本文件已封存並已停止維護。

如何在 Operations Manager 2007 中使用 Windows Server 2003 獨立 CA 取得憑證

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

下列程序提供一些步驟,說明如何使用憑證服務 (Windows 2000 Server 和 Windows Server 2003 的功能),從企業憑證授權單位 (CA) 取得憑證。若要以此方式取得憑證,您必須:

執行下列程序:

  • 下載信任的根 (CA) 憑證。

  • 匯入信任的根 (CA) 憑證

  • 從獨立 CA 要求憑證。

  • 核淮擱置的憑證要求。若已將憑證服務設定為自動核淮憑證,請繼續下一個程序以擷取憑證。否則,CA 系統管理員需要使用「擷取憑證」程序發行憑證。

  • 擷取憑證。

  • 使用 MOMCertImport 公用程式將憑證匯入 Operations Manager。

下載信任的根 (CA) 憑證

  1. 登入到安裝憑證的電腦,例如閘道伺服器或管理伺服器。

  2. 啟動 Internet Explorer,並連線到主控憑證服務的電腦,例如 http://<servername>/certsrv。

  3. 在 [歡迎使用] 頁面上,按一下 [下載 CA 憑證、憑證鏈結或 CRL]。

  4. 在 [下載 CA 憑證,憑證鏈結或 CRL] 頁面上,按一下 [編碼方法],然後按一下 [Base 64],再按一下 [下載 CA 憑證鏈結]。

  5. 在 [檔案下載] 對話方塊中,按一下 [儲存] 並儲存憑證,例如 Trustedca.p7b

  6. 下載完成時,關閉 Internet Explorer。

匯入信任的根 (CA) 憑證

  1. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 mmc,然後按一下 [確定]。

  3. 在 [主控台1] 視窗中,按一下 [檔案],然後按一下 [新增/移除嵌入式管理單元]。

  4. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]。

  5. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [憑證],然後按一下 [新增]。

  6. 在 [憑證嵌入式管理單元] 對話方塊中,選取 [電腦帳戶],然後按一下 [下一步]。

  7. 在 [選擇電腦] 對話方塊中,確定已選取 [本機電腦: (執行這個主控台的電腦)],然後按一下 [完成]。

  8. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉]。

  9. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。

  10. 在 [主控台1] 視窗中,展開 [憑證 (本機電腦)],再展開 [信任的根憑證授權],然後按一下 [憑證]。

  11. 以滑鼠右鍵按一下 [憑證],選取 [所有工作],然後按一下 [匯入]。

  12. 在 [憑證匯入精靈] 中,按一下 [下一步]。

  13. 在 [匯入檔案] 頁面上,按一下 [瀏覽],選取您下載 CA 憑證檔的位置 (例如 TrustedCA.p7b),選取該檔案,然後按一下 [開啟]。

  14. 在 [匯入檔案] 頁面上,選取 [將所有憑證放入以下的存放區],然後確定 [信任的根憑證授權] 出現在 [憑證存放區] 方塊中,再按一下 [下一步]。

  15. 在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。

從獨立 CA 要求憑證

  1. 登入到要安裝憑證的電腦 (例如,閘道伺服器或管理伺服器)。

  2. 啟動 Internet Explorer,然後連線到主控憑證服務的電腦 (例如,http://<servername>/certsrv)。

  3. 在 [Microsoft 憑證服務歡迎使用] 頁面上,按一下 [要求憑證]。

  4. 在 [要求憑證] 頁面上,按一下 [或提交進階憑證要求]。

  5. 在 [進階憑證要求] 頁面上,按一下 [向這個 CA 建立並提交一個要求]。

  6. 在 [進階憑證要求] 頁面上,執行下列動作:

    1. 在 [識別資訊] 下的 [名稱] 欄位中,輸入唯一的名稱,例如您正在要求其憑證之電腦的完整網域名稱 (FQDN)。對於其他欄位,輸入適當的資訊。

      note附註
      如果在 [名稱] 欄位中輸入的 FQDN 不符合電腦名稱,則會產生類型錯誤的事件識別碼 20052。

    2. 在 [所需的憑證類型] 下:

      按一下清單,然後選取 [其他]。

      在 [OID] 欄位中,輸入 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2

    3. 在 [金鑰選項] 下,進行下列選取:

      按一下 [建立新的金鑰組]

      在 [CSP] 欄位中,選取 [Microsoft Enhanced Cryptographic Provider v1.0]

      在 [金鑰使用方式] 下,選取 [兩者皆是]

      在 [金鑰大小] 下,選取 [1024]

      選取 [自動金鑰容器名稱]

      選取 [將金鑰標示成可匯出]

      清除 [將金鑰匯出到檔案] (Windows Server 2008 AD CS 不需要執行此動作)

      清除 [啟用增強式私密金鑰保護]

      按一下 [將憑證存放在本機電腦憑證存放區]

    4. 在 [其他選項] 下:

      在 [要求格式] 下,選取 [CMC]

      在 [雜湊演算法] 清單中,選取 [SHA-1]

      清除 [將要求儲存到檔案]

      在 [好記的名稱] 欄位中,輸入正在要求憑證之電腦的 FQDN。

    5. 按一下 [提交]。

    6. 如果畫面顯示有關可能違反安全性的對話方塊,請按一下 [是]。

    7. 顯示 [憑證擱置] 頁面時,請關閉瀏覽器。

核淮擱置的憑證要求

  1. 以憑證授權單位系統管理員身分,登入主控憑證服務的電腦。

  2. 在 Windows 桌面上,按一下 [開始],指向 [程式集],指向 [系統管理工具],然後按一下 [憑證授權單位]。

  3. 在 [憑證授權單位] 中,展開憑證授權單位名稱的節點,然後按一下 [擱置要求]。

  4. 在結果窗格中,在前一個程序的擱置要求上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [發行]。

  5. 按一下 [已發出的憑證],然後確定畫面已列出您剛才發行的憑證。

  6. 關閉 [憑證授權單位]。

擷取憑證

  1. 登入到要安裝憑證的電腦 (例如,閘道伺服器或管理伺服器)。

  2. 啟動 Internet Explorer,並連線到主控憑證服務的電腦 (例如,http://<servername>/certsrv)。

  3. 在 [Microsoft 憑證服務歡迎使用] 頁面上,按一下 [檢視擱置中的憑證要求狀態]。

  4. 在 [檢視擱置中的憑證要求狀態] 頁面上,按一下您要求的憑證。

  5. 在 [憑證已發出] 頁面上,按一下 [安裝這個憑證]。

  6. 在 [隱藏性指令碼執行違規] 對話方塊中,按一下 [是]。

  7. 在 [憑證已安裝] 頁面上,在看到「您的新憑證已經安裝成功」訊息後,請關閉瀏覽器。

使用 MOMCertImport 匯入憑證

  1. 使用 Administrators 群組成員的帳戶登入電腦。

  2. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  3. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  4. 在命令提示下,鍵入 <drive_letter>:(其中 <drive_letter> 是 Operations Manager 2007 安裝媒體所在的磁碟機),然後按 ENTER。

  5. 鍵入 cd\SupportTools\i386,然後按 ENTER。

    note附註
    在 64 位元電腦上,鍵入 cd\SupportTools\amd64

  6. 鍵入下列字行:

    MOMCertImport

  7. 在 [選擇憑證] 對話方塊中,選取您在上一節擷取的憑證,然後按一下 [確定]。

    note附註
    為協助您在顯示的多個憑證中選取正確的憑證,請選取用途列為 [伺服器驗證] 和 [用戶端驗證] 的 憑證,以及好記的名稱符合您在上面「從獨立 CA 要求憑證」程序的步驟 6d 中定義之好記名稱的憑證。

  8. 在命令對話方塊中,[成功安裝憑證。請查看 eventviewer 中的 Operations Manager 記錄檔以檢查通道連線] 訊息將會顯示。

另請參閱

 
顯示: