登录。
| 重新启动计算机是确保证书注册成功最可靠的方法。 |
在搜索框中,键入 mmc.exe.,然后按 Enter。
在空管理控制台中,单击“文件”,然后单击“添加/删除管理单元”。
在“添加/删除管理单元”对话框中,从“可用的管理单元”列表中选择“证书”,然后单击“添加”。
在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。
在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单击“完成”。
在“添加/删除管理单元”对话框中,单击“确定”。
在控制台中展开“证书(本地计算机)”,展开“个人”,然后单击“证书”。
在结果窗格中,确认显示证书,并且在“预期目的”列中显示“客户端身份验证”,在“证书模板”列中显示“ConfigMgr 客户端证书”。
关闭“证书(本地计算机)”。
对成员服务器重复步骤 1 至 11,以验证将被配置为管理点的服务器是否也具有客户端证书。
工作站和成员服务器现在设置有 Configuration Manager 2007 客户端证书。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 水晶报表问题汇总(水晶报表的使用与查询条件生成报表、注册码、打印问题、模式使用示例、C#.Net的WinForm中的使用、程序发布与部署)
- FlatDHCP模式单nova-network主机部署示例
- 部署PKI与证书服务给网页加“s”
- 【openstack】FlatDHCP模式单nova-network主机部署示例
- Office Web Apps所需证书的申请分配部署详解
- 【openstack】FlatDHCP模式单nova-network主机部署示例
- Office Web Apps所需证书的申请分配部署详解
- Flink的standalone 模式简单部署
- 分析模式 - 库存系统设计示例
- Spark的三种分布式部署模式:Standalone, Mesos,Yarn
- rabbitmq可靠确认模式的java封装及示例
- LVS学习笔记之DR模式详细部署
- 支付宝接口集成部署到WebSphere6.1.0.21证书认证No trusted certificate found解决方案
- Hadoop学习之以全分布模式部署及问题
- Ubuntu14.0.4下Hbase1.1.3伪分布模式部署
- 【SpringBoot】springboot 小示例与部署
- PKI与证书服务
- PHP设计模式之委托模式定义与用法简单示例
- 关于解耦 分布式部署 架构 设计模式的疑问
- 6.4.3 分步分析(Evaluating)示例