本文件已封存並已停止維護。

如何在 Operations Manager 2007 中使用 Windows Server 2003 企業 CA 取得憑證

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

下列程序提供一些步驟,說明如何使用憑證服務 (Windows 2000 Server 和 Windows Server 2003 的功能),從企業憑證授權單位 (CA) 取得憑證。若要以此方式取得憑證,您必須執行下列操作:

  • 下載信任的根 (CA) 憑證。

  • 匯入信任的根 (CA) 憑證。

  • 建立憑證範本。

  • 從企業 CA 要求憑證。

  • 將憑證匯入 Operations Manager 中。

下載信任的根 (CA) 憑證

  1. 登入到安裝憑證的電腦,例如閘道伺服器或管理伺服器。

  2. 啟動 Internet Explorer,並連線到主控憑證服務的電腦,例如 http://<servername>/certsrv。

  3. 在 [歡迎使用] 頁面上,按一下 [下載 CA 憑證,憑證鏈結或 CRL]。

  4. 在 [下載 CA 憑證,憑證鏈結或 CRL] 頁面上,按一下 [編碼方法],然後按一下 [Base 64],再按一下 [下載 CA 憑證鏈結]。

  5. 在 [檔案下載] 對話方塊中,按一下 [儲存] 並儲存憑證,例如 Trustedca.p7b

  6. 下載完成時,關閉 Internet Explorer。

匯入信任的根 (CA) 憑證

  1. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 mmc,然後按一下 [確定]。

  3. 在 [主控台1] 視窗中,按一下 [檔案],然後按一下 [新增/移除嵌入式管理單元]。

  4. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]。

  5. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [憑證],然後按一下 [新增]。

  6. 在 [憑證嵌入式管理單元] 對話方塊中,選取 [電腦帳戶],然後按一下 [下一步]。

  7. 在 [選取電腦] 對話方塊中,確定已選取 [本機電腦 (執行這個主控台的電腦):],然後按一下 [完成]。

  8. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉]。

  9. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。

  10. 在 [主控台1] 視窗中,展開 [憑證 (本機電腦)],再展開 [信任的根憑證授權],然後按一下 [憑證]。

  11. 以滑鼠右鍵按一下 [憑證],選取 [所有工作],然後按一下 [匯入]。

  12. 在 [憑證匯入精靈] 中,按一下 [下一步]。

  13. 在 [匯入檔案] 頁面上,按一下 [瀏覽],選取您下載 CA 憑證檔的位置 (例如 TrustedCA.p7b),選取該檔案,然後按一下 [開啟]。

  14. 在 [匯入檔案] 頁面上,選取 [將所有憑證放入以下的存放區],然後確定 [信任的根憑證授權] 出現在 [憑證存放區] 方塊中,再按一下 [下一步]。

  15. 在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。

建立憑證範本

  1. 在主控您企業 CA 的電腦上,在 Windows 桌面上按一下 [開始],依次指向 [程式集] 及 [系統管理工具],然後按一下 [憑證授權單位]。

  2. 在瀏覽窗格中,展開 CA 名稱,在 [憑證範本] 上按一下滑鼠右鍵,然後按一下 [管理]。

  3. 在 [憑證範本] 主控台的結果窗格中,在 [IPSec (離線要求)] 上按一下滑鼠右鍵,然後按一下 [複製範本]。

  4. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上,在 [範本顯示名稱] 文字方塊中鍵入此範本的新名稱 (例如,OperationsManagerCert)。

  5. 在 [要求處理] 索引標籤上,選取 [允許匯出私密金鑰],然後按一下 [CSP]。

  6. 在 [CSP 選取] 對話方塊中,選取最適合您企業需求的密碼編譯服務提供者,然後按一下 [確定]。

    note附註
    Windows 2000 Server 將使用 Microsoft Enhanced Cryptographic Provider 1.0。Windows Server 2003 和 Windows XP 將使用 Microsoft RSA SChannel 密碼編譯提供者

  7. 按一下 [延伸] 索引標籤,並在 [在這個範本中所包含的延伸] 中,依序按一下 [應用程式原則] 及 [編輯]。

  8. 在 [編輯應用程式原則延伸] 對話方塊中,按一下 [IP 安全性 IKE 中繼],然後按一下 [移除]。

  9. 按一下 [新增],然後在 [應用程式原則清單] 中,按住 CTRL 鍵以複選清單中的項目,按一下 [用戶端驗證] 及 [伺服器驗證],再按一下 [確定]。

  10. 在 [編輯應用程式原則延伸] 對話方塊中,按一下 [確定]。

  11. 按一下 [安全性] 索引標籤,確定 [已驗證的使用者] 群組具有 [讀取] 和 [註冊] 權限,然後按一下 [確定]。

將範本新增至 [憑證範本] 資料夾

  1. 在 [憑證授權單位] 嵌入式管理單元內,以滑鼠右鍵按一下 [憑證範本] 資料夾,指向 [新增],然後按一下 [要發出的憑證範本]。

  2. 在 [啟用憑證範本] 方塊中,選取您所建立的憑證範本,然後按一下 [確定]。

從企業 CA 要求憑證

  1. 登入到要安裝憑證的電腦 (例如,閘道伺服器或管理伺服器)。

  2. 啟動 Internet Explorer,並連線到主控憑證服務的電腦 (例如,http://<servername>/certsrv)。

  3. 在 [Microsoft 憑證服務歡迎使用] 頁面上,按一下 [要求憑證]。

  4. 在 [要求憑證] 頁面上,按一下 [或提交進階憑證要求]。

  5. 在 [進階憑證要求] 頁面上,按一下 [向這個 CA 建立並提交一個要求]。

  6. 在 [進階憑證要求] 頁面上,執行下列動作:

    1. 在 [憑證範本] 下,選取已建立的範本名稱 (例如,OperationsManagerCert)。

    2. 在 [離線範本識別資訊] 下的 [名稱] 欄位中,輸入唯一名稱,例如正在要求憑證之電腦的完整網域名稱 (FQDN)。對於其他欄位,輸入適當的資訊。

      note附註
      如果在 [名稱] 欄位中輸入的 FQDN 不符合電腦名稱,則會產生類型錯誤的事件識別碼 20052。

    3. 在 [金鑰選項] 下,按一下 [建立新的金鑰組];在 [CSP] 欄位中,選取最適合您企業需求的密碼編譯服務提供者;在 [金鑰大小] 下,選取最適合您企業需求的金鑰大小;選取 [自動金鑰容器名稱];確定選取 [將金鑰標示成可匯出];清除 [將金鑰匯出到檔案];清除 [啟用增強式私密金鑰保護];然後按一下 [將憑證存放在本機電腦憑證存放區]。

      note附註
      Windows 2000 Server 將使用 Microsoft Enhanced Cryptographic Provider 1.0。Windows Server 2003 和 Windows XP 將使用 Microsoft RSA SChannel 密碼編譯提供者

    4. 在 [其他選項] 下,於 [要求格式] 下選取 [CMC];在 [雜湊演算法] 清單中選取 [SHA-1];清除 [將要求儲存到檔案];然後在 [好記的名稱] 欄位中,輸入正在要求憑證之電腦的 FQDN。

    5. 按一下 [提交]。

    6. 如果畫面顯示 [隱藏性指令碼執行違規] 訊息,請按一下 [是]。

    7. 在 [憑證已發出] 頁面上,按一下 [安裝這個憑證]。

    8. 如果畫面顯示 [隱藏性指令碼執行違規] 對話方塊,請按一下 [是]。

    9. 在 [憑證已安裝] 頁面上,當您看到 [您的新憑證已經安裝成功] 訊息時,請關閉瀏覽器。

使用 MOMCertImport 匯入憑證

  1. 使用 Administrators 群組成員的帳戶登入電腦。

  2. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  3. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  4. 在命令提示下,鍵入 <drive_letter>:(其中 <drive_letter> 是 Operations Manager 2007 安裝媒體所在的磁碟機),然後按 ENTER。

  5. 鍵入 cd\SupportTools\i386,然後按 ENTER。

    note附註
    在 64 位元電腦上,鍵入 cd\SupportTools\amd64

  6. 鍵入下列字行:

    MOMCertImport /SubjectName <憑證主體名稱>

  7. 按 ENTER。

另請參閱

 
顯示: