Podrobný příklad nasazení certifikátů PKI pro nástroj Configuration Manager: certifikační autorita systému Windows Server 2008

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Tento podrobný příklad nasazení využívajícího certifikační autoritu (CA) Windows Serveru 2008, obsahuje postupy, které vás provedou celým procesem vytvoření a nasazení certifikátů PKI (Public Key Infratsructure) používaných nástrojem Microsoft System Center 2012 Configuration Manager. Tyto postupy používají certifikační autoritu organizace (CA) rozlehlé sítě a šablony certifikátů. Tyto kroky jsou vhodné pouze pro testovací síť, jako testování konceptu.

Vzhledem k tomu, že pro požadované certifikáty není k dispozici pouze jediná metoda nasazení, musíte požadované procedury a osvědčené postupy pro nasazení požadovaných certifikátů do provozního prostředí konzultovat s dokumentací pro nasazení konkrétní infrastruktury veřejných klíčů (PKI). Další informace o požadavcích na certifikáty naleznete v tématu Požadavky na certifikát PKI pro nástroj Configuration Manager.

Tip

Pokyny v tomto tématu lze snadno přizpůsobit i pro jiné operační systémy než systémy dokumentované v části Požadavky na testovací síť. Pokud však spustíte vydávající CA v systému Windows Server 2012, nezobrazí se vám výzva ohledně verze šablony certifikátu. Místo toho tuto verzi uveďte na kartě Kompatibilita s vlastnostmi šablony, a to následovně:

  • Certifikační autorita: Windows Server 2003

  • Příjemce certifikátu: Windows XP / Server 2003

V této části

Příklad podrobných pokynů pro vytvoření a nasazení následujících certifikátů, které lze použít s System Center 2012 Configuration Manager, naleznete v následujících částech:

Požadavky na testovací síť

Přehled certifikátů

Nasazení certifikátu webového serveru pro systémy lokality, na nichž je spuštěna služba IIS

Nasazení certifikátu služby pro cloudové distribuční body

Nasazení klientského certifikátu na počítače se systémem Windows

Nasazení klientského certifikátu pro distribuční body

Nasazení certifikátu zápisu pro mobilní zařízení

Nasazení certifikátů pro AMT

Nasazení certifikátu klienta pro počítače Mac

Požadavky na testovací síť

Z podrobných pokynů vyplývají následující požadavky:

  • V testovací síti je spuštěna služba Active Directory Domain Services a systém Windows Server 2008 a celá síť je nainstalována jako jediná doména, jediná doménová struktura.

  • Máte členský server, na němž je spuštěn operační systém Windows Server 2008 Enterprise Edition s nainstalovanou rolí služby Active Directory Certificate Services a který je nakonfigurován jako kořenová CA organizace.

  • Máte jeden počítač s nainstalovaným operačním systémem Windows Server 2008 (Standard Edition nebo Enterprise Edition), který je vybraný jako členský server, na němž je instalovaná internetová informační služba (IIS). Tento počítač bude Configuration Manager systémovým serverem lokality, který nakonfigurujete pomocí intranetového plně kvalifikovaného názvu domény (pro podporu připojení klientů k intranetu) a internetového plně kvalifikovaného názvu domény, jestliže musíte podporovat mobilní zařízení, která jsou zaregistrována pomocí nástroje Configuration Manager a klientů na internetu.

  • Máte jednoho klienta s operačním systémem Windows Vista s nainstalovanou nejnovější aktualizací Service Pack a tento počítač je nakonfigurovaný s názvem, který obsahuje znaky ASCII a je připojen k doméně. Tento počítač bude klientským počítačem nástroje Configuration Manager.

  • Můžete se přihlásit přes účet správce kořenové domény nebo přes účet správce podnikové domény a používat tento účet pro všechny postupy u tohoto příkladu nasazení.

Přehled certifikátů

V následující tabulce jsou uvedeny typy certifikátů PKI, které mohou být požadovány pro System Center 2012 Configuration Manager, včetně popisu, jak se používají.

Požadavek na certifikát

Popis certifikátu

Certifikát webového serveru pro systémy lokality, které spouštějí IIS

Tento certifikát se používá pro šifrování dat a pro ověření serveru vůči klientům. Musí být nainstalovaný externě z nástroje Configuration Manager do systémových serverů lokality, na nichž je spuštěna služba a které jsou konfigurované v nástroji Configuration Manager k používání protokolu HTTPS.

Pro System Center 2012 Configuration Manager SP1 a novější: Tento certifikát může být taky požadovaný v bodech správy, pokud přenos klientského oznámení spadne zpět na používání HTTPS.

Postup konfigurace a instalace tohoto certifikátu najedete v části Nasazení certifikátu webového serveru pro systémy lokality, na nichž je spuštěna služba IIS v tomto tématu.

Certifikát služby pro klienty pro připojení ke cloudovým distribučním bodům

Pro System Center 2012 Configuration Manager SP1 a novější:

Tento certifikát se používá pro šifrování dat a pro ověření služby cloudových distribučních bodů vůči klientům. Musí být vyžádaný, nainstalovaný a exportovaný z nástroje Configuration Manager, aby se mohl naimportovat, když vytvoříte cloudový distribuční bod.

Postup konfigurace a instalace tohoto certifikátu najdete v části Nasazení certifikátu služby pro cloudové distribuční body v tomto tématu.

Poznámka

Tento certifikát se používá současně s certifikátem správy služby Windows Azure. Další informace o certifikátu správy naleznete v částech Vytvoření certifikátu správy a Přidání certifikátu správy k odběru služby Windows Azure v části věnované platformě Windows Azure v knihovně MSDN.

Certifikát klienta pro počítače se systémem Windows

Tento certifikát se používá k ověření klientských počítačů nástroje Configuration Manager vůči systémům lokality, které jsou nakonfigurovány k používání protokolu HTTPS. Lze ho též používat pro body správy a body migrace stavu za účelem monitorování jejich provozního stavu, jsou-li nakonfigurovány pro používání HTTPS. Je třeba jej instalovat externě z nástroje Configuration Manager na počítačích.

Postup konfigurace a instalace tohoto certifikátu najdete v části Nasazení klientského certifikátu na počítače se systémem Windows v tomto tématu.

Certifikát klienta pro distribuční body

Tento certifikát má dva účely:

  • Tento certifikát se používá k ověření distribučního bodu vůči bodu správy s povoleným protokolem HTTPS předtím, než distribuční bod odešle stavové zprávy.

  • Jestliže se pro distribuční bod vybere možnost Povolení podpory PXE pro klienty, certifikát se odešle do počítačů, které se spouštějí pomocí technologie PXE, tak aby se v průběhu nasazování operačního systému mohly připojit k bodu správy s povoleným protokolem HTTPS.

Postup konfigurace a instalace tohoto certifikátu najdete v části Nasazení klientského certifikátu pro distribuční body v tomto tématu.

Certifikát zápisu pro mobilní zařízení

Tento certifikát se používá k ověření klientských mobilních zařízení nástroje Configuration Manager vůči systémům lokality, které jsou nakonfigurované k používání protokolu HTTPS. Musí být nainstalovaný jako součást registrace mobilního zařízení v nástroji Configuration Manager a vyberete konfigurovanou šablonu certifikátu jako nastavení klientského mobilního zařízení.

Postup konfigurace tohoto certifikátu najdete v části Nasazení certifikátu zápisu pro mobilní zařízení v tomto tématu.

Certifikáty pro technologii Intel AMT

Existují tři certifikáty, které se vztahují ke vzdálené správě počítačů s technologií Intel AMT: Zajišťovací certifikát AMT; certifikát webového serveru AMT a volitelně certifikát pro ověřování klientů pro pevné sítě s ověřováním 802.1X nebo pro bezdrátové sítě.

Zajišťovací certifikát AMT musí být nainstalovaný externě z nástroje Configuration Manager na počítači vzdáleného servisního bodu a potom musíte vybrat nainstalovaný certifikát ve vlastnostech vzdáleného servisního bodu. Certifikát webového serveru AMT a certifikát pro ověřování klientů jsou instalovány v průběhu zajišťování a správy technologie AMT a je třeba ve vlastnostech komponent vzdálené správy vybrat nakonfigurované šablony certifikátu.

Postup konfigurace tohoto certifikátu těchto certifikátů najdete v části Nasazení certifikátů pro AMT v tomto tématu.

Certifikát klienta pro počítače Mac

Pro System Center 2012 Configuration Manager SP1 a novější:

Tento certifikát se používá k ověření počítačů Mac nástroje Configuration Manager na bodech správy a distribučních bodech, které jsou konfigurovány, aby podporovaly protokol HTTPS.

Tento certifikát si můžete vyžádat a stáhnout z počítače Mac, když používáte registraci nástroje Configuration Manager a vyberete konfigurovanou šablonu certifikátu jako nastavení klientského mobilního zařízení.

Postup konfigurace tohoto certifikátu najdete v části Nasazení certifikátu klienta pro počítače Mac v tomto tématu.

Nasazení certifikátu webového serveru pro systémy lokality, na nichž je spuštěna služba IIS

Nasazení tohoto certifikátu zahrnuje následující postupy:

  • Vytvoření a vydání šablony certifikátu webového serveru pro certifikační autoritu

  • Vyžádání certifikátu webového serveru

  • Konfigurace IIS pro používání certifikátu webového serveru

Vytvoření a vydání šablony certifikátu webového serveru pro certifikační autoritu

Tato procedura vytváří šablonu certifikátu pro systémy lokality Configuration Manager a přidává ji k certifikační autoritě.

Pro vytvoření a vydání šablony certifikátu webového serveru pro certifikační autoritu

  1. Vytvořte skupinu zabezpečení s názvem Servery ConfigMgr IIS, která obsahuje členské servery pro instalování systémů lokalit System Center 2012 Configuration Manager, které spouštějí IIS.

  2. Na členském serveru, na němž je nainstalována Certifikační služba, v konzole Certifikační autorita klikněte pravým tlačítkem na tlačítko Šablony certifikátů a vybráním možnosti Spravovat otevřete konzolu Šablony certifikátů.

  3. Na panelu výsledků klikněte pravým tlačítkem na položku, která zobrazuje Webový server ve sloupci Zobrazovaný název šablony a klikněte na možnost Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, čímž vygenerujete webové certifikáty, které se budou používat v systémech lokality nástroje Configuration Manager, jako např. Certifikát webového serveru ConfigMgr.

  6. Klikněte na kartu Název subjektu a zkontrolujte, zda je vybráno Dodán v žádosti.

  7. Klikněte na kartu Zabezpečení a odeberte oprávnění Zapsat ze skupin zabezpečení Domain Admins a Enterprise Admins.

  8. Klikněte Přidat, do textového pole zadejte Servery ConfigMgr IIS a pak klikněte na tlačítko OK.

  9. Zvolte oprávnění Zapsat pro tuto skupinu a ponechejte oprávnění Číst.

  10. Klikněte na tlačítko OK a zavřete konzolu Šablony certifikátů.

  11. V konzole Certifikační úřad klikněte pravým tlačítkem na možnost Šablony certifikátů, levým tlačítkem na možnost Nový a zvolte možnost Vystavovaná šablona certifikátu.

  12. V dialogovém okně Povolit šablony certifikátů, vyberte novou šablonu, kterou jste právě vytvořili, Certifikát webového serveru ConfigMgr, a pak klikněte na tlačítko OK.

  13. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační úřad.

Vyžádání certifikátu webového serveru

Tato procedura vám umožňuje zadat intranetový a internetový plně kvalifikovaný název domény, které budou nakonfigurovány ve vlastnostech systémového serveru lokality, a pak se na členský server, který spouští IIS, nainstaluje certifikát webového serveru.

Pro vyžádání certifikátu webového serveru

  1. Restartujte členský server, který spouští IIS, čímž zajistíte, že počítač získá přístup k šabloně certifikátu, již jste vytvořili, a to pomocí oprávnění Číst a Zapsat, která jste nakonfigurovali.

  2. Kliknete na možnost Spustit, zvolte položku Spustit a zadejte název souboru mmc.exe. V prázdné konzole klikněte na položku Soubor a vyberte možnost Přidat nebo odebrat modul snap-in.

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte ze seznamu Moduly snap-in k dispozici položku Certifikáty a klikněte na tlačítko Přidat.

  4. V dialogovém okně Snap-in Certifikáty zvolte položku Účet počítače a klikněte na tlačítko Další.

  5. V dialogovém okně Vybrat počítač ověřte výběr Místní počítač: (počítač, na kterém je spuštěna tato konzola) a poté klikněte na Dokončit.

  6. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.

  7. V konzole rozbalte možnost Certifikáty (místní) a klikněte na možnost Osobní.

  8. Pravým tlačítkem klikněte na položku Certifikáty, vyberte možnost Všechny úlohy a klikněte na možnost Požádat o nový certifikát.

  9. Na stránce Než začnete klikněte na tlačítko Další.

  10. Pokud se zobrazí stránka Vybrat zásady zápisu certifikátů, klikněte na tlačítko Další.

  11. Na stránce Vyžádat certifikáty ze seznamu zobrazených certifikátů identifikujte Certifikát webového serveru ConfigMgr a pak klikněte na K zápisu tohoto certifikátu jsou požadovány další informace. Klepnutím sem můžete nakonfigurovat nastavení.

  12. V dialogovém okně Vlastnosti certifikátu na kartě Subjekt neprovádějte u položky Název subjektu žádné změny. To znamená, že pole Hodnota pro oddíl Název subjektu zůstává prázdné. Místo toho v oddíle Alternativní název klikněte na rozevírací seznam Typ a pak vyberte DNS.

  13. V poli Hodnota zadejte plně kvalifikovaný název domény, který specifikujete ve vlastnostech systému lokalit Configuration Manager, a pak klikněte na tlačítko OK, čímž zavřete dialogové okno Vlastnosti certifikátu.

    Příklady:

    • Jestliže systém lokalit bude akceptovat pouze připojení klientů z intranetu a intranetový plně kvalifikovaný název domény systémového serveru lokality je server1.internal.contoso.com: Zadejte server1.internal.contoso.com a pak klikněte na tlačítko Přidat.

    • Jestliže systém lokalit bude akceptovat připojení klientů z intranetu a z internetu a intranetový plně kvalifikovaný název domény systémového serveru lokality je server1.internal.contoso.com a internetový plně kvalifikovaný název domény systémového serveru lokality je server.contoso.com:

      1. Zadejte server1.internal.contoso.com a pak klikněte na tlačítko Přidat.

      2. Zadejte server.contoso.com a pak klikněte na tlačítko Přidat.

      Poznámka

      Nezáleží na tom, v jakém pořadí hodnoty plně kvalifikovaný název domény pro nástroj Configuration Manager zadáte. Zkontrolujte však všechna zařízení, která certifikát používají, jako např. mobilní zařízení a proxy webové servery, dokáží používat certifikát SAN a vícenásobné hodnoty v SAN. Jestliže zařízení mají pro hodnoty SAN v certifikátech omezenou podporu, možná budete muset změnit pořadí hodnot plně kvalifikovaného názvu domény nebo místo toho používat Hodnotu subjektu.

  14. Na stránce Vyžádat certifikáty ze seznamu zobrazených certifikátů vyberte Certifikát webového serveru ConfigMgr a pak klikněte na tlačítko Zapsat.

  15. Na stránce Výsledky instalace certifikátu počkejte, než se nainstaluje certifikát, a poté klikněte na tlačítko Dokončit.

  16. Zavřete stránku Certifikáty (místní).

Konfigurace IIS pro používání certifikátu webového serveru

Tato procedura váže instalovaný certifikát na IIS Výchozí web.

Pro konfiguraci IIS a použití certifikátu webového serveru

  1. Na členském serveru, který má nainstalovanou službu IIS, klikněte na tlačítko Start, klikněte na Programy, klikněte na Nástroje pro správu a pak klikněte na Správce Internetové informační služby (IIS).

  2. Rozbalte Lokality, klikněte pravým tlačítkem na Výchozí web a pak vyberte Upravit vazby.

  3. Klikněte na položku https a pak klikněte na Upravit.

  4. V dialogovém okně Upravit vazbu webu vyberte certifikát, který jste požadovali, a to pomocí šablony Certifikáty webového serveru ConfigMgr, a pak klikněte na tlačítko OK.

    Poznámka

    Pokud si nejste jisti, který certifikát je správný, vyberte jeden a klikněte na Zobrazit. To vám umožní porovnat podrobnosti vybraného certifikátu s certifikáty, které jsou zobrazeny s modulem snap-in Certifikáty. Například modul snap-in Certifikáty zobrazí šablonu certifikátu, která byla použita pro vyžádání certifikátu. Pak můžete porovnat kryptografický otisk certifikátu, který byl vyžádán pomocí šablony Certifikáty webového serveru ConfigMgr s kryptografickým otiskem certifikátu aktuálně vybraného certifikátu v dialogovém okně Upravit vazbu webu.

  5. V dialogovém okně Upravit vazbu webu klikněte na tlačítko OK a pak klikněte na Zavřít.

  6. Zavřete Správce Internetové informační služby (IIS).

Členský server je nyní opatřen certifikátem webového serveru Configuration Manager.

System_CAPS_importantDůležité

Při instalaci systému lokality nástroje Configuration Manager na tento počítač se ujistěte, že jste zadali stejné plně kvalifikované názvy domén do vlastností systému lokality jako při vyžádání tohoto certifikátu.

Nasazení certifikátu služby pro cloudové distribuční body

Poznámka

Tento certifikát služby pro cloudové distribuční body se vztahuje pouze na Configuration Manager SP1 a novější.

Nasazení tohoto certifikátu zahrnuje následující postupy:

  • Vytvoření a vystavení vlastní šablony certifikátu webového serveru v konzole Certifikační úřad 

  • Vyžádání vlastního certifikátu webového serveru

  • Export vlastního certifikátu webového serveru pro cloudové distribuční body

Vytvoření a vystavení vlastní šablony certifikátu webového serveru v konzole Certifikační úřad

Tento postup vytváří vlastní šablonu certifikátu, která je založena na šabloně certifikátu webového serveru. Certifikát je pro cloudové distribuční body nástroje Configuration Manager a soukromý klíč musí být exportovatelný. Po vytvoření je šablona certifikátu přidána do konzoly Certifikační úřad.

Poznámka

Tento postup používá šablonu certifikátu odlišnou od šablony certifikátu webového serveru, kterou jste vytvořili pro systémy lokalit, které spouští službu IIS, protože i když obě šablony vyžadují možnost ověření serveru, certifikát pro cloudové distribuční body vyžaduje, abyste zadali vlastní definovanou hodnotu pro Název předmětu a dále vyžaduje export soukromého klíče. Z důvodu zabezpečení neprovádějte konfiguraci šablon certifikátu umožňující export soukromého klíče, pokud není tato konfigurace požadována. Cloudový distribuční bod požaduje tuto konfiguraci, protože musíte importovat certifikát jako soubor a nemůžete jej zvolit z úložiště certifikátů.

Vytvořením nové šablony certifikátu pro tento certifikát můžete omezit které počítače budou vyžadovat certifikát, který povoluje export soukromého klíče. Ve výrobní síti můžete také zvážit přidání následujících úprav tohoto certifikátu:

  • Požadavek schválení instalace certifikátu z důvodu dalšího zabezpečení.

  • Prodloužení doby platnosti certifikátu. Protože musíte exportovat a importovat certifikát pokaždé, když jeho platnost vyprší, prodloužení doby platnosti sníží počet nutných opakování tohoto postupu. Nicméně když prodloužíte dobu platnosti, snížíte zabezpečení certifikátu, protože certifikát poskytuje více času počítačovým pirátům k rozluštění soukromého klíče a ke krádeži certifikátu.

  • Vlastní hodnota alternativního názvu předmětu Subject Alternative Name (SAN) pomáhá rozpoznat tento certifikát od standardních certifikátů webových serverů, které používáte se službou IIS.

Vytvoření a vystavení vlastní šablony certifikátu webového serveru v konzole Certifikační úřad

  1. Vytvořte skupinu zabezpečení nazvanou ConfigMgr Site Servers, která bude obsahovat členské servery pro instalaci serverů primární lokality nástroje Configuration Manager, které budou spravovat cloudové distribuční body.

  2. Na členském serveru, na němž je spuštěna konzola Certifikační úřad, klikněte pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu Šablony certifikátů.

  3. Na panelu výsledků klikněte pravým tlačítkem na položku, která zobrazuje Webový server ve sloupci Zobrazovaný název šablony a klikněte na možnost Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony pro vytvoření certifikátu webového serveru pro cloudové distribuční body, například Certifikát cloudových distribučních bodů nástroje ConfigMgr.

  6. Klikněte na kartu Vyřízení žádosti a vyberte Umožnit export soukromého klíče.

  7. Klikněte na kartu Zabezpečení a odeberte oprávnění Zapsat ze skupin zabezpečení Enterprise Admins.

  8. Klikněte na tlačítko Přidat, zadejte ConfigMgr Site Servers do textového pole a pak klikněte na tlačítko OK.

  9. Zvolte oprávnění Zapsat pro tuto skupinu a ponechejte oprávnění Číst.

  10. Klikněte na tlačítko OK a zavřete Konzolu šablon certifikátů.

  11. V konzole Certifikační úřad klikněte pravým tlačítkem na možnost Šablony certifikátů, levým tlačítkem na možnost Nový a zvolte možnost Vystavovaná šablona certifikátu.

  12. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Certifikát cloudových distribučních bodů nástroje ConfigMgr, a pak klikněte na tlačítko OK.

  13. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační úřad.

Vyžádání vlastního certifikátu webového serveru

Tento postup vyžádá a pak nainstaluje vlastní certifikát webového serveru na členský server, který spouští server lokality.

Vyžádání vlastního certifikátu webového serveru

  1. Restartujte členský server, když vytvoříte a nakonfigurujete skupinu zabezpečení ConfigMgr Site Servers, abyste zajistili, že počítač bude mít přístup k šabloně certifikátu, kterou jste vytvořili pomocí oprávnění Číst a Zapsat, které jste nakonfigurovali.

  2. Kliknete na možnost Spustit, zvolte položku Spustit a zadejte název souboru mmc.exe. V prázdné konzole klikněte na položku Soubor a vyberte možnost Přidat nebo odebrat modul snap-in.

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte ze seznamu Moduly snap-in k dispozici položku Certifikáty a klikněte na tlačítko Přidat.

  4. V dialogovém okně Snap-in Certifikáty zvolte položku Účet počítače a klikněte na tlačítko Další.

  5. V dialogovém okně Vybrat počítač ověřte výběr Místní počítač: (počítač, na kterém je spuštěna tato konzola) a poté klikněte na Dokončit.

  6. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.

  7. V konzole rozbalte možnost Certifikáty (místní) a klikněte na možnost Osobní.

  8. Pravým tlačítkem klikněte na položku Certifikáty, vyberte možnost Všechny úlohy a klikněte na možnost Požádat o nový certifikát.

  9. Na stránce Než začnete klikněte na tlačítko Další.

  10. Pokud se zobrazí stránka Vybrat zásady zápisu certifikátů, klikněte na tlačítko Další.

  11. Na stránce Vyžádat certifikáty vyhledejte Certifikát cloudových distribučních bodů nástroje ConfigMgr v seznamu zobrazených certifikátů a pak klikněte na položku K zápisu tohoto certifikátu jsou požadovány další informace. Klepnutím sem můžete nakonfigurovat nastavení.

  12. V dialogovém okně Vlastnosti certifikátu na kartě Předmět pro položku Název předmětu zvolte Běžný název jako Typ.

  13. V poli Hodnota zadejte vaši volbu názvu služby a název vaší domény ve formátu FQDN. Například: clouddp1.contoso.com.

    Poznámka

    Nezáleží na tom, jaký název služby zadáte, pokud bude jednoznačný ve vašem prostoru názvů. Použijte službu DNS k vytvoření zástupce (záznam CNAME) pro mapování názvu této služby pro automaticky vytvářený identifikátor (GUID) a IP adresu z platformy Windows Azure.

  14. Klikněte na tlačítko Přidat a kliknutím na tlačítko OK zavřete dialogové okno Vlastnosti certifikátu.

  15. Na stránce Vyžádat certifikáty zvolte ze seznamu zobrazených certifikátů Certifikát cloudových distribučních bodů nástroje ConfigMgr a pak klikněte na položku Zapsat.

  16. Na stránce Výsledky instalace certifikátu počkejte, než se nainstaluje certifikát, a poté klikněte na tlačítko Dokončit.

  17. Zavřete stránku Certifikáty (místní).

Export vlastního certifikátu webového serveru pro cloudové distribuční body

Tento postup exportuje vlastní certifikát webového serveru do souboru, takže může být importován, když vytvoříte cloudový distribuční bod.

Export vlastního certifikátu webového serveru pro cloudové distribuční body

  1. V konzole Certifikáty (místní počítač) klikněte pravým tlačítkem na certifikát, který jste právě nainstalovali, zvolte možnost Všechny úlohy a pak klikněte na tlačítko Export.

  2. V nástroji Průvodce exportem certifikací klikněte na tlačítko Další.

  3. Na stránce Exportovat soukromý klíč vyberte možnost Ano, exportovat soukromý klíč a klikněte na tlačítko Další.

    Poznámka

    Pokud tato možnost není k dispozici, certifikát byl vytvořen bez možnosti exportu soukromého klíče. V tomto případě nemůžete exportovat certifikát v požadovaném formátu. Musíte znovu nakonfigurovat šablonu certifikátu, aby bylo možno exportovat soukromý klíč, a pak znovu požádat o certifikát.

  4. Na stránce Formát souboru pro export musí být vybrána možnost Formát Personal Information Exchange – PKCS č. 12 (PFX).

  5. Na stránce Heslo zadejte silné heslo, které bude chránit exportovaný certifikát se svým soukromým klíčem, a pak klikněte na tlačítko Další.

  6. Na stránce Soubor k exportu zadejte název souboru, který chcete exportovat, a pak klikněte na tlačítko Další.

  7. Zavřete průvodce kliknutím na tlačítko Dokončit na stránce Průvodce exportem certifikátu a pak klikněte na tlačítko OK v potvrzovacím dialogovém okně.

  8. Zavřete stránku Certifikáty (místní).

  9. Bezpečně soubor uložte a zajistěte, abyste k němu měli přístup z konzoly Configuration Manager.

Certifikát je nyní připraven k importu, když vytvoříte cloudový distribuční bod.

Nasazení klientského certifikátu na počítače se systémem Windows

Nasazení tohoto certifikátu zahrnuje následující postupy:

  • Vytvoření a vystavení šablony ověřovacího certifikátu pracovní stanice v konzole Certifikační úřad

  • Konfigurování automatického zápisu šablony ověření pracovní stanice pomocí zásad skupiny

  • Automatický zápis ověřovacího certifikátu pracovní stanice a ověření jeho instalace na počítačích

Vytvoření a vystavení šablony ověřovacího certifikátu pracovní stanice v konzole Certifikační úřad

Tento postup vytvoří šablonu certifikátu pro klientské počítače nástroje System Center 2012 Configuration Manager a přidá ji do konzoly Certifikační úřad.

Vytvoření a vystavení šablony ověřovacího certifikátu pracovní stanice v konzole Certifikační úřad

  1. Na členském serveru, na němž je spuštěna konzola Certifikační úřad, klikněte pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu Šablony certifikátů.

  2. Na panelu výsledků klikněte pravým tlačítkem na položku, která zobrazuje Ověřování pracovní stanice ve sloupci Zobrazovaný název šablony a klikněte na možnost Duplikovat šablonu.

  3. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  4. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony pro vytvoření klientských certifikátů, které budou používány na klientských počítačích s nástrojem Configuration Manager, například Klientský certifikát nástroje ConfigMgr.

  5. Klikněte na kartu Zabezpečení, zvolte skupinu Počítače domény a zvolte další oprávnění Číst a Automaticky zapsat. Nerušte oprávnění Zapsat.

  6. Klikněte na tlačítko OK a zavřete Konzolu šablon certifikátů.

  7. V konzole Certifikační úřad klikněte pravým tlačítkem na možnost Šablony certifikátů, levým tlačítkem na možnost Nový a zvolte možnost Vystavovaná šablona certifikátu.

  8. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Klientský certifikát nástroje ConfigMgr, a pak klikněte na tlačítko OK.

  9. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační úřad.

Konfigurování automatického zápisu šablony ověření pracovní stanice pomocí zásad skupiny

Tento postup nakonfiguruje zásady skupiny pro automatický zápis klientského certifikátu na počítače.

Nakonfigurování automatického zápisu šablony ověření pracovní stanice pomocí zásad skupiny

  1. V řadiči domény klikněte na tlačítko Start, klikněte na položku Nástroje správy a pak klikněte na položku Správa zásad skupiny.

  2. Přejděte k vaší doméně, pravým tlačítkem klikněte na doménu a zvolte možnost Vytvořit objekt zásad skupiny GPO v této doméně a připojit jej zde.

    Poznámka

    Tento krok používá nejlepší postup vytvoření nových zásad skupiny pro vlastní nastavení místo úpravy výchozích zásad domény, které jsou nainstalovány se službou Active Directory Domain Services. Přidělením těchto zásad skupiny na úrovni domény je aplikujete na všechny počítače v doméně. Nicméně ve výrobním prostředí můžete omezit automatický zápis přidělením zásad skupiny na úrovni organizační jednotky, takže zápis bude prováděn pouze na vybraných počítačích nebo můžete použít filtr zásad skupiny domény se skupinou zabezpečení tak, aby zápis platil pouze pro počítače ve skupině. Pokud automatický zápis omezíte, musíte zahrnout server, který je nakonfigurován jako bod správy.

  3. V dialogovém okně Nový GPO zadejte název nových zásad skupiny, například Automatický zápis certifikátů a klikněte na tlačítko OK.

  4. Na panelu výsledků na kartě Připojené objekty zásad skupiny klikněte pravým tlačítkem na nové zásady skupiny a pak klikněte na tlačítko Upravit.

  5. V nástroji Editor správy zásad skupiny rozbalte položku Zásady v možnosti Konfigurace počítače a pak přejděte k položce Nastavení systému Windows / Nastavení zabezpečení / Zásady veřejného klíče.

  6. Pravým tlačítkem klikněte na typ objektu nazvaný Klient služby Certificate Services – automatický zápis a pak klikněte na položku Vlastnosti.

  7. Z rozbalovacího seznamu Model konfigurace zvolte položku Povoleno, zvolte možnost Obnovit vypršelé certifikáty, aktualizovat nevyřízené certifikáty a odebrat zrušené certifikáty, zvolte možnost Aktualizovat certifikáty, které používají šablony certifikátů a pak klikněte na tlačítko OK.

  8. Zavřete okno Správa zásad skupiny.

Automatický zápis ověřovacího certifikátu pracovní stanice a ověření jeho instalace na počítačích

Tento postup nainstaluje klientský certifikát na počítače a ověří instalaci

Automatický zápis ověřovacího certifikátu pracovní stanice a ověření jeho instalace na klientském počítači

  1. Restartujte počítač pracovní stanice a před přihlášením počkejte několik minut.

    Poznámka

    Restartování počítače je nejspolehlivější způsob zajištění úspěšného automatického zápisu certifikátu.

  2. Přihlaste se pomocí účtu, který má oprávnění správce.

  3. Do vyhledávacího pole zadejte mmc.exe. a pak stiskněte klávesu Enter.

  4. V prázdné konzole správy klikněte na položku Soubor a pak klikněte na možnost Přidat/odebrat modul snap-in.

  5. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte ze seznamu Moduly snap-in k dispozici položku Certifikáty a klikněte na tlačítko Přidat.

  6. V dialogovém okně Snap-in Certifikáty zvolte položku Účet počítače a klikněte na tlačítko Další.

  7. V dialogovém okně Vybrat počítač ověřte výběr Místní počítač: (počítač, na kterém je spuštěna tato konzola) a poté klikněte na Dokončit.

  8. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.

  9. V konzole rozbalte možnost Certifikáty (místní počítač), rozbalte seznam Osobní a pak klikněte na položku Certifikáty.

  10. Na panelu výsledků ověřte, že je certifikát zobrazen, že má zobrazeno Ověření klienta ve sloupci Určený účel a že Klientský certifikát nástroje ConfigMgr je zobrazen ve sloupci Šablona certifikátu.

  11. Zavřete stránku Certifikáty (místní).

  12. Opakováním kroků 1 až 11 pro členský server ověřte, že server, který byl nakonfigurován jako bod správy, má také klientský certifikát.

Počítači je nyní přidělen klientský certifikát nástroje Configuration Manager.

Nasazení klientského certifikátu pro distribuční body

Poznámka

Tento certifikát může být použit také pro obrazy médií, které nepoužívají PXE bootování, protože požadavky na certifikát jsou stejné.

Nasazení tohoto certifikátu zahrnuje následující postupy:

  • Vytvoření a vystavení vlastní šablony ověřovacího certifikátu pracovní stanice v konzole Certifikační úřad

  • Vyžádání vlastního ověřovacího certifikátu pracovní stanice

  • Export klientského certifikátu pro distribuční body

Vytvoření a vystavení vlastní šablony ověřovacího certifikátu pracovní stanice v konzole Certifikační úřad

Tento postup vytvoří vlastní šablonu certifikátu pro distribuční body nástroje Configuration Manager, která povoluje export soukromého klíče a přidá šablonu certifikátu do konzoly Certifikační úřad.

Poznámka

Tento postup používá šablonu certifikátu odlišnou od šablony certifikátu, kterou jste vytvořili pro klientské počítače, protože i když oba certifikáty vyžadují možnost ověření klienta, certifikát pro distribuční body vyžaduje export soukromého klíče. Z důvodu zabezpečení neprovádějte konfiguraci šablon certifikátu umožňující export soukromého klíče, pokud není tato konfigurace požadována. Distribuční bod požaduje tuto konfiguraci, protože musíte importovat certifikát jako soubor a nemůžete jej zvolit z úložiště certifikátů.

Vytvořením nové šablony certifikátu pro tento certifikát můžete omezit které počítače budou vyžadovat certifikát, který povoluje export soukromého klíče. V našem příkladu nasazení to bude skupina zabezpečení, kterou jste dříve vytvořili pro servery systému lokality nástroje Configuration Manager, které spouští službu IIS. Ve výrobní síti, která distribuuje role systému lokality se službou IIS, zvažte vytvoření nové skupiny zabezpečení pro servery, které spouští distribuční body, abyste mohli omezit certifikát pouze na tyto servery systému lokality. Pro tento certifikát také zvažte přidání následujících úprav:

  • Požadavek schválení instalace certifikátu z důvodu dalšího zabezpečení.

  • Prodloužení doby platnosti certifikátu. Protože musíte exportovat a importovat certifikát pokaždé, když jeho platnost vyprší, prodloužení doby platnosti sníží počet nutných opakování tohoto postupu. Nicméně když prodloužíte dobu platnosti, snížíte zabezpečení certifikátu, protože certifikát poskytuje více času počítačovým pirátům k rozluštění soukromého klíče a ke krádeži certifikátu.

  • Vlastní hodnota v poli certifikátu Předmět nebo vlastní hodnota alternativního názvu předmětu Subject Alternative Name (SAN) pomáhá rozpoznat tento certifikát od standardních klientských certifikátů. To může být zvláště užitečné, když budete používat stejný certifikát pro více distribučních bodů.

Vytvoření a vystavení vlastní šablony ověřovacího certifikátu pracovní stanice v konzole Certifikační úřad

  1. Na členském serveru, na němž je spuštěna konzola Certifikační úřad, klikněte pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu Šablony certifikátů.

  2. Na panelu výsledků klikněte pravým tlačítkem na položku, která zobrazuje Ověřování pracovní stanice ve sloupci Zobrazovaný název šablony a klikněte na možnost Duplikovat šablonu.

  3. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  4. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, čímž se vygeneruje certifikát pro ověřování klientů pro distribuční body, jako např. Certifikát klienta nástroje ConfigMgr pro distribuční body.

  5. Klikněte na kartu Vyřízení žádosti a vyberte Umožnit export soukromého klíče.

  6. Klikněte na kartu Zabezpečení a odeberte oprávnění Zapsat ze skupin zabezpečení Enterprise Admins.

  7. Klikněte Přidat, do textového pole zadejte Servery ConfigMgr IIS a pak klikněte na tlačítko OK.

  8. Zvolte oprávnění Zapsat pro tuto skupinu a ponechejte oprávnění Číst.

  9. Klikněte na tlačítko OK a zavřete Konzolu šablon certifikátů.

  10. V konzole Certifikační úřad klikněte pravým tlačítkem na možnost Šablony certifikátů, levým tlačítkem na možnost Nový a zvolte možnost Vystavovaná šablona certifikátu.

