如何在 System Center Essentials 2010 中建立憑證
適用於: System Center Essentials 2010
下列程序提供一些步驟,說明如何使用憑證服務 (Windows Server 2003 和 Windows Server 2008 的元件) 來取得獨立憑證授權單位 (CA) 的憑證。您必須按下列順序執行程序:
從獨立 CA 要求憑證。
核淮擱置的憑證要求。如果憑證服務設定為自動核淮憑證,請繼續執行程序以擷取憑證。否則,CA 系統管理員必須發行憑證。如果您是 CA 系統管理員,可使用本主題的程序來發行憑證。
擷取憑證。
將憑證匯入 Essentials 2010。如需詳細資訊,請參閱如何在 System Center Essentials 2010 中匯入憑證。
匯入 CA 憑證。如需詳細資訊,請參閱如何在 System Center Essentials 2010 中匯入憑證。
若要從獨立 CA 要求憑證
登入到要安裝憑證的電腦,例如閘道伺服器或管理伺服器。
啟動 Internet Explorer,並連線到主控憑證服務的電腦,例如,http://<servername>/certsrv。
在 [Microsoft 憑證服務歡迎使用] 頁面上,按一下 [要求憑證]。
在 [要求憑證] 頁面上,按一下 [或提交進階憑證要求]。
在 [進階憑證要求] 頁面上,按一下 [向這個 CA 建立並提交一個要求]。
在 [進階憑證要求] 頁面上,執行下列動作:
在 [識別資訊] 下的 [名稱] 方塊中,輸入唯一的名稱,例如您正在要求其憑證的電腦之完整網域名稱 (FQDN)。對於其他欄位,輸入適當的資訊。
注意
如果在 [名稱] 欄位中輸入的 FQDN 不符合電腦名稱,則會產生類型錯誤的事件識別碼 20052。
在 [需要的憑證類型] 下,按一下清單並選取 [其他]。在 [OID] 欄位中,輸入 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2。
在 [金鑰選項] 下,按一下 [建立新的金鑰組]。在 [CSP] 欄位中,選取 [Microsoft Enhanced Cryptographic Provider v1.0]。在 [金鑰使用方式] 下選取 [兩者都可以]。在 [金鑰大小] 下選取 [1024]。選取 [自動金鑰容器名稱]。選取 [將金鑰標示成可匯出]。依序清除 [將金鑰匯出到檔案] 核取方塊和 [啟用加強私密金鑰保護] 核取方塊,然後按一下 [將憑證存放在本機電腦憑證存放區]。
在 [其他選項] 下,於 [要求格式] 下選取 [CMC]。在 [雜湊演算法] 清單中選取 [SHA-1],清除 [將要求儲存到檔案] 核取方塊,然後在 [好記的名稱] 方塊中,輸入正在要求憑證的電腦之完整網域名稱 (FQDN)。
按一下 [提交]。
如果出現有關可能違反安全性的對話方塊,請按一下 [是]。
出現 [憑證擱置] 頁面後,請關閉瀏覽器。
若要核淮擱置的憑證要求
以憑證授權單位系統管理員身分,登入主控憑證服務的電腦。
在工作列上,按一下 [開始],指向 [程式集],指向 [系統管理工具],然後按一下 [憑證授權單位]。
在 [憑證授權單位] 中,展開憑證授權單位名稱的節點,然後按一下 [擱置要求]。
在結果窗格中,在前一個程序的擱置要求上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [發行]。
按一下 [已發出的憑證],然後確定畫面已列出您剛才發行的憑證。
關閉 [憑證授權單位]。
若要擷取憑證
登入到要安裝憑證的電腦,例如 Essentials 管理伺服器或加入工作群組的電腦。
啟動 Internet Explorer,然後連線到主控憑證服務的電腦,例如,http://<servername>/certsrv。
在 [Microsoft 憑證服務歡迎使用] 頁面上,按一下 [檢視擱置中的憑證要求狀態]。
在 [檢視擱置中的憑證要求狀態] 頁面上,按一下您要求的憑證。
在 [憑證已發出] 頁面上,按一下 [安裝這個憑證]。
在 [隱藏性指令碼執行違規] 對話方塊中,按一下 [是]。
在 [憑證已安裝] 頁面上,在看到「您的新憑證已經安裝成功」訊息後,請關閉瀏覽器。
如何針對 Essentials 2010,在企業 CA 中建立憑證
下列程序提供一些步驟,說明如何使用憑證服務 (Windows Server 2003 和 Windows Server 2008 的元件) 來取得企業憑證授權 (CA) 的憑證。您必須按下列順序完成程序:
建立憑證範本。
從企業 CA 要求憑證。
將憑證匯入 Essentials 2010。如需詳細資訊,請參閱如何在 System Center Essentials 2010 中匯入憑證。
匯入 CA 憑證。如需詳細資訊,請參閱如何在 System Center Essentials 2010 中匯入憑證。
若要建立憑證範本
在主控企業 CA 的電腦上,在工作列上按一下 [開始],依次指向 [程式集] 及 [系統管理工具],然後按一下 [憑證授權單位]。
在瀏覽窗格中,展開 CA 名稱,在 [憑證範本] 上按一下滑鼠右鍵,然後按一下 [管理]。
在 [憑證範本] 主控台的結果窗格中,在 [IPsec (離線要求)] 上按一下滑鼠右鍵,然後按一下 [複製範本]。
在 [新範本的內容] 對話方塊的 [一般] 索引標籤上,在 [範本顯示名稱] 方塊中鍵入此範本的新名稱,例如,EssentialsCert。
在 [處理要求] 索引標籤中,選取 [允許匯出私密金鑰],然後按一下 [CSP]。
在 [CSP 選取] 對話方塊中,選取最適合您企業需求的密碼編譯服務提供者,然後按一下 [確定]。
注意
Windows 2000 Server 支援 Microsoft Enhanced Cryptographic Provider 1.0。Windows Server 2008、Windows Server 2003 和 Windows XP 支援 Microsoft RSA SChannel Cryptographic Provider。
按一下 [延伸] 索引標籤,並在 [在這個範本中所包含的延伸] 中,依序按一下 [應用程式原則] 及 [移除]。
在 [編輯應用程式原則延伸] 對話方塊中,按一下 [IP 安全性 IKE 中繼],然後按一下 [移除]。
按一下 [新增],然後在 [應用程式原則清單] 中,按住 CTRL 鍵以選取多個項目。按一下 [用戶端驗證] 及 [伺服器驗證],然後按一下 [確定]。
在 [編輯應用程式原則延伸] 對話方塊中,按一下 [確定]。
按一下 [安全性] 索引標籤,確定使用者的群組具有 [讀取] 和 [註冊] 權限,然後按一下 [確定]。
若要從企業 CA 中要求憑證
登入到要安裝憑證的電腦,例如 Essentials 管理伺服器或加入工作群組的電腦。
啟動 Internet Explorer,並連線到主控憑證服務的電腦,例如,http://<servername>/certsrv。
在 [Microsoft 憑證服務歡迎使用] 頁面上,按一下 [要求憑證]。
在 [要求憑證] 頁面上,按一下 [或提交進階憑證要求]。
在 [進階憑證要求] 頁面上,按一下 [向這個 CA 建立並提交一個要求]。
在 [進階憑證要求] 頁面上,執行下列動作:
在 [憑證範本] 下,選取已建立的範本名稱,例如,EssentialsCert。
在 [離線範本識別資訊] 下的 [名稱] 方塊中,輸入唯一的名稱,例如正在要求憑證的電腦之完整網域名稱 (FQDN)。對於其他欄位,輸入適當的資訊。
注意
如果在 [名稱] 欄位中輸入的 FQDN 不符合電腦名稱,則會產生類型錯誤的事件識別碼 20052。
在 [金鑰選項] 下,按一下 [建立新的金鑰組],並在 [CSP] 欄位中,選取最適合您企業需求的密碼編譯服務提供者。在 [金鑰使用方式] 下選取 [兩者都可以],並在 [金鑰大小] 下選取最適合您企業需求的金鑰大小。選取 [自動金鑰容器名稱]。確認已選取 [將金鑰標示成可匯出],清除 [將金鑰匯出到檔案],清除 [啟用加強私密金鑰保護],然後按一下 [將憑證存放在本機電腦憑證存放區]。
注意
Windows 2000 Server 支援 Microsoft Enhanced Cryptographic Provider 1.0。Windows Server 2008、Windows Server 2003 和 Windows XP 支援 Microsoft RSA SChannel Cryptographic Provider。
在 [其他選項] 下,於 [要求格式] 下選取 [CMC]。在 [雜湊演算法] 清單中選取 [SHA-1],並清除 [將要求儲存到檔案]。在 [好記的名稱] 方塊中,輸入正在要求憑證的電腦之完整網域名稱 (FQDN)。
按一下 [提交]。
當出現 [隱藏性指令碼執行違規] 對話方塊時,請按一下 [是]。
在 [憑證已發出] 頁面上,按一下 [安裝這個憑證]。
當出現 [隱藏性指令碼執行違規] 對話方塊時,請按一下 [是]。
在 [憑證已安裝] 頁面上,當看到「您的新憑證已經安裝成功」訊息時,請關閉瀏覽器。
另請參閱
工作
如何在 System Center Essentials 2010 中匯入憑證
如何移除以 MOMCertImport 工具匯入的憑證