Configuration Manager 純模式所需的 PKI 證書的分步部署示例：Windows Server 2008 證書頒發(fā)機構(gòu)
此分步示例部署使用 Windows Server?2008 證書頒發(fā)機構(gòu) (CA)，提供一些過程以指導(dǎo)您完成創(chuàng)建和部署 Configuration Manager 2007 在純模式下操作所需的公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 證書的過程。純模式為 Configuration Manager 2007 站點提供最高級別的安全性，是基于 Internet 的客戶端管理必需的。有關(guān) Configuration Manager 純模式的詳細(xì)信息，請參閱使用純模式的優(yōu)勢。 本示例中的過程以 Microsoft PKI 解決方案作為參考，使用企業(yè)證書頒發(fā)機構(gòu) (CA) 和證書模板。這些步驟僅適用于網(wǎng)絡(luò)測試，作為對概念的驗證。 由于部署所需的證書不止有一種方法，您將需要參考特定 PKI 部署文檔，獲取為特定生產(chǎn)環(huán)境部署所需證書必需的過程和最佳方案。有關(guān)可能的部署方法的詳細(xì)信息，請參閱部署純模式所需的 PKI 證書。

建議使用 Microsoft PKI 解決方案來支持 Configuration Manager 2007，但不要求使用。Configuration Manager?2007 使用標(biāo)準(zhǔn)的 PKI 證書，支持 x.509 證書格式版本 3。如果現(xiàn)有的 PKI 部署能夠創(chuàng)建、部署和管理 Configuration Manager?2007 純模式所需的證書，您可以使用現(xiàn)有的 PKI 基礎(chǔ)結(jié)構(gòu)。請參閱 PKI 文檔，獲取有關(guān)部署的詳細(xì)信息。

本示例包含下列章節(jié)，涵蓋創(chuàng)建和部署 Configuration Manager 2007 站點在 Intranet 連接的純模式下操作所需的基本證書： 測試網(wǎng)絡(luò)要求 概述 部署站點服務(wù)器簽名證書 部署 Web 服務(wù)器證書 部署客戶端證書

測試網(wǎng)絡(luò)要求

本示例具有下列要求：

• 測試網(wǎng)絡(luò)運行 Windows Server?2008 的 Active Directory 域服務(wù)并且是作為單個域、單個林安裝的。
  
• 具有運行 Windows Server?2008 Enterprise Edition 的域控制器，它上面安裝了 Active Directory 證書服務(wù)角色，并配置為企業(yè)根證書頒發(fā)機構(gòu) (CA)。
  
• 具有一臺安裝了 Windows Server?2008（Standard Edition 或 Enterprise Edition）并指定為成員服務(wù)器的計算機，并在該計算機上安裝了 Internet Information Services (IIS)。
  
• 具有一個安裝了最新 Service Pack 的 Windows?Vista 客戶端，并且此計算機配置了由 ASCII 字符組成的計算機名稱并加入到域。
  
• 您可以使用根域管理員帳戶或企業(yè)域管理員帳戶登錄，然后使用此帳戶來完成本示例部署中的所有過程。
  

概述

在將 Configuration Manager 2007 配置為在純模式下操作之前，必須先安裝 PKI 證書。本示例不包括安裝和配置 Configuration Manager 2007 的內(nèi)容，但是提供有關(guān)使用計算機在 Configuration Manager 2007 純模式下操作所需的證書對這些計算機進(jìn)行設(shè)置的步驟。 下表列出了所需的三種 PKI 證書類型，并描述在純模式 Configuration Manager 2007 站點中如何使用這些證書：

站點服務(wù)器簽名證書	此證書安裝在將成為 Configuration Manager?2007 站點服務(wù)器的服務(wù)器上。它用于對客戶端策略簽名。
Web 服務(wù)器證書	此證書安裝在將成為 Configuration Manager?2007 站點系統(tǒng)的服務(wù)器上，角色為管理點和分發(fā)點等。它用于對數(shù)據(jù)進(jìn)行加密以及對客戶端驗證服務(wù)器。
客戶端證書	此證書安裝在將成為 Configuration Manager?2007 客戶端的計算機以及管理點上。它用于向站點系統(tǒng)驗證客戶端；在管理點上，則用于監(jiān)視服務(wù)器的操作狀態(tài)。

有關(guān)證書的詳細(xì)信息，請參閱純模式的證書要求。 按照本示例中的步驟實現(xiàn)下列目標(biāo)：

• 使用 Configuration Manager 2007 站點服務(wù)器簽名證書設(shè)置成員服務(wù)器，以便它可以在純模式下作為 Configuration Manager 2007 站點服務(wù)器運行。
  
• 使用 Web 服務(wù)器證書設(shè)置成員服務(wù)器，以便它可以在純模式下作為 Configuration Manager 2007 站點系統(tǒng)服務(wù)器運行，該站點系統(tǒng)服務(wù)器可以運行下列任何 Configuration Manager 站點系統(tǒng)角色：管理點、分發(fā)點、軟件更新點和狀態(tài)遷移點。
  
• 使用客戶端證書設(shè)置工作站和成員服務(wù)器，以便工作站可以作為 Configuration Manager 2007 純模式客戶端運行，以及管理點可以向站點服務(wù)器報告其狀態(tài)。
  

部署站點服務(wù)器簽名證書

此步驟有四個過程：

• 在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā)站點服務(wù)器簽名證書模板
  
• 為將運行 Configuration Manager 2007 站點服務(wù)器的服務(wù)器申請站點服務(wù)器簽名證書
  
• 在證書頒發(fā)機構(gòu)批準(zhǔn)站點服務(wù)器簽名證書
  
• 在將運行 Configuration Manager 2007 站點服務(wù)器的服務(wù)器上安裝站點服務(wù)器簽名證書
  

在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā)站點服務(wù)器簽名證書模板

創(chuàng)建和頒發(fā)站點服務(wù)器簽名證書模板

在運行 Windows Server?2008 控制臺的域控制器上，依次單擊“開始”、“程序”、“管理工具”和“證書頒發(fā)機構(gòu)”。

展開證書頒發(fā)機構(gòu) (CA) 的名稱，然后單擊“證書模板”。

右鍵單擊“證書模板”，然后單擊“管理”以加載證書模板管理控制臺。

在結(jié)果窗格中，右鍵單擊在“模板顯示名稱”列中顯示“計算機”的條目，然后單擊“復(fù)制模板”。

在“復(fù)制模板”對話框中，確保已選擇“Windows 2003 Server，Enterprise Edition”，然后單擊“確定”。

不要選擇“Windows 2008 Server，Enterprise Edition”。

在“新模板的屬性”對話框的“常規(guī)”選項卡上，為站點服務(wù)器簽名證書模板輸入模板名稱（如 ConfigMgr 站點服務(wù)器簽名證書）。

單擊“頒發(fā)要求”選項卡并選擇“CA 證書管理程序批準(zhǔn)”。

單擊“使用者名稱”選項卡，然后單擊“在請求中提供”。

單擊“擴(kuò)展”選項卡，確保選擇“應(yīng)用程序策略”，然后單擊“編輯”。

在“編輯應(yīng)用程序策略擴(kuò)展”對話框中，選擇“客戶端身份驗證”，按 Shift 并選擇“服務(wù)器身份驗證”，然后單擊“刪除”。

在“編輯應(yīng)用程序策略擴(kuò)展”對話框中，單擊“添加”。

在“添加應(yīng)用程序策略”對話框中，選擇“文檔簽名”作為唯一的應(yīng)用程序策略，然后單擊“確定”。

在“新模板的屬性”對話框中，現(xiàn)在應(yīng)看到作為應(yīng)用程序策略的描述列出的以下項：文檔簽名。

單擊“確定”，單擊“確定”以關(guān)閉“新模板的屬性”，然后關(guān)閉證書模板控制臺。

在證書頒發(fā)機構(gòu)控制臺中，右鍵單擊“證書模板”，單擊“新建”，然后單擊“要頒發(fā)的證書模板”。

在“啟用證書模板”對話框中，選擇剛創(chuàng)建的新模板“ConfigMgr 站點服務(wù)器簽名證書”，然后單擊“確定”。

如果不能完成步驟 15 或 16，請檢查您是否正在使用 Windows?Server?2008 Enterprise Edition。雖然可以使用 Windows Server Standard Edition 和 Active Directory 證書服務(wù)配置證書模板，但是除非使用 Windows?Server?2008 Enterprise Edition ，否則不能使用修改的證書模板部署證書。

不要關(guān)閉證書頒發(fā)機構(gòu)控制臺。

為將運行 Configuration Manager 2007 站點服務(wù)器的服務(wù)器申請站點服務(wù)器簽名證書

申請站點服務(wù)器簽名證書

在成員服務(wù)器上創(chuàng)建一個文件夾以包含您的證書文件。

打開記事本或類似的自選文本文件。將下列文本復(fù)制并粘貼到文件中： 復(fù)制代碼 [NewRequest]
Subject = “CN=The site code of this site server is <site-code>”
MachineKeySet = True
[RequestAttributes]
CertificateTemplate = ConfigMgrSiteServerSigningCertificate

將文本 <site-code> 替換為您自己的站點代碼。例如，如果您的站點代碼是 A01，該行將變成：Subject = “CN=此站點服務(wù)器的站點代碼為 A01”。

站點代碼和模板名稱區(qū)分大小寫。確保您指定的站點代碼與在 Configuration Manager 控制臺中顯示的完全一樣，以及您指定的站點服務(wù)器簽名證書模板與在證書模板屬性中作為“模板名稱”（不是“模板顯示名稱”）顯示的完全一樣。

使用名稱 sitesigning.inf 保存文件，并將其保存到您創(chuàng)建的證書文件夾中。

在您創(chuàng)建的證書文件夾中打開命令窗口，鍵入下列命令，然后按 Enter： certreq –new sitesigning.inf sitesigning.req

鍵入下列命令，然后按 Enter： certreq –submit sitesigning.req sitesigning.cer

系統(tǒng)將提示您在“選擇證書頒發(fā)機構(gòu)”對話框中選擇頒發(fā) CA。選擇 CA，然后單擊“確定”。頒發(fā)證書時，您將看到 RequestId：<編號> 顯示，其中 <編號> 是指頒發(fā) CA 獲得的下一順序證書申請。記下此號碼。

不要關(guān)閉命令提示符。

在證書頒發(fā)機構(gòu)批準(zhǔn)站點服務(wù)器簽名證書

批準(zhǔn)站點服務(wù)器簽名證書

在域控制器上的“證書頒發(fā)機構(gòu)”中，單擊“掛起的申請”。

在結(jié)果窗格中，您將看到申請的證書，以及隨最后的 Certreq 命令顯示的申請 ID。

右鍵單擊申請的證書，單擊“所有任務(wù)”，然后單擊“頒發(fā)”。

不要關(guān)閉證書頒發(fā)機構(gòu)控制臺。

在將運行 Configuration Manager 2007 站點服務(wù)器的服務(wù)器上安裝站點服務(wù)器簽名證書

檢索并安裝站點服務(wù)器簽名證書

在成員服務(wù)器的命令窗口中，鍵入下列命令，然后按 Enter： certreq –retrieve <編號> sitesigning.cer 例如，如果先前顯示的申請編號是 12，請鍵入：certreq –retrieve 12 sitesigning.cer

系統(tǒng)將提示您在“選擇證書頒發(fā)機構(gòu)”對話框中選擇頒發(fā) CA。選擇 CA，然后單擊“確定”。

鍵入下列命令，然后按 Enter： certreq –accept sitesigning.cer

成員服務(wù)器現(xiàn)在設(shè)置了 Configuration Manager 2007 站點服務(wù)器簽名證書。

部署 Web 服務(wù)器證書

此步驟有四個過程：

• 為站點系統(tǒng)服務(wù)器創(chuàng)建 Windows 安全組
  
• 在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā) Web 服務(wù)器證書模板
  
• 申請 Web 服務(wù)器證書
  
• 將 IIS 配置為使用 Web 服務(wù)器證書
  

為站點系統(tǒng)服務(wù)器（管理點、分發(fā)點、軟件更新點和狀態(tài)遷移點）創(chuàng)建 Windows 安全組

為站點系統(tǒng)服務(wù)器創(chuàng)建 Windows 安全組

在域控制器上，依次單擊“開始”、“管理工具”，然后單擊“Active Directory 用戶和計算機”。

右鍵單擊該域，單擊“新建”，然后單擊“組”。

在“新建對象 – 組”對話框中，輸入 ConfigMgr IIS 服務(wù)器作為“組名稱”，然后單擊“確定”。

在“Active Directory 用戶和計算機”中，右鍵單擊剛創(chuàng)建的組，然后單擊“屬性”。

單擊“成員”選項卡，然后單擊“添加”并選擇成員服務(wù)器。

在我們的測試環(huán)境中，只添加一臺服務(wù)器。但是在生產(chǎn)環(huán)境中，可能有各種服務(wù)器將宿主需要證書的 Configuration Manager 2007 站點系統(tǒng)，如站點的管理點和分發(fā)點。因此，對組分配權(quán)限，然后添加需要相同證書類型的站點系統(tǒng)是一種很好的方案。為這些服務(wù)器創(chuàng)建安全組使您能夠分配權(quán)限，從而僅這些服務(wù)器可以使用這些證書。

單擊“確定”，然后再次單擊“確定”以關(guān)閉組屬性對話框。

重新啟動成員服務(wù)器（如果正在運行）以便它可以選擇新的組成員身份。

在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā) Web 服務(wù)器證書模板

在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā) Web 服務(wù)器證書模板

在域控制器上，在運行證書頒發(fā)機構(gòu)控制臺的同時右鍵單擊“證書模板”，并單擊“管理”以加載證書模板控制臺。

在結(jié)果窗格中，右鍵單擊在“模板顯示名稱”列中顯示“Web 服務(wù)器”的條目，然后單擊“復(fù)制模板”。

在“復(fù)制模板”對話框中，確保已選擇“Windows 2003 Server，Enterprise Edition”，然后單擊“確定”。

不要選擇“Windows 2008 Server，Enterprise Edition”。

在“新模板的屬性”對話框的“常規(guī)”選項卡上，輸入模板名稱以生成將在 Configuration Manager 站點系統(tǒng)中使用的 Web 證書（如ConfigMgr Web 服務(wù)器證書）。

單擊“使用者名稱”選項卡，單擊“用 Active Directory 中的信息生成”，然后為“使用者名稱格式：”選擇下列其中一項：

• 公用名：如果您將對 Configuration Manager 中的站點系統(tǒng)使用完全限定的域名，則選擇此選項（對基于 Internet 的客戶端管理要求使用，對 Intranet 中的客戶端建議使用）。
  
• 完全可分辨名稱：如果不會在 Configuration Manager 中使用完全限定的域名，則選擇此選項。
  

清除選項“用戶主體名稱 (UPN)”。

單擊“安全”選項卡，并從安全組“域管理員”和“企業(yè)管理員”中刪除“注冊”權(quán)限。

單擊“添加”，在文本框中輸入 ConfigMgr IIS 服務(wù)器，然后單擊“確定”。

為此組選擇“注冊”權(quán)限，并且不要清除“讀取”權(quán)限。

單擊“確定”，然后關(guān)閉證書模板控制臺。

在證書頒發(fā)機構(gòu)控制臺中，右鍵單擊“證書模板”，單擊“新建”，然后單擊“要頒發(fā)的證書模板”。

在“啟用證書模板”對話框中，選擇剛創(chuàng)建的新模板“ConfigMgr Web 服務(wù)器證書”，然后單擊“確定”。

不要關(guān)閉證書頒發(fā)機構(gòu)控制臺。

申請 Web 服務(wù)器證書

申請 Web 服務(wù)器證書

重新啟動成員服務(wù)器，確保它可以使用配置的權(quán)限訪問證書模板。

依次單擊“開始”、“運行”，然后輸入 mmc.exe。在空白控制臺中，單擊“文件”，然后單擊“添加/刪除管理單元”。

在“添加/刪除管理單元”對話框中，從“可用的管理單元”列表中選擇“證書”，然后單擊“添加”。

在“證書管理單元”對話框中，選擇“計算機帳戶”，然后單擊“下一步”。

在“選擇計算機”對話框中，確保選擇“本地計算機：（運行此控制臺的計算機）”選項，然后單擊“完成”。

在“添加/刪除管理單元”對話框中，單擊“確定”。

在控制臺中展開“證書（本地計算機）”，然后單擊“個人”。

右鍵單擊“證書”，單擊“所有任務(wù)”，然后單擊“申請新證書”。

在“開始之前”頁面上，單擊“下一步”。

在“申請證書”頁面上，從顯示的證書列表中選擇“ConfigMgr Web 服務(wù)器證書”，然后單擊“注冊”。

在“證書安裝結(jié)果”頁面中，等待證書安裝完成，然后單擊“完成”。

關(guān)閉“證書（本地計算機）”。

將 IIS 配置為使用 Web 服務(wù)器證書

將 IIS 配置為使用 Web 服務(wù)器證書

在成員服務(wù)器上依次單擊“開始”、“程序”、“管理工具”，然后單擊“Internet 信息服務(wù) (IIS) 管理器”。

展開“站點”，右鍵單擊“默認(rèn)網(wǎng)站”，然后選擇“編輯綁定”。

單擊“https”條目，然后單擊“編輯”。

在“編輯站點綁定”對話框中，使用“ConfigMgr Web 服務(wù)器證書”模板選擇您申請的證書，然后單擊“確定”。

如果您不確定哪一個是正確的證書，請選擇一個證書，然后單擊“查看”。這允許您將所選證書詳細(xì)信息與證書管理單元中顯示的證書進(jìn)行比較。例如，證書管理單元顯示用于申請證書的證書模板。然后，您可以將使用“ConfigMgr Web 服務(wù)器證書”模板申請的證書的證書指紋與當(dāng)前在“編輯網(wǎng)站綁定”對話框中選擇的證書的證書指紋進(jìn)行比較。

在“編輯網(wǎng)站綁定”對話框中單擊“確定”，然后單擊“關(guān)閉”。

關(guān)閉 Internet Information Services (IIS) 管理器。

成員服務(wù)器現(xiàn)在設(shè)置有 Configuration Manager 2007 Web 服務(wù)器證書。

部署客戶端證書

此步驟有三個過程：

• 在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā)工作站身份驗證證書模板
  
• 使用組策略配置工作站身份驗證模板的自動注冊
  
• 自動注冊工作站身份驗證證書并驗證其在計算機上的安裝
  

在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā)工作站身份驗證證書模板

在證書頒發(fā)機構(gòu)創(chuàng)建和頒發(fā)工作站身份驗證證書模板

在域控制器上，在運行證書頒發(fā)機構(gòu)控制臺的同時右鍵單擊“證書模板”，并單擊“管理”以加載證書模板管理控制臺。

在結(jié)果窗格中，右鍵單擊在“模板顯示名稱”列中顯示“工作站身份驗證”的條目，然后單擊“復(fù)制模板”。

在“復(fù)制模板”對話框中，確保已選擇“Windows 2003 Server，Enterprise Edition”，然后單擊“確定”。

不要選擇“Windows 2008 Server，Enterprise Edition”。

在“新模板的屬性”對話框的“常規(guī)”選項卡上，輸入模板名稱以生成將在 Configuration Manager 客戶端計算機上使用的客戶端證書（如 ConfigMgr Web 客戶端證書）。

單擊“安全”選項卡，選擇“域計算機”組，然后選擇其他權(quán)限“讀取”和“自動注冊”。不要清除“注冊”。

單擊“確定”，然后關(guān)閉證書模板控制臺。

在證書頒發(fā)機構(gòu)控制臺中，右鍵單擊“證書模板”，單擊“新建”，然后單擊“要頒發(fā)的證書模板”。

在“啟用證書模板”對話框中，選擇剛創(chuàng)建的新模板“ConfigMgr 客戶端證書”，然后單擊“確定”。

關(guān)閉證書頒發(fā)機構(gòu)控制臺。

使用組策略配置工作站身份驗證模板的自動注冊

使用組策略配置工作站身份驗證模板的自動注冊

在域控制器上，依次單擊“開始”、“管理工具”，然后單擊“組策略管理”。

導(dǎo)航到您的域，右鍵單擊域，然后選擇“在這個域中創(chuàng)建 GPO 并在此處鏈接”。

此步驟使用為自定義設(shè)置創(chuàng)建新的組策略這一最佳方案，而不是編輯隨 Active Directory 域服務(wù)安裝的默認(rèn)域策略。通過在域級別分配此組策略，您會將它應(yīng)用到域中的所有計算機。但是在生產(chǎn)環(huán)境中，您可以通過在組織單位級別分配組策略來限制自動注冊，以便它僅在選擇的計算機上注冊，或者您也可以使用安全組篩選域組策略，以便它僅應(yīng)用于組中的計算機。如果限制自動注冊，請記住包括配置為管理點的服務(wù)器。

在“新建 GPO”對話框中，為新的組策略輸入名稱，如自動注冊證書，然后單擊“確定”。

在結(jié)果窗格的“鏈接的組策略對象”選項卡上，右鍵單擊新的組策略，然后單擊“編輯”。

在組策略管理編輯器中，展開“計算機配置”之下的“策略”，然后導(dǎo)航到“Windows 設(shè)置/安全設(shè)置/公鑰策略”。

右鍵單擊名為“證書服務(wù)客戶端 - 自動注冊”的對象類型，然單擊“屬性”。

從“配置型號”下拉列表中，依次選擇“已啟用”、“續(xù)訂過期證書、更新未決證書并刪除吊銷的證書”、“更新使用證書模板的證書”，然后單擊“確定”。

關(guān)閉“組策略管理”。

自動注冊工作站身份驗證證書并驗證其在計算機上的安裝

自動注冊工作站身份驗證證書并驗證其在客戶端計算機上的安裝

重新啟動工作站計算機，并等待幾分鐘再登錄。

重新啟動計算機是確保證書注冊成功最可靠的方法。

使用具有管理特權(quán)的帳戶登錄。

在搜索框中，鍵入 mmc.exe.，然后按 Enter。

在空管理控制臺中，單擊“文件”，然后單擊“添加/刪除管理單元”。

在“添加/刪除管理單元”對話框中，從“可用的管理單元”列表中選擇“證書”，然后單擊“添加”。

在“證書管理單元”對話框中，選擇“計算機帳戶”，然后單擊“下一步”。

在“選擇計算機”對話框中，確保選擇“本地計算機：（運行此控制臺的計算機）”選項，然后單擊“完成”。

在“添加/刪除管理單元”對話框中，單擊“確定”。

在控制臺中展開“證書（本地計算機）”，展開“個人”，然后單擊“證書”。

在結(jié)果窗格中，確認(rèn)顯示證書，并且在“預(yù)期目的”列中顯示“客戶端身份驗證”，在“證書模板”列中顯示“ConfigMgr 客戶端證書”。

關(guān)閉“證書（本地計算機）”。

對成員服務(wù)器重復(fù)步驟 1 至 11，以驗證將被配置為管理點的服務(wù)器是否也具有客戶端證書。

工作站和成員服務(wù)器現(xiàn)在設(shè)置有 Configuration Manager 2007 客戶端證書。

轉(zhuǎn)載于:https://blog.51cto.com/mwt666/135184

總結(jié)

以上是生活随笔為你收集整理的Configuration Manager 纯模式所需的 PKI 证书的分步部署示例的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。