• Artykuł

Przykład krok po kroku wdrożenia certyfikatów PKI dla programu Configuration Manager: Urząd certyfikacji systemu Windows Server 2008

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

To przykładowe wdrożenie krok po kroku, w którym korzysta się z urzędu certyfikacji systemu Windows Server 2008, obejmuje procedury prowadzące przez proces tworzenia i wdrażania certyfikatów infrastruktury kluczy publicznych (PKI) wykorzystywanych w programie Microsoft System Center 2012 Configuration Manager. W procedurach korzysta się z urzędu certyfikacji przedsiębiorstwa i z szablonów certyfikatów. Kroki procedur są właściwe tylko na użytek sieci testowej, jako weryfikacja koncepcji.

Ponieważ nie ma jednej właściwej metody wdrażania wymaganych certyfikatów, należy zapoznać się z dokumentacją wdrożeniową konkretnej infrastruktury PKI w zakresie wymaganych procedur i najlepszych praktyk wdrażania wymaganych certyfikatów w środowisku produkcyjnym. Więcej informacji na temat wymagań dotyczących certyfikatów znajduje się w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager.

System_CAPS_tipPorada

Instrukcje przedstawione w tym temacie można łatwo zaadaptować pod kątem systemów operacyjnych innych niż te, które zostały udokumentowane w części Wymagania dotyczące sieci testowej. Niemniej jednak w przypadku uruchamiania urzędu certyfikacji wystawiającego certyfikat w systemie Windows Server 2012 nie uzyskuje się monitu o wersję szablonu certyfikatu. Zamiast niej na karcie Zgodność właściwości szablonu należy podać następujące dane:

  • Urząd certyfikacji: Windows Server 2003

  • Odbiorca certyfikatu: Windows XP / Server 2003

W tej sekcji

W poniższych sekcjach zawarto przykładowe instrukcje krok po kroku dotyczące tworzenia i wdrażania następujących certyfikatów, których można używać z programem System Center 2012 Configuration Manager:

Wymagania dotyczące sieci testowej

Przegląd certyfikatów

Wdrażanie certyfikatu serwera sieci Web dla systemów lokacji z usługami IIS

Wdrażanie certyfikatu usługi dla chmurowych punktów dystrybucji

Wdrażanie certyfikatu klienta na komputerach z systemem Windows

Wdrażanie certyfikatu klienta dla punktów dystrybucji

Wdrażanie certyfikatu rejestracji dla urządzeń przenośnych

Wdrażanie certyfikatów dla komputerów AMT

Wdrażanie certyfikatu klienta na komputerach Mac

Wymagania dotyczące sieci testowej

Z instrukcjami krok po kroku wiążą się następujące wymagania:

  • W sieci testowej działają usługi domenowe Active Directory z systemem Windows Server 2008; instalacja to pojedyncza domena, pojedynczy las.

  • Istnieje serwer członkowski z systemem Windows Server 2008 Enterprise Edition, na którym jest zainstalowana rola usług certyfikatów Active Directory i który jest skonfigurowany jako główny urząd certyfikacji przedsiębiorstwa.

  • Istnieje jeden komputer z zainstalowanym systemem Windows Server 2008 (Standard Edition lub Enterprise Edition), wyznaczony jako serwer członkowski, a na nim są zainstalowane usługi Internet Information Services (IIS). Ten komputer będzie serwerem systemu lokacji programu Menedżer konfiguracji, konfigurowanym przy użyciu intranetowej nazwy FQDN (dla obsługi połączeń klienckich w intranecie) i internetowej nazwy FQDN, jeśli zachodzi potrzeba obsługi urządzeń przenośnych rejestrowanych przez program Menedżer konfiguracji i klientów w Internecie.

  • Istnieje jeden klient z systemem Windows Vista z zainstalowanym najnowszym dodatkiem Service Pack i jest to komputer dołączony do domeny, z nazwą komputera skonfigurowaną tak, by zawierała znaki ASCII. Ten komputer będzie klientem programu Menedżer konfiguracji.

  • Można zalogować się za pomocą konta administratora domeny głównej lub konta administratora domeny przedsiębiorstwa i wykorzystać to konto do wszystkich procedur tego przykładowego wdrożenia.

Przegląd certyfikatów

W poniższej tabeli przedstawiono typy certyfikatów PKI, które mogą być wymagane dla programu System Center 2012 Configuration Manager, i opisano sposób ich użycia.

Wymagany certyfikat

Opis certyfikatu

Certyfikat serwera sieci Web dla systemów lokacji z usługami IIS

Ten certyfikat służy do szyfrowania danych i uwierzytelniania serwera wobec klientów. Należy instalować go zewnętrznie z programu Menedżer konfiguracji na serwerach systemów lokacji z uruchomionymi usługami IIS skonfigurowanych w programie Menedżer konfiguracji do używania protokołu HTTPS.

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji: Ten certyfikat może też być wymagany w punktach zarządzania, kiedy ruch sieciowy powiadomień klienta powraca do korzystania z protokołu HTTPS.

Kroki konfigurowania i instalowania tego certyfikatu omówiono w sekcji Wdrażanie certyfikatu serwera sieci Web dla systemów lokacji z usługami IIS w tym temacie.

Certyfikat usługi dla klientów do łączenia się z chmurowymi punktami dystrybucji

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

Ten certyfikat służy do szyfrowania danych i uwierzytelniania usługi chmurowego punktu dystrybucji wobec klientów. Należy go zażądać, zainstalować i wyeksportować zewnętrznie z programu Menedżer konfiguracji, aby można go było zaimportować podczas tworzenia chmurowego punktu dystrybucji.

Kroki konfigurowania i instalowania tego certyfikatu omówiono w sekcji Wdrażanie certyfikatu usługi dla chmurowych punktów dystrybucji w tym temacie.

Uwaga

Ten certyfikat jest używany w połączeniu z certyfikatem zarządzania usługi Windows Azure. Więcej informacji o certyfikacie zarządzania znajduje się w tematach How to Create a Management Certificate (Jak utworzyć certyfikat zarządzania) i How to Add a Management Certificate to a Windows Azure Subscription (Jak dodać certyfikat zarządzania do subskrypcji usługi Windows Azure) w części biblioteki MSDN Library poświęconej platformie Windows Azure.

Certyfikat klienta dla komputerów z systemem Windows

Ten certyfikat służy do uwierzytelniania komputerów klienckich programu Menedżer konfiguracji w systemach lokacji skonfigurowanych do używania protokołu HTTPS. Może także służyć do monitorowania stanu operacyjnego punktów zarządzania i punktów migracji stanu, kiedy zostaną skonfigurowane do korzystania z protokołu HTTPS. Należy instalować go na komputerach zewnętrznie z programu Menedżer konfiguracji.

Kroki konfigurowania i instalowania tego certyfikatu omówiono w sekcji Wdrażanie certyfikatu klienta na komputerach z systemem Windows w tym temacie.

Certyfikat klienta dla punktów dystrybucji

Ten certyfikat ma dwa cele:

  • Certyfikat służy do uwierzytelniania punktu dystrybucji wobec punktu zarządzania z włączonym protokołem HTTPS przed wysłaniem przez dany punkt dystrybucji komunikatów o stanie.

  • Po wybraniu w punkcie dystrybucji opcji Włącz obsługę środowiska PXE dla klientów certyfikat zostanie wysłany do komputerów przeprowadzających rozruch w środowisku PXE, aby umożliwić im połączenie z punktem zarządzania z włączoną obsługą HTTPS podczas wdrażania systemu operacyjnego.

Kroki konfigurowania i instalowania tego certyfikatu omówiono w sekcji Wdrażanie certyfikatu klienta dla punktów dystrybucji w tym temacie.

Certyfikat rejestracji dla urządzeń przenośnych

Ten certyfikat służy do uwierzytelniania urządzeń przenośnych programu Menedżer konfiguracji w systemach lokacji skonfigurowanych do używania protokołu HTTPS. Należy go instalować w ramach rejestracji urządzeń przenośnych w programie Menedżer konfiguracji, wybierając jako ustawienie klienta urządzenia przenośnego skonfigurowany szablon certyfikatu.

Kroki konfigurowania tego certyfikatu omówiono w sekcji Wdrażanie certyfikatu rejestracji dla urządzeń przenośnych w tym temacie.

Certyfikaty dla komputerów Intel AMT

Są trzy certyfikaty powiązane z zarządzaniem poza pasmem komputerami opartymi na technologii Intel AMT: certyfikat udostępniania AMT, certyfikat serwera sieci Web AMT i, opcjonalnie, certyfikat uwierzytelniania klienta dla sieci bezprzewodowych lub przewodowych 802.1X.

Certyfikat udostępniania AMT należy zainstalować zewnętrznie z programu Menedżer konfiguracji na komputerze punktu obsługi poza pasmem, a następnie wybrać we właściwościach punktu obsługi poza pasmem. Certyfikat serwera sieci Web AMT i certyfikat uwierzytelniania klienta są instalowane podczas udostępniania i zarządzania komputerem AMT, po czym skonfigurowane szablony certyfikatów wybiera się we właściwościach składnika zarządzania poza pasmem.

Kroki konfigurowania tych certyfikatów omówiono w sekcji Wdrażanie certyfikatów dla komputerów AMT w tym temacie.

Certyfikat klienta dla komputerów Mac

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

Ten certyfikat służy do uwierzytelniania komputerów Mac z programem Menedżer konfiguracji w punktach zarządzania i punktach dystrybucji skonfigurowanych do obsługi protokołu HTTPS.

Można zażądać tego certyfikatu i zainstalować go z komputera Mac, używając rejestracji w programie Menedżer konfiguracji i wybierając jako ustawienie klienta urządzenia przenośnego skonfigurowany szablon certyfikatu.

Kroki konfigurowania tego certyfikatu omówiono w sekcji Wdrażanie certyfikatu klienta na komputerach Mac w tym temacie.

Wdrażanie certyfikatu serwera sieci Web dla systemów lokacji z usługami IIS

Wdrożenie tego certyfikatu jest objęte następującymi procedurami:

  • Tworzenie i wystawianie szablonu certyfikatu serwera sieci Web w urzędzie certyfikacji

  • Żądanie certyfikatu serwera sieci Web

  • Konfigurowanie usług IIS do używania certyfikatu serwera sieci Web

Tworzenie i wystawianie szablonu certyfikatu serwera sieci Web w urzędzie certyfikacji

Ta procedura powoduje utworzenie szablonu certyfikatu dla systemów lokacji programu Menedżer konfiguracji i dodanie go do urzędu certyfikacji.

Aby utworzyć i wystawić szablon certyfikatu serwera sieci Web w urzędzie certyfikacji

  1. Utwórz grupę zabezpieczeń o nazwie Serwery IIS programu ConfigMgr zawierającą serwery członkowskie do zainstalowania systemów lokacji programu System Center 2012 Configuration Manager, w których mają być uruchamiane usługi IIS.

  2. Na serwerze członkowskim z zainstalowanymi usługami certyfikatów w konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę Szablony certyfikatów.

  3. W okienku wyników w kolumnie Nazwa wyświetlana szablonu kliknij prawym przyciskiem myszy wpis opisany jako Serwer sieci Web, a następnie kliknij przycisk Duplikuj szablon.

  4. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  5. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu w celu wygenerowania certyfikatów sieci Web, które będą używane w systemach lokacji programu Configuration Manager, taką jakCertyfikat serwera sieci Web programu ConfigMgr.

  6. Kliknij kartę Nazwa podmiotu i upewnij się, że jest wybrana opcja Dostarcz w żądaniu.

  7. Kliknij kartę Zabezpieczenia i usuń uprawnienie Rejestracja z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa.

  8. Kliknij przycisk Dodaj, w polu tekstowym wprowadź tekst Serwery IIS programu ConfigMgr, a następnie kliknij przycisk OK.

  9. Wybierz dla tej grupy uprawnienie Rejestracja i nie usuwaj uprawnienia Odczyt.

  10. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  11. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij przycisk Nowy, a następnie kliknij przycisk Szablon certyfikatu do wystawienia.

  12. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Certyfikat serwera sieci Web programu ConfigMgr, a następnie kliknij przycisk OK.

  13. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Żądanie certyfikatu serwera sieci Web

Ta procedura pozwala określić wartości intranetowej i internetowej nazwy FQDN, które będą skonfigurowane we właściwościach serwera systemu lokacji, po czym instaluje certyfikat serwera sieci Web na serwerze członkowskim z uruchomionymi usługami IIS.

Aby zażądać certyfikatu serwera sieci Web

  1. Uruchom ponownie serwer członkowski, na którym są uruchomione usługi IIS, aby upewnić się, że komputer może uzyskać dostęp do utworzonego szablonu certyfikatu przy użyciu skonfigurowanych uprawnień Odczyt i Rejestracja.

  2. Kliknij przycisk Start, kliknij polecenie Uruchom i wpisz mmc.exe. W pustej konsoli kliknij menu Plik, a następnie kliknij polecenie Dodaj/Usuń przystawkę.

  3. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz z listy Dostępne przystawki pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

  4. W oknie dialogowym Przystawka certyfikatów wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.

  5. W oknie dialogowym Wybieranie komputera sprawdź, czy jest wybrana pozycja Komputer lokalny: (komputer, na którym uruchomiona jest ta konsola), a następnie kliknij przycisk Zakończ.

  6. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.

  7. W konsoli rozwiń listę Certyfikaty (komputer lokalny), a następnie kliknij opcję Osobisty.

  8. Kliknij prawym przyciskiem myszy pozycję Certyfikaty, kliknij opcję Wszystkie zadania, a następnie kliknij przycisk Żądaj nowego certyfikatu.

  9. Na stronie Zanim rozpoczniesz kliknij przycisk Dalej.

  10. Jeżeli wyświetli się strona Wybierz zasady rejestracji certyfikatu, kliknij przycisk Dalej.

  11. Na stronie Żądaj certyfikatów znajdź na liście wyświetlonych certyfikatów pozycję Certyfikat serwera sieci Web programu ConfigMgr, a następnie kliknij opcję Do zarejestrowania tego certyfikatu jest wymaganych więcej informacji.. Kliknij tutaj, aby skonfigurować ustawienia.

  12. W oknie dialogowym Właściwości certyfikatu na karcie Podmiot nie wprowadzaj żadnych zmian w polu Nazwa podmiotu. Inaczej mówiąc, pole Wartość w sekcji Nazwa podmiotu pozostanie puste. Zamiast tego w sekcji Nazwa alternatywna kliknij listę rozwijaną Typ, a następnie wybierz pozycję DNS.

  13. W polu Wartość określ te wartości nazw FQDN, które określisz we właściwościach systemu lokacji programu Menedżer konfiguracji, a następnie kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości certyfikatu.

    Przykłady:

    • Jeśli system lokacji przyjmuje tylko połączenia klienckie z intranetu, a intranetowa nazwa FQDN serwera systemu lokacji to server1.internal.contoso.com: wpisz server1.internal.contoso.com, po czym kliknij przycisk Dodaj.

    • Jeśli system lokacji przyjmuje połączenia klienckie i z intranetu, i z Internetu, przy czym intranetowa nazwa FQDN serwera systemu lokacji to server1.internal.contoso.com, a internetowa nazwa FQDN serwera systemu lokacji to server.contoso.com:

      1. wpisz server1.internal.contoso.com, po czym kliknij przycisk Dodaj.

      2. wpisz server.contoso.com, po czym kliknij przycisk Dodaj.

      Uwaga

      Kolejność, w jakiej określa się nazwy FQDN dla programu Menedżer konfiguracji, nie ma znaczenia. Należy jednak sprawdzić, czy wszystkie urządzenia, które będą posługiwać się certyfikatem, takie jak urządzenia przenośne i serwery proxy sieci Web, mogą używać alternatywnej nazwy podmiotu (SAN) certyfikatu oraz wielu wartości tej nazwy. Jeśli urządzenia obsługują ograniczoną liczbę wartości SAN w certyfikatach, może zajść potrzeba zmiany kolejności nazw FQDN lub użycia zamiast nich wartości Podmiot.

  14. Na stronie Żądaj certyfikatów z listy wyświetlanych certyfikatów wybierz pozycję Certyfikat serwera sieci Web programu ConfigMgr, a następnie kliknij przycisk Zarejestruj.

  15. Na stronie Wyniki instalacji certyfikatów poczekaj na ukończenie instalacji certyfikatu, a następnie kliknij przycisk Zakończ.

  16. Zamknij konsolę Certyfikaty (komputer lokalny).

Konfigurowanie usług IIS do używania certyfikatu serwera sieci Web

Ta procedura wiąże zainstalowany certyfikat z Domyślną witryną sieci Web usług IIS.

Aby skonfigurować usługi IIS do używania certyfikatu serwera sieci Web

  1. Na serwerze członkowskim, na którym są zainstalowane usługi IIS, kliknij przycisk Start, kliknij pozycję Programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Menedżer internetowych usług informacyjnych (IIS).

  2. Rozwiń pozycję Witryny, kliknij prawym przyciskiem myszy pozycję Domyślna witryna sieci Web, a następnie kliknij polecenie Edytuj powiązania.

  3. Kliknij pozycję https, a następnie kliknij przycisk Edytuj.

  4. W oknie dialogowym Edytowanie powiązań witryny wybierz certyfikat uzyskany w wyniku żądania za pomocą szablonu Certyfikat serwera sieci Web programu ConfigMgr, a następnie kliknij przycisk OK.

    Uwaga

    Jeśli nie masz pewności, który certyfikat jest tym właściwym, wybierz jeden z nich, po czym kliknij przycisk Wyświetl. Pozwala to porównać szczegóły wybranego certyfikatu z certyfikatami wyświetlonymi w przystawce Certyfikaty. Na przykład przystawka Certyfikaty wyświetla szablon certyfikatów, który został użyty do żądania certyfikatu. Możesz następnie porównać odcisk palca certyfikatu, którego zażądano za pomocą szablonu Certyfikat serwera sieci Web programu ConfigMgr, z odciskiem palca certyfikatu aktualnie wybranego w oknie dialogowym Edytowanie powiązań witryny.

  5. W oknie dialogowym Edytowanie powiązań witryny kliknij przycisk OK, a następnie kliknij przycisk Zamknij.

  6. Zamknij Menedżera internetowych usług informacyjnych (IIS).

Certyfikat serwera sieci Web programu Menedżer konfiguracji jest teraz udostępniony serwerowi członkowskiemu.

System_CAPS_importantWażne

Podczas instalowania na tym komputerze serwera systemu lokacji programu Menedżer konfiguracji zwróć uwagę, aby we właściwościach systemu lokacji podać te same nazwy FQDN co nazwy określone podczas żądania certyfikatu.

Wdrażanie certyfikatu usługi dla chmurowych punktów dystrybucji

Uwaga

Certyfikat usługi dla chmurowych punktów dystrybucji dotyczy programu Menedżer konfiguracji SP1 i późniejszych wersji.

Wdrożenie tego certyfikatu jest objęte następującymi procedurami:

  • Tworzenie i wydawanie niestandardowego szablonu certyfikatu serwera sieci Web w urzędzie certyfikacji 

  • Zażądanie niestandardowego certyfikatu serwera sieci Web

  • Eksportowanie niestandardowego certyfikatu serwera sieci Web dla chmurowych punktów dystrybucji

Tworzenie i wydawanie niestandardowego szablonu certyfikatu serwera sieci Web w urzędzie certyfikacji

Ta procedura powoduje utworzenie niestandardowego szablonu certyfikatu opartego na szablonie certyfikatu serwera sieci Web. Certyfikat jest przeznaczony dla chmurowych punktów dystrybucji programu Menedżer konfiguracji, a klucz prywatny musi być możliwy do eksportu. Po utworzeniu szablon certyfikatu jest dodawany do urzędu certyfikacji.

Uwaga

Ta procedura wykorzystuje inny szablon certyfikatu z szablonu certyfikatu serwera sieci Web utworzonego dla systemów lokacji z programem IIS, ponieważ mimo że certyfikaty wymagają funkcji uwierzytelniania serwera, certyfikat dla chmurowych punktów dystrybucji wymaga wprowadzenia niestandardowej wartości parametru Nazwa podmiotu, a klucz prywatny musi zostać wyeksportowany. Najlepszym rozwiązaniem dotyczącym zabezpieczeń jest niekonfigurowania szablonów certyfikatów w celu umożliwienia wyeksportowania klucza prywatnego, chyba że taka konfiguracja jest wymagana. Chmurowy punkt dystrybucji wymaga tej konfiguracji, ponieważ należy zaimportować certyfikat jako plik zamiast wybierać go z magazynu certyfikatów.

Tworzenie nowego szablonu dla tego certyfikatu pozwala na uniemożliwienie wybranym komputerom zażądania certyfikatu dzięki któremu można wyeksportować klucz prywatny. W używanej sieci można także rozważyć wprowadzenie następujących modyfikacji tego certyfikatu:

  • Wymaganie zatwierdzenia instalacji certyfikatu w celu zwiększenia poziomu bezpieczeństwa.

  • Wydłużenie okresu ważności certyfikatu. Ponieważ należy wyeksportować i zaimportować certyfikat za każdym razem przed wygaśnięciem, wydłużenie okresu ważności zmniejsza częstotliwość powtarzania tej procedury. Jednakże wydłużenie okresu ważności powoduje zmniejszenie bezpieczeństwa certyfikatu, ponieważ zapewnia to osobie atakującej więcej czasu na odszyfrowanie klucza prywatnego i kradzież certyfikatu.

  • Użycie niestandardowej wartości nazwa alternatywnej podmiotu (SAN) w celu łatwiejszego odróżnienia tego certyfikatu od standardowych certyfikatów serwera sieci Web używanego z programem IIS.

Aby utworzyć i wydać niestandardowy szablon certyfikatu serwera sieci Web w urzędzie certyfikacji

  1. Utwórz grupę zabezpieczeń o nazwie Serwery lokacji programu ConfigMgr zawierającą serwery członkowskie, na których zostaną zainstalowane serwery lokacji głównej programu Menedżer konfiguracji. Serwery te będą zarządzać punktami dystrybucji bazującymi na chmurze.

  2. Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę zarządzania szablonami certyfikatów.

  3. W okienku wyników w kolumnie Nazwa wyświetlana szablonu kliknij prawym przyciskiem myszy wpis opisany jako Serwer sieci Web, a następnie kliknij przycisk Duplikuj szablon.

  4. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  5. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu w celu wygenerowania certyfikatu serwera sieci Web dla chmurowych punktów dystrybucji, na przykład Certyfikat chmurowego punktu dystrybucji programu ConfigMgr.

  6. Kliknij kartę Obsługiwanie żądań i wybierz opcję Zezwalaj na eksportowanie klucza prywatnego.

  7. Kliknij kartę Zabezpieczenia i usuń uprawnienie Rejestracja z grupy zabezpieczeń Administratorzy przedsiębiorstwa.

  8. Kliknij przycisk Dodaj, wprowadź tekst Serwery lokacji programu ConfigMgr w polu tekstowym, a następnie kliknij przycisk OK.

  9. Wybierz dla tej grupy uprawnienie Rejestracja i nie usuwaj uprawnienia Odczyt.

  10. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  11. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij przycisk Nowy, a następnie kliknij przycisk Szablon certyfikatu do wystawienia.

  12. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Certyfikat chmurowego punktu dystrybucji programu ConfigMgr, a następnie kliknij przycisk OK.

  13. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Zażądanie niestandardowego certyfikatu serwera sieci Web

Ta procedura powoduje żądanie, a następnie instalację niestandardowego certyfikatu serwera sieci Web na serwerze członkowskim, na którym będzie działał serwer lokacji.

Aby zażądać niestandardowego certyfikatu serwera sieci Web

  1. Uruchom ponownie serwer członkowski po utworzeniu i skonfigurowaniu grupy zabezpieczeń Serwery lokacji programu ConfigMgr, aby upewnić się, że komputery mogą uzyskać dostęp do utworzonego szablonu certyfikatu przy użyciu skonfigurowanych uprawnień Odczyt i Rejestracja.

  2. Kliknij przycisk Start, kliknij polecenie Uruchom i wpisz mmc.exe. W pustej konsoli kliknij menu Plik, a następnie kliknij polecenie Dodaj/Usuń przystawkę.

  3. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz z listy Dostępne przystawki pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

  4. W oknie dialogowym Przystawka certyfikatów wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.

  5. W oknie dialogowym Wybieranie komputera sprawdź, czy jest wybrana pozycja Komputer lokalny: (komputer, na którym uruchomiona jest ta konsola), a następnie kliknij przycisk Zakończ.

  6. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.

  7. W konsoli rozwiń listę Certyfikaty (komputer lokalny), a następnie kliknij opcję Osobisty.

  8. Kliknij prawym przyciskiem myszy pozycję Certyfikaty, kliknij opcję Wszystkie zadania, a następnie kliknij przycisk Żądaj nowego certyfikatu.

  9. Na stronie Zanim rozpoczniesz kliknij przycisk Dalej.

  10. Jeżeli wyświetli się strona Wybierz zasady rejestracji certyfikatu, kliknij przycisk Dalej.

  11. Na stronie Żądaj certyfikatów znajdź pozycję Certyfikat punktu dystrybucji bazującego na chmurze programu ConfigMgr z listy wyświetlonych certyfikatów, a następnie kliknij opcję Do zarejestrowania tego certyfikatu jest wymaganych więcej informacji. Kliknij tutaj, aby skonfigurować ustawienia.

  12. W oknie dialogowym Właściwości certyfikatu na karcie Podmiot, dla opcji Nazwa podmiotu wybierz wartość Nazwa pospolita jako ustawienie opcji Typ.

  13. W polu Wartość określ wybór nazwy usługi i nazwy domeny, używając formatu FQDN. Na przykład: clouddp1.contoso.com.

    Uwaga

    Określona nazwa usługi nie ma znaczenia, o ile jest unikatowa w danym obszarze nazw. Zostanie użyty system DNS w celu utworzenia aliasu (rekordu CNAME) i odwzorowania tej nazwy usługi na automatycznie generowany identyfikator (GUID) i adres IP z usługi Windows Azure.

  14. Kliknij przycisk Dodaj, a następnie OK, aby zamknąć okno dialogowe Właściwości certyfikatu.

  15. Na stronie Żądaj certyfikatów wybierz pozycję Certyfikat chmurowego punktu dystrybucji programu ConfigMgr z listy wyświetlanych certyfikatów, a następnie kliknij przycisk Zarejestruj.

  16. Na stronie Wyniki instalacji certyfikatów poczekaj na ukończenie instalacji certyfikatu, a następnie kliknij przycisk Zakończ.

  17. Zamknij konsolę Certyfikaty (komputer lokalny).

Eksportowanie niestandardowego certyfikatu serwera sieci Web dla chmurowych punktów dystrybucji

Ta procedura umożliwia wyeksportowanie niestandardowego certyfikatu serwera sieci Web do pliku, aby można go było zaimportować po utworzeniu chmurowego punktu dystrybucji.

Aby wyeksportować niestandardowy certyfikat serwera sieci Web dla chmurowych punktów dystrybucji

  1. W konsoli Certyfikaty (komputer lokalny), kliknij prawym przyciskiem myszy właśnie zainstalowany certyfikat, wybierz polecenie Wszystkie zadania, a następnie kliknij przycisk Eksport.

  2. W Kreatorze eksportu certyfikatów kliknij przycisk Dalej.

  3. Na stronie Eksportowanie klucza prywatnego wybierz opcję Tak, eksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga

    Jeżeli ta opcja nie jest dostępna, certyfikat został utworzony bez opcji eksportu klucza prywatnego. W tym scenariuszu nie można wyeksportować certyfikatu w wymaganym formacie. Należy ponownie skonfigurować szablon certyfikatu, aby umożliwić eksport klucza prywatnego, a następnie zażądać certyfikatu ponownie.

  4. Na stronie Format pliku eksportu sprawdź, czy wybrano opcję Wymiana informacji osobistych — PKCS #12 (.PFX).

  5. Na stronie Hasło wpisz silne hasło, aby zabezpieczyć wyeksportowany certyfikat kluczem prywatnym, a następnie kliknij przycisk Dalej.

  6. Na stronie Eksport pliku określ nazwę pliku do wyeksportowania, a następnie kliknij przycisk Dalej.

  7. Aby zamknąć kreatora, kliknij przycisk Zakończ na stronie Kreator eksportu certyfikatów i kliknij przycisk OK w oknie dialogowym potwierdzenia.

  8. Zamknij konsolę Certyfikaty (komputer lokalny).

  9. Zapisz plik w bezpiecznym miejscu i upewnij się, że masz do niego dostęp z konsoli programu Menedżer konfiguracji.

Certyfikat jest teraz gotowy do zaimportowania po utworzeniu chmurowego punktu dystrybucji.

Wdrażanie certyfikatu klienta na komputerach z systemem Windows

Wdrożenie tego certyfikatu jest objęte następującymi procedurami:

  • Tworzenie i wydawanie szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji

  • Konfigurowanie automatycznej rejestracji szablonu uwierzytelniania stacji roboczej za pomocą zasad grupy

  • Automatyczne rejestrowanie certyfikatu uwierzytelniania stacji roboczej i weryfikowanie jego instalacji na komputerach

Tworzenie i wydawanie szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji

Ta procedura powoduje utworzenie szablonu certyfikatu dla komputerów klienckich programu System Center 2012 Configuration Manager i dodanie go do urzędu certyfikacji.

Aby utworzyć i wydać szablon certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji

  1. Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę zarządzania szablonami certyfikatów.

  2. W okienku wyników w kolumnie Nazwa wyświetlana szablonu kliknij prawym przyciskiem myszy wpis opisany jako Uwierzytelnianie stacji roboczej, a następnie kliknij przycisk Duplikuj szablon.

  3. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  4. W oknie dialogowym Właściwości nowego szablonu, na karcie Ogólne wprowadź nazwę szablonu w celu wygenerowania certyfikatów klientów, które zostaną użyte na komputerach klienckich programu Configuration Manager, na przykład Certyfikat klienta programu ConfigMgr.

  5. Kliknij kartę Zabezpieczenia, wybierz grupę Komputery domeny i wybierz dodatkowe uprawnienia Odczyt i Autorejestrowanie. Nie usuwaj zaznaczenia opcji Rejestracja.

  6. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  7. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij przycisk Nowy, a następnie kliknij przycisk Szablon certyfikatu do wystawienia.

  8. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Certyfikat klienta programu ConfigMgr, a następnie kliknij przycisk OK.

  9. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Konfigurowanie automatycznej rejestracji szablonu uwierzytelniania stacji roboczej za pomocą zasad grupy

Ta procedura powoduje skonfigurowanie zasad grupy w celu autorejestracji certyfikatu klienta na komputerach.

Aby skonfigurować autorejestrację szablonu uwierzytelniania stacji roboczej za pomocą zasad grupy

  1. Na kontrolerze kliknij przycisk Start, kliknij polecenie Narzędzia administracyjne, a następnie kliknij opcję Zarządzanie zasadami grupy.

  2. Przejdź do odpowiedniej domeny, kliknij ją prawym przyciskiem myszy, a następnie wybierz polecenie Utwórz obiekt GPO w tej domenie i umieść tu łącze.

    Uwaga

    W tym kroku wykorzystano najlepsze rozwiązanie dotyczące tworzenia nowej zasady grupy dla ustawień niestandardowych zamiast edycji domyślnych zasad domeny instalowanych za pomocą usług domenowych w usłudze Active Directory. Przypisanie zasad grupy na poziomie domeny spowoduje ich zastosowania do wszystkich komputerów w domenie. Jednakże w używanym środowisku można ograniczyć autorejestrację tak, aby dotyczyła ona tylko wybranych komputerów przez przypisanie zasad grupy na poziomie jednostki organizacyjnej; można też filtrować zasady grupy domeny za pomocą grupy zabezpieczeń, aby dotyczyły one tylko komputerów w grupie. W przypadku ograniczenia autorejestracji należy pamiętać o uwzględnieniu serwera skonfigurowanego jako punkt zarządzania.

  3. W oknie dialogowym Nowy obiekt zasad grupy wprowadź nazwę nowych zasad grupy, na przykład Autorejestrowanie certyfikatów i kliknij przycisk OK.

  4. W okienku wyników, na karcie Powiązane obiekty zasad grupy, kliknij prawym przyciskiem nową zasadę grupy, a następnie kliknij przycisk Edytuj.

  5. W oknie Edytor zarządzania zasadami grupy rozwiń węzeł Zasady w kategorii Konfiguracja komputera, a następnie przejdź do pozycji Ustawienia systemu Windows / Ustawienia zabezpieczeń / Zasady kluczy publicznych.

  6. Kliknij prawym przyciskiem typ obiektu o nazwie Klient usług certyfikatów — automatyczne rejestrowanie, a następnie kliknij polecenie Właściwości.

  7. Z listy rozwijanej Model konfiguracji wybierz opcję Włączono, wybierz opcję Odnów wygasłe certyfikaty, aktualizuj oczekujące certyfikaty i usuń odwołane certyfikaty, wybierz opcję Aktualizuj certyfikaty, które używają szablonów certyfikatów, a następnie kliknij przycisk OK.

  8. Zamknij okno Zarządzanie zasadami grupy.

Automatyczne rejestrowanie certyfikatu uwierzytelniania stacji roboczej i weryfikowanie jego instalacji na komputerach

Ta procedura powoduje zainstalowanie certyfikatu klienta na komputerach i weryfikację instalacji.

Aby automatycznie zarejestrować certyfikat uwierzytelniania stacji roboczej i zweryfikować jego instalację na komputerze klienckim

  1. Uruchom ponownie stację roboczą i poczekaj kilka minut przed zalogowaniem.

    Uwaga

    Ponowne uruchomienie komputera to najbardziej niezawodna metoda zapewnienia pomyślnej autorejestracji certyfikatu.

  2. Zaloguj się za pomocą konta z uprawnieniami administracyjnymi.

  3. W polu wyszukiwania wpisz tekst mmc.exe., a następnie naciśnij klawisz Enter.

  4. W pustej konsoli zarządzania kliknij menu Plik, a następnie kliknij polecenie Dodaj/Usuń przystawkę.

  5. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz z listy Dostępne przystawki pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

  6. W oknie dialogowym Przystawka certyfikatów wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.

  7. W oknie dialogowym Wybieranie komputera sprawdź, czy pozycja Komputer lokalny: (komputer, na którym uruchomiona jest ta konsola) jest wybrana, a następnie kliknij przycisk Zakończ.

  8. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.

  9. W konsoli rozwiń listę Certyfikaty (komputer lokalny), rozwiń listę Osobisty, a następnie kliknij opcję Certyfikaty.

  10. W okienku wyników sprawdź, czy wyświetlany jest certyfikat z tekstem Uwierzytelnienie klienta w kolumnie Zamierzony cel, a pozycja Certyfikat klienta programu ConfigMgr jest wyświetlana w kolumnie Szablon certyfikatu.

  11. Zamknij konsolę Certyfikaty (komputer lokalny).

  12. Powtórz kroki od 1 do 11 dla serwera członkowskiego, aby sprawdzić, czy serwer, który zostanie skonfigurowany jako punkt zarządzania, także zawiera certyfikat klienta.

Komputer jest teraz udostępniony z certyfikatem klienta programu Menedżer konfiguracji.

Wdrażanie certyfikatu klienta dla punktów dystrybucji

Uwaga

Tego certyfikatu można także użyć dla obrazów nośników, które nie używają rozruchu PXE, ponieważ wymagania dotyczące certyfikatu są takie same.

Wdrożenie tego certyfikatu jest objęte następującymi procedurami:

  • Tworzenie i wydawanie niestandardowego szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji

  • Żądanie niestandardowego certyfikatu uwierzytelniania stacji roboczej

  • Eksportowanie certyfikatu klienta dla punktów dystrybucji

Tworzenie i wydawanie niestandardowego szablonu certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji

Ta procedura powoduje utworzenie niestandardowego szablonu certyfikatu dla punktów dystrybucji programu Menedżer konfiguracji umożliwiającego wyeksportowanie klucza prywatnego, i dodanie szablonu certyfikatu do urzędu certyfikacji.

Uwaga

Ta procedura wymaga użycia innego szablonu certyfikatu niż utworzony dla komputerów klienckich, ponieważ mimo że oba certyfikaty wymagają możliwości uwierzytelniania klienta, certyfikat dla punktów dystrybucji wymaga wyeksportowania klucza prywatnego. Najlepszym rozwiązaniem dotyczącym zabezpieczeń jest niekonfigurowania szablonów certyfikatów w celu umożliwienia wyeksportowania klucza prywatnego, chyba że taka konfiguracja jest wymagana. Punkt dystrybucji wymaga tej konfiguracji, ponieważ należy zaimportować certyfikat jako plik zamiast wybierać go z magazynu certyfikatów.

Tworzenie nowego szablonu dla tego certyfikatu pozwala na uniemożliwienie wybranym komputerom zażądania certyfikatu dzięki któremu można wyeksportować klucz prywatny. W naszym przykładowym wdrożeniu będzie to grupa zabezpieczeń utworzona uprzednio dla serwerów systemu lokacji programu Menedżer konfiguracji z usługami IIS. W używanej sieci, która dystrybuuje role systemu lokacji usług IIS, należy rozważyć utworzenie nowej grupy zabezpieczeń dla serwerów, na których działają punkty dystrybucji, aby można było ograniczyć certyfikaty tylko do tych serwerów systemu lokacji. Można także rozważyć wprowadzenie następujących modyfikacji certyfikatu:

  • Wymaganie zatwierdzenia instalacji certyfikatu w celu zwiększenia poziomu bezpieczeństwa.

  • Wydłużenie okresu ważności certyfikatu. Ponieważ należy wyeksportować i zaimportować certyfikat za każdym razem przed wygaśnięciem, wydłużenie okresu ważności zmniejsza częstotliwość powtarzania tej procedury. Jednakże wydłużenie okresu ważności powoduje zmniejszenie bezpieczeństwa certyfikatu, ponieważ zapewnia to osobie atakującej więcej czasu na odszyfrowanie klucza prywatnego i kradzież certyfikatu.

  • Użycie niestandardowej wartości w polu Podmiot certyfikatu lub nazwy alternatywnej podmiotu (SAN), aby ułatwić odróżnienie tego certyfikatu od standardowych certyfikatów klientów. Może to być szczególnie przydatne, jeżeli ten sam certyfikat jest używany dla kilku punktów dystrybucji.

Aby utworzyć i wydać niestandardowy szablon certyfikatu uwierzytelniania stacji roboczej w urzędzie certyfikacji

  1. Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę zarządzania szablonami certyfikatów.

  2. W okienku wyników w kolumnie Nazwa wyświetlana szablonu kliknij prawym przyciskiem myszy wpis opisany jako Uwierzytelnianie stacji roboczej, a następnie kliknij przycisk Duplikuj szablon.

  3. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  4. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu w celu wygenerowania certyfikatu uwierzytelniania klienta dla punktów dystrybucji, taką jak Certyfikat punktu dystrybucji klienta programu ConfigMgr.

  5. Kliknij kartę Obsługiwanie żądań i wybierz opcję Zezwalaj na eksportowanie klucza prywatnego.

  6. Kliknij kartę Zabezpieczenia i usuń uprawnienie Rejestracja z grupy zabezpieczeń Administratorzy przedsiębiorstwa.

  7. Kliknij przycisk Dodaj, w polu tekstowym wprowadź tekst Serwery IIS programu ConfigMgr, a następnie kliknij przycisk OK.

  8. Wybierz dla tej grupy uprawnienie Rejestracja i nie usuwaj uprawnienia Odczyt.

  9. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  10. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij przycisk Nowy, a następnie kliknij przycisk Szablon certyfikatu do wystawienia.

  11. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Certyfikat punktu dystrybucji klienta programu ConfigMgr, a następnie kliknij przycisk OK.

  12. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Żądanie niestandardowego certyfikatu uwierzytelniania stacji roboczej

Ta procedura powoduje żądanie, a następnie instalację niestandardowego certyfikatu klienta na serwerze członkowskim, na którym są uruchamiane usługi IIS i który będzie skonfigurowany jako punkt dystrybucji.

Aby zażądać niestandardowego certyfikatu uwierzytelniania stacji roboczej

  1. Kliknij przycisk Start, kliknij polecenie Uruchom i wpisz mmc.exe. W pustej konsoli kliknij menu Plik, a następnie kliknij polecenie Dodaj/Usuń przystawkę.

  2. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz z listy Dostępne przystawki pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

  3. W oknie dialogowym Przystawka certyfikatów wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.

  4. W oknie dialogowym Wybieranie komputera sprawdź, czy jest wybrana pozycja Komputer lokalny: (komputer, na którym uruchomiona jest ta konsola), a następnie kliknij przycisk Zakończ.

  5. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.

  6. W konsoli rozwiń listę Certyfikaty (komputer lokalny), a następnie kliknij opcję Osobisty.

  7. Kliknij prawym przyciskiem myszy pozycję Certyfikaty, kliknij opcję Wszystkie zadania, a następnie kliknij przycisk Żądaj nowego certyfikatu.

  8. Na stronie Zanim rozpoczniesz kliknij przycisk Dalej.

  9. Jeżeli wyświetli się strona Wybierz zasady rejestracji certyfikatu, kliknij przycisk Dalej.

  10. Na stronie Żądaj certyfikatów z listy wyświetlanych certyfikatów wybierz pozycję Certyfikat punktu dystrybucji klienta programu ConfigMgr, a następnie kliknij przycisk Zarejestruj.

  11. Na stronie Wyniki instalacji certyfikatów poczekaj na ukończenie instalacji certyfikatu, a następnie kliknij przycisk Zakończ.

  12. W okienku wyników upewnij się, że jest wyświetlany certyfikat z tekstem Uwierzytelnienie klienta w kolumnie Zamierzony cel, a w kolumnie Szablon certyfikatu jest wyświetlana pozycja Certyfikat punktu dystrybucji klienta programu ConfigMgr.

  13. Nie zamykaj konsoli Certyfikaty (komputer lokalny).

Eksportowanie certyfikatu klienta dla punktów dystrybucji

Ta procedura umożliwia wyeksportowanie niestandardowego certyfikatu uwierzytelniania stacji roboczej do pliku, aby można go było zaimportować do właściwości punktu dystrybucji.

Aby wyeksportować certyfikat klienta dla punktów dystrybucji

  1. W konsoli Certyfikaty (komputer lokalny), kliknij prawym przyciskiem myszy właśnie zainstalowany certyfikat, wybierz polecenie Wszystkie zadania, a następnie kliknij przycisk Eksport.

  2. W Kreatorze eksportu certyfikatów kliknij przycisk Dalej.

  3. Na stronie Eksportowanie klucza prywatnego wybierz opcję Tak, eksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga

    Jeżeli ta opcja nie jest dostępna, certyfikat został utworzony bez opcji eksportu klucza prywatnego. W tym scenariuszu nie można wyeksportować certyfikatu w wymaganym formacie. Należy ponownie skonfigurować szablon certyfikatu, aby umożliwić eksport klucza prywatnego, a następnie zażądać certyfikatu ponownie.

  4. Na stronie Format pliku eksportu sprawdź, czy wybrano opcję Wymiana informacji osobistych — PKCS #12 (.PFX).

  5. Na stronie Hasło wpisz silne hasło, aby zabezpieczyć wyeksportowany certyfikat kluczem prywatnym, a następnie kliknij przycisk Dalej.

  6. Na stronie Eksport pliku określ nazwę pliku do wyeksportowania, a następnie kliknij przycisk Dalej.

  7. Aby zamknąć kreatora, kliknij przycisk Zakończ na stronie Kreator eksportu certyfikatów i kliknij przycisk OK w oknie dialogowym potwierdzenia.

  8. Zamknij konsolę Certyfikaty (komputer lokalny).

  9. Zapisz plik w bezpiecznym miejscu i upewnij się, że masz do niego dostęp z konsoli programu Menedżer konfiguracji.

Certyfikat jest teraz gotowy do zaimportowania podczas konfigurowania punktu dystrybucji.

System_CAPS_tipPorada

Możesz użyć tego samego pliku certyfikatu, konfigurując obrazy nośników do wdrożenia systemu operacyjnego, które nie używa rozruchu w środowisku PXE, przy czym sekwencja zadań w celu instalacji obrazu musi kontaktować się z punktem zarządzania wymagającym połączeń klienckich HTTPS.

Wdrażanie certyfikatu rejestracji dla urządzeń przenośnych

W tym wdrożeniu certyfikatu zarówno utworzenie, jak i wystawienie szablonu certyfikatu rejestracji w urzędzie certyfikacji jest objęte tą samą procedurą.

Tworzenie i wystawianie szablonu certyfikatu rejestracji w urzędzie certyfikacji

Ta procedura powoduje utworzenie szablonu certyfikatu rejestracji dla urządzeń przenośnych programu System Center 2012 Configuration Manager i dodanie go do urzędu certyfikacji.

Aby utworzyć i wystawić szablon certyfikatu rejestracji w urzędzie certyfikacji

  1. Utwórz grupę zabezpieczeń obejmującą tych użytkowników, którzy będą rejestrować urządzenia przenośne w programie System Center 2012 Configuration Manager.

  2. Na serwerze członkowskim z zainstalowanymi usługami certyfikatów w konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij polecenie Zarządzaj, aby załadować konsolę zarządzania Szablony certyfikatów.

  3. W okienku wyników w kolumnie Sesja uwierzytelniona kliknij prawym przyciskiem myszy wpis opisany jako Nazwa wyświetlana szablonu, a następnie kliknij przycisk Duplikuj szablon.

  4. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  5. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu w celu wygenerowania certyfikatów rejestracji dla urządzeń przenośnych, którymi ma zarządzać program Menedżer konfiguracji, taką jak Certyfikat rejestracji urządzeń przenośnych programu ConfigMgr.

  6. Kliknij kartę Nazwa podmiotu, upewnij się, że wybrana jest opcja Utwórz na podstawie tych informacji usługi Active Directory, dla ustawienia Format nazwy podmiotu: wybierz opcję Nazwa pospolita, a w ustawieniu Dołącz te informacje do alternatywnej nazwy podmiotu: usuń zaznaczenie opcji Główna nazwa użytkownika (UPN).

  7. Kliknij kartę Zabezpieczenia, wybierz grupę zabezpieczeń zawierającą użytkowników z urządzeniami przenośnymi do zarejestrowania i wybierz uprawnienie dodatkowe Rejestracja. Nie usuwaj zaznaczenia opcji Odczyt.

  8. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  9. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij przycisk Nowy, a następnie kliknij przycisk Szablon certyfikatu do wystawienia.

  10. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Certyfikat rejestracji urządzeń przenośnych programu ConfigMgr, a następnie kliknij przycisk OK.

  11. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Szablon certyfikatu rejestracji urządzeń przenośnych jest teraz gotowy do wybrania podczas konfigurowania profilu rejestracji urządzenia przenośnego w ustawieniach klienta.

Wdrażanie certyfikatów dla komputerów AMT

Wdrożenie tego certyfikatu jest objęte następującymi procedurami:

  • Tworzenie, wystawianie i instalowanie certyfikatu udostępniania AMT

  • Tworzenie i wystawianie szablonu certyfikatu serwera sieci Web dla komputerów opartych na technologii AMT

  • Tworzenie i wystawianie certyfikatów uwierzytelniania klienta dla komputerów opartych na technologii AMT 802.1X

Tworzenie, wystawianie i instalowanie certyfikatu udostępniania AMT

Kiedy komputery oparte na technologii AMT są skonfigurowane za pomocą odciska palca certyfikatu wewnętrznego głównego urzędu certyfikacji, należy utworzyć certyfikat udostępniania w wewnętrznym urzędzie certyfikacji. Kiedy jest inaczej i zachodzi konieczność skorzystania z zewnętrznego urzędu certyfikacji, należy postępować zgodnie z instrukcjami firmy wystawiającej certyfikat udostępniania AMT, co może często oznaczać między innymi żądanie certyfikatu za pośrednictwem publicznej witryny sieci Web danej firmy. Szczegółowe instrukcje dotyczące wybranego zewnętrznego urzędu certyfikacji można również znaleźć w witrynie WWW Intel vPro Expert Center: Microsoft vPro Manageability (https://go.microsoft.com/fwlink/?LinkId=132001).

System_CAPS_importantWażne

Zewnętrzne urzędy certyfikacji mogą nie obsługiwać identyfikatora obiektu udostępniania Intel AMT. W takim przypadku należy użyć alternatywnej metody podawania atrybutu OU (jednostki organizacyjnej) certyfikatu Intel(R) Client Setup Certificate.

W przypadku żądania certyfikatu udostępniania AMT od zewnętrznego urzędu certyfikacji certyfikat należy zainstalować w osobistym magazynie certyfikatów komputera na serwerze członkowskim, który będzie hostem punktu obsługi poza pasmem.

Aby zażądać certyfikatu udostępniania AMT i go wystawić

  1. Utwórz grupę zabezpieczeń obejmującą te konta komputera serwerów systemu lokacji, na których będzie uruchamiany punkt obsługi poza pasmem.

  2. Na serwerze członkowskim z zainstalowanymi usługami certyfikatów w konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę Szablony certyfikatów.

  3. W okienku wyników w kolumnie Nazwa wyświetlana szablonu kliknij prawym przyciskiem myszy pozycję oznaczoną jako Serwer sieci Web, a następnie kliknij polecenie Duplikuj szablon.

  4. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  5. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu dla szablonu certyfikatu udostępniania AMT, taką jak Udostępnianie AMT w programie ConfigMgr.

  6. Kliknij kartę Nazwa podmiotu, wybierz opcję Konstruuj z tej informacji usługi Active Directory, a następnie wybierz opcję Nazwa pospolita.

  7. Kliknij kartę Rozszerzenia, upewnij się, że jest wybrana opcja Zasady aplikacji, a następnie kliknij przycisk Edytuj.

  8. W oknie dialogowym Edytowanie rozszerzenia zasad aplikacji kliknij przycisk Dodaj.

  9. W oknie dialogowym Dodawanie zasady aplikacji kliknij przycisk Nowa.

  10. W oknie dialogowym Nowa zasada aplikacji wpisz Udostępnianie AMT w polu Nazwa, po czym wpisz następujący ciąg liczb w polu Identyfikator obiektu: 2.16.840.1.113741.1.2.3.

  11. Kliknij przycisk OK, po czym ponownie kliknij przycisk OK w oknie dialogowym Dodawanie zasady aplikacji.

  12. W oknie dialogowym Edytowanie rozszerzenia zasad aplikacji kliknij przycisk OK.

  13. W oknie dialogowym Właściwości nowego szablonu w opisie Zasady aplikacji powinny się wyświetlić następujące elementy: Uwierzytelnianie serwera i Udostępnianie AMT.

  14. Kliknij kartę Zabezpieczenia i usuń uprawnienie Rejestracja z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa.

  15. Kliknij przycisk Dodaj, wprowadź nazwę grupy zabezpieczeń zawierającej konto komputera dla roli systemu lokacji punktu obsługi poza pasmem, a następnie kliknij przycisk OK.

  16. Wybierz dla tej grupy uprawnienie Rejestracja i nie usuwaj uprawnienia Odczyt.

  17. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  18. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij polecenie Nowy, a następnie kliknij pozycję Szablon certyfikatu do wystawienia.

  19. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Udostępnianie AMT w programie ConfigMgr, a następnie kliknij przycisk OK.

    Uwaga

    Jeśli nie możesz ukończyć kroku 18 lub 19, sprawdź, czy na pewno korzystasz z systemu Windows Server 2008 w wersji Enterprise Edition. Chociaż w systemie Windows Server Standard Edition z usługą certyfikatów można konfigurować szablony, to nie można wdrażać certyfikatów przy użyciu zmodyfikowanych szablonów certyfikatów w systemie innym niż Windows Server 2008 Enterprise Edition.

  20. Nie zamykaj konsoli Urząd certyfikacji.

Certyfikat udostępniania AMT z wewnętrznego urzędu certyfikacji jest teraz gotowy to zainstalowania na komputerze punktu obsługi poza pasmem.

Aby zainstalować certyfikat udostępniania AMT

  1. Uruchom ponownie serwer członkowski z uruchomionymi usługami IIS, aby upewnić się, że dzięki skonfigurowanemu uprawnieniu ma on dostęp do szablonu certyfikatu.

  2. Kliknij przycisk Start, kliknij polecenie Uruchom i wpisz mmc.exe. W pustej konsoli kliknij menu Plik, a następnie kliknij polecenie Dodaj/Usuń przystawkę.

  3. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz z listy Dostępne przystawki pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

  4. W oknie dialogowym Przystawka certyfikatów wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.

  5. W oknie dialogowym Wybieranie komputera sprawdź, czy jest wybrana pozycja Komputer lokalny: (komputer, na którym uruchomiona jest ta konsola), a następnie kliknij przycisk Zakończ.

  6. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij przycisk OK.

  7. W konsoli rozwiń listę Certyfikaty (komputer lokalny), a następnie kliknij opcję Osobisty.

  8. Kliknij prawym przyciskiem myszy pozycję Certyfikaty, kliknij opcję Wszystkie zadania, a następnie kliknij przycisk Żądaj nowego certyfikatu.

  9. Na stronie Zanim rozpoczniesz kliknij przycisk Dalej.

  10. Jeżeli wyświetli się strona Wybierz zasady rejestracji certyfikatu, kliknij przycisk Dalej.

  11. Na stronie Żądaj certyfikatów z listy wyświetlanych certyfikatów wybierz pozycję Udostępnianie AMT, a następnie kliknij przycisk Zarejestruj.

  12. Na stronie Wyniki instalacji certyfikatów poczekaj na ukończenie instalacji certyfikatu, a następnie kliknij przycisk Zakończ.

  13. Zamknij konsolę Certyfikaty (komputer lokalny).

Certyfikat udostępniania AMT z wewnętrznego urzędu certyfikacji jest teraz zainstalowany i gotowy do wybrania we właściwościach punktu obsługi poza pasmem.

Tworzenie i wystawianie szablonu certyfikatu serwera sieci Web dla komputerów opartych na technologii AMT

Użyj poniższej procedury, aby przygotować certyfikaty serwera sieci Web dla komputerów opartych na technologii AMT.

Aby utworzyć i wystawić szablon certyfikatu serwera sieci

  1. Utwórz pustą grupę zabezpieczeń, w której znajdą się konta komputerów AMT tworzone przez program System Center 2012 Configuration Manager podczas udostępniania AMT.

  2. Na serwerze członkowskim z zainstalowanymi usługami certyfikatów w konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę Szablony certyfikatów.

  3. W okienku wyników w kolumnie Nazwa wyświetlana szablonu kliknij prawym przyciskiem myszy wpis opisany jako Serwer sieci Web, a następnie kliknij przycisk Duplikuj szablon.

  4. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  5. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu w celu wygenerowania certyfikatów sieci Web, które będą używane do zarządzania poza pasmem na komputerach AMT, taką jakCertyfikat serwera sieci Web AMT programu ConfigMgr.

  6. Kliknij kartę Nazwa podmiotu, kliknij opcję Konstruuj z tej informacji usługi Active Directory, dla ustawienia Format nazwy podmiotu wybierz opcję Nazwa pospolita, a dla ustawienia alternatywnej nazwy podmiotu wyczyść pole wyboru opcji Główna nazwa użytkownika (UPN).

  7. Kliknij kartę Zabezpieczenia i usuń uprawnienie Rejestracja z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa.

  8. Kliknij przycisk Dodaj i wprowadź nazwę grupy zabezpieczeń utworzonej dla udostępniania AMT. Następnie kliknij przycisk OK.

  9. Wybierz dla tej grupy zabezpieczeń następujące uprawnienia z kategorii Zezwalaj: Odczyt i Rejestracja.

  10. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  11. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij polecenie Nowy, a następnie kliknij pozycję Szablon certyfikatu do wystawienia.

  12. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Certyfikat serwera sieci Web AMT programu ConfigMgr, a następnie kliknij przycisk OK.

  13. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Szablon serwera sieci Web AMT jest teraz gotowy do udostępniania komputerom opartym na technologii AMT certyfikatów serwera sieci Web. W tym celu należy wybrać ten szablon certyfikatu we właściwościach składnika zarządzania poza pasmem.

Tworzenie i wystawianie certyfikatów uwierzytelniania klienta dla komputerów opartych na technologii AMT 802.1X

Użyj poniższej procedury, jeśli komputery oparte na technologii AMT będą używać certyfikatów klienta dla uwierzytelnianych sieci przewodowych i bezprzewodowych 802.1X.

Aby utworzyć i wydać szablon certyfikatu uwierzytelniania klienta w urzędzie certyfikacji

  1. Na serwerze członkowskim z zainstalowanymi usługami certyfikatów w konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę Szablony certyfikatów.

  2. W okienku wyników w kolumnie Nazwa wyświetlana szablonu kliknij prawym przyciskiem myszy wpis opisany jako Uwierzytelnianie stacji roboczej, a następnie kliknij przycisk Duplikuj szablon.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  3. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu w celu wygenerowania certyfikatów klienta, które będą używane do zarządzania poza pasmem na komputerach AMT, taką jakCertyfikat uwierzytelniania klienta AMT 802.1X programu ConfigMgr.

  4. Kliknij kartę Nazwa podmiotu, kliknij opcję Konstruuj z tej informacji usługi Active Directory i dla ustawienia Format nazwy podmiotu wybierz opcję Nazwa pospolita. Dla alternatywnej nazwy podmiotu wyczyść ustawienie Nazwa DNS, a następnie wybierz opcję Główna nazwa użytkownika (UPN).

  5. Kliknij kartę Zabezpieczenia i usuń uprawnienie Rejestracja z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa.

  6. Kliknij przycisk Dodaj i wprowadź nazwę grupy zabezpieczeń, którą określisz we właściwościach składnika zarządzania poza pasmem i która będzie obejmować konta komputerów opartych na technologii AMT. Następnie kliknij przycisk OK.

  7. Wybierz dla tej grupy zabezpieczeń następujące uprawnienia z kategorii Zezwalaj: Odczyt i Rejestracja.

  8. Kliknij przycisk OK i zamknij konsolę zarządzania Szablony certyfikatów, certtmpl – [Szablony certyfikatów].

  9. W konsoli zarządzania Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij polecenie Nowy, a następnie kliknij pozycję Szablon certyfikatu do wystawienia.

  10. W oknie dialogowym Włączanie szablonu certyfikatu wybierz właśnie utworzony nowy szablon, Certyfikat uwierzytelniania klienta AMT 802.1X programu ConfigMgr, a następnie kliknij przycisk OK.

  11. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Szablon certyfikatu uwierzytelniania klienta jest teraz gotowy do wystawiania komputerom opartym na technologii AMT certyfikatów, których można będzie użyć do uwierzytelniania klientów 802.1X. W tym celu należy wybrać ten szablon certyfikatu we właściwościach składnika zarządzania poza pasmem.

Wdrażanie certyfikatu klienta na komputerach Mac

Uwaga

Certyfikat klienta dla komputerów Mac dotyczy tylko programu Menedżer konfiguracji SP1 i późniejszych wersji.

W tym wdrożeniu certyfikatu zarówno utworzenie, jak i wystawienie szablonu certyfikatu rejestracji w urzędzie certyfikacji jest objęte tą samą procedurą.

Tworzenie i wystawianie szablonu certyfikatu klienta Mac w urzędzie certyfikacji

Ta procedura powoduje utworzenie niestandardowego szablonu certyfikatu dla komputerów Mac programu Menedżer konfiguracji i dodanie go do urzędu certyfikacji.

Uwaga

Ta procedura korzysta z innego szablonu certyfikatu niż szablony certyfikatów, które być może utworzono wcześniej dla klientów z systemem Windows lub dla punktów dystrybucji.

Tworzenie nowego szablonu certyfikatu dla tego certyfikatu pozwala ograniczyć żądanie certyfikatu do użytkowników autoryzowanych.

Aby utworzyć i wydać szablon certyfikatu klienta Mac w urzędzie certyfikacji

  1. Utwórz grupę zabezpieczeń zawierającą konta użytkownika dla użytkowników administracyjnych, którzy będą rejestrowali ten certyfikat na komputerze Mac za pomocą programu Menedżer konfiguracji.

  2. Na serwerze członkowskim z uruchomioną konsolą Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij przycisk Zarządzaj, aby załadować konsolę zarządzania szablonami certyfikatów.

  3. W okienku wyników w kolumnie Sesja uwierzytelniona kliknij prawym przyciskiem myszy wpis opisany jako Nazwa wyświetlana szablonu, a następnie kliknij przycisk Duplikuj szablon.

  4. W oknie dialogowym Duplikowanie szablonu sprawdź, czy jest wybrany system Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

    System_CAPS_importantWażne

    Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

  5. W oknie dialogowym Właściwości nowego szablonu, na karcie Ogólne wprowadź nazwę szablonu, aby wygenerować certyfikat klienta Mac, na przykład Certyfikat klienta Mac ConfigMgr.

  6. Kliknij kartę Nazwa podmiotu, upewnij się, że wybrana jest opcja Utwórz na podstawie tych informacji usługi Active Directory, dla ustawienia Format nazwy podmiotu: wybierz opcję Nazwa pospolita, a w ustawieniu Dołącz te informacje do alternatywnej nazwy podmiotu: usuń zaznaczenie opcji Główna nazwa użytkownika (UPN).

  7. Kliknij kartę Zabezpieczenia i usuń uprawnienie Rejestracja z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa.

  8. Kliknij polecenie Dodaj, określ grupę zabezpieczeń utworzoną w pierwszym kroku i kliknij przycisk OK.

  9. Wybierz dla tej grupy uprawnienie Rejestracja i nie usuwaj uprawnienia Odczyt.

  10. Kliknij przycisk OK i zamknij konsolę Szablony certyfikatów.

  11. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij przycisk Nowy, a następnie kliknij przycisk Szablon certyfikatu do wystawienia.

  12. W oknie dialogowym Włączanie szablonów certyfikatu wybierz nowo utworzony szablon, Certyfikat klienta Mac ConfigMgr, i kliknij przycisk OK.

  13. Po zakończeniu tworzenia i wystawiania certyfikatów zamknij konsolę Urząd certyfikacji.

Szablon certyfikatu klienta Mac jest gotowy do wybrania przy konfiguracji ustawień rejestrowanego klienta.