本文件已封存並已停止維護。

如何在 Operations Manager 2008 中使用 Windows Server 2003 企業 CA 取得憑證

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

請使用本主題中的程序,從主控企業根 Active Directory 憑證服務 (AD CS) 的Windows Server 2008 電腦取得憑證。您將會使用 CertReq 命令列公用程式來要求及接受憑證,並使用網頁介面來提交與擷取您的憑證。

我們假設您已經安裝 AD CS、建立 HTTPS 繫結,而且已安裝其相關憑證。您可在如何設定 Windows Server 2008 CA 的 HTTPS 繫結主題取得建立 HTTPS 繫結的相關資訊。

Important重要事項
本主題的內容是以 Windows Server 2008 AD CS 的預設設定作為基礎;例如,將金鑰長度設為 2048、選取 Microsoft 軟體金鑰儲存提供者作為 CSP,並使用安全雜湊演算法 1 (SHA1)。請依據貴公司的安全性原則需求來評估這些選項。

從企業憑證授權單位 (CA) 取得憑證的程序概要如下:

  1. 下載信任的根 (CA) 憑證。

  2. 匯入信任的根 (CA) 憑證。

  3. 建立憑證範本。

  4. 將範本新增至 [憑證範本] 資料夾。

  5. 建立用於 CertReq 命令列公用程式的安裝資訊檔。

  6. 建立要求檔案。

  7. 將要求提交至 CA。

  8. 將憑證匯入憑證存放區。

  9. 使用 MOMCertImport 將憑證匯入 Operations Manager 中。

下載信任的根 (CA) 憑證

  1. 登入到安裝憑證的電腦,例如閘道伺服器或管理伺服器。

  2. 啟動 Internet Explorer,並連線到主控憑證服務的電腦,例如 http://<servername>/certsrv。

  3. 在 [歡迎使用] 頁面上,按一下 [下載 CA 憑證,憑證鏈結或 CRL]。

  4. 在 [下載 CA 憑證,憑證鏈結或 CRL] 頁面上,按一下 [編碼方法],再按一下 [Base 64],然後按一下 [下載 CA 憑證鏈結]。

  5. 在 [檔案下載] 對話方塊中,按一下 [儲存],並儲存憑證;例如 Trustedca.p7b。

  6. 下載完成後,關閉 Internet Explorer。

匯入信任的根 (CA) 憑證

  1. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 mmc,然後按一下 [確定]。

  3. 在 [主控台1] 視窗中,按一下 [檔案],然後按一下 [新增/移除嵌入式管理單元]。

  4. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]。

  5. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [憑證],然後按一下 [新增]。

  6. 在 [憑證嵌入式管理單元] 對話方塊中,選取 [電腦帳戶],然後按一下 [下一步]。

  7. 在 [選取電腦] 對話方塊中,確定已選取 [本機電腦 (執行這個主控台的電腦):],然後按一下 [完成]。

  8. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉]。

  9. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。

  10. 在 [主控台1] 視窗中,展開 [憑證 (本機電腦)],再展開 [信任的根憑證授權],然後按一下 [憑證]。

  11. 以滑鼠右鍵按一下 [憑證],選取 [所有工作],然後按一下 [匯入]。

  12. 在 [憑證匯入精靈] 中,按一下 [下一步]。

  13. 在 [匯入檔案] 頁面上,按一下 [瀏覽],然後選取先前下載 CA 憑證檔案 (例如 TrustedCA.p7b) 的位置,選取該檔案,再按一下 [開啟]。

  14. 在 [匯入檔案] 頁面上,選取 [將所有憑證放入以下的存放區],然後確定 [信任的根憑證授權] 出現在 [憑證存放區] 方塊中,再按一下 [下一步]。

  15. 在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。

建立憑證範本

  1. 在主控您企業 CA 的電腦上,在 Windows 桌面上按一下 [開始],依序指向 [程式集] 和 [系統管理工具],然後按一下 [憑證授權單位]。

  2. 在瀏覽窗格中,展開 CA 名稱,在 [憑證範本] 上按一下滑鼠右鍵,然後按一下 [管理]。

  3. 在 [憑證範本] 主控台的結果窗格中,在 [IPSec (離線要求)] 上按一下滑鼠右鍵,然後按一下 [複製範本]。

  4. 在 [複製範本] 對話方塊中,選取 [Windows Server 2003 Enterprise Edition],然後按一下 [確定]。

    note附註
    目前並不支援 Windows Server 2008 Enterprise Edition 的選項。

  5. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上,在 [範本顯示名稱] 文字方塊中鍵入此範本的新名稱,例如 OperationsManagerCert

  6. 在 [處理要求] 索引標籤上,選取 [允許匯出私密金鑰]。

  7. 按一下 [延伸] 索引標籤,並在 [在這個範本中所包含的延伸] 中,依序按一下 [應用程式原則] 及 [編輯]。

  8. 在 [編輯應用程式原則延伸] 對話方塊中,按一下 [IP 安全性 IKE 中繼],然後按一下 [移除]。

  9. 按一下 [新增],然後在 [應用程式原則清單] 中,按住 CTRL 鍵以複選清單中的項目,按一下 [用戶端驗證] 及 [伺服器驗證],再按一下 [確定]。

  10. 在 [編輯應用程式原則延伸] 對話方塊中,按一下 [確定]。

  11. 按一下 [安全性] 索引標籤,並確定 [已驗證的使用者] 群組具有 [讀取] 和 [註冊] 權限,然後按一下 [確定]。

  12. 關閉 [憑證範本] 主控台。

將範本新增至 [憑證範本] 資料夾

  1. 在主控您企業 CA 的電腦上,在憑證授權單位嵌入式管理單元中,以滑鼠右鍵按一下 [憑證範本] 資料夾,指向 [新增],然後按一下 [要發出的憑證範本]。

  2. 在 [啟用憑證範本] 方塊中,選取您建立的憑證範本;例如,按一下 [OperationsManagerCert],然後按一下 [確定]。

建立安裝資訊 (.inf) 檔

  1. 在主控您想要求憑證之 Operations Manager 元件的電腦上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 Notepad,然後按一下 [確定]。

  3. 建立包含下列內容的文字檔:

    [NewRequest]

    Subject="CN=<您要建立憑證之電腦 (例如閘道伺服器或管理伺服器) 的 FQDN。>"

    Exportable=TRUE

    KeyLength=2048

    KeySpec=1

    KeyUsage=0xf0

    MachineKeySet=TRUE

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1

    OID=1.3.6.1.5.5.7.3.2

  4. 使用 .inf 副檔名儲存檔案;例如 RequestConfig.inf。

  5. 關閉「記事本」。

建立用於企業 CA 的要求檔案

  1. 在主控您想要求憑證之 Operations Manager 元件的電腦上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  3. 在命令視窗中,輸入 CertReq –New –f RequestConfig.inf CertRequest.req,然後按 ENTER。

  4. 使用「記事本」開啟產生的檔案 (例如 CertRequest.req),然後將此檔案的內容複製到剪貼簿。

將要求提交至企業 CA

  1. 在主控您想要求憑證之 Operations Manager 元件的電腦上,啟動 Internet Explorer,然後連線到主控憑證服務的電腦,例如 https://<servername>/certsrv。

    note附註
    如果憑證服務網站尚未設定 HTTPS 繫結,瀏覽器連線將會失敗。請參閱本指南的如何設定 Windows Server 2008 CA 的 HTTPS 繫結主題。

  2. 在 [Microsoft Active Directory 憑證服務歡迎使用] 畫面上,按一下 [要求憑證]。

  3. 在 [要求憑證] 頁面上,按一下 [進階憑證要求]。

  4. 在 [進階憑證要求] 頁面上,按一下 [用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求]。

  5. 在 [提交憑證要求或更新要求] 頁面的 [已儲存的要求] 文字方塊中,貼上您在前述程序步驟 4 中複製的 CertRequest.req 檔案內容。

  6. 在 [憑證範本] 中,選取您建立的憑證範本,例如 OperationsManagerCert,然後按一下 [提交]。

  7. 在 [憑證已發出] 頁面上,選取 [Base 64 編碼],然後按一下 [下載憑證]。

  8. 在 [檔案下載 – 安全性警告] 對話方塊中,按一下 [儲存],並儲存憑證;例如,另存為 NewCertificate.cer。

  9. 關閉 Internet Explorer。

將憑證匯入憑證存放區

  1. 在主控您要設定憑證之 Operations Manager 元件的電腦上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  3. 在命令視窗中,輸入 CertReq –Accept NewCertifiate.cer,然後按 ENTER。

使用 MOMCertImport 將憑證匯入 Operations Manager

  1. 使用 Administrators 群組成員的帳戶登入已安裝憑證的電腦。

  2. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  3. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  4. 在命令提示下,鍵入 <drive_letter>:(其中 <drive_letter> 是 Operations Manager 2007 安裝媒體所在的磁碟機),然後按 ENTER。

  5. 鍵入 cd\SupportTools\i386,然後按 ENTER。

    note附註
    在 64 位元電腦上,鍵入 cd\SupportTools\amd64

  6. 鍵入下列字行:

    MOMCertImport /SubjectName <憑證主體名稱>

  7. 按 ENTER。

另請參閱

 
顯示: