• Статья

Пошаговый пример развертывания сертификатов PKI для Configuration Manager. Центр сертификации Windows Server 2008

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

В этом примере с пошаговыми инструкциями развертывания с использованием центра сертификации Windows Server 2008, описываются процедуры создания и развертывания сертификатов инфраструктуры открытых ключей (PKI), необходимых для работы Microsoft System Center 2012 Configuration Manager. Здесь используется центр сертификации предприятия (ЦС) и шаблоны сертификатов. Эти действия можно выполнять только в тестовой сети в качестве эксперимента.

Поскольку единого метода развертывания требуемых сертификатов не существует, необходимо ознакомиться с документацией по развертыванию конкретной инфраструктуры открытых ключей и изучить необходимые процедуры и рекомендуемые способы развертывания сертификатов для рабочей среды. Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к PKI-сертификатам для Configuration Manager.

System_CAPS_tipСовет

Инструкции, представленные в этой статье, можно легко адаптировать к операционным системам, кроме тех, которые указаны в разделе "Требования к тестовой сети". Однако если используется центр сертификации в Windows Server 2012, версия шаблона сертификата не запрашивается. Вместо этого следующим образом укажите эти данные на вкладке Совместимость свойств шаблона:

  • Центр сертификации: Windows Server 2003

  • Получатель сертификата: Windows XP / Server 2003

В этом разделе

В следующих разделах приведены примеры пошаговых инструкций по созданию и развертыванию следующих сертификатов, которые можно использовать с System Center 2012 Configuration Manager.

Требования к тестовой сети

Обзор сертификатов

Развертывание сертификата веб-сервера для систем сайта с запущенными службами IIS

Развертывание сертификата службы для облачных точек распространения

Развертывание сертификата клиента для компьютеров Windows

Развертывание сертификата клиента для точек распространения

Развертывание сертификата регистрации для мобильных устройств

Развертывание сертификатов для AMT

Развертывание сертификата клиента для компьютеров Mac

Требования к тестовой сети

Для выполнения пошаговых инструкций необходимо учесть следующие требования.

  • В тестовой сети должны быть запущены доменные службы Active Directory с ОС Windows Server 2008, и она должна быть установлена как один домен и один лес.

  • Необходим рядовой сервер, на котором запущена ОС Windows Server 2008 Enterprise Edition и установлена роль служб сертификатов Active Directory. Данный сервер должен быть настроен в качестве корневого центра сертификации (ЦС) предприятия.

  • Необходим один компьютер с ОС Windows Server 2008 (Standard Edition или Enterprise Edition), назначенный в качестве рядового сервера, на котором установлены службы IIS. Этот компьютер будет сервером системы сайта Configuration Manager, настроенным с полным доменным именем в интрасети (для поддержки подключений клиентов в интрасети) и полным доменным именем в Интернете, если требуется поддержка для мобильных устройств, зарегистрированных с помощью Configuration Manager, и клиентов в Интернете.

  • В сети должен быть один клиент Windows Vista с последним пакетом обновления. Этому компьютеру должно быть присвоено имя, содержащее символы ASCII, и данный компьютер должен быть присоединен к домену. Этот компьютер будет клиентским компьютером Configuration Manager.

  • Должна быть возможность войти в систему с использованием учетной записи администратора корневого домена или администратора домена предприятия и использовать эту учетную запись во всех процедурах описываемого примера развертывания.

Обзор сертификатов

В следующей таблице перечислены типы PKI-сертификатов, которые могут потребоваться для System Center 2012 Configuration Manager, и описаны способы их использования.

Требования к сертификату

Описание сертификата

Сертификат веб-сервера для систем сайта, в которых запущены службы IIS

Этот сертификат используется для шифрования данных и удостоверяет подлинность сервера при обращении клиентов. Он должен быть установлен вне Configuration Manager на серверах систем сайта, на которых запущены службы IIS и которые настроены в Configuration Manager для использования протокола HTTPS.

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий: Этот сертификат может также потребоваться на точках управления, когда трафик уведомления клиентов возвращается к использованию HTTPS.

Действия по настройке и установке этого сертификата см. в разделе Развертывание сертификата веб-сервера для систем сайта с запущенными службами IIS этой статьи.

Сертификат службы для подключения клиентов к облачным точкам распространения

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Этот сертификат используется клиентами для шифрования данных и проверки подлинности службы облачных точек распространения. Он должен запрашиваться, устанавливаться и экспортироваться из Configuration Manager внешним образом, поэтому его можно импортировать при создании облачной точки распространения.

Действия по настройке и установке этого сертификата см. в разделе Развертывание сертификата службы для облачных точек распространения этой статьи.

System_CAPS_noteПримечание

Этот сертификат используется вместе с сертификатом управления Windows Azure. Дополнительные сведения о сертификате управления см. в статьях Создание сертификата управления и Добавление сертификата управления в подписку Windows Azure в разделе Windows Azure Platform библиотеки MSDN.

Сертификат клиента для компьютеров Windows

Этот сертификат используется для проверки подлинности клиентских компьютеров Configuration Manager при обращении к системам сайта, настроенным для использования протокола HTTPS. Его также можно использовать для мониторинга рабочего состояния точек управления и точек миграции состояния, настроенных для подключений по протоколу HTTPS. Сертификат должен быть установлен вне Configuration Manager на компьютерах.

Действия по настройке и установке этого сертификата см. в разделе Развертывание сертификата клиента для компьютеров Windows этой статьи.

Сертификат клиента для точек распространения

Этот сертификат используется в следующих двух целях.

  • Сертификат используется для проверки подлинности точки распространения при обращении к точке управления с поддержкой протокола HTTPS до отправки точкой распространения сообщений о состоянии.

  • Если для точки распространения выбран параметр Включить поддержку PXE для клиентов, сертификат отправляется на компьютеры, выполняющие загрузку PXE, поэтому они могут подключаться к точке управления с поддержкой протокола HTTPS во время развертывания операционной системы.

Действия по настройке и установке этого сертификата см. в разделе Развертывание сертификата клиента для точек распространения этой статьи.

Сертификат регистрации для мобильных устройств

Этот сертификат используется для проверки подлинности клиентов мобильных устройств Configuration Manager при обращении к системам сайта, настроенным для использования протокола HTTPS. Его необходимо установить в процессе регистрации мобильных устройств в Configuration Manager. Настроенный шаблон сертификата выбирается в качестве параметра клиента мобильного устройства.

Действия по настройке этого сертификата см. в разделе Развертывание сертификата регистрации для мобильных устройств этой статьи.

Сертификаты для Intel AMT

Существует три сертификата, которые связаны с использованием аппаратного контроллера управления для компьютеров с поддержкой Intel AMT: сертификат подготовки AMT, сертификат веб-сервера AMT и сертификат проверки подлинности клиента для проводных или беспроводных сетей 802.1X (необязательный).

Сертификат подготовки AMT должен быть установлен вне Configuration Manager на компьютере точки управления аппаратного контроллера управления. Выбор этого сертификата осуществляется в свойствах точки обслуживания аппаратного контроллера управления. Сертификат веб-сервера AMT и сертификат проверки подлинности клиента устанавливаются во время подготовки и управления AMT. Выбор настроенных шаблонов сертификатов осуществляется в свойствах компонента аппаратного контроллера управления.

Действия по настройке этих сертификатов см. в разделе Развертывание сертификатов для AMT этой статьи.

Сертификат клиента для компьютеров Mac

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Этот сертификат используется для проверки подлинности компьютеров Mac Configuration Manager для точек управления и точек распространения, настроенных для поддержки HTTPS.

Вы можете запросить и установить этот сертификат от компьютера Mac во время использования регистрации Configuration Manager и выбрать настроенный шаблон сертификата в качестве параметра клиента мобильного устройства.

Действия по настройке этого сертификата см. в разделе Развертывание сертификата клиента для компьютеров Mac этой статьи.

Развертывание сертификата веб-сервера для систем сайта с запущенными службами IIS

Процесс развертывания сертификата включает следующие процедуры.

  • Создание и выдача шаблона сертификата веб-сервера в центре сертификации

  • Запрос сертификата веб-сервера

  • Настройка IIS для использования сертификата веб-сервера

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

Эта процедура используется для создания шаблона сертификата для систем сайта Configuration Manager, который затем добавляется в центр сертификации.

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

  1. Создайте группу безопасности с именем Серверы IIS ConfigMgr, содержащую рядовые серверы для установки систем сайта System Center 2012 Configuration Manager, на которых будут запущены службы IIS.

  2. На рядовом сервере с установленными службами сертификатов в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и нажмите кнопку Скопировать шаблон.

  4. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона для создания веб-сертификатов, которые будут использоваться на системах сайта Configuration Manager, например Сертификат веб-сервера Configuration Manager.

  6. Откройте вкладку Имя субъекта и убедитесь, что выбран параметр Предоставляется в запросе.

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  8. Нажмите кнопку Добавить, в текстовом поле введите IIS-серверы Configuration Manager и нажмите кнопку ОК.

  9. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать.

  10. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  12. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный новый шаблон Сертификат веб-сервера Configuration Manager и нажмите кнопку ОК.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте центр сертификации.

Запрос сертификата веб-сервера

Эта процедура используется для задания значений полных доменных имен в интрасети и Интернете, которые будут настроены в свойствах сервера системы сайта, и последующей установки сертификата веб-сервера на рядовом сервере, где запущены службы IIS.

Запрос сертификата веб-сервера

  1. Перезапустите рядовой сервер, на котором запущены службы IIS, чтобы убедиться, что компьютер имеет доступ к созданному шаблону с помощью настроенных разрешений Чтение и Регистрация.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  3. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  5. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором выполняется эта консоль) и нажмите кнопку Готово.

  6. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  7. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.

  8. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  9. На странице Перед началом работы нажмите кнопку Далее.

  10. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.

  11. На странице Запрос сертификатов выберите вариант Сертификат веб-сервера Configuration Manager в списке отображаемых сертификатов, а затем щелкните Требуется больше данных для подачи заявки на этот сертификат. Щелкните здесь для настройки параметров.

  12. В диалоговом окне Свойства сертификата на вкладке Субъект оставьте значение параметра Имя субъекта без изменений. Это значит, что поле Значение в разделе Имя субъекта должно остаться пустым. В разделе Альтернативное имя в раскрывающемся списке Тип выберите DNS.

  13. В поле Значение укажите значения полных доменных имен, которые будут заданы в свойствах системы сайта Configuration Manager, а затем нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства сертификата.

    Примеры:

    • Если система сайта будет принимать подключения клиентов из интрасети, а полное доменное имя сервера системы сайта в интрасети — server1.internal.contoso.com, выполните следующие действия. Введите server1.internal.contoso.com, а затем нажмите кнопку Добавить.

    • Если система сайта будет принимать подключения клиентов из интрасети и Интернета, а полное доменное имя сервера системы сайта в интрасети — server1.internal.contoso.com и полное доменное имя сервера системы сайта в Интернете — server.contoso.com, выполните следующие действия.

      1. Введите server1.internal.contoso.com, а затем нажмите кнопку Добавить.

      2. Введите server.contoso.com, а затем нажмите кнопку Добавить.

      System_CAPS_noteПримечание

      Порядок указания полных доменных имен для Configuration Manager не имеет значения. Однако необходимо проверить, что все устройства, которые будут использовать сертификат, например мобильные устройства и прокси-серверы в Интернете, могут использовать имя SAN сертификата и несколько значений имени SAN. Если устройства обеспечивают ограниченную поддержку значений SAN в сертификатах, может потребоваться изменить последовательность полных доменных имен или использовать значение "Субъект".

  14. На странице Запрос сертификатов выберите вариант Сертификат веб-сервера ConfigMgr из списка отображаемых сертификатов и нажмите кнопку Регистрация.

  15. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификатов и нажмите кнопку Готово.

  16. Закройте окно Сертификаты (локальный компьютер).

Настройка IIS для использования сертификата веб-сервера

Эта процедура используется для привязки установленного сертификата к веб-сайту по умолчанию служб IIS.

Настройка служб IIS для использования сертификата веб-сервера

  1. На рядовом сервере с установленными службами IIS нажмите кнопку Пуск, выберите пункт Программы, затем выберите Администрирование, а затем — Диспетчер служб IIS.

  2. Разверните Сайты, щелкните правой кнопкой мыши Веб-сайт по умолчанию и выберите пункт Изменить привязки.

  3. Выберите запись https и нажмите Редактировать.

  4. В диалоговом окне Изменение привязки сайта выберите сертификат, запрошенный при помощи шаблона "Сертификат веб-сервера Configuration Manager", и нажмите кнопку ОК.

    System_CAPS_noteПримечание

    Если вы сомневаетесь, какой именно сертификат следует использовать, выберите один из них и щелкните Просмотр. С помощью этой функции можно сравнить сведения, указанные в выбранном сертификате, с отображаемыми на странице "Оснастка диспетчера сертификатов". Например, на странице "Оснастка диспетчера сертификатов" отображается шаблон сертификата, при помощи которого был запрошен сертификат. Таким образом, можно сравнить отпечаток сертификата, запрошенного при помощи шаблона "Сертификат веб-сервера Configuration Manager", с отпечатком сертификата, выбранного в диалоговом окне Изменение привязки сайта.

  5. Нажмите кнопку ОК в диалоговом окне Изменение привязки сайта, затем нажмите кнопку Закрыть.

  6. Закройте Диспетчер служб IIS.

Теперь у рядового сервера есть сертификат веб-сервера Configuration Manager.

System_CAPS_importantВажно

При установке сервера системы сайта Configuration Manager на этом компьютере убедитесь, что в свойствах системы сайта указаны те же полные доменные имена, которые использовались при запросе сертификата.

Развертывание сертификата службы для облачных точек распространения

System_CAPS_noteПримечание

Сертификат службы для облачных точек распространения применяется к Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий.

Процесс развертывания сертификата включает следующие процедуры.

  • Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификации 

  • Запрос пользовательского сертификата веб-сервера

  • Экспорт пользовательского сертификата веб-сервера для облачных точек распространения

Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификации

В данной процедуре создается пользовательский шаблон сертификата, основанный на шаблоне сертификата веб-сервера. Сертификат предназначен для облачных точек распространения Configuration Manager, и закрытый ключ должен быть экспортируемым. После создания шаблона сертификата он добавляется в центр сертификации.

System_CAPS_noteПримечание

В этой процедуре используется шаблон сертификата, который отличается от шаблона сертификатов веб-сервера, созданного для систем сайта под управлением IIS, потому что хотя оба сертификата требуют наличия возможности проверки подлинности серверов, сертификат для облачных точек распространения требует вводить определенное пользователем значение для имени субъекта, а закрытый ключ необходимо экспортировать. По соображениям безопасности настройку сертификатов для разрешения экспорта закрытого ключа рекомендуется выполнять только в случае необходимости. Для облачной точки распространения требуется эта настройка, так как сертификат следует импортировать в качестве файла, а не выбирать в хранилище сертификатов.

Создание нового шаблона для этого сертификата позволит ограничить компьютеры, которые запрашивают сертификат, разрешающий экспорт закрытого ключа. В рабочей сети в этот сертификат можно внести следующие изменения.

  • В целях обеспечения дополнительной безопасности требовать утверждения для установки сертификата.

  • Увеличить срок действия сертификата. Поскольку каждый раз перед окончанием срока действия сертификат необходимо экспортировать и импортировать, увеличение срока действия сертификата сокращает частоту выполнения этой процедуры. Однако увеличение срока действия приводит к снижению уровня безопасности сертификата, поскольку злоумышленник получает больше времени на расшифровку закрытого ключа и кражу сертификата.

  • Использовать пользовательское значение для альтернативного имени субъекта (SAN) сертификата, чтобы отличать этот сертификат от стандартных сертификатов веб-серверов, используемых в IIS.

Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификации

  1. Создайте группу безопасности с именем Серверы сайта ConfigMgr, содержащую рядовые серверы для установки основных серверов сайта Configuration Manager, которые будут управлять облачными точками распространения.

  2. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и нажмите кнопку Скопировать шаблон.

  4. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания сертификата веб-сервера для облачных точек распространения, например Сертификат облачной точки распространения ConfigMgr.

  6. Перейдите на вкладку Обработка запроса и выберите параметр Разрешить экспортировать закрытый ключ.

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из группы безопасности Администраторы предприятия.

  8. Нажмите кнопку Добавить, введите в текстовое поле Серверы сайта ConfigMgr и нажмите кнопку ОК.

  9. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать.

  10. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  12. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный новый шаблон Сертификат облачной точки распространения ConfigMgr и нажмите кнопку ОК.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.

Запрос пользовательского сертификата веб-сервера

В этой процедуре производится запрос и установка пользовательского сертификата веб-сервера на рядовой сервер, на котором будет работать сервер сайта.

Запрос настраиваемого сертификата веб-сервера

  1. Перезапустите рядовой сервер после создания и настройки группы безопасности Серверы сайта ConfigMgr, чтобы убедиться в том, что компьютер может получать доступ к шаблону сертификата, созданному с помощью настроенных разрешений на чтение и регистрацию.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  3. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  5. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором выполняется эта консоль) и нажмите кнопку Готово.

  6. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  7. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.

  8. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  9. На странице Перед началом работы нажмите кнопку Далее.

  10. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.

  11. На странице Запрос сертификатов выберите вариант Сертификат облачной точки распространения ConfigMgr в списке отображаемых сертификатов, а затем щелкните Требуется больше данных для подачи заявки на этот сертификат. Щелкните здесь для настройки параметров.

  12. В диалоговом окне Свойства сертификата, на вкладке Субъект, в поле Имя субъекта выберите Общее имя в качестве параметра Тип.

  13. В поле Значение укажите любое имя службы и имя вашего домена с помощью формата полных доменных имен. Например: clouddp1.contoso.com.

    System_CAPS_noteПримечание

    Неважно, какое задано имя службы, если оно уникально в имеющемся пространстве имен. Вы будете использовать DNS для создания псевдонима (записи CNAME), чтобы сопоставить это имя службы с автоматически генерируемым идентификатором (GUID) и IP-адресом в Windows Azure.

  14. Нажмите кнопку Добавить, а затем кнопку ОК, чтобы закрыть диалоговое окно Свойства сертификата.

  15. На странице Запрос сертификатов в списке отображаемых сертификатов выберите вариант Сертификат облачной точки распространения ConfigMgr и нажмите кнопку Регистрация.

  16. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификатов и нажмите кнопку Готово.

  17. Закройте окно Сертификаты (локальный компьютер).

Экспорт пользовательского сертификата веб-сервера для облачных точек распространения

Ниже описана процедура экспорта настраиваемого сертификата веб-сервера в файл для последующего импорта во время создания облачной точки распространения.

Экспорт пользовательского сертификата веб-сервера для облачных точек распространения

  1. В консоли Сертификаты (локальный компьютер) щелкните только что установленный сертификат правой кнопкой мыши, выберите пункт Все задачи, а затем Экспорт.

  2. В окне мастера экспорта сертификатов нажмите кнопку Далее.

  3. На странице Экспорт закрытого ключа выберите пункт Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

    System_CAPS_noteПримечание

    Если эта функция недоступна, сертификат был создан без функции экспорта закрытого ключа. В этом случае нельзя экспортировать сертификат в требуемом формате. Потребуется изменить конфигурацию шаблона сертификата, разрешив экспорт закрытого ключа, а затем повторить запрос сертификат.

  4. На странице Формат экспортируемого файла убедитесь, что выбран вариант Файл обмена личной информацией - PKCS #12 (.PFX).

  5. На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с его закрытым ключом и нажмите кнопку Далее.

  6. На странице Имя экспортируемого файла укажите имя файла, который необходимо экспортировать, и нажмите кнопку Далее.

  7. Чтобы закрыть окно мастера, на странице Мастер экспорта сертификатов нажмите кнопку Готово, а затем в диалоговом окне подтверждения кнопку ОК.

  8. Закройте окно Сертификаты (локальный компьютер).

  9. Сохраните файл в безопасном месте и убедитесь, что к нему можно получить доступ из консоли Configuration Manager.

Сертификат готов к импортированию во время создания облачной точки распространения.

Развертывание сертификата клиента для компьютеров Windows

Процесс развертывания сертификата включает следующие процедуры.

  • Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации

  • Настройка автоматической регистрации шаблона сертификата проверки подлинности рабочей станции с помощью групповой политики

  • Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на компьютерах

Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации

Эта процедура используется для создания шаблона сертификата для клиентских компьютеров System Center 2012 Configuration Manager, который затем добавляется в центр сертификации.

Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации

  1. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.

  3. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания сертификатов клиентов, которые будут использоваться на клиентских компьютерах Configuration Manager, например Сертификат клиента Configuration Manager.

  5. Откройте вкладку Безопасность, выберите группу Компьютеры домена и включите дополнительные разрешения Читать и Авторегистрация. Не снимайте флажок в пункте Регистрация.

  6. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  7. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  8. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный новый шаблон Сертификат клиента Configuration Manager и нажмите кнопку ОК.

  9. Если создавать и выдавать сертификаты больше не требуется, закройте центр сертификации.

Настройка автоматической регистрации шаблона сертификата проверки подлинности рабочей станции с помощью групповой политики

Эта процедура используется для настройки групповой политики для автоматической регистрации сертификата клиента на компьютерах.

Настройка автоматической регистрации шаблона сертификата проверки подлинности рабочей станции при помощи групповой политики

  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Управление групповой политикой.

  2. Перейдите к своему домену, щелкните его правой кнопкой мыши и выберите Создать объект GPO в этом домене и связать его.

    System_CAPS_noteПримечание

    На этом шаге рекомендуется создать новую групповую политику с пользовательской настройкой вместо редактирования политики домена по умолчанию, установленной вместе с доменными службами Active Directory. Назначение этой групповой политики на уровне домена позволит применить ее ко всем компьютерам домена. Впрочем, в среде предприятия можно ограничить автоматическую регистрацию таким образом, чтобы она действовала только для указанных компьютеров. Для этого можно назначить групповую политику на уровне подразделения организации или ограничить действие групповой политики домена так, чтобы она применялась только к компьютерам определенной группы безопасности. При ограничении автоматической регистрации не забудьте включить в группу сервер, выполняющий роль точки управления.

  3. В диалоговом окне Создание объекта групповой политики введите имя новой групповой политики, например Сертификаты авторегистрации, и нажмите кнопку ОК.

  4. В области результатов на вкладке Связанные объекты групповой политики щелкните правой кнопкой мыши новую групповую политику и выберите команду Редактировать.

  5. В окне Редактор управления групповыми политиками разверните Политики в разделе Конфигурация компьютера, затем выберите Параметры Windows/Параметры безопасности/Политики открытого ключа.

  6. Щелкните правой кнопкой мыши тип Клиент служб сертификации: автоматическая регистрация, затем выберите Свойства.

  7. В раскрывающемся списке Модель конфигурации выберите пункт Включена, выберите Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты, затем Обновлять сертификаты, использующие шаблоны сертификатов и нажмите кнопку ОК.

  8. Закройте окно Управление групповой политикой.

Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на компьютерах

Эта процедура используется для установки сертификата клиента на компьютерах и проверки установки.

Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на клиентском компьютере

  1. Перезагрузите компьютер рабочей станции и подождите несколько минут перед входом в систему.

    System_CAPS_noteПримечание

    Перезагрузка компьютера является самым надежным методом обеспечения успешной автоматической регистрации сертификата.

  2. Войдите в систему с использованием учетной записи, которая имеет привилегии администратора.

  3. В окне поиска введите mmc.exe. и нажмите клавишу ВВОД.

  4. В пустой консоли управления щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  5. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  6. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  7. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.

  8. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  9. В консоли разверните узел Сертификаты (локальный компьютер), затем узел Личные и выберите Сертификаты.

  10. В области результатов убедитесь, что у отображаемого сертификата в столбце Назначение указано Проверка подлинности клиента, а в столбце Шаблон сертификатаСертификат клиента Configuration Manager.

  11. Закройте окно Сертификаты (локальный компьютер).

  12. Повторите шаги с 1 по 11 для рядового сервера, чтобы убедиться, что сервер, который будет настроен для работы в качестве точки управления, имеет сертификат клиента.

Теперь у компьютера есть сертификат клиента Configuration Manager.

Развертывание сертификата клиента для точек распространения

System_CAPS_noteПримечание

Этот сертификат может быть также использован для носителей, не использующих среду PXE, поскольку требования к сертификатам одни и те же.

Процесс развертывания сертификата включает следующие процедуры.

  • Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации

  • Запрос настраиваемого сертификата проверки подлинности рабочей станции

  • Экспорт сертификата клиента для точек распространения

Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации

Эти процедура используется для создания настраиваемого шаблона сертификата для точек распространения Configuration Manager, разрешающего экспорт закрытого ключа, и добавления шаблона сертификата в центр сертификации.

System_CAPS_noteПримечание

В этой процедуре используется шаблон сертификата, отличный от того, который был создан для клиентских компьютеров, поскольку несмотря на то, что для обоих сертификатов требуется возможность проверки подлинности клиента, сертификату для точек распространения необходима функция экспорта закрытого ключа. По соображениям безопасности настройку сертификатов для разрешения экспорта закрытого ключа рекомендуется выполнять только в случае необходимости. Эта настройка требуется для точки безопасности, так как сертификат следует импортировать в качестве файла, а не выбирать в хранилище сертификатов.

Создание нового шаблона для этого сертификата позволит ограничить компьютеры, которые запрашивают сертификат, разрешающий экспорт закрытого ключа. В данном примере развертывания это будет группа безопасности, созданная ранее для серверов систем сайта Configuration Manager с запущенными службами IIS. В рабочей сети, распространяющей роли систем сайта IIS, рекомендуется создать новую группу безопасности для серверов с точками распространения, чтобы ограничить использование сертификата только этими серверами систем сайта. Кроме того, в этот сертификат можно внести следующие изменения.

  • В целях обеспечения дополнительной безопасности требовать утверждения для установки сертификата.

  • Увеличить срок действия сертификата. Поскольку каждый раз перед окончанием срока действия сертификат необходимо экспортировать и импортировать, увеличение срока действия сертификата сокращает частоту выполнения этой процедуры. Однако увеличение срока действия приводит к снижению уровня безопасности сертификата, поскольку злоумышленник получает больше времени на расшифровку закрытого ключа и кражу сертификата.

  • Использовать настраиваемое значение в полях "Субъект" или "Альтернативное имя субъекта", чтобы отличать этот сертификат от стандартных сертификатов клиента. Это может быть особенного полезно в случае использования одного сертификата для нескольких точек распространения.

Создание и выдача настраиваемого шаблона сертификата проверки подлинности рабочей станции в центре сертификации

  1. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.

  3. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания сертификата проверки подлинности клиента для точек распространения, например Сертификат точки распространения клиента ConfigMgr.

  5. Перейдите на вкладку Обработка запроса и выберите параметр Разрешить экспортировать закрытый ключ.

  6. Откройте вкладку Безопасность и удалите разрешение Регистрация из группы безопасности Администраторы предприятия.

  7. Нажмите кнопку Добавить, в текстовом поле введите IIS-серверы Configuration Manager и нажмите кнопку ОК.

  8. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать.

  9. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  10. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  11. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный новый шаблон Сертификат точки распространения клиента Configuration Manager и нажмите кнопку ОК.

  12. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.

Запрос настраиваемого сертификата проверки подлинности рабочей станции

Эта процедура используется для запроса настраиваемого сертификата клиента и его установки на рядовом сервере с запущенными службами IIS, который будет настроен в качестве точки распространения.

Запрос настраиваемого сертификата проверки подлинности рабочей станции

  1. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  2. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  3. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  4. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором выполняется эта консоль) и нажмите кнопку Готово.

  5. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  6. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.

  7. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  8. На странице Перед началом работы нажмите кнопку Далее.

  9. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.

  10. На странице Запрос сертификатов в списке отображаемых сертификатов выберите вариант Сертификат точки распространения клиента Configuration Manager и нажмите кнопку Регистрация.

  11. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификатов и нажмите кнопку Готово.

  12. В области результатов убедитесь, что у отображаемого сертификата в столбце Назначение указано Проверка подлинности клиента, а в столбце Шаблон сертификатаСертификат точки распространения клиента Configuration Manager.

  13. Не закрывайте окно Сертификаты (локальный компьютер).

Экспорт сертификата клиента для точек распространения

Ниже описана процедура экспорта настраиваемого сертификата проверки подлинности рабочей станции в файл для последующего импорта в свойства точки распространения.

Экспорт сертификат клиента для точек распространения

  1. В консоли Сертификаты (локальный компьютер) щелкните только что установленный сертификат правой кнопкой мыши, выберите пункт Все задачи, а затем Экспорт.

  2. В окне мастера экспорта сертификатов нажмите кнопку Далее.

  3. На странице Экспорт закрытого ключа выберите пункт Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

    System_CAPS_noteПримечание

    Если эта функция недоступна, сертификат был создан без функции экспорта закрытого ключа. В этом случае нельзя экспортировать сертификат в требуемом формате. Потребуется изменить конфигурацию шаблона сертификата, разрешив экспорт закрытого ключа, а затем повторить запрос сертификат.

  4. На странице Формат экспортируемого файла убедитесь, что выбран вариант Файл обмена личной информацией - PKCS #12 (.PFX).

  5. На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с его закрытым ключом и нажмите кнопку Далее.

  6. На странице Имя экспортируемого файла укажите имя файла, который необходимо экспортировать, и нажмите кнопку Далее.

  7. Чтобы закрыть окно мастера, на странице Мастер экспорта сертификатов нажмите кнопку Готово, а затем в диалоговом окне подтверждения кнопку ОК.

  8. Закройте окно Сертификаты (локальный компьютер).

  9. Сохраните файл в безопасном месте и убедитесь, что к нему можно получить доступ из консоли Configuration Manager.

Теперь сертификат готов к импорту для настройки точки распространения.

System_CAPS_tipСовет

Можно использовать тот же файл сертификата при настройке носителей для развертывания ОС, не использующих загрузку PXE, и для которых последовательность задач для установки образа должна подключаться к точке управления, требующей HTTPS-подключения клиентов.

Развертывание сертификата регистрации для мобильных устройств

Развертывание этого сертификата включает одну процедуру по созданию и выдаче шаблона сертификата регистрации в центре сертификации.

Создание и выдача шаблона сертификата регистрации в центре сертификации

Эта процедура используется для создания шаблона сертификата регистрации для мобильных устройств System Center 2012 Configuration Manager, который затем добавляется в центр сертификации.

Создание и выдача шаблона сертификата регистрации в центре сертификации

  1. Создайте группу безопасности, содержащую пользователей, которые будут регистрировать мобильные устройства в System Center 2012 Configuration Manager.

  2. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль управления "Шаблоны сертификатов".

  3. В области результатов щелкните правой кнопкой мыши запись, в которой в столбце Отображаемое имя шаблона указано Проверенный сеанс, и выберите пункт Скопировать шаблон.

  4. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, чтобы создать сертификаты регистрации для мобильных устройств, управляемых с помощью Configuration Manager, такие как Сертификат регистрации мобильного устройства Configuration Manager.

  6. Перейдите на вкладку Имя субъекта, убедитесь, что установлен флажок Строится на основе данных Active Directory, выберите Общее имя для параметра Формат имени субъекта: и снимите флажок Имя участника-пользователя (UPN) для параметра Включить эту информацию в альтернативное имя субъекта.

  7. Перейдите на вкладку Безопасность, выберите группу безопасности, содержащую пользователей, которым требуется зарегистрировать мобильные устройства, и выберите дополнительное разрешение Регистрация. Не снимайте флажок Чтение.

  8. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  9. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  10. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный новый шаблон Сертификат регистрации мобильного устройства Configuration Manager и нажмите кнопку ОК.

  11. Если создавать и выдавать сертификаты больше не требуется, закройте консоль центра сертификации.

Теперь шаблон сертификата регистрации мобильного устройства можно будет выбрать при настройке профиля регистрации мобильного устройства в параметрах клиента.

Развертывание сертификатов для AMT

Процесс развертывания сертификата включает следующие процедуры.

  • Создание, выдача и установка сертификата инициализации AMT

  • Создание и выдача сертификата веб-сервера для компьютеров на базе технологии AMT

  • Создание и выдача сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT, с проверкой подлинности 802.1X

Создание, выдача и установка сертификата инициализации AMT

Сертификат инициализации следует создавать с помощью внутреннего центра сертификации, если AMT-компьютеры настроены с использованием отпечатка сертификата внутреннего корневого центра сертификации. Если это условие не соблюдается, и требуется использовать внешний ЦС, используйте инструкции организации, предоставившей сертификат инициализации. Как правило, для этого потребуется запросить сертификат на общедоступном веб-сайте этой организации. Подробные указания для выбранного внешнего центра сертификации также приведены на веб сайте Intel vPro Expert Center: Microsoft vPro Manageability Web site (https://go.microsoft.com/fwlink/?LinkId=132001).

System_CAPS_importantВажно

Внешние центры сертификации могут не поддерживать идентификатор объекта обеспечения Intel AMT. В таком случае используйте альтернативный способ указания атрибута OU сертификата Intel(R) Client Setup Certificate

Если сертификат инициализации AMT запрашивается из внешнего центра сертификации, установите его в личном хранилище сертификатов на компьютере на рядовом сервере, на котором будет размещаться точка обслуживания аппаратного контроллера управления.

Запрос и выдача сертификата инициализации AMT

  1. Создайте группу безопасности, содержащую учетные записи компьютеров для серверов системы сайта, на которых будет выполняться точка обслуживания внешнего контроллера управления.

  2. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.

  4. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата обеспечения AMT, например Обеспечение AMT Configuration Manager.

  6. Откройте вкладку Имя субъекта, выберите пункт Строится на основе данных Active Directory, а затем выберите Обычное имя.

  7. Перейдите на вкладку Расширения, убедитесь, что выбран параметр Политики применения, и нажмите кнопку Редактировать.

  8. В диалоговом окне Изменение расширения политик применения нажмите кнопку Добавить.

  9. В диалоговом окне Добавление политики применения нажмите кнопку Создать.

  10. В диалоговом окне Новая политика применения введите в поле ИмяОбеспечение AMT, а затем в поле Идентификатор объекта введите следующий номер: 2.16.840.1.113741.1.2.3.

  11. Нажмите кнопку ОК, а затем в окне Добавление политики применения еще раз нажмите кнопку ОК.

  12. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.

  13. В диалоговом окне Свойства нового шаблона в описании Политики применения должны отображаться следующие сведения: Проверка подлинности сервера и Обеспечение AMT.

  14. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  15. Нажмите кнопку Добавить, введите имя группы безопасности, содержащей учетную запись компьютера для роли системы сайта точки обслуживания внешнего контроллера управления, а затем нажмите кнопку ОК.

  16. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать.

  17. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.

  18. В Центре сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  19. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Инициализация AMT Configuration Manager и нажмите кнопку ОК.

    System_CAPS_noteПримечание

    Если не удается выполнить шаг 18 или 19, убедитесь, что используется Windows Server 2008 Enterprise Edition. Хотя можно настроить шаблоны при помощи Windows Server Standard Edition и служб сертификатов, развернуть сертификаты, используя измененные шаблоны сертификатов, можно только в Windows Server 2008 Enterprise Edition.

  20. Не закрывайте Центр сертификации.

Теперь сертификат инициализации AMT, выданный внутренним ЦС, готов к установке на компьютер точки обслуживания аппаратного контроллера управления.

Установка сертификата инициализации AMT

  1. Перезапустите рядовой сервер под управлением служб IIS, чтобы убедиться, что он может получить доступ к шаблону сертификата с настроенным разрешением.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  3. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  5. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором выполняется эта консоль) и нажмите кнопку Готово.

  6. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  7. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.

  8. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  9. На странице Перед началом работы нажмите кнопку Далее.

  10. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.

  11. На странице Запрос сертификатов в списке отображаемых сертификатов выберите Инициализация AMT и нажмите кнопку Регистрация.

  12. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификатов и нажмите кнопку Готово.

  13. Закройте окно Сертификаты (локальный компьютер).

Сертификат иницализации AMT из внутреннего ЦС установлен. Теперь его можно выбрать в свойствах точки обслуживания аппаратного контроллера управления.

Создание и выдача сертификата веб-сервера для компьютеров на базе технологии AMT

Чтобы подготовить сертификаты веб-сервера для компьютеров, основанных на AMT, воспользуйтесь следующей процедурой.

Создание и выдача шаблона сертификата веб-сервера

  1. Создайте пустую группу безопасности, которая будет содержать учетные записи AMT-компьютеров, создаваемые System Center 2012 Configuration Manager во время инициализации AMT.

  2. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и нажмите кнопку Скопировать шаблон.

  4. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона для создания веб-сертификатов, которые будут использоваться на AMT-компьютерах для управления с помощью аппаратного контроллера управления, например Сертификат веб-сервера AMT Configuration Manager.

  6. Перейдите на вкладку Имя субъекта, установите флажок Строится на основе данных Active Directory, для параметра Формат имени субъекта выберите Общее имя, а затем для альтернативного имени субъекта снимите флажок Имя участника-пользователя (UPN).

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  8. Нажмите кнопку Добавить и введите имя группы безопасности, созданной для инициализации AMT. Затем нажмите кнопку ОК.

  9. Установите для этой группы безопасности флажок Разрешить для следующих разрешений: Читать и Регистрация.

  10. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.

  11. В консоли Центр сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  12. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат веб-сервера AMT Configuration Manager и нажмите кнопку ОК.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.

Шаблон веб-сервера AMT готов к инициализации компьютеров, основанных на AMT, с сертификатами веб-сервера. Выберите этот шаблон сертификата в свойствах компонента управления с помощью аппаратного контроллера управления.

Создание и выдача сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT, с проверкой подлинности 802.1X

Если предполагается, что компьютеры, основанные на AMT, будут использовать клиентские сертификаты для проводных и беспроводных сетей с проверкой подлинности 802.1X, воспользуйтесь следующей процедурой.

Создание и выдача шаблона сертификата проверки подлинности клиента в центре сертификации

  1. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  3. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания сертификатов клиентов, которые будут использоваться на AMT-компьютерах для внешнего управления, например Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager.

  4. На вкладке Имя субъекта установите флажок Строится на основе данных Active Directory, а затем для параметра Формат имени субъекта выберите Общее имя. В поле "Альтернативное имя субъекта" удалите DNS-имя, а затем выберите Имя участника-пользователя (UPN).

  5. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  6. Нажмите кнопку Добавить и введите имя группы безопасности, которая будет указываться в свойствах компонента управления с помощью аппаратного контроллера управления и содержать учетные записи AMT-компьютеров. Затем нажмите кнопку ОК.

  7. Установите для этой группы безопасности флажок Разрешить для следующих разрешений: Читать и Регистрация.

  8. Нажмите кнопку ОК и закройте консоль управления Шаблоны сертификатов, certtmpl – [Шаблоны сертификатов].

  9. В консоли управления Центр сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  10. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager и нажмите кнопку ОК.

  11. Если создавать и выдавать сертификаты больше не требуется, закройте центр сертификации.

Шаблон проверки подлинности клиента готов для выдачи сертификатов компьютерам, основанным на AMT, для использования при проверке подлинности клиентов 802.1X. Выберите этот шаблон сертификата в свойствах компонента управления с помощью аппаратного контроллера управления.

Развертывание сертификата клиента для компьютеров Mac

System_CAPS_noteПримечание

Сертификат клиента для компьютеров Mac применяется к Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий.

Развертывание этого сертификата включает одну процедуру по созданию и выдаче шаблона сертификата регистрации в центре сертификации.

Создание и выдача шаблона сертификата клиента Mac в центре сертификации

Эта процедура используется для создания пользовательского шаблона сертификата для компьютеров Mac Configuration Manager и последующего добавления шаблона сертификата в центр сертификации.

System_CAPS_noteПримечание

В этой процедуре используется шаблон сертификата, отличный от шаблона сертификата, который вы могли создать для клиентских компьютеров Windows или точек распространения.

Созданием нового шаблона сертификата для данного сертификата вы можете ограничить запрос сертификата для авторизованных пользователей.

Создание и выдача шаблона сертификата для клиентов Mac в центре сертификации

  1. Создайте группу безопасности, содержащую учетные записи пользователей для административных пользователей, которые будут регистрировать сертификат на компьютере Mac с помощью Configuration Manager.

  2. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  3. В области результатов щелкните правой кнопкой мыши запись, в которой в столбце Отображаемое имя шаблона указано Проверенный сеанс, и выберите пункт Скопировать шаблон.

  4. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.

    System_CAPS_importantВажно

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона для создания сертификата Mac, например Сертификат клиента Mac ConfigMgr.

  6. Перейдите на вкладку Имя субъекта, убедитесь, что установлен флажок Строится на основе данных Active Directory, выберите Общее имя для параметра Формат имени субъекта: и снимите флажок Имя участника-пользователя (UPN) для параметра Включить эту информацию в альтернативное имя субъекта.

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  8. Нажмите кнопку Добавить, укажите группу безопасности, созданную на первом шаге, а затем нажмите кнопку ОК.

  9. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать.

  10. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  12. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный новый шаблон Сертификат клиента Mac ConfigMgr и нажмите кнопку ОК.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.

Шаблон сертификата клиента Mac готов к применению во время настройки параметров клиента для регистрации.