  11. V dialogovém okně Povolit šablony certifikátů, vyberte novou šablonu, kterou jste právě vytvořili, Certifikát klienta nástroje ConfigMgr pro distribuční body, a pak klikněte na tlačítko OK.

  12. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační úřad.

Vyžádání vlastního ověřovacího certifikátu pracovní stanice

Tato procedura vyžádá a pak instaluje vlastní certifikát klienta na členský server, který spouští IIS a který bude nakonfigurován jako distribuční bod.

Pro vyžádání vlastního certifikátu pro ověřování pracovních stanic

  1. Kliknete na možnost Spustit, zvolte položku Spustit a zadejte název souboru mmc.exe. V prázdné konzole klikněte na položku Soubor a vyberte možnost Přidat nebo odebrat modul snap-in.

  2. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte ze seznamu Moduly snap-in k dispozici položku Certifikáty a klikněte na tlačítko Přidat.

  3. V dialogovém okně Snap-in Certifikáty zvolte položku Účet počítače a klikněte na tlačítko Další.

  4. V dialogovém okně Vybrat počítač ověřte výběr Místní počítač: (počítač, na kterém je spuštěna tato konzola) a poté klikněte na Dokončit.

  5. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.

  6. V konzole rozbalte možnost Certifikáty (místní) a klikněte na možnost Osobní.

  7. Pravým tlačítkem klikněte na položku Certifikáty, vyberte možnost Všechny úlohy a klikněte na možnost Požádat o nový certifikát.

  8. Na stránce Než začnete klikněte na tlačítko Další.

  9. Pokud se zobrazí stránka Vybrat zásady zápisu certifikátů, klikněte na tlačítko Další.

  10. Na stránce Vyžádat certifikáty ze seznamu zobrazených certifikátů vyberte Certifikát klienta nástroje ConfigMgr pro distribuční body a pak klikněte na tlačítko Zapsat.

  11. Na stránce Výsledky instalace certifikátu počkejte, než se nainstaluje certifikát, a poté klikněte na tlačítko Dokončit.

  12. V podokně výsledků potvrďte, že se zobrazil certifikát, u kterého se ve sloupci Zamýšlený účel zobrazilo Ověření klienta a že ve sloupci Šablona certifikátu zobrazil Certifikát klienta nástroje ConfigMgr pro distribuční body.

  13. Nezavírejte stránku Certifikáty (místní).

Export klientského certifikátu pro distribuční body

Tato procedura exportuje vlastní certifikát pro ověřování pracovních stanic do souboru, tak aby mohl být importován do vlastností distribučního bodu.

Pro exportování certifikátu klienta pro distribuční body

  1. V konzole Certifikáty (místní počítač) klikněte pravým tlačítkem na certifikát, který jste právě nainstalovali, zvolte možnost Všechny úlohy a pak klikněte na tlačítko Export.

  2. V nástroji Průvodce exportem certifikací klikněte na tlačítko Další.

  3. Na stránce Exportovat soukromý klíč vyberte možnost Ano, exportovat soukromý klíč a klikněte na tlačítko Další.

    Poznámka

    Pokud tato možnost není k dispozici, certifikát byl vytvořen bez možnosti exportu soukromého klíče. V tomto případě nemůžete exportovat certifikát v požadovaném formátu. Musíte znovu nakonfigurovat šablonu certifikátu, aby bylo možno exportovat soukromý klíč, a pak znovu požádat o certifikát.

  4. Na stránce Formát souboru pro export musí být vybrána možnost Formát Personal Information Exchange – PKCS č. 12 (PFX).

  5. Na stránce Heslo zadejte silné heslo, které bude chránit exportovaný certifikát se svým soukromým klíčem, a pak klikněte na tlačítko Další.

  6. Na stránce Soubor k exportu zadejte název souboru, který chcete exportovat, a pak klikněte na tlačítko Další.

  7. Zavřete průvodce kliknutím na tlačítko Dokončit na stránce Průvodce exportem certifikátu a pak klikněte na tlačítko OK v potvrzovacím dialogovém okně.

  8. Zavřete stránku Certifikáty (místní).

  9. Bezpečně soubor uložte a zajistěte, abyste k němu měli přístup z konzoly Configuration Manager.

Certifikát je nyní připraven, aby při konfigurování distribučního bodu mohl být importován.

Tip

Při konfigurování bitových kopií médií pro nasazení operačního systému, který nepoužívá spouštění pomocí technologie PXE, můžete používat soubor se stejným certifikátem, a pořadí úloh pro instalaci obrázku musí být propojeno s bodem správy, který vyžaduje připojení od klientů pomocí protokolu HTTPS.

Nasazení certifikátu zápisu pro mobilní zařízení

Nasazení tohoto certifikátu vyžaduje jedinou proceduru pro vytvoření a vydání šablony certifikátu zápisu pro certifikační autoritu.

Vytvoření a vydání šablony certifikátu zápisu pro certifikační autoritu

Tato procedura vytváří šablonu certifikátu zápisu pro mobilní zařízení System Center 2012 Configuration Manager a přidává ji k certifikační autoritě.

Pro vytvoření a vydání šablony certifikátu zápisu pro certifikační autoritu

  1. Vytvořte skupinu zabezpečení obsahující uživatele, kteří budou do System Center 2012 Configuration Manager provádět zápis mobilní zařízení.

  2. Na členském serveru, na němž je nainstalována Certifikační služba, klikněte v konzole Certifikační úřad pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu pro správu Šablon certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem na položku, která zobrazuje Ověřená relace ve sloupci Zobrazovaný název šablony a klikněte na položku Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, čímž vygenerujete certifikáty zápisu, které se budou používat pro mobilní zařízení spravovaná Configuration Manager, jako např. Certifikát zápisu mobilních zařízení nástroje ConfigMgr.

  6. Klikněte na kartu Název subjektu, zkontrolujte, zda je vybráno Sestaven z těchto informací v adresáři Active Directory, pro Formát názvu subjektu: vyberte Běžný název a v Zahrnout tyto informace v alternativním názvu subjektu zrušte Hlavní uživatelské jméno (UPN).

  7. Klikněte na kartu Zabezpečení, vyberte skupinu zabezpečení obsahující uživatele, kteří mají mobilní zařízení určená k registraci, a u Zapsat vyberte další oprávnění. Ponechejte Číst.

  8. Klikněte na tlačítko OK a zavřete Konzolu šablon certifikátů.

  9. V konzole Certifikační úřad klikněte pravým tlačítkem na možnost Šablony certifikátů, levým tlačítkem na možnost Nový a zvolte možnost Vystavovaná šablona certifikátu.

  10. V dialogovém okně Povolit šablony certifikátů, vyberte novou šablonu, kterou jste právě vytvořili, Certifikát zápisu mobilních zařízení nástroje ConfigMgr, a pak klikněte na tlačítko OK.

  11. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační autorita.

Šablona certifikátu zápisu mobilních zařízení je nyní připravena, aby mohla být vybrána při konfigurování profilu zápisu mobilního zařízení v nastavení klienta.

Nasazení certifikátů pro AMT

Nasazení tohoto certifikátu zahrnuje následující postupy:

  • Vytvoření, vydání a instalace zajišťovacího certifikátu AMT

  • Vytvoření a vydání Certifikátu webového serveru pro počítače na bázi AMT

  • Vytvoření a vydání Certifikátů pro ověřování klientů pro počítače na bázi 802.1X AMT

Vytvoření, vydání a instalace zajišťovacího certifikátu AMT

Zajišťovací certifikát vytvořte pomocí vaší interní certifikační autority při konfigurování počítačů na bázi AMT za použití kryptografického otisku certifikátu vaší interní kořenové certifikační autority. Pokud tento certifikát zde nemůžete použít a musíte použít externí certifikační autoritu, držte se pokynů společnosti, která vydává zajišťovací certifikát AMT, což často zahrnuje vyžádání certifikátu z veřejného webu společnosti. Můžete se též setkat s podrobnými pokyny pro vaši vybranou externí certifikační autoritu v Intel vPro Expert Center: Web Microsoft vPro Manageability (https://go.microsoft.com/fwlink/?LinkId=132001).

System_CAPS_importantDůležité

Externí certifikační autority nemusí podporovat zajišťovací identifikátor objektu Intel AMT. Pokud se jedná o tento případ, použijte alternativní metodu poskytnutí atributu OU Certifikátu nastavení klientů Intel(R).

Jestliže požádáte o zajišťovací certifikát AMT z externí certifikační autority, nainstalujte certifikát do osobního úložiště certifikátů počítače na členském serveru, který bude hostit vzdálené servisní místo.

Pro vyžádání a vydání zajišťovacího certifikátu AMT

  1. Vytvořte skupinu zabezpečení obsahující účty počítače systémových serverů lokality, které spouští vzdálené servisní místo.

  2. Na členském serveru, na němž je nainstalována Certifikační služba, klikněte v konzole Certifikační úřad pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu Šablony certifikátů

  3. Na panelu výsledků klikněte pravým tlačítkem na položku, která zobrazuje Webový server ve sloupci Zobrazovaný název šablony a klikněte na možnost Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony zajišťovacího certifikátu AMT, jako např. Zajišťování ConfigMgr AMT.

  6. Klikněte na kartu Název subjektu, vyberte Sestaven z těchto informací v adresáři Active Directory a pak vyberte Běžný název.

  7. Klikněte na kartu Rozšíření, zkontrolujte, zda je vybráno Zásady použití a pak klikněte na Upravit.

  8. V dialogovém okně Upravit rozšíření zásad použití klikněte na Přidat.

  9. V dialogovém okně Přidat zásadu použití klikněte na tlačítko Nová.

  10. V dialogovém okně Nová zásada použití v poli Název zadejte Zajišťování AMT a pak pro Identifikátor objektu zadejte následující číslo: 2.16.840.1.113741.1.2.3.

  11. Klikněte na tlačítko OK a pak klikněte na OK v dialogovém okně Přidat zásadu použití.

  12. Klikněte na tlačítko OK v dialogovém okně Upravit rozšíření zásad použití.

  13. V dialogovém okně Vlastnosti nové šablony byste teď měli vidět následující informace, seřazené jako popis Zásad použití: Ověření serveru a Zajišťování AMT.

  14. Klikněte na kartu Zabezpečení a odeberte oprávnění Zapsat ze skupin zabezpečení Domain Admins a Enterprise Admins.

  15. Klikněte na tlačítko Přidat, zadejte název skupiny zabezpečení obsahující účty pro roli systému lokality vzdáleného servisního bodu a pak klikněte na tlačítko OK.

  16. Zvolte oprávnění Zapsat pro tuto skupinu a ponechejte oprávnění Číst.

  17. Klikněte na tlačítko OK a zavřete konzolu Šablony certifikátů.

  18. V konzole Certifikační autorita klikněte pravým tlačítkem na položku Šablony certifikátů, levým tlačítkem na položku Nová a pak klikněte Vystavovaná šablona certifikátu.

  19. V dialogovém okně Povolit šablony certifikátů, vyberte novou šablonu, kterou jste právě vytvořili, Zajišťování ConfigMgr AMT, a pak klikněte na tlačítko OK.

    Poznámka

    Jestliže nemůžete dokončit kroky 18 nebo 19, zkontrolujte, zda používáte operační systém Windows Server 2008 Enterprise Edition. Přestože lze nakonfigurovat šablony u operačního systému Windows Server Standard Edition a Certifikační služby, nemůžete nasadit certifikáty za použití modifikovaných šablon certifikátů, pokud nepoužíváte Windows Server 2008 Enterprise Edition.

  20. Nezavírejte okno Certifikační autorita.

Zajišťovací certifikát AMT z vaší interní certifikační autority je nyní připraven k nainstalování na počítač vzdáleného servisního bodu.

Nainstalování zajišťovacího certifikátu AMT

  1. Restartujte členský server, který spouští IIS, čímž zajistíte, že získá přístup k šabloně certifikátu s nakonfigurovaným povolením.

  2. Kliknete na možnost Spustit, zvolte položku Spustit a zadejte název souboru mmc.exe. V prázdné konzole klikněte na položku Soubor a vyberte možnost Přidat nebo odebrat modul snap-in.

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte ze seznamu Moduly snap-in k dispozici položku Certifikáty a klikněte na tlačítko Přidat.

  4. V dialogovém okně Snap-in Certifikáty zvolte položku Účet počítače a klikněte na tlačítko Další.

  5. V dialogovém okně Vybrat počítač ověřte výběr Místní počítač: (počítač, na kterém je spuštěna tato konzola) a poté klikněte na Dokončit.

  6. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.

  7. V konzole rozbalte možnost Certifikáty (místní) a klikněte na možnost Osobní.

  8. Pravým tlačítkem klikněte na položku Certifikáty, vyberte možnost Všechny úlohy a klikněte na možnost Požádat o nový certifikát.

  9. Na stránce Než začnete klikněte na tlačítko Další.

  10. Pokud se zobrazí stránka Vybrat zásady zápisu certifikátů, klikněte na tlačítko Další.

  11. Na stránce Vyžádat certifikáty ze seznamu zobrazených certifikátů vyberte Zajišťování AMT a pak klikněte na tlačítko Zapsat.

  12. Na stránce Výsledky instalace certifikátu počkejte, než se nainstaluje certifikát, a poté klikněte na tlačítko Dokončit.

  13. Zavřete stránku Certifikáty (místní).

Zajišťovací certifikát AMT z vaší interní certifikační autority je nyní nainstalován a je připraven, aby mohl být vybrán ve vlastnostech vzdáleného servisního bodu.

Vytvoření a vydání Certifikátu webového serveru pro počítače na bázi AMT

Chcete-li připravit certifikáty webového serveru pro počítače na bázi AMT, použijte následující postup.

Pro vytvoření a vydání šablony certifikátu webového serveru

  1. Vytvořte prázdnou skupinu zabezpečení pro účty počítačů AMT, které během zajišťování AMT vytváří System Center 2012 Configuration Manager.

  2. Na členském serveru, na němž je nainstalována Certifikační služba, klikněte v konzole Certifikační úřad pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu Šablony certifikátů

  3. Na panelu výsledků klikněte pravým tlačítkem na položku, která zobrazuje Webový server ve sloupci Zobrazovaný název šablony a klikněte na možnost Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, čímž vygenerujete webové certifikáty, které se budou používat pro vzdálenou správu počítačů AMT, jako např. Certifikát webového serveru ConfigMgr AMT.

  6. Klikněte na kartu Název subjektu, klikněte na Sestaven z těchto informací v adresáři Active Directory, pro Formát názvu subjektu: vyberte Běžný název a pak v alternativním názvu subjektu zrušte Hlavní uživatelské jméno (UPN).

  7. Klikněte na kartu Zabezpečení a odeberte oprávnění Zapsat ze skupin zabezpečení Domain Admins a Enterprise Admins.

  8. Klikněte na tlačítko Přidat a zadejte název skupiny zabezpečení, kterou jste vytvořili pro zajišťování AMT. Poté klikněte na tlačítko OK.

  9. Pro tuto skupinu zabezpečení vyberte oprávnění Povolit: Číst a Zapsat.

  10. Klikněte na tlačítko OK a zavřete konzolu Šablony certifikátů.

  11. V konzole Certifikační autorita klikněte pravým tlačítkem na položku Šablony certifikátů, levým tlačítkem na položku Nová a pak klikněte Vystavovaná šablona certifikátu.

  12. V dialogovém okně Povolit šablony certifikátů, vyberte novou šablonu, kterou jste právě vytvořili, Certifikát webového serveru ConfigMgr AMT, a pak klikněte na tlačítko OK.

  13. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační úřad.

Šablona webového serveru AMT je nyní připravena zajišťovat certifikáty webového serveru pro počítače na bázi AMT. Vyberte tuto šablonu certifikátu ve vlastnostech komponent vzdálené správy.

Vytvoření a vydání Certifikátů pro ověřování klientů pro počítače na bázi 802.1X AMT

Následující postup použijte v případě, kdy počítače na bázi AMT budou používat certifikáty klientů pro pevné sítě s ověřováním 802.1X nebo pro bezdrátové sítě.

Pro vytvoření a vydání šablony certifikátu pro ověřování klientů certifikační autoritou

  1. Na členském serveru, na němž je nainstalována Certifikační služba, klikněte v konzole Certifikační úřad pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu Šablony certifikátů

  2. Na panelu výsledků klikněte pravým tlačítkem na položku, která zobrazuje Ověřování pracovní stanice ve sloupci Zobrazovaný název šablony a klikněte na možnost Duplikovat šablonu.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  3. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, čímž vygenerujete certifikáty klientů, které se budou používat pro vzdálenou správu počítačů AMT, jako např. Certifikát pro ověřování klientů ConfigMgr AMT 802.1X.

  4. Klikněte na kartu Název subjektu, klikněte na položku Sestaven z těchto informací v adresáři Active Directory a pro Formát názvu projektu vyberte Běžný název. V alternativním názvu subjektu zrušte Název DNS a pak vyberte Hlavní uživatelské jméno (UPN).

  5. Klikněte na kartu Zabezpečení a odeberte oprávnění Zapsat ze skupin zabezpečení Domain Admins a Enterprise Admins.

  6. Klikněte na tlačítko Přidat a zadejte název skupiny zabezpečení, kterou specifikujete ve vlastnostech komponent vzdálené správy a která má obsahovat účty počítačů na bázi AMT. Poté klikněte na tlačítko OK.

  7. Pro tuto skupinu zabezpečení vyberte oprávnění Povolit: Číst a Zapsat.

  8. Klikněte na tlačítko OK a zavřete konzolu pro správu Šablon certifikátů, certtmpl – [Certificate Templates].

  9. V konzole pro správu Certifikačních autorit klikněte pravým tlačítkem na položku Šablony certifikátů, levým tlačítkem na položku Nová a pak klikněte Vystavovaná šablona certifikátu.

  10. V dialogovém okně Povolit šablony certifikátů, vyberte novou šablonu, kterou jste právě vytvořili, Certifikát pro ověřování klientů ConfigMgr AMT 802.1X, a pak klikněte na tlačítko OK.

  11. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační úřad.

Šablona certifikátu pro ověřování klientů je nyní připravena vydávat certifikáty pro počítače na bázi AMT, které lze použít pro ověřování klientů dle protokolu 802.1X. Vyberte tuto šablonu certifikátu ve vlastnostech komponent vzdálené správy.

Nasazení certifikátu klienta pro počítače Mac

Poznámka

Certifikát klienta pro počítače Mac se vztahuje pouze na Configuration Manager SP1 a novější.

Nasazení tohoto certifikátu vyžaduje jedinou proceduru pro vytvoření a vydání šablony certifikátu zápisu pro certifikační autoritu.

Vytvoření a vydání šablony certifikátu pro klienty Mac pro certifikační autoritu

Tato procedura vytváří vlastní šablonu certifikátu pro počítače Mac Configuration Manager a přidává ji k certifikační autoritě.

Poznámka

Tento postup používá odlišnou šablonu certifikátu od šablony certifikátu, kterou jste mohli vytvořit pro klientské počítače se systémem Windows nebo pro distribuční body.

Vytvořením nové šablony certifikátu pro tento certifikát můžete omezit požadavek na certifikát na oprávněné uživatele.

Vytvoření a vystavení šablony klientského certifikátu systému Mac v konzole Certifikační úřad

  1. Vytvořte skupinu zabezpečení, která obsahuje účty pro správce, kteří budou zapisovat certifikát na počítači se systémem Mac pomocí nástroje Configuration Manager.

  2. Na členském serveru, na němž je spuštěna konzola Certifikační úřad, klikněte pravým tlačítkem na položku Šablony certifikátů a výběrem možnosti Spravovat otevřete konzolu Šablony certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem na položku, která zobrazuje Ověřená relace ve sloupci Zobrazovaný název šablony a klikněte na položku Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu ověřte výběr Windows 2003 Server, Enterprise Edition a poté klikněte OK.

    System_CAPS_importantDůležité

    Nesmí být zvolen operační systém Windows 2008 Server, Enterprise Edition.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony pro vytvoření klientského certifikátu systému Mac, například Klientský certifikát nástroje ConfigMgr.

  6. Klikněte na kartu Název subjektu, zkontrolujte, zda je vybráno Sestaven z těchto informací v adresáři Active Directory, pro Formát názvu subjektu: vyberte Běžný název a v Zahrnout tyto informace v alternativním názvu subjektu zrušte Hlavní uživatelské jméno (UPN).

  7. Klikněte na kartu Zabezpečení a odeberte oprávnění Zapsat ze skupin zabezpečení Domain Admins a Enterprise Admins.

  8. Klikněte na tlačítko Přidat, určete skupinu zabezpečení, kterou jste vytvořili v kroku jedna a pak klikněte na tlačítko OK.

  9. Zvolte oprávnění Zapsat pro tuto skupinu a ponechejte oprávnění Číst.

  10. Klikněte na tlačítko OK a zavřete Konzolu šablon certifikátů.

  11. V konzole Certifikační úřad klikněte pravým tlačítkem na možnost Šablony certifikátů, levým tlačítkem na možnost Nový a zvolte možnost Vystavovaná šablona certifikátu.

  12. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Klientský certifikát systému Mac nástroje ConfigMgr, a pak klikněte na tlačítko OK.

  13. Pokud nepotřebujete vytvářet a upravovat žádné další certifikáty, zavřete konzolu Certifikační úřad.

Šablona klientského certifikátu systému Mac je nyní připravena k volbě, když nakonfigurujete nastavení klienta pro zápis.

Viz také

Technické informace o správě lokalit v nástroji Configuration Manager