本文件已封存並已停止維護。

如何在 Operations Manager 2008 中使用 Windows Server 2003 獨立 CA 取得憑證

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

請使用本主題中的程序,從主控 Active Directory 憑證服務 (AD CS) 的獨立式 Windows Server 2008 電腦取得憑證。您將會使用 CertReq 命令列公用程式來要求及接受憑證,並使用網頁介面來提交與擷取您的憑證。

我們假設您已經安裝 AD CS、正在使用 HTTPS 繫結,而且已安裝其相關憑證。您可在如何設定 Windows Server 2008 CA 的 HTTPS 繫結主題取得建立 HTTPS 繫結的相關資訊。

Important重要事項
本主題的內容是以 Windows Server 2008 AD CS 的預設設定作為基礎;例如,將金鑰長度設為 2048、選取 Microsoft 軟體金鑰儲存提供者作為 CSP,並使用安全雜湊演算法 1 (SHA1)。請依據貴公司的安全性原則需求來評估這些選項。

從獨立憑證授權單位 (CA) 取得憑證的程序概要如下:

  1. 下載信任的根 (CA) 憑證。

  2. 匯入信任的根 (CA) 憑證

  3. 建立用於 CertReq 命令列公用程式的安裝資訊檔。

  4. 建立要求檔案。

  5. 使用要求檔案將要求提交至 CA。

  6. 核淮擱置的憑證要求。

  7. 從 CA 擷取憑證。

  8. 將憑證匯入憑證存放區。

  9. 使用 MOMCertImport 將憑證匯入 Operations Manager 中。

下載信任的根 (CA) 憑證

  1. 登入到安裝憑證的電腦,例如閘道伺服器或管理伺服器。

  2. 啟動 Internet Explorer,並連線到主控憑證服務的電腦,例如 http://<servername>/certsrv。

  3. 在 [歡迎使用] 頁面上,按一下 [下載 CA 憑證,憑證鏈結或 CRL]。

  4. 在 [下載 CA 憑證,憑證鏈結或 CRL] 頁面上,按一下 [編碼方法],再按一下 [Base 64],然後按一下 [下載 CA 憑證鏈結]。

  5. 在 [檔案下載] 對話方塊中,按一下 [儲存],並儲存憑證;例如 Trustedca.p7b。

  6. 下載完成後,關閉 Internet Explorer。

匯入信任的根 (CA) 憑證

  1. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 mmc,然後按一下 [確定]。

  3. 在 [主控台1] 視窗中,按一下 [檔案],然後按一下 [新增/移除嵌入式管理單元]。

  4. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]。

  5. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [憑證],然後按一下 [新增]。

  6. 在 [憑證嵌入式管理單元] 對話方塊中,選取 [電腦帳戶],然後按一下 [下一步]。

  7. 在 [選取電腦] 對話方塊中,確定已選取 [本機電腦 (執行這個主控台的電腦):],然後按一下 [完成]。

  8. 在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉]。

  9. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。

  10. 在 [主控台1] 視窗中,展開 [憑證 (本機電腦)],再展開 [信任的根憑證授權],然後按一下 [憑證]。

  11. 以滑鼠右鍵按一下 [憑證],選取 [所有工作],然後按一下 [匯入]。

  12. 在 [憑證匯入精靈] 中,按一下 [下一步]。

  13. 在 [匯入檔案] 頁面上,按一下 [瀏覽],選取您下載 CA 憑證檔的位置 (例如 TrustedCA.p7b),選取該檔案,然後按一下 [開啟]。

  14. 在 [匯入檔案] 頁面上,選取 [將所有憑證放入以下的存放區],然後確定 [信任的根憑證授權] 出現在 [憑證存放區] 方塊中,再按一下 [下一步]。

  15. 在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。

建立安裝資訊 (.inf) 檔

  1. 在主控您想要求憑證之 Operations Manager 元件的電腦上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 Notepad,然後按一下 [確定]。

  3. 建立包含下列內容的文字檔:

    [NewRequest]

    Subject="CN=<您要建立憑證之電腦 (例如閘道伺服器或管理伺服器) 的 FQDN。>"

    Exportable=TRUE

    KeyLength=2048

    KeySpec=1

    KeyUsage=0xf0

    MachineKeySet=TRUE

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1

    OID=1.3.6.1.5.5.7.3.2

  4. 使用 .inf 副檔名儲存檔案,例如 RequestConfig.inf。

  5. 關閉「記事本」。

建立用於獨立 CA 的要求檔案

  1. 在主控您想要求憑證之 Operations Manager 元件的電腦上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  3. 在命令視窗中,輸入 CertReq –New –f RequestConfig.inf CertRequest.req,然後按 ENTER。

  4. 使用「記事本」開啟產生的檔案 (例如 CertRequest.req)。將這個檔案的內容複製到剪貼簿。

將要求提交至獨立 CA

  1. 在主控您想要求憑證之 Operations Manager 元件的電腦上,啟動 Internet Explorer,然後連線到主控憑證服務的電腦 (例如 https://<servername>/certsrv)。

    note附註
    如果憑證服務網站尚未設定 HTTPS 繫結,瀏覽器連線將會失敗。請參閱本指南的如何設定 Windows Server 2008 CA 的 HTTPS 繫結主題。

  2. 在 [Microsoft Active Directory 憑證服務歡迎使用] 畫面上,按一下 [要求憑證]。

  3. 在 [要求憑證] 頁面上,按一下 [進階憑證要求]。

  4. 在 [進階憑證要求] 頁面上,按一下 [用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求]。

  5. 在 [提交憑證要求或更新要求] 頁面的 [已儲存的要求] 文字方塊中,貼上您在前述程序步驟 4 中複製的 CertRequest.req 檔案內容,然後按一下 [提交]。

  6. 關閉 Internet Explorer。

核淮擱置的憑證要求

  1. 以憑證授權單位系統管理員身分,登入主控 Active Directory 憑證服務的電腦。

  2. 在 Windows 桌面上,按一下 [開始],指向 [程式集],指向 [系統管理工具],然後按一下 [憑證授權單位]。

  3. 在 [憑證授權單位] 中,展開憑證授權單位名稱的節點,然後按一下 [擱置要求]。

  4. 在結果窗格中,在前一個程序的擱置要求上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [發行]。

  5. 按一下 [已發出的憑證],然後確定畫面已列出您剛才發行的憑證。

  6. 關閉 [憑證授權單位]。

擷取憑證

  1. 登入到要安裝憑證的電腦,例如閘道伺服器或管理伺服器。

  2. 啟動 Internet Explorer,並連線到主控憑證服務的電腦 (例如 https://<servername>/certsrv)。

  3. 在 [Microsoft Active Directory 憑證服務歡迎使用] 頁面上,按一下 [檢視擱置中的憑證要求狀態]。

  4. 在 [檢視擱置中的憑證要求狀態] 頁面上,按一下您要求的憑證。

  5. 在 [憑證已發出] 頁面上,選取 [Base 64 編碼],然後按一下 [下載憑證]。

  6. 在 [檔案下載 – 安全性警告] 對話方塊中,按一下 [儲存],並儲存憑證;例如,另存為 NewCertificate.cer。

  7. 在 [憑證已安裝] 頁面上,在看到「您的新憑證已經安裝成功」訊息後,請關閉瀏覽器。

  8. 關閉 Internet Explorer。

將憑證匯入憑證存放區

  1. 在主控您要設定憑證之 Operations Manager 元件的電腦上,按一下 [開始],然後按一下 [執行]。

  2. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  3. 在命令視窗中,輸入 CertReq –Accept NewCertifiate.cer,然後按 ENTER。

使用 MOMCertImport 將憑證匯入 Operations Manager

  1. 使用 Administrators 群組成員的帳戶登入已安裝憑證的電腦。

  2. 在 Windows 桌面上,按一下 [開始],然後按一下 [執行]。

  3. 在 [執行] 對話方塊中,鍵入 cmd,然後按一下 [確定]。

  4. 在命令提示下,鍵入 <drive_letter>:(其中 <drive_letter> 是 Operations Manager 2007 安裝媒體所在的磁碟機),然後按 ENTER。

  5. 鍵入 cd\SupportTools\i386,然後按 ENTER。

    note附註
    在 64 位元電腦上,鍵入 cd\SupportTools\amd64

  6. 鍵入下列字行:

    MOMCertImport /SubjectName <Certificate Subject Name>

  7. 按 ENTER。

另請參閱

 
顯示: