Podrobné příklad nasazení certifikátů PKI pro Správce konfigurace: Windows Server 2008

Platí pro: Správce konfigurace (aktuální větev)

Toto podrobné příkladné nasazení, které používá certifikační autoritu Windows Server 2008 (CA), obsahuje postupy, které ukazují, jak vytvářet a nasadit certifikáty infrastruktury veřejných klíčů (PKI), které Správce konfigurace používá. Tyto postupy používají podnikové certifikační autority (CA) a šablony certifikátů. Tento postup je vhodný jenom pro testovací síť jako důkaz konceptu.

Vzhledem k tomu, že neexistuje jediný způsob nasazení požadovaných certifikátů, podívejte se do dokumentace k nasazení konkrétní infrastruktury veřejných klíčů, kde najdete požadované postupy a doporučené postupy nasazení požadovaných certifikátů pro produkční prostředí. Další informace o požadavcích na certifikát najdete v článku Požadavky na certifikát PKI pro Správce konfigurace.

Tip

Pokyny v tomto tématu můžete přizpůsobit pro operační systémy, které nejsou uvedené v části Testovat požadavky na síť. Pokud ale v počítači Windows Server 2012 certifikační autoritu, zobrazí se výzva k zadání verze šablony certifikátu. Místo toho zadejte tuto možnost na kartě Kompatibilita vlastností šablony:

  • Certifikační autorita: Windows Server 2003
    • Příjemce certifikátu: Windows XP / Server 2003

Testování síťových požadavků

Podrobné pokyny mají následující požadavky:

  • Testovací síť je spuštěná služba Active Directory Domain Services serverem Windows Server 2008 a je nainstalovaná jako jedna doména, jedna doménová struktura.

  • Máte členský server se systémem Windows Server 2008 edice Enterprise, na kterém je nainstalovaná role Active Directory Certificate Services a je nastavený jako kořenová certifikační autorita (CA).

  • Máte jeden počítač, na který je nainstalovaný Windows Server 2008 (edice Standard nebo edice Enterprise, R2 nebo novější), tento počítač je označený jako členský server a je na něj nainstalovaný Internetová informační služba (IIS). Tento počítač bude serverem systému webu Správce konfigurace, který nakonfigurujete pomocí plně kvalifikovaného názvu domény intranetu, aby podporoval připojení klientů v intranetu Správce konfigurace plně kvalifikovaný název domény internetu, pokud musíte podporovat mobilní zařízení zaregistrovaná společností Správce konfigurace a klienty na internetu.

  • Máte jednoho Windows Vista, který má nainstalovanou nejnovější aktualizaci Service Pack, a tento počítač je nastavený s názvem počítače, který obsahuje znaky ASCII a je připojený k doméně. Tento počítač bude Správce konfigurace klientským počítačem.

  • Můžete se přihlásit pomocí účtu správce kořenové domény nebo účtu správce podnikové domény a tento účet použít pro všechny postupy v tomto příkladu nasazení.

Přehled certifikátů

V následující tabulce jsou uvedené typy certifikátů PKI, které mohou být pro Správce konfigurace vyžadovány, a popisuje, jak se používají.

Požadavek na certifikát Popis certifikátu
Certifikát webového serveru pro systémy webu se spuštěnou službou IIS Tento certifikát se používá k šifrování dat a ověření serveru u klientů. Musí být nainstalován externě z Správce konfigurace na serverech systémů lokalit, které používají Internetová informační služba (IIS) a které jsou nastavené v Správce konfigurace pro použití protokolu HTTPS.

Postup nastavení a instalace tohoto certifikátu najdete v tématu Nasazení certifikátu webového serveru pro systémy webu, ve které běží služba IIS v tomto tématu.
Certifikát služby pro klienty pro připojení k cloudovým distribučním bodům Postup konfigurace a instalace tohoto certifikátu najdete v tématu Nasazení certifikátu služby pro cloudové distribuční body v tomto tématu.

Důležité: Tento certifikát se používá ve spojení s certifikátem Windows Azure Management