將 HTTPS 檢查受信任的根 CA 憑證部署到用戶端電腦

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題說明如何將 HTTPS 檢查受信任的根憑證授權單位 (CA) 憑證匯入用戶端電腦。在組織中實作 HTTPS 檢查時,必須將這個憑證安裝在每個用戶端電腦上。

有兩種方法可以將 HTTPS 檢查受信任的根 CA 憑證匯入用戶端電腦:

  • 自動通過 Active Directory 網域服務 (AD DS):使用 AD DS 自動部署是建議的方式,因為憑證將會儲存在安全的位置,而且可減輕系統管理員手動部署的負擔。

    note附註:
    自動憑證部署需要將 Forefront TMG 部署在網域環境中。

  • 在每台用戶端電腦上手動部署:如果您不是使用 AD DS,就必須在每部用戶端電腦上手動安裝憑證,而且必須將憑證放在本機電腦的憑證存放區中。

note附註:
本主題說明如何部署 HTTPS 檢查受信任的根 CA 憑證,並將其匯入使用 Internet Explorer 存取 HTTPS 網站的用戶端電腦。若要將其他網頁瀏覽器設定成信任憑證,請參閱網頁瀏覽器的文件。

下列程序說明:

若要使用 AD DS 來部署憑證

  1. 在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [網頁存取原則] 節點。

  2. [工作] 窗格中,按一下 [設定網頁存取原則]

  3. [憑證部署喜好設定] 頁面的 [網域系統管理員使用者名稱] 方塊中,輸入 Domain\Username 格式的名稱。

    note附註:
    您輸入的認證必須擁有足夠的權限,才能更新 AD DS,而且允許在 Forefront TMG 上執行程序。

  4. 在精靈中繼續前進,然後在結束時按一下 [完成]。在 [套用變更] 列上,按一下 [套用]。不需要進一步設定,憑證會發送到 Active Directory 並自動部署到用戶端電腦。

    Important重要事項:
    • 在群組原則經過套用後即會開始部署至用戶端電腦的程序,而且有可能需要多達八小時的時間。

    • 在用戶端電腦收到憑證之前,存取 HTTPS 網站將在 Internet Explorer 中產生警告訊息:為了防止產生此訊息,建議您暫時停用 HTTPS 檢查。您可以在 [網頁存取原則] 節點的 [工作] 窗格中,按一下 [設定 HTTPS 檢查],然後清除 [啟用 HTTPS 檢查] 核取方塊,即可停用檢查。完成部署時,請重新啟用 HTTPS 檢查。

如果您必須移除已自動部署至用戶端電腦的憑證,可以透過執行下列命令達成此目的:

certutil.exe –dc <Domain Controller> -dsdel <Subject_Name>

<Subject_Name> 是指 HTTPS 檢查憑證的主體名稱。

note附註:
  • 您輸入的認證必須擁有足夠的權限,才能更新 AD DS,而且允許在 Forefront TMG 上執行程序。

  • 在群組原則經過套用後即會開始部署至用戶端電腦的程序,而且有可能需要多達八小時的時間。

手動部署 HTTPS 檢查受信任的根 CA 憑證需要兩個動作:

  1. 從 Forefront TMG 匯出憑證。

  2. 將憑證匯入每部用戶端電腦。

匯出憑證

  1. 在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [網頁存取原則] 節點。

  2. [工作] 窗格中,按一下 [設定網頁存取原則],然後遵循精靈中的指示。

  3. [憑證部署喜好設定] 頁面上,選取 [我將手動匯出並部署憑證],鍵入檔案名稱和位置,然後按 [下一步]

  4. 在精靈中繼續前進,然後按一下 [完成]

下列作業需要用戶端電腦的系統管理權限。

將憑證手動匯入到用戶端電腦

  1. 在用戶端電腦上,依序按一下 [開始][所有程式][附屬應用程式],然後按一下 [執行]

  2. 鍵入 MMC,然後按 ENTER。

  3. 在 Microsoft Management Console 中,依序按一下 [檔案] 功能表、[新增/移除嵌入式管理單元][憑證],然後按一下 [新增]

  4. [憑證嵌入式管理單元] 對話方塊中,選取 [電腦帳戶],然後按 [下一步]。在 [新增或移除嵌入式管理單元] 視窗中,按一下 [確定][新增或移除嵌入式管理單元] 視窗隨即關閉。

  5. [選取電腦] 視窗中,確認已選取 [本機電腦],然後按一下 [完成]

  6. 在 Microsoft Management Console 的 [邏輯存放名稱] 窗格中,以滑鼠右鍵按一下 [受信任的根憑證授權單位],按一下 [所有工作],然後按一下 [匯入]

  7. [憑證匯入精靈] 中,瀏覽到您先前匯出憑證時建立的檔案,然後按 [下一步]

  8. [憑證存放區] 頁面,確定已將所有的憑證放入 [受信任的根憑證授權單位] 憑證存放區,按 [下一步],然後按一下 [完成]

 
顯示: