日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

Configuration Manager 纯模式所需的 PKI 证书的分步部署示例

發布時間:2023/12/19 编程问答 23 豆豆
生活随笔 收集整理的這篇文章主要介紹了 Configuration Manager 纯模式所需的 PKI 证书的分步部署示例 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
Configuration Manager 純模式所需的 PKI 證書的分步部署示例:Windows Server 2008 證書頒發機構
此分步示例部署使用 Windows Server?2008 證書頒發機構 (CA),提供一些過程以指導您完成創建和部署 Configuration Manager 2007 在純模式下操作所需的公鑰基礎結構 (PKI) 證書的過程。純模式為 Configuration Manager 2007 站點提供最高級別的安全性,是基于 Internet 的客戶端管理必需的。有關 Configuration Manager 純模式的詳細信息,請參閱使用純模式的優勢。 本示例中的過程以 Microsoft PKI 解決方案作為參考,使用企業證書頒發機構 (CA) 和證書模板。這些步驟僅適用于網絡測試,作為對概念的驗證。 由于部署所需的證書不止有一種方法,您將需要參考特定 PKI 部署文檔,獲取為特定生產環境部署所需證書必需的過程和最佳方案。有關可能的部署方法的詳細信息,請參閱部署純模式所需的 PKI 證書
建議使用 Microsoft PKI 解決方案來支持 Configuration Manager 2007,但不要求使用。Configuration Manager?2007 使用標準的 PKI 證書,支持 x.509 證書格式版本 3。如果現有的 PKI 部署能夠創建、部署和管理 Configuration Manager?2007 純模式所需的證書,您可以使用現有的 PKI 基礎結構。請參閱 PKI 文檔,獲取有關部署的詳細信息。


本示例包含下列章節,涵蓋創建和部署 Configuration Manager 2007 站點在 Intranet 連接的純模式下操作所需的基本證書: 測試網絡要求 概述 部署站點服務器簽名證書 部署 Web 服務器證書 部署客戶端證書

測試網絡要求

本示例具有下列要求:
  • 測試網絡運行 Windows Server?2008 的 Active Directory 域服務并且是作為單個域、單個林安裝的。
  • 具有運行 Windows Server?2008 Enterprise Edition 的域控制器,它上面安裝了 Active Directory 證書服務角色,并配置為企業根證書頒發機構 (CA)。
  • 具有一臺安裝了 Windows Server?2008(Standard Edition 或 Enterprise Edition)并指定為成員服務器的計算機,并在該計算機上安裝了 Internet Information Services (IIS)。
  • 具有一個安裝了最新 Service Pack 的 Windows?Vista 客戶端,并且此計算機配置了由 ASCII 字符組成的計算機名稱并加入到域。
  • 您可以使用根域管理員帳戶或企業域管理員帳戶登錄,然后使用此帳戶來完成本示例部署中的所有過程。

概述

在將 Configuration Manager 2007 配置為在純模式下操作之前,必須先安裝 PKI 證書。本示例不包括安裝和配置 Configuration Manager 2007 的內容,但是提供有關使用計算機在 Configuration Manager 2007 純模式下操作所需的證書對這些計算機進行設置的步驟。 下表列出了所需的三種 PKI 證書類型,并描述在純模式 Configuration Manager 2007 站點中如何使用這些證書:

站點服務器簽名證書 此證書安裝在將成為 Configuration Manager?2007 站點服務器的服務器上。它用于對客戶端策略簽名。
Web 服務器證書 此證書安裝在將成為 Configuration Manager?2007 站點系統的服務器上,角色為管理點和分發點等。它用于對數據進行加密以及對客戶端驗證服務器。
客戶端證書 此證書安裝在將成為 Configuration Manager?2007 客戶端的計算機以及管理點上。它用于向站點系統驗證客戶端;在管理點上,則用于監視服務器的操作狀態。
有關證書的詳細信息,請參閱純模式的證書要求。 按照本示例中的步驟實現下列目標:
  • 使用 Configuration Manager 2007 站點服務器簽名證書設置成員服務器,以便它可以在純模式下作為 Configuration Manager 2007 站點服務器運行。
  • 使用 Web 服務器證書設置成員服務器,以便它可以在純模式下作為 Configuration Manager 2007 站點系統服務器運行,該站點系統服務器可以運行下列任何 Configuration Manager 站點系統角色:管理點、分發點、軟件更新點和狀態遷移點。
  • 使用客戶端證書設置工作站和成員服務器,以便工作站可以作為 Configuration Manager 2007 純模式客戶端運行,以及管理點可以向站點服務器報告其狀態。

部署站點服務器簽名證書

此步驟有四個過程:
  • 在證書頒發機構創建和頒發站點服務器簽名證書模板
  • 為將運行 Configuration Manager 2007 站點服務器的服務器申請站點服務器簽名證書
  • 在證書頒發機構批準站點服務器簽名證書
  • 在將運行 Configuration Manager 2007 站點服務器的服務器上安裝站點服務器簽名證書

在證書頒發機構創建和頒發站點服務器簽名證書模板

創建和頒發站點服務器簽名證書模板
  • 在運行 Windows Server?2008 控制臺的域控制器上,依次單擊“開始”、“程序”、“管理工具”和“證書頒發機構”。
  • 展開證書頒發機構 (CA) 的名稱,然后單擊“證書模板”。
  • 右鍵單擊“證書模板”,然后單擊“管理”以加載證書模板管理控制臺。
  • 在結果窗格中,右鍵單擊在“模板顯示名稱”列中顯示“計算機”的條目,然后單擊“復制模板”。
  • 在“復制模板”對話框中,確保已選擇“Windows 2003 Server,Enterprise Edition”,然后單擊“確定”。
    不要選擇“Windows 2008 Server,Enterprise Edition”。
  • 在“新模板的屬性”對話框的“常規”選項卡上,為站點服務器簽名證書模板輸入模板名稱(如 ConfigMgr 站點服務器簽名證書)。
  • 單擊“頒發要求”選項卡并選擇“CA 證書管理程序批準”。
  • 單擊“使用者名稱”選項卡,然后單擊“在請求中提供”。
  • 單擊“擴展”選項卡,確保選擇“應用程序策略”,然后單擊“編輯”。
  • 在“編輯應用程序策略擴展”對話框中,選擇“客戶端身份驗證”,按 Shift 并選擇“服務器身份驗證”,然后單擊“刪除”。
  • 在“編輯應用程序策略擴展”對話框中,單擊“添加”。
  • 在“添加應用程序策略”對話框中,選擇“文檔簽名”作為唯一的應用程序策略,然后單擊“確定”。
  • 在“新模板的屬性”對話框中,現在應看到作為應用程序策略的描述列出的以下項:文檔簽名
  • 單擊“確定”,單擊“確定”以關閉“新模板的屬性”,然后關閉證書模板控制臺。
  • 在證書頒發機構控制臺中,右鍵單擊“證書模板”,單擊“新建”,然后單擊“要頒發的證書模板”。
  • 在“啟用證書模板”對話框中,選擇剛創建的新模板“ConfigMgr 站點服務器簽名證書”,然后單擊“確定”。
    如果不能完成步驟 15 或 16,請檢查您是否正在使用 Windows?Server?2008 Enterprise Edition。雖然可以使用 Windows Server Standard Edition 和 Active Directory 證書服務配置證書模板,但是除非使用 Windows?Server?2008 Enterprise Edition ,否則不能使用修改的證書模板部署證書。
  • 不要關閉證書頒發機構控制臺。

    • 為將運行 Configuration Manager 2007 站點服務器的服務器申請站點服務器簽名證書

    申請站點服務器簽名證書
  • 在成員服務器上創建一個文件夾以包含您的證書文件。
  • 打開記事本或類似的自選文本文件。將下列文本復制并粘貼到文件中: 復制代碼 [NewRequest]
    Subject = “CN=The site code of this site server is <site-code>”
    MachineKeySet = True
    [RequestAttributes]
    CertificateTemplate = ConfigMgrSiteServerSigningCertificate
  • 將文本 <site-code> 替換為您自己的站點代碼。例如,如果您的站點代碼是 A01,該行將變成:Subject = “CN=此站點服務器的站點代碼為 A01”
    站點代碼和模板名稱區分大小寫。確保您指定的站點代碼與在 Configuration Manager 控制臺中顯示的完全一樣,以及您指定的站點服務器簽名證書模板與在證書模板屬性中作為“模板名稱”(不是“模板顯示名稱”)顯示的完全一樣。
  • 使用名稱 sitesigning.inf 保存文件,并將其保存到您創建的證書文件夾中。
  • 在您創建的證書文件夾中打開命令窗口,鍵入下列命令,然后按 Enter: certreq –new sitesigning.inf sitesigning.req
  • 鍵入下列命令,然后按 Enter: certreq –submit sitesigning.req sitesigning.cer
  • 系統將提示您在“選擇證書頒發機構”對話框中選擇頒發 CA。選擇 CA,然后單擊“確定”。頒發證書時,您將看到 RequestId:<編號> 顯示,其中 <編號> 是指頒發 CA 獲得的下一順序證書申請。記下此號碼。
  • 不要關閉命令提示符。

    • 在證書頒發機構批準站點服務器簽名證書

    批準站點服務器簽名證書
  • 在域控制器上的“證書頒發機構”中,單擊“掛起的申請”。
  • 在結果窗格中,您將看到申請的證書,以及隨最后的 Certreq 命令顯示的申請 ID。
  • 右鍵單擊申請的證書,單擊“所有任務”,然后單擊“頒發”。
  • 不要關閉證書頒發機構控制臺。

    • 在將運行 Configuration Manager 2007 站點服務器的服務器上安裝站點服務器簽名證書

    檢索并安裝站點服務器簽名證書
  • 在成員服務器的命令窗口中,鍵入下列命令,然后按 Enter: certreq –retrieve <編號> sitesigning.cer 例如,如果先前顯示的申請編號是 12,請鍵入:certreq –retrieve 12 sitesigning.cer
  • 系統將提示您在“選擇證書頒發機構”對話框中選擇頒發 CA。選擇 CA,然后單擊“確定”。
  • 鍵入下列命令,然后按 Enter: certreq –accept sitesigning.cer
    • 成員服務器現在設置了 Configuration Manager 2007 站點服務器簽名證書。

    部署 Web 服務器證書

    此步驟有四個過程:
    • 為站點系統服務器創建 Windows 安全組
    • 在證書頒發機構創建和頒發 Web 服務器證書模板
    • 申請 Web 服務器證書
    • 將 IIS 配置為使用 Web 服務器證書

    為站點系統服務器(管理點、分發點、軟件更新點和狀態遷移點)創建 Windows 安全組

    為站點系統服務器創建 Windows 安全組
  • 在域控制器上,依次單擊“開始”、“管理工具”,然后單擊“Active Directory 用戶和計算機”。
  • 右鍵單擊該域,單擊“新建”,然后單擊“組”。
  • 在“新建對象 – 組”對話框中,輸入 ConfigMgr IIS 服務器作為“組名稱”,然后單擊“確定”。
  • 在“Active Directory 用戶和計算機”中,右鍵單擊剛創建的組,然后單擊“屬性”。
  • 單擊“成員”選項卡,然后單擊“添加”并選擇成員服務器。
    在我們的測試環境中,只添加一臺服務器。但是在生產環境中,可能有各種服務器將宿主需要證書的 Configuration Manager 2007 站點系統,如站點的管理點和分發點。因此,對組分配權限,然后添加需要相同證書類型的站點系統是一種很好的方案。為這些服務器創建安全組使您能夠分配權限,從而僅這些服務器可以使用這些證書。
  • 單擊“確定”,然后再次單擊“確定”以關閉組屬性對話框。
  • 重新啟動成員服務器(如果正在運行)以便它可以選擇新的組成員身份。

    • 在證書頒發機構創建和頒發 Web 服務器證書模板

    在證書頒發機構創建和頒發 Web 服務器證書模板
  • 在域控制器上,在運行證書頒發機構控制臺的同時右鍵單擊“證書模板”,并單擊“管理”以加載證書模板控制臺。
  • 在結果窗格中,右鍵單擊在“模板顯示名稱”列中顯示“Web 服務器”的條目,然后單擊“復制模板”。
  • 在“復制模板”對話框中,確保已選擇“Windows 2003 Server,Enterprise Edition”,然后單擊“確定”。
    不要選擇“Windows 2008 Server,Enterprise Edition”。
  • 在“新模板的屬性”對話框的“常規”選項卡上,輸入模板名稱以生成將在 Configuration Manager 站點系統中使用的 Web 證書(如ConfigMgr Web 服務器證書)。
  • 單擊“使用者名稱”選項卡,單擊“用 Active Directory 中的信息生成”,然后為“使用者名稱格式:”選擇下列其中一項:
    • 公用名:如果您將對 Configuration Manager 中的站點系統使用完全限定的域名,則選擇此選項(對基于 Internet 的客戶端管理要求使用,對 Intranet 中的客戶端建議使用)。
    • 完全可分辨名稱:如果不會在 Configuration Manager 中使用完全限定的域名,則選擇此選項。
  • 清除選項“用戶主體名稱 (UPN)”。
  • 單擊“安全”選項卡,并從安全組“域管理員”和“企業管理員”中刪除“注冊”權限。
  • 單擊“添加”,在文本框中輸入 ConfigMgr IIS 服務器,然后單擊“確定”。
  • 為此組選擇“注冊”權限,并且不要清除“讀取”權限。
  • 單擊“確定”,然后關閉證書模板控制臺。
  • 在證書頒發機構控制臺中,右鍵單擊“證書模板”,單擊“新建”,然后單擊“要頒發的證書模板”。
  • 在“啟用證書模板”對話框中,選擇剛創建的新模板“ConfigMgr Web 服務器證書”,然后單擊“確定”。
  • 不要關閉證書頒發機構控制臺。

    • 申請 Web 服務器證書

    申請 Web 服務器證書
  • 重新啟動成員服務器,確保它可以使用配置的權限訪問證書模板。
  • 依次單擊“開始”、“運行”,然后輸入 mmc.exe。在空白控制臺中,單擊“文件”,然后單擊“添加/刪除管理單元”。
  • 在“添加/刪除管理單元”對話框中,從“可用的管理單元”列表中選擇“證書”,然后單擊“添加”。
  • 在“證書管理單元”對話框中,選擇“計算機帳戶”,然后單擊“下一步”。
  • 在“選擇計算機”對話框中,確保選擇“本地計算機:(運行此控制臺的計算機)”選項,然后單擊“完成”。
  • 在“添加/刪除管理單元”對話框中,單擊“確定”。
  • 在控制臺中展開“證書(本地計算機)”,然后單擊“個人”。
  • 右鍵單擊“證書”,單擊“所有任務”,然后單擊“申請新證書”。
  • 在“開始之前”頁面上,單擊“下一步”。
  • 在“申請證書”頁面上,從顯示的證書列表中選擇“ConfigMgr Web 服務器證書”,然后單擊“注冊”。
  • 在“證書安裝結果”頁面中,等待證書安裝完成,然后單擊“完成”。
  • 關閉“證書(本地計算機)”。

    • 將 IIS 配置為使用 Web 服務器證書

    將 IIS 配置為使用 Web 服務器證書
  • 在成員服務器上依次單擊“開始”、“程序”、“管理工具”,然后單擊“Internet 信息服務 (IIS) 管理器”。
  • 展開“站點”,右鍵單擊“默認網站”,然后選擇“編輯綁定”。
  • 單擊“https”條目,然后單擊“編輯”。
  • 在“編輯站點綁定”對話框中,使用“ConfigMgr Web 服務器證書”模板選擇您申請的證書,然后單擊“確定”。
    如果您不確定哪一個是正確的證書,請選擇一個證書,然后單擊“查看”。這允許您將所選證書詳細信息與證書管理單元中顯示的證書進行比較。例如,證書管理單元顯示用于申請證書的證書模板。然后,您可以將使用“ConfigMgr Web 服務器證書”模板申請的證書的證書指紋與當前在“編輯網站綁定”對話框中選擇的證書的證書指紋進行比較。
  • 在“編輯網站綁定”對話框中單擊“確定”,然后單擊“關閉”。
  • 關閉 Internet Information Services (IIS) 管理器。
    • 成員服務器現在設置有 Configuration Manager 2007 Web 服務器證書。

    部署客戶端證書

    此步驟有三個過程:
    • 在證書頒發機構創建和頒發工作站身份驗證證書模板
    • 使用組策略配置工作站身份驗證模板的自動注冊
    • 自動注冊工作站身份驗證證書并驗證其在計算機上的安裝

    在證書頒發機構創建和頒發工作站身份驗證證書模板

    在證書頒發機構創建和頒發工作站身份驗證證書模板
  • 在域控制器上,在運行證書頒發機構控制臺的同時右鍵單擊“證書模板”,并單擊“管理”以加載證書模板管理控制臺。
  • 在結果窗格中,右鍵單擊在“模板顯示名稱”列中顯示“工作站身份驗證”的條目,然后單擊“復制模板”。
  • 在“復制模板”對話框中,確保已選擇“Windows 2003 Server,Enterprise Edition”,然后單擊“確定”。
    不要選擇“Windows 2008 Server,Enterprise Edition”。
  • 在“新模板的屬性”對話框的“常規”選項卡上,輸入模板名稱以生成將在 Configuration Manager 客戶端計算機上使用的客戶端證書(如 ConfigMgr Web 客戶端證書)。
  • 單擊“安全”選項卡,選擇“域計算機”組,然后選擇其他權限“讀取”和“自動注冊”。不要清除“注冊”。
  • 單擊“確定”,然后關閉證書模板控制臺。
  • 在證書頒發機構控制臺中,右鍵單擊“證書模板”,單擊“新建”,然后單擊“要頒發的證書模板”。
  • 在“啟用證書模板”對話框中,選擇剛創建的新模板“ConfigMgr 客戶端證書”,然后單擊“確定”。
  • 關閉證書頒發機構控制臺。

    • 使用組策略配置工作站身份驗證模板的自動注冊

    使用組策略配置工作站身份驗證模板的自動注冊
  • 在域控制器上,依次單擊“開始”、“管理工具”,然后單擊“組策略管理”。
  • 導航到您的域,右鍵單擊域,然后選擇“在這個域中創建 GPO 并在此處鏈接”。
    此步驟使用為自定義設置創建新的組策略這一最佳方案,而不是編輯隨 Active Directory 域服務安裝的默認域策略。通過在域級別分配此組策略,您會將它應用到域中的所有計算機。但是在生產環境中,您可以通過在組織單位級別分配組策略來限制自動注冊,以便它僅在選擇的計算機上注冊,或者您也可以使用安全組篩選域組策略,以便它僅應用于組中的計算機。如果限制自動注冊,請記住包括配置為管理點的服務器。
  • 在“新建 GPO”對話框中,為新的組策略輸入名稱,如自動注冊證書,然后單擊“確定”。
  • 在結果窗格的“鏈接的組策略對象”選項卡上,右鍵單擊新的組策略,然后單擊“編輯”。
  • 在組策略管理編輯器中,展開“計算機配置”之下的“策略”,然后導航到“Windows 設置/安全設置/公鑰策略”。
  • 右鍵單擊名為“證書服務客戶端 - 自動注冊”的對象類型,然單擊“屬性”。
  • 從“配置型號”下拉列表中,依次選擇“已啟用”、“續訂過期證書、更新未決證書并刪除吊銷的證書”、“更新使用證書模板的證書”,然后單擊“確定”。
  • 關閉“組策略管理”。

    • 自動注冊工作站身份驗證證書并驗證其在計算機上的安裝

    自動注冊工作站身份驗證證書并驗證其在客戶端計算機上的安裝
  • 重新啟動工作站計算機,并等待幾分鐘再登錄。
    重新啟動計算機是確保證書注冊成功最可靠的方法。
  • 使用具有管理特權的帳戶登錄。
  • 在搜索框中,鍵入 mmc.exe.,然后按 Enter。
  • 在空管理控制臺中,單擊“文件”,然后單擊“添加/刪除管理單元”。
  • 在“添加/刪除管理單元”對話框中,從“可用的管理單元”列表中選擇“證書”,然后單擊“添加”。
  • 在“證書管理單元”對話框中,選擇“計算機帳戶”,然后單擊“下一步”。
  • 在“選擇計算機”對話框中,確保選擇“本地計算機:(運行此控制臺的計算機)”選項,然后單擊“完成”。
  • 在“添加/刪除管理單元”對話框中,單擊“確定”。
  • 在控制臺中展開“證書(本地計算機)”,展開“個人”,然后單擊“證書”。
  • 在結果窗格中,確認顯示證書,并且在“預期目的”列中顯示“客戶端身份驗證”,在“證書模板”列中顯示“ConfigMgr 客戶端證書”。
  • 關閉“證書(本地計算機)”。
  • 對成員服務器重復步驟 1 至 11,以驗證將被配置為管理點的服務器是否也具有客戶端證書。
    • 工作站和成員服務器現在設置有 Configuration Manager 2007 客戶端證書。

    轉載于:https://blog.51cto.com/mwt666/135184

    總結

    以上是生活随笔為你收集整理的Configuration Manager 纯模式所需的 PKI 证书的分步部署示例的全部內容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。