• Artikel

Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Deze stapsgewijze voorbeeldimplementatie, waarbij een Windows Server 2008-certificeringsinstantie wordt gebruikt, bevat procedures voor het uitvoeren van het proces voor het maken en implementeren van de PKI (public key infrastructure)-certificaten die Microsoft System Center 2012 Configuration Manager gebruikt. Bij deze procedures worden een bedrijfscertificeringsinstantie en certificaatsjablonen en gebruikt. De stappen zijn alleen geschikt voor een testnetwerk, voor het testen van het concept.

Er bestaan meerdere methoden voor het implementeren van de vereiste certificaten. Raadpleeg daarom uw specifieke PKI-implementatiedocumentatie voor de vereiste procedures en de aanbevolen methoden om de vereiste certificaten voor een productie-omgeving te implementeren. Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over certificaatvereisten.

Tip

De instructies in dit onderwerp kunnen eenvoudig worden aangepast voor andere besturingssystemen dan degene die zijn opgenomen in de rubriek Testnetwerkvereisten. Als u echter de verlenende certificeringsinstantie uitvoert op Windows Server 2012, wordt u niet gevraagd om de versie van het certificaatsjabloon. Geef dit dan als volgt op in het tabblad Compatibiliteit van de sjablooneigenschappen:

  • Certificeringsinstantie: Windows Server 2003

  • Ontvanger van certificaat: Windows XP / Server 2003

In deze sectie

De volgende rubrieken bevatten stapsgewijze voorbeeldinstructies om de volgende certificaten te maken en te implementeren die met System Center 2012 Configuration Manager kunnen worden gebruikt:

Testnetwerkvereisten

Overzicht van de certificaten

Het webservercertificaat voor sitesystemen implementeren die IIS uitvoeren

Het servicecertificaat voor cloud-gebaseerde distributiepunten implementeren

Het clientcertificaat voor Windows-computers implementeren

Het clientcertificaat voor distributiepunten implementeren

Het certificaat voor inschrijving voor mobiele apparaten implementeren

De certificaten voor AMT implementeren

Het clientcertificaat voor Mac-computers implementeren

Testnetwerkvereisten

De stapsgewijze instructies hebben de volgende vereisten:

  • Het testnetwerk voert Active Directory Domain Services uit met Windows Server 2008 en is geïnstalleerd als een enkel domein, enkel forest.

  • U hebt een lidserver die Windows Server 2008 Enterprise Edition uitvoert waarop de Active Directory Certificate Services-rol is geïnstalleerd en die is geconfigureerd als een bedrijfsbasiscertificeringsinstantie.

  • U hebt één computer met hierop Windows Server 2008 (Standard Edition of Enterprise Edition) geïnstalleerd, die wordt gebruikt als lidserver, en IIS (Internet Information Services). Deze computer wordt de systeemserver voor Configuration Manager die u gaat configureren met een intranet-FQDN (voor de ondersteuning van clientverbindingen op het intranet) en een internet-FQDN voor als u mobiele apparaten moet ondersteunen die zijn ingeschreven door Configuration Manager en clients op het internet.

  • U hebt een Windows Vista-client met het nieuwste service pack geïnstalleerd en deze computer is geconfigureerd met een computernaam die ASCII-tekens bevat en is gekoppeld aan het domein. Deze computer wordt een Configuration Manager-clientcomputer.

  • U kunt zich aanmelden met een beheerdersaccount voor hoofddomein of een beheerdersaccount voor ondernemingsdomein en dit account gebruiken voor alle procedures in deze voorbeeldimplementatie.

Overzicht van de certificaten

De volgende tabel bevat de soorten PKI-certificaten die vereist kunnen zijn voor System Center 2012 Configuration Manager en geeft een beschrijving van hoe ze worden gebruikt.

Certificaatvereiste

Certificaatbeschrijving

Webservercertificaat voor sitesystemen die IIS uitvoeren

Dit certificaat wordt gebruikt om gegevens te coderen en de server te verifiëren naar clients. Het moet extern worden geïnstalleerd van Configuration Manager op sitesysteemservers die IIS uitvoeren en die in Configuration Manager worden ingesteld voor gebruik van HTTPS.

Voor System Center 2012 Configuration Manager SP1 en later: Het certificaat kan ook vereist zijn op beheerpunten wanneer het clientberichtenverkeer terugvalt op het gebruik van HTTPS.

Zie Het webservercertificaat voor sitesystemen implementeren die IIS uitvoeren in dit onderwerp voor de stappen voor het configureren en installeren van dit certificaat.

Servicecertificaat voor clients voor verbinding maken met cloud-gebaseerde distributiepunten

Voor System Center 2012 Configuration Manager SP1 en later:

Dit certificaat wordt gebruikt om gegevens te coderen en de cloud-gebaseerde distributiepuntservice naar clients te verifiëren. Het moet worden aangevraagd, geïnstalleerd en extern geëxporteerd van Configuration Manager zodat het kan worden geïmporteerd wanneer u een cloud-gebaseerd distributiepunt maakt.

Zie Het servicecertificaat voor cloud-gebaseerde distributiepunten implementeren in dit onderwerp voor de stappen voor het configureren en installeren van dit certificaat.

Notitie

Dit certificaat wordt samen met het Windows Azure-beheercertificaat gebruikt. Zie Create and Upload a Management Certificate for Azure (Een beheercertificaat voor Azure maken en uploaden) en How to Add a Management Certificate to a Windows Azure Subscription (Een beheercertificaat toevoegen aan een Microsoft Azure-abonnement) in het Microsoft Azure-platformgedeelte van de MSDN-bibliotheek voor meer informatie over het certificaat.

Clientcertificaat voor Windows-computers

Dit certificaat wordt gebruikt om clientcomputers van Configuration Manager te verifiëren naar sitesystemen die zijn ingesteld op het gebruik van HTTPS. Het kan ook worden gebruikt voor beheerpunten en statusmigratiepunten om hun bedrijfsstatus te controleren wanneer ze zijn ingesteld op het gebruik van HTTPS. Het moet extern worden geïnstalleerd van Configuration Manager op computers.

Zie Het clientcertificaat voor Windows-computers implementeren in dit onderwerp voor de stappen voor het configureren en installeren van dit certificaat.

Clientcertificaat voor distributiepunten

Dit certificaat heeft twee doeleinden:

  • Het certificaat wordt gebruikt om het distributiepunt naar een HTTPS-beheerpunt te verifiëren voordat het distributiepunt statusberichten verzendt.

  • Wanneer de distributiepuntoptie PXE-ondersteuning voor clients inschakelen is geselecteerd, wordt het certificaat verzonden naar computers die een PXE-opstartbewerking uitvoeren, zodat ze verbinding kunnen maken met een HTTPS-beheerpunt tijdens de implementatie van het besturingssysteem.

Zie Het clientcertificaat voor distributiepunten implementeren in dit onderwerp voor de stappen voor het configureren en installeren van dit certificaat.

Certificaat voor inschrijving voor mobiele apparaten

Dit certificaat wordt gebruikt om mobiele apparaatclients van Configuration Manager te verifiëren naar sitesystemen die zijn ingesteld op het gebruik van HTTPS. Het moet worden geïnstalleerd als onderdeel van de inschrijving van mobiele apparaten in Configuration Manager en u selecteert het geconfigureerde certificaatsjabloon als een instelling voor mobiele apparaatclients.

Zie Het certificaat voor inschrijving voor mobiele apparaten implementeren in dit onderwerp voor de stappen voor het configureren van dit certificaat.

Certificaten voor Intel AMT

Er zijn drie certificaten voor buiten-bandbeheer voor Intel AMT-computers: Een certificaat voor AMT-inrichting; een AMT-webservercertificaat; en optioneel een certificaat voor clientverificatie voor bekabelde en draadloze 802.1X netwerken.

Het certificaat voor AMT-inrichting moet extern van Configuration Manager worden geïnstalleerd op een computer met buiten-bandservicepunt. Vervolgens selecteert u het geïnstalleerde certificaat in de buiten-bandservicepunteigenschappen. Het AMT-webservercertificaat en het certificaat voor clientverificatie worden geïnstalleerd tijdens inrichting en beheer van AMT en u selecteert de geconfigureerde certificaatsjablonen in de eigenschappen van de buiten-bandbeheercomponent.

Zie De certificaten voor AMT implementeren in dit onderwerp voor de stappen voor het configureren en installeren van deze certificaten.

Clientcertificaat voor Mac-computers

Voor System Center 2012 Configuration Manager SP1 en later:

Dit certificaat wordt gebruikt om Configuration Manager Mac-computers te verifiëren naar beheerpunten en distributiepunten die zijn ingesteld op het ondersteunen van HTTPS.

Wanneer u Configuration Manager-inschrijving gebruikt en het geconfigureerde certificaatsjabloon selecteert als een instelling voor mobiele apparaatclients, kunt u dit certificaat aanvragen en installeren vanaf een Mac-computer.

Zie Het clientcertificaat voor Mac-computers implementeren in dit onderwerp voor de stappen voor het configureren van dit certificaat.

Het webservercertificaat voor sitesystemen implementeren die IIS uitvoeren

Deze certificaatimplementatie heeft de volgende procedures:

  • Maken en publiceren van het sjabloon webservercertificaat bij de certificeringsinstantie

  • Aanvragen van het webservercertificaat

  • Configureren van IIS voor gebruik van het webservercertificaat

Maken en publiceren van het sjabloon webservercertificaat bij de certificeringsinstantie

Met deze procedure maakt u een certificaatsjabloon voor Configuration Manager-sitesystemen en voegt u het toe aan de certificeringsinstantie.

Maken en publiceren van het sjabloon webservercertificaat bij de certificeringsinstantie

  1. Maak een beveiligingsgroep met de naam ConfigMgr IIS Servers die de lidservers bevat om System Center 2012 Configuration Manager-sitesystemen te installeren die IIS gaan uitvoeren.

  2. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver waarop de Certificate Services zijn geïnstalleerd en klik op Beheren om de Certificaatsjablonen console te laden.

  3. Klik in het resultaatvenster met de rechtermuisknop op het item dat Webserver weergeeft in de kolom Weergavenaam van sjabloon, en klik vervolgens op Sjabloon dupliceren.

  4. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Selecteer Windows 2008 Server, Enterprise Edition niet.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van een sjabloon in om de webcertificaten te genereren die zullen worden gebruikt op Configuration Manager-sitesystemen, zoals ConfigMgr-webservercertificaat.

  6. Klik op het tabblad Onderwerpnaam en controleer of Met de aanvraag meeleveren is geselecteerd.

  7. Klik op het tabblad Beveiliging en verwijder de Registratie machtiging van de beveiliginsgroepen Domainadministrators en Ondernemingsadministrators.

  8. Klik op Toevoegen, voer ConfigMgr IIS Servers in het tekstvak in en klik op OK.

  9. Selecteer de Registratie machtiging voor deze groep en verwijder de Lees machtiging niet.

  10. Klik op OK en sluit de certificaatsjablonenconsole.

  11. Klik in de certificeringsinstantieconsole met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw, en klik vervolgens op Te verlenen certificaatsjablonen.

  12. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr Web Server Certificate, en klik op OK.

  13. Sluit de certificeringsinstantie als u geen certificaten meer moet maken en verlenen.

Aanvragen van het webservercertificaat

Met deze procedure kunt u de intranet- en internet-FQDN-waarden opgeven die worden geconfigureerd in de systeemservereigenschappen en vervolgens het webservercertificaat installeren op de lidserver waarop IIS wordt uitgevoerd.

Het webservercertificaat aanvragen

  1. Start de lidserver die IIS uitvoert opnieuw op om te controleren of de computer het certificaatsjabloon kan openen dat u hebt gemaakt met behulp van de Lees- en Registratie-machtigingen die u hebt geconfigureerd.

  2. Klik op Start, klik op Uitvoeren, en voer mmc.exe in. Klik in de lege console op Bestand en klik vervolgens op Module toevoegen/verwijderen.

  3. Selecteer Certificaten uit de lijst van Beschikbare modules in het dialoogvenster Modules toevoegen of verwijderen en klik vervolgens op Toevoegen.

  4. Selecteer Computeraccount in het dialoogvenster Module certificaten en klik vervolgens op Volgende.

  5. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en klik vervolgens op Voltooien.

  6. Klik op OK in het dialoogvenster Modules toevoegen of verwijderen.

  7. Vouw Certificaten (lokale computer) uit in de console en klik vervolgens op Persoonlijk.

  8. Klik met de rechtermuisknop op Certificaten, klik op Alle taken, en klik vervolgens op Nieuw certificaat aanvragen.

  9. Klik op de pagina Voordat u begint op Volgende.

  10. Klik op Volgende als u de pagina Selecteer certificaatinschrijvingsbeleid.

  11. Zoek op de pagina Certificaten aanvragen naar het ConfigMgr-webservercertificaat in de lijst met weergegeven certificaten en klik vervolgens op Er zijn meer gegevens nodig voor inschrijving voor dit certificaat. Klik hier om instellingen te configureren.

  12. Laat in het dialoogvenster Eigenschappen voor certificaat op het tabblad Onderwerp de Onderwerpnaam ongewijzigd. Dit betekent dat het Waarde-vak voor het gedeelte Onderwerpnaam leeg blijft. Klik hiervoor in de plaats in het gedeelte Alternatieve naam op de vervolgkeuzelijst Type en selecteer DNS.

  13. Geef in het Waarde-vak de FQDN-waarden op die u wilt specificeren in de Configuration Manager-sitesysteemeigenschappen en klik vervolgens op OK om het dialoogvenster Eigenschappen voor certificaat te sluiten.

    Voorbeelden:

    • Als het sitesysteem alleen clientverbindingen accepteert van het intranet, en de intranet-FQDN van de sitesystemserver is server1.internal.contoso.com: Typ server1.internal.contoso.com en klik op Toevoegen.

    • Als het sitesysteem clientverbindingen accepteert van het intranet en het internet, en de intranet-FQDN van de sitesysteemserver is server1.internal.contoso.com en de internet-FQDN van de sitesysteemserver is server.contoso.com:

      1. Typ server1.internal.contoso.com en klik op Toevoegen.

      2. Typ server.contoso.com en klik op Toevoegen.

      Notitie

      De volgorde waarin u de FQDN's opgeeft voor Configuration Manager maakt niet uit. Controleer wel dat alle apparaten die het certificaat gaan gebruiken, zoals mobiele apparaten en proxywebservers, een certificaat-SAN en meerdere waarde kunnen gebruiken in de SAN. Als apparaten beperkt worden ondersteund voor SAN-waarden in certificaten, moet u mogelijk de volgorde van de FQDN's wijzigen of de onderwerpwaarde gebruiken.

  14. Selecteer in de pagina Certificaten aanvragen het ConfigMgr-webservercertificaat in de lijst met weergegeven certificaten en klik op Inschrijven.

  15. Wacht tot wanneer het certificaat is geïnstalleerd op de pagina Resultaten van certificaatinstallatie en klik vervolgens op Voltooien.

  16. Sluit Certificaten (lokale computer).

Configureren van IIS voor gebruik van het webservercertificaat

Met deze procedure koppelt u het geïnstalleerde certificaat aan de IIS-standaardwebsite.

Configureren van IIS voor gebruik van het webservercertificaat

  1. Klik op de lidserver waarop IIS is geïnstalleerd op Start. Klik op Programma's, op Systeembeheer en vervolgens op IIS-beheer.

  2. Vouw Sites uit, klik met de rechtermuisknop op Standaardwebsite en selecteer vervolgens Bindingen bewerken.

  3. Klik op de https-invoer en vervolgens op Bewerken.

  4. Selecteer in het dialoogvenster Sitebinding bewerken het certificaat dat u hebt aangevraagd met behulp van het ConfigMgr-webservercertificatensjabloon en klik vervolgens op OK.

    Notitie

    Als u niet zeker weet welk certificaat het juiste is, selecteert u er een en klikt u op Weergeven. Hiermee kunt u de details van het geselecteerde certificaat vergelijken met de certificaten die worden weergegeven met de module Certificaten exporteren. De module Certificaten exporteren geeft bijvoorbeeld het certificaatsjabloon weer dat is gebruikt voor het aanvragen van het certificaat. U kunt vervolgens de vingerafdruk vergelijken van het certificaat dat was aangevraagd met het ConfigMgr-webservercertificatensjabloon met de vingerafdruk van het certificaat dat momenteel is geselecteerd in het dialoogvenster Sitebinding bewerken.

  5. Klik op OK in het dialoogvenster Sitebinding bewerken en vervolgens op Sluiten.

  6. Sluit IIS-beheer.

De lidserver wordt nu ingericht met een Configuration Manager-webservercertificaat.

System_CAPS_importantBelangrijk

Wanneer u de Configuration Manager-sitesysteemserver op deze computer installeert, verzeker u ervan dat u dezelfde FQDN's hebt opgegeven in de sitesysteemeigenschappen als die u specificeerde wanneer u het certificaat aanvroeg.

Het servicecertificaat voor cloud-gebaseerde distributiepunten implementeren

Notitie

Het servicecertificaat voor cloud-gebaseerde distributiepunten geldt voor Configuration Manager SP1 en hoger.

Deze certificaatimplementatie heeft de volgende procedures:

  • Maken en publiceren van een aangepast sjabloon webservercertificaat bij de certificeringsinstantie 

  • Aanvragen van het aangepaste webservercertificaat

  • Exporteren van het aangepaste webservercertificaat voor cloud-gebaseerde distributiepunten

Maken en publiceren van een aangepast sjabloon webservercertificaat bij de certificeringsinstantie

Met deze procedure maakt u een aangepast certificaatsjabloon dat is gebaseerd op het sjabloon webservercertificaat. Het certificaat is voor Configuration Manager cloud-gebaseerde distributiepunten en de persoonlijke sleutel moet exporteerbaar zijn. Na het maken van het certificaatsjabloon, wordt het toegevoegd aan de certificeringsinstantie.

Notitie

In deze procedure wordt een ander certificaatsjabloon gebruikt dan het webservercertificaatsjabloon dat u hebt gemaakt voor sitesystemen die IIS uitvoeren. De reden is dat hoewel voor beide certificaten serververificatie nodig is, u voor het certificaat voor cloud-gebaseerde distributiepunten een aangepaste waarde moet invoeren voor de onderwerpnaam en de persoonlijke sleutel moet worden geëxporteerd. Als een aanbevolen beveiligingsmaatregel, stel certificaatsjablonen niet in op het toestaan van het exporteren van de persoonlijke sleutel, tenzij dit vereist is. U hebt deze configuratie nodig voor het cloud-gebaseerde distributiepunt omdat u het certificaat als een bestand moet importeren en het niet selecteert in het certificaatarchief.

Door een nieuw certificaatsjabloon te maken voor dit certificaat, kunt u het aantal computers beperken dat een certificaat kan aanvragen waarbij de persoonlijke sleutel kan worden geëxporteerd. U kunt op een productienetwerk ook overwegen de volgende wijzigingen aan dit certificaat toe te voegen:

  • Goedkeuring vereisen voor het installeren van het certificaat voor extra beveiliging.

  • Vergroten van de geldigheidsduur van het certificaat. Omdat u het certificaat iedere keer voordat het vervalt moet exporteren en importeren, wordt door de verlenging van de geldigheidsduur het aantal keren dat deze procedure moet worden herhaald verminderd. Als u de geldigheidsduur echter verlengt, wordt de beveiliging van het certificaat verlaagd omdat het meer tijd biedt aan een kwaadwillend persoon om de persoonlijke sleutel te decoderen en het certificaat te stelen.

  • Gebruik een aangepaste waarde in de SAN (Subject Alternative Name) van het certificaat om dit certificaat te onderscheiden van standaardwebservercertificaten die u bij IIS gebruikt.

Maken en publiceren van het aangepaste sjabloon webservercertificaat bij de certificeringsinstantie

  1. Maak een beveiligingsgroep met de naam ConfigMgr-siteservers die de lidservers bevat om Configuration Manager primaire siteservers te installeren die cloud-gebaseerde distributiepunten gaan beheren.

  2. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver die de certificeringsinstantieconsole uitvoert en klik vervolgens op Beheren om de beheerconsole van certificaatsjablonen te laden.

  3. Klik in het resultaatvenster met de rechtermuisknop op het item dat Webserver weergeeft in de kolom Weergavenaam van sjabloon, en klik vervolgens op Sjabloon dupliceren.

  4. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Selecteer Windows 2008 Server, Enterprise Edition niet.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van een sjabloon in om het webservercertificaat te genereren voor cloud-gebaseerde distributiepunten, zoals ConfigMgr cloud-gebaseerde distributiepuntcertificaat.

  6. Klik op het tabblad Afhandeling van aanvragen en selecteer De persoonlijke sleutel exporteerbaar maken.

  7. Klik op het tabblad Beveiliging en verwijder de Registratie machtiging van de beveiligingsgroep Ondernemingsadministrators.

  8. Klik op Toevoegen, voer ConfigMgr-siteservers in het tekstvak in en klik op OK.

  9. Selecteer de Registratie machtiging voor deze groep en verwijder de Lees machtiging niet.

  10. Klik op OK en sluit de Certificaatsjablonenconsole.

  11. Klik in de certificeringsinstantieconsole met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw, en klik vervolgens op Te verlenen certificaatsjablonen.

  12. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr cloud-gebaseerde distributiepuntcertificaat, en klik op OK.

  13. Sluit de certificeringsinstantie als u geen certificaten meer moet maken en verlenen.

Aanvragen van het aangepaste webservercertificaat

Met deze procedure vraagt u het aangepaste webservercertificaat aan en installeert u het op de lidserver die de siteserver gaat uitvoeren.

Het aangepaste webservercertificaat aanvragen

  1. Start na het maken en configureren van de beveiligingsgroep ConfigMgr-siteservers de lidserver opnieuw op om er zeker van te zijn dat de computer het certificaatsjabloon dat u hebt gemaakt kan openen met de machtigingen Lezen en Registreren die u hebt geconfigureerd.

  2. Klik op Start, klik op Uitvoeren, en voer mmc.exe in. Klik in de lege console op Bestand en klik vervolgens op Module toevoegen/verwijderen.

  3. Selecteer Certificaten uit de lijst van Beschikbare modules in het dialoogvenster Modules toevoegen of verwijderen en klik vervolgens op Toevoegen.

  4. Selecteer Computeraccount in het dialoogvenster Module certificaten en klik vervolgens op Volgende.

  5. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en klik vervolgens op Voltooien.

  6. Klik op OK in het dialoogvenster Modules toevoegen of verwijderen.

  7. Vouw Certificaten (lokale computer) uit in de console en klik vervolgens op Persoonlijk.

  8. Klik met de rechtermuisknop op Certificaten, klik op Alle taken, en klik vervolgens op Nieuw certificaat aanvragen.

  9. Klik op de pagina Voordat u begint op Volgende.

  10. Klik op Volgende als u de pagina Selecteer certificaatinschrijvingsbeleid.

  11. Zoek op de pagina Certificaten aanvragen naar het ConfigMgr cloud-gebaseerde distributiepuntcertificaat in de lijst met weergegeven certificaten en klik vervolgens op Er zijn meer gegevens nodig voor inschrijving voor dit certificaat. Klik hier om instellingen te configureren.

  12. Selecteer in het dialoogvenster Eigenschappen voor certificaat, op het tabblad Onderwerp, voor de OnderwerpnaamAlgemene naam als het Type.

  13. Geef in het Waarde-vak uw keuze op voor de servicenaam en uw domeinnaam met een FQDN-indeling. Bijvoorbeeld: clouddp1.contoso.com.

    Notitie

    Het maakt niet uit welke servicenaam u opgeeft, zolang deze uniek is in uw naamruimte. U gebruikt DNS om een alias (CNAME-record) te maken om deze servicenaam toe te wijzen aan een automatisch gegenereerd id (GUID) en een IP-adres van Windows Azure.

  14. Klik op Toevoegen en op OK om het dialoogvenster Eigenschappen voor certificaat te sluiten.

  15. Selecteer in de pagina Certificaten aanvragen het ConfigMgr cloud-gebaseerde distributiepuntcertificaat in de lijst met weergegeven certificaten en klik op Inschrijven.

  16. Wacht tot wanneer het certificaat is geïnstalleerd op de pagina Resultaten van certificaatinstallatie en klik vervolgens op Voltooien.

  17. Sluit Certificaten (lokale computer).

Exporteren van het aangepaste webservercertificaat voor cloud-gebaseerde distributiepunten

Met deze procedure exporteert u het aangepaste webservercertificaat naar een bestand zodat het kan worden geïmporteerd wanneer u het cloud-gebaseerde distributiepunt maakt.

Exporteren van het aangepaste webservercertificaat voor cloud-gebaseerde distributiepunten

  1. Klik in de console Certificaten (lokale computer) met de rechtermuisknop op het certificaat dat u zojuist hebt geïnstalleerd, selecteer Alle taken en klik op Exporteren.

  2. Klik in de wizard Certificaten exporteren op Volgende.

  3. Selecteer in de pagina Persoonlijke sleutel exporterenJa, de persoonlijke sleutel exporteren en klik op Volgende.

    Notitie

    Als deze optie niet beschikbaar is, is het certificaat gemaakt zonder de optie om de persoonlijke sleutel te exporteren. In dit scenario kunt u het certificaat niet exporteren in de vereiste indeling. U moet het certificaatsjabloon opnieuw configureren om export van de persoonlijke sleutel toe te staan en het certificaat vervolgens opnieuw aanvragen.

  4. Controleer of op de pagina Bestandsindeling voor export de optie Personal Information Exchange - PKCS #12 (.PFX) is geselecteerd.

  5. Geef in de pagina Wachtwoord een sterk wachtwoord op om het geëxporteerde certificaat te beschermen met de betreffende persoonlijke sleutel en klik op Volgende.

  6. Specificeer op de pagina Te exporteren bestand de naam van het bestand dat u wilt exporteren en klik op Volgende.

  7. Klik op Voltooien in de pagina Wizard Certificaten exporteren om de wizard te sluiten en klik op OK in het bevestigingsvenster.

  8. Sluit Certificaten (lokale computer).

  9. Sla het bestand veilig op en zorg ervoor dat u het via de Configuration Manager-console kunt openen.

Het certificaat kan nu worden geïmporteerd wanneer u een cloud-gebaseerd distributiepunt maakt.

Het clientcertificaat voor Windows-computers implementeren

Deze certificaatimplementatie heeft de volgende procedures:

  • Maken en publiceren van het certificaatsjabloon voor verificatie van werkstation bij de certificeringsinstantie

  • Configureren van automatische inschrijving van het sjabloon voor verificatie van werkstation met behulp van groepsbeleid

  • Automatisch inschrijven van het certificaat voor verificatie van werkstation en de installatie verifiëren op computers

Maken en publiceren van het certificaatsjabloon voor verificatie van werkstation bij de certificeringsinstantie

Met deze procedure maakt u een certificaatsjabloon voor System Center 2012 Configuration Manager-clientcomputers en voegt u het toe aan de certificeringsinstantie.

Maken en publiceren van het certificaatsjabloon voor verificatie van werkstation bij de certificeringsinstantie

  1. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver die de certificeringsinstantieconsole uitvoert en klik vervolgens op Beheren om de beheerconsole van certificaatsjablonen te laden.

  2. Klik in het resultaatvenster met de rechtermuisknop op het item dat Verificatie van werkstation weergeeft in de kolom Weergavenaam van sjabloon, en klik vervolgens op Sjabloon dupliceren.

  3. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Selecteer Windows 2008 Server, Enterprise Edition niet.

  4. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van een sjabloon in om de clientcertificaten te genereren die zullen worden gebruikt op Configuration Manager-clientcomputers, zoals ConfigMgr-clientcertificaat.

  5. Klik op het tabblad Beveiliging, selecteer de groep Domeincomputers en selecteer de extra machtigingen voor Lezen en Automatische inschrijving.Inschrijven niet wissen.

  6. Klik op OK en sluit de Certificaatsjablonenconsole.

  7. Klik in de certificeringsinstantieconsole met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw, en klik vervolgens op Te verlenen certificaatsjablonen.

  8. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr-clientcertificaat, en klik op OK.

  9. Sluit de certificeringsinstantie als u geen certificaten meer moet maken en verlenen.

Configureren van automatische inschrijving van het sjabloon voor verificatie van werkstation met behulp van groepsbeleid

Met deze procedure configureert u groepsbeleid voor automatische inschrijving van het clientcertificaat op computers.

Automatische inschrijving configureren van het sjabloon voor verificatie van werkstation met behulp van groepsbeleid

  1. Klik op de domeincontroller op Start, klik op Systeembeheer en vervolgens op Groepsbeleidsbeheer.

  2. Navigeer naar uw domein, klik met de rechtermuisknop op het domein en selecteer Groepsbeleidsobject in dit domein maken en hier een koppeling maken.

    Notitie

    De aanbevolen werkwijze voor deze stap is nieuw groepsbeleid maken voor aangepaste instellingen in plaats van het standaardgroepsbeleid te bewerken dat is geïnstalleerd met Active Directory Domain Services. Door dit groepsbeleid toe te wijzen op het domeinniveau, past u het toe op alle computers in het domein. U kunt in een productieomgeving automatische inschrijving wel zodanig beperken dat inschrijving alleen plaatsvindt op geselecteerde computers door het groepsbeleid toe te wijzen op organisatie-eenheidniveau. U kunt het groepsbeleid voor het domein ook filteren zodat het alleen van toepassing is op de computers in de groep. Als u automatische inschrijving beperkt, vergeet dan niet de server op te nemen die is geconfigureerd als het beheerpunt.

  3. Voer in het dialoogvenster Nieuw groepsbeleidsobject een naam in voor het nieuwe groepsbeleid, zoals Automatische inschrijvingscertificaten en klik op OK.

  4. Klik met de rechtermuisknop in het resultaatvenster, op het tabblad Gekoppelde groepsbeleidsobjecten, op het nieuwe groepsbeleid en klik op Bewerken.

  5. Vouw in de Editor voor groepsbeleidsbeheerBeleid uit onder Computerconfiguratie en navigeer naar Windows-instellingen / Beveiligingsinstellingen / Beleid voor openbare sleutels.

  6. Klik met de rechtermuisknop op het objecttype met de naam Certificate Services-client - automatisch inschrijven en klik vervolgens op Eigenschappen.

  7. Selecteer in de vervolgkeuzelijst Configuratiemodel, Ingeschakeld, selecteer Verlopen certificaten vernieuwen, aangevraagde certificaten bijwerken en ingetrokken certificaten verwijderen, selecteer Certificaten bijwerken die gebruikmaken van certificaatsjablonen en klik op OK.

  8. Sluit Groepsbeleidsbeheer.

Automatisch inschrijven van het certificaat voor verificatie van werkstation en de installatie verifiëren op computers

Met deze procedure installeert u het clientcertificaat op computers en verifieert u de installatie.

Automatisch inschrijven van het certificaat voor verificatie van werkstation en de installatie verifiëren op de clientcomputer

  1. Start de werkstationcomputer opnieuw op en wacht enkele minuten alvorens u aan te melden.

    Notitie

    Opstarten van een computer is de betrouwbaarste methode voor een goed verloop van automatische inschrijving voor certificaten.

  2. Meld u aan met een account met beheerdersbevoegdheden.

  3. Typ in het zoekvak mmc.exe. en druk op Enter.

  4. Klik in de lege beheerconsole op Bestand en klik vervolgens op Module toevoegen/verwijderen.

  5. Selecteer Certificaten uit de lijst van Beschikbare modules in het dialoogvenster Modules toevoegen of verwijderen en klik vervolgens op Toevoegen.

  6. Selecteer Computeraccount in het dialoogvenster Module certificaten en klik vervolgens op Volgende.

  7. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en klik vervolgens op Voltooien.

  8. Klik op OK in het dialoogvenster Modules toevoegen of verwijderen.

  9. Vouw Certificaten (lokale computer) uit in de console, vouw Persoonlijk uit en klik vervolgens op Certificaten.

  10. Bevestig in het resultaatvenster dat een certificaat wordt weergegeven dat Clientverificatie weergeeft in de kolom Beoogd doeleinde en dat ConfigMgr-clientcertificaat wordt weergegeven in de kolom Certificaatsjabloon.

  11. Sluit Certificaten (lokale computer).

  12. Herhaal de stappen 1 tot en met 11 voor de lidserver om te controleren of de server die wordt geconfigureerd als het beheerpunt ook een clientcertificaat heeft.

De computer is nu ingericht met een Configuration Manager-clientcertificaat.

Het clientcertificaat voor distributiepunten implementeren

Notitie

Dit certificaat kan ook worden gebruikt voor media-afbeeldingen die geen PXE-opstartapparaat gebruiken omdat de certificaatvereisten dezelfde zijn.

Deze certificaatimplementatie heeft de volgende procedures:

  • Maken en publiceren van het aangepaste certificaatsjabloon voor verificatie van werkstation bij de certificeringsinstantie

  • Aanvragen van het aangepaste certificaat voor verificatie van werkstation

  • Het clientcertificaat voor distributiepunten exporteren

Maken en publiceren van het aangepaste certificaatsjabloon voor verificatie van werkstation bij de certificeringsinstantie

Met deze procedure maakt u een aangepast certificaatsjabloon voor Configuration Manager-distributiepunten dat de export van de persoonlijke sleutel toestaat en voegt u het certificaatsjabloon toe aan de certificeringsinstantie.

Notitie

Met deze procedure gebruikt u een ander certificaatsjabloon dan het certificaatsjabloon dat u hebt gemaakt voor client computers. De reden is dat hoewel voor beide certificaten clientverificatie nodig is, voor het certificaat voor distributiepunten de persoonlijke sleutel moet worden geëxporteerd Als een aanbevolen beveiligingsmaatregel, stel certificaatsjablonen niet in op het toestaan van het exporteren van de persoonlijke sleutel, tenzij dit vereist is. U hebt deze configuratie nodig voor het distributiepunt omdat u het certificaat als een bestand moet uitvoeren en het niet selecteert in het certificaatarchief.

Door een nieuw certificaatsjabloon te maken voor dit certificaat, kunt u het aantal computers beperken dat een certificaat kan aanvragen waarbij de persoonlijke sleutel kan worden geëxporteerd. In ons implementatievoorbeeld is dit de beveiligingsgroep die u eerder hebt gemaakt voor Configuration Manager-sitesysteemservers die IIS uitvoeren. Overweeg een nieuwe beveiligingsgroep voor een productienetwerk dat de IIS-sitesysteemrollen distribueert voor de servers die distributiepunten uitvoeren zodat u het certificaat kunt beperken tot alleen deze sitesysteemservers. U kunt ook overwegen de volgende wijzigingen toe te voegen voor dit certificaat:

  • Goedkeuring vereisen voor het installeren van het certificaat voor extra beveiliging.

  • Vergroten van de geldigheidsduur van het certificaat. Omdat u het certificaat iedere keer voordat het vervalt moet exporteren en importeren, wordt door de verlenging van de geldigheidsduur het aantal keren dat deze procedure moet worden herhaald verminderd. Als u de geldigheidsduur echter verlengt, wordt de beveiliging van het certificaat verlaagd omdat het meer tijd biedt aan een kwaadwillend persoon om de persoonlijke sleutel te decoderen en het certificaat te stelen.

  • Gebruik een aangepaste waarde in het veld Onderwerp of SAN (Subject Alternative Name) om dit certificaat te onderscheiden van standaardclientcertificaten. Dit kan vooral nuttig zijn als u hetzelfde certificaat gaat gebruiken voor meerdere distributiepunten.

Maken en publiceren van het aangepaste certificaatsjabloon voor verificatie van werkstation bij de certificeringsinstantie

  1. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver die de certificeringsinstantieconsole uitvoert en klik vervolgens op Beheren om de beheerconsole van certificaatsjablonen te laden.

  2. Klik in het resultaatvenster met de rechtermuisknop op het item dat Verificatie van werkstation weergeeft in de kolom Weergavenaam van sjabloon, en klik vervolgens op Sjabloon dupliceren.

  3. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Selecteer Windows 2008 Server, Enterprise Edition niet.

  4. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van een sjabloon in om het certificaat voor clientverificatie te genereren voor distributiepunten, zoals ConfigMgr-clientdistributiepuntcertificaat.

  5. Klik op het tabblad Afhandeling van aanvragen en selecteer De persoonlijke sleutel exporteerbaar maken.

  6. Klik op het tabblad Beveiliging en verwijder de Registratie machtiging van de beveiligingsgroep Ondernemingsadministrators.

  7. Klik op Toevoegen, voer ConfigMgr IIS Servers in het tekstvak in en klik op OK.

  8. Selecteer de Registratie machtiging voor deze groep en verwijder de Lees machtiging niet.

  9. Klik op OK en sluit de Certificaatsjablonenconsole.

  10. Klik in de certificeringsinstantieconsole met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw, en klik vervolgens op Te verlenen certificaatsjablonen.

  11. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr-clientdistributiepuntcertificaat, en klik op OK.

  12. Sluit de certificeringsinstantie als u geen certificaten meer moet maken en verlenen.

Aanvragen van het aangepaste certificaat voor verificatie van werkstation

Met deze procedure vraagt u het aangepaste clientcertificaat aan en installeert u het op de lidserver die IIS uitvoert en die wordt geconfigureerd als een distributiepunt.

Het aangepaste certificaat voor verificatie van werkstation aanvragen

  1. Klik op Start, klik op Uitvoeren, en voer mmc.exe in. Klik in de lege console op Bestand en klik vervolgens op Module toevoegen/verwijderen.

  2. Selecteer Certificaten uit de lijst van Beschikbare modules in het dialoogvenster Modules toevoegen of verwijderen en klik vervolgens op Toevoegen.

  3. Selecteer Computeraccount in het dialoogvenster Module certificaten en klik vervolgens op Volgende.

  4. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en klik vervolgens op Voltooien.

  5. Klik op OK in het dialoogvenster Modules toevoegen of verwijderen.

  6. Vouw Certificaten (lokale computer) uit in de console en klik vervolgens op Persoonlijk.

  7. Klik met de rechtermuisknop op Certificaten, klik op Alle taken, en klik vervolgens op Nieuw certificaat aanvragen.

  8. Klik op de pagina Voordat u begint op Volgende.

  9. Klik op Volgende als u de pagina Selecteer certificaatinschrijvingsbeleid.

  10. Selecteer in de pagina Certificaten aanvragen het ConfigMgr-clientdistributiepuntcertificaat in de lijst met weergegeven certificaten en klik op Inschrijven.

  11. Wacht tot wanneer het certificaat is geïnstalleerd op de pagina Resultaten van certificaatinstallatie en klik vervolgens op Voltooien.

  12. Bevestig in het resultaatvenster dat een certificaat wordt weergegeven dat Clientverificatie weergeeft in de kolom Beoogd doeleinde en dat ConfigMgr-clientdistributiepuntcertificaat wordt weergegeven in de kolom Certificaatsjabloon.

  13. Certificaten (lokale computer) niet sluiten.

Het clientcertificaat voor distributiepunten exporteren

Met deze procedure exporteert u het aangepaste certificaat voor verificatie van werkstation naar een bestand zodat het kan worden geïmporteerd in de distributiepunteigenschappen.

Exporteren van het clientcertificaat voor distributiepunten

  1. Klik in de console Certificaten (lokale computer) met de rechtermuisknop op het certificaat dat u zojuist hebt geïnstalleerd, selecteer Alle taken en klik op Exporteren.

  2. Klik in de wizard Certificaten exporteren op Volgende.

  3. Selecteer in de pagina Persoonlijke sleutel exporterenJa, de persoonlijke sleutel exporteren en klik op Volgende.

    Notitie

    Als deze optie niet beschikbaar is, is het certificaat gemaakt zonder de optie om de persoonlijke sleutel te exporteren. In dit scenario kunt u het certificaat niet exporteren in de vereiste indeling. U moet het certificaatsjabloon opnieuw configureren om export van de persoonlijke sleutel toe te staan en het certificaat vervolgens opnieuw aanvragen.

  4. Controleer of op de pagina Bestandsindeling voor export de optie Personal Information Exchange - PKCS #12 (.PFX) is geselecteerd.

  5. Geef in de pagina Wachtwoord een sterk wachtwoord op om het geëxporteerde certificaat te beschermen met de betreffende persoonlijke sleutel en klik op Volgende.

  6. Specificeer op de pagina Te exporteren bestand de naam van het bestand dat u wilt exporteren en klik op Volgende.

  7. Klik op Voltooien in de pagina Wizard Certificaten exporteren om de wizard te sluiten en klik op OK in het bevestigingsvenster.

  8. Sluit Certificaten (lokale computer).

  9. Sla het bestand veilig op en zorg ervoor dat u het via de Configuration Manager-console kunt openen.

Het certificaat kan nu worden geïmporteerd wanneer u het distributiepunt configureert.

Tip

U kunt hetzelfde certificaatbestand gebruiken bij de configuratie van media-afbeeldingen voor de implementatie van een besturingssysteem waarbij geen PXE-opstartapparaat wordt gebruikt. De taakreeks om de afbeelding te installeren moet contact maken met een beheerpunt waarvoor HTTPS-clientverbindingen nodig zijn.

Het certificaat voor inschrijving voor mobiele apparaten implementeren

Voor deze certificaatimplementatie wordt een enkele procedure gebruikt om het certificaatsjabloon voor inschrijving te maken en het te publiceren bij de certificeringsinstantie.

Maken en publiceren van het certificaatsjabloon voor inschrijving bij de certificeringsinstantie

Met deze procedure maakt u een certificaatsjabloon voor inschrijving voor System Center 2012 Configuration Manager mobiele apparaten en voegt u het toe aan de certificeringsinstantie.

Maken en publiceren van het certificaatsjabloon voor inschrijving bij de certificeringsinstantie

  1. Maak een beveiligingsgroep die gebruikers bevat die mobiele apparaten gaan registreren in System Center 2012 Configuration Manager.

  2. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver waarop de Certificate Services zijn geïnstalleerd, in de certificeringsinstantieconsole, en klik vervolgens op Beheren om de beheerconsole voor certificaatsjablonen te laden.

  3. Klik in het resultaatvenster met de rechtermuisknop op het item dat Geverifieerde sessie weergeeft in de kolom Weergavenaam van sjabloon en klik vervolgens op Sjabloon dupliceren.

  4. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Selecteer Windows 2008 Server, Enterprise Edition niet.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van een sjabloon in om de certificaten voor inschrijving te genereren voor de mobiele apparaten die zullen worden beheerd door Configuration Manager, zoals ConfigMgr-servercertificaat van inschrijving voor mobiele apparaten.

  6. Klik op het tabblad Onderwerpnaam, controleer of Op basis van Active Directory-informatie samenstellen is geselecteerd, selecteer Algemene naam voor de Indeling van de objectnaam en verwijder vervolgens UPN-naam (User Principal Name) uit Deze informatie opnemen in alternatieve naam voor het onderwerp.

  7. Klik op het tabblad Beveiliging, selecteer de beveiligingsgroep die gebruikers bevat die in te schrijven mobiele apparaten hebben en selecteer de extra machtiging Inschrijven.Lezen niet wissen.

  8. Klik op OK en sluit de Certificaatsjablonenconsole.

  9. Klik in de certificeringsinstantieconsole met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw, en klik vervolgens op Te verlenen certificaatsjablonen.

  10. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr-certificaat voor inschrijving voor mobiele apparaten, en klik op OK.

  11. Sluit de certificeringsinstantieconsole als u geen certificaten meer hoeft te maken en verlenen.

Het certificaatsjabloon voor inschrijving voor mobiele apparaten kan nu worden geselecteerd wanneer u een inschrijfprofiel van mobiele apparaten configureert in de clientinstellingen.

De certificaten voor AMT implementeren

Deze certificaatimplementatie heeft de volgende procedures:

  • Maken, uitgeven en installeren van het certificaat voor AMT-inrichting

  • Maken en uitgeven van het webservercertificaat voor op AMT-gebaseerde computers

  • Maken en uitgeven van certificaten voor clientverificaties voor 802.1X AMT-gebaseerde computers

Maken, uitgeven en installeren van het certificaat voor AMT-inrichting

Maak het inrichtingscertificaat met uw interne certificeringsinstantie als de op AMT-gebaseerde computers worden geconfigureerd met de vingerafdruk van het certificaat van uw interne basiscertificeringsinstantie. Is dit niet het geval en u moet een externe certificeringsinstantie gebruiken, gebruikt u de instructies van het bedrijf dat het certificaat voor AMT-inrichting afgeeft, waarbij het certificaat vaak op de openbare website van het bedrijf moet worden aangevraagd. U vindt ook uitgebreide instructies voor de door u gekozen externe certificeringsinstantie in het Intel vPro Expert Center: Microsoft vPro Manageability-website (https://go.microsoft.com/fwlink/?LinkId=132001).

System_CAPS_importantBelangrijk

Externe certificeringsinstanties ondersteunen mogelijk niet de AMT-inrichtingsobject-id van Intel. Is dit het geval, gebruik dan de methode waarbij u het OE-kenmerk opgeeft van Intel(R) clientinstallatiecertificaat.

Als u een certificaat voor AMT-inrichting bij een externe certificeringsinstantie aanvraagt, installeert u het certificaat in het persoonlijke certificaatarchief van de computer op de lidserver waarop zich het buiten-bandservicepunt bevindt.

Aanvragen en uitgeven van het certificaat voor AMT-inrichting

  1. Maak een beveiligingsgroep die de computeraccounts bevat van sitesysteemservers die het buiten-bandservicepunt gaan uitvoeren.

  2. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver waarop de Certificate Services zijn geïnstalleerd en klik vervolgens op Beheren om de Certificaatsjablonenconsole te laden.

  3. Klik in het resultaatvenster met de rechtermuisknop op het item dat Webserver weergeeft in de kolom Weergavenaam van sjabloon, en klik vervolgens op Sjabloon dupliceren.

  4. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Selecteer Windows 2008 Server, Enterprise Edition niet.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van het certificaatsjabloon voor AMT-inrichting in, zoals ConfigMgr AMT-inrichting.

  6. Klik op het tabblad Onderwerpnaam, selecteer Op basis van Active Directory-informatie samenstellen en selecteer Algemene naam.

  7. Klik op het tabblad Uitbreidingen, controleer of Toepassingenbeleid is geselecteerd en klik op Bewerken.

  8. Klik in het dialoogvenster Toepassingenbeleidsuitbreiding bewerken op Toevoegen.

  9. Klik in het dialoogvenster Toepassingenbeleid toevoegen op Nieuw.

  10. In het dialoogvenster Nieuw toepassingenbeleid typt u AMT-inrichting in het veld Naam en typ het volgende nummer voor de Object-id: 2.16.840.1.113741.1.2.3.

  11. Klik op OK en vervolgens op OK in het dialoogvenster Toepassingenbeleid toevoegen.

  12. Klik op OK in het dialoogvenster Toepassingenbeleidsuitbreiding bewerken.

  13. U zou nu in het dialoogvenster Eigenschappen van nieuwe sjabloon het volgende moeten zien als de toepassingenbeleid-omschrijving: Serververificatie en AMT-inrichting.

  14. Klik op het tabblad Beveiliging en verwijder de Registratie machtiging van de beveiliginsgroepen Domainadministrators en Ondernemingsadministrators.

  15. Klik op Toevoegen, voer de naam in van een beveiligingsgroep die het computeraccount bevat voor de sitesysteemrol van het buiten-bandservicepunt en klik op OK.

  16. Selecteer de machtiging Inschrijving voor deze groep en verwijder de machtiging Lezen niet.

  17. Klik op OK en sluit de certificaatsjablonen console.

  18. Klik in Certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw en vervolgens op Te verlenen certificaatsjablonen.

  19. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr AMT-inrichting, en klik op OK.

    Notitie

    Als u de stappen 2008 of 19 niet kunt voltooien, controleer dan of u de Enterprise Edition van Windows Server 2008 gebruikt. U kunt sjablonen configureren met Windows Server Standard Edition en Certificate Services, maar u kunt geen certificaten implementeren met gewijzigde certificaatsjablonen, tenzij u de Enterprise Edition van Windows Server 2008 gebruikt.

  20. Certificeringsinstantie niet sluiten.

U kunt het certificaat voor AMT-inrichting van uw interne certificeringsinstantie nu installeren op de bandservicepuntcomputer.

Installeren van het certificaat voor AMT-inrichting

  1. Start de lidserver die IIS uitvoert opnieuw op om te controleren of deze met de ingestelde machtiging het certificaatsjabloon kan openen.

  2. Klik op Start, klik op Uitvoeren, en voer mmc.exe in. Klik in de lege console op Bestand en klik vervolgens op Module toevoegen/verwijderen.

  3. Selecteer Certificaten uit de lijst van Beschikbare modules in het dialoogvenster Modules toevoegen of verwijderen en klik vervolgens op Toevoegen.

  4. Selecteer Computeraccount in het dialoogvenster Module certificaten en klik vervolgens op Volgende.

  5. Controleer in het dialoogvenster Computer selecteren of Lokale computer: (de computer waarop deze console wordt uitgevoerd) is geselecteerd en klik vervolgens op Voltooien.

  6. Klik op OK in het dialoogvenster Modules toevoegen of verwijderen.

  7. Vouw Certificaten (lokale computer) uit in de console en klik vervolgens op Persoonlijk.

  8. Klik met de rechtermuisknop op Certificaten, klik op Alle taken, en klik vervolgens op Nieuw certificaat aanvragen.

  9. Klik op de pagina Voordat u begint op Volgende.

  10. Klik op Volgende als u de pagina Selecteer certificaatinschrijvingsbeleid.

  11. Selecteer in de pagina Certificaten aanvragenAMT-inrichting in de lijst met weergegeven certificaten en klik op Inschrijven.

  12. Wacht tot wanneer het certificaat is geïnstalleerd op de pagina Resultaten van certificaatinstallatie en klik vervolgens op Voltooien.

  13. Sluit Certificaten (lokale computer).

Het certificaat voor AMT-inrichting van uw interne certificeringsinstantie is nu geïnstalleerd en kan worden geselecteerd in de buiten-bandservicepunteigenschappen.

Maken en uitgeven van het webservercertificaat voor op AMT-gebaseerde computers

Gebruik de volgende procedure om de webservercertificaten voor op AMT-gebaseerde computers voor te bereiden.

Maken en uitgeven van het webservercertificaatsjabloon

  1. Maak een lege beveiligingsgroep voor opslag van de AMT-computeraccounts die System Center 2012 Configuration Manager maakt tijdens AMT-inrichting.

  2. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver waarop de Certificate Services zijn geïnstalleerd en klik vervolgens op Beheren om de Certificaatsjablonenconsole te laden.

  3. Klik in het resultaatvenster met de rechtermuisknop op het item dat Webserver weergeeft in de kolom Weergavenaam van sjabloon, en klik vervolgens op Sjabloon dupliceren.

  4. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Windows 2008 Server, Enterprise Edition niet selecteren.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van een sjabloon in om de webcertificaten te genereren die zullen worden gebruikt voor buiten-bandbeheer op AMT-computers, zoals ConfigMgr AMT-webservercertificaat.

  6. Klik op het tabblad Onderwerpnaam, klik op Op basis van Active Directory-informatie samenstellen, selecteer Algemene naam voor de Indeling van de objectnaam en verwijder vervolgens UPN-naam (User Principal Name) voor de alternatieve naam van het onderwerp.

  7. Klik op het tabblad Beveiliging en verwijder de Registratie machtiging van de beveiliginsgroepen Domainadministrators en Ondernemingsadministrators.

  8. Klik op Toevoegen en voer de naam in van de beveiligingsgroep die u hebt gemaakt voor AMT-inrichting. Klik op OK.

  9. Selecteer de volgende Toestaan-machtigingen voor deze beveiligingsgroep: Lezen en Inschrijven.

  10. Klik op OK en sluit de certificaatsjablonen console.

  11. Klik in Certificeringsinstantie-console met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw en vervolgens op Te verlenen certificaatsjablonen.

  12. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr AMT-webservercertificaat, en klik op OK.

  13. Sluit de certificeringsinstantie als u geen certificaten meer moet maken en verlenen.

Het AMT-webserversjabloon is nu gereed voor de inrichting van op AMT-gebaseerde computers met webservercertificaten. Selecteer dit certificaatsjabloon in de eigenschappen van de buiten-bandbeheercomponent.

Maken en uitgeven van certificaten voor clientverificaties voor 802.1X AMT-gebaseerde computers

Gebruik de volgende procedure als op AMT-gebaseerde computers clientcertificaten gaan gebruiken voor 802.1X-geverifieerde bekabelde en draadloze netwerken.

Maken en uitgeven van het certificaatsjabloon voor clientverificatie bij de certificeringsinstantie

  1. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver waarop de Certificate Services zijn geïnstalleerd en klik vervolgens op Beheren om de Certificaatsjablonenconsole te laden.

  2. Klik in het resultaatvenster met de rechtermuisknop op het item dat Verificatie van werkstation weergeeft in de kolom Weergavenaam van sjabloon, en klik vervolgens op Sjabloon dupliceren.

    System_CAPS_importantBelangrijk

    Windows 2008 Server, Enterprise Edition niet selecteren.

  3. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, de naam van een sjabloon in om de clientcertificaten te genereren die zullen worden gebruikt voor buiten-bandbeheer op AMT-computers, zoals ConfigMgr AMT 802.1X-certificaat voor clientverificatie.

  4. Klik op het tabblad Onderwerpnaam, klik op Op basis van Active Directory-informatie samenstellen en selecteer Algemene naam voor de Indeling van de objectnaam: Verwijder DNS-naam voor de alternatieve onderwerpnaam en selecteer UPN-naam (User Principal Name).

  5. Klik op het tabblad Beveiliging en verwijder de Registratie machtiging van de beveiliginsgroepen Domainadministrators en Ondernemingsadministrators.

  6. Klik op Toevoegen en voer de naam in van de beveiligingsgroep die u specificeert in de eigenschappen van de buiten-bandbeheercomponent om de computeraccounts van de op AMT-gebaseerde computers op te slaan. Klik op OK.

  7. Selecteer de volgende Toestaan-machtigingen voor deze beveiligingsgroep: Lezen en Inschrijven.

  8. Klik op OK en sluit de beheerconsole voor certificaatsjablonen, certtmpl – [Certificaatsjablonen].

  9. Klik in beheerconsole voor certificaatsjablonen met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw en vervolgens op Te verlenen certificaatsjablonen.

  10. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen het nieuwe sjabloon dat u net hebt gemaakt, ConfigMgr AMT 802.1X-certificaat voor clientverificatie, en klik op OK.

  11. Sluit de certificeringsinstantie als u geen certificaten meer moet maken en verlenen.

U kunt het certificaatsjabloon voor clientverificatie nu gebruiken om certificaten te verlenen aan op AMT-gebaseerde computers die kunnen worden gebruikt voor 802.1X-clientverificatie. Selecteer dit certificaatsjabloon in de eigenschappen van de buiten-bandbeheercomponent.

Het clientcertificaat voor Mac-computers implementeren

Notitie

Het clientcertificaat voor Mac-computers is alleen geldig voor Configuration Manager SP1 en hoger.

Voor deze certificaatimplementatie wordt een enkele procedure gebruikt om het certificaatsjabloon voor inschrijving te maken en het te publiceren bij de certificeringsinstantie.

Maken en uitgeven van een certificaatsjabloon voor Mac-clients bij de certificeringsinstantie

Met deze procedure maakt u een aangepast certificaatsjabloon voor Configuration Manager Mac-computers en voegt u certificaatsjabloon toe aan de certificeringsinstantie.

Notitie

Met deze procedure gebruikt u een ander certificaatsjabloon dan het certificaatsjabloon dat u mogelijk hebt gemaakt voor Windows-clientcomputers of voor distributiepunten.

Door een nieuw certificaatsjabloon te maken voor dit certificaat kunt u certificaataanvragen beperken tot gemachtigde gebruikers.

De Mac-clientcertificaatsjabloon maken en bij de certificeringsinstantie indienen

  1. Maak een beveiligingsgroep met gebruikersaccounts voor gebruikers met beheerdersrechten die het certificaat op de Mac-computer via Configuration Manager gaan inschrijven.

  2. Klik met de rechtermuisknop op Certificaatsjablonen op de lidserver die de certificeringsinstantieconsole uitvoert en klik vervolgens op Beheren om de beheerconsole van certificaatsjablonen te laden.

  3. Klik in het resultaatvenster met de rechtermuisknop op het item dat Geverifieerde sessie weergeeft in de kolom Weergavenaam van sjabloon en klik vervolgens op Sjabloon dupliceren.

  4. Zorg er in het dialoogvenster Sjabloon dupliceren voor dat Windows 2003 Server, Enterprise Edition geselecteerd is, en klik vervolgens op OK.

    System_CAPS_importantBelangrijk

    Selecteer Windows 2008 Server, Enterprise Edition niet.

  5. Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in om het Mac-clientcertificaat te genereren, zoals ConfigMgr Mac-clientcertificaat.

  6. Klik op het tabblad Onderwerpnaam, controleer of Op basis van Active Directory-informatie samenstellen is geselecteerd, selecteer Algemene naam voor de Indeling van de objectnaam en verwijder vervolgens UPN-naam (User Principal Name) uit Deze informatie opnemen in alternatieve naam voor het onderwerp.

  7. Klik op het tabblad Beveiliging en verwijder de bevoegdheid Inschrijven uit de beveiligingsgroepen Domeinadministrators en Ondernemingsadministrators.

  8. Klik op Toevoegen, geef de beveiligingsgroep op die u in stap één hebt gemaakt, en klik daarna op OK.

  9. Selecteer de Registratie machtiging voor deze groep en verwijder de Lees machtiging niet.

  10. Klik op OK en sluit de Certificaatsjablonenconsole.

  11. Klik in de certificeringsinstantieconsole met de rechtermuisknop op Certificaatsjablonen, klik op Nieuw, en klik vervolgens op Te verlenen certificaatsjablonen.

  12. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen de nieuwe sjabloon die u zojuist hebt gemaakt, ConfigMgr Mac-clientcertificaat, en klik daarna op OK.

  13. Sluit de certificeringsinstantie als u geen certificaten meer moet maken en verlenen.

Het Mac-clientcertificaat is nu gereed om te worden geselecteerd wanneer u clientinstellingen configureert voor inschrijving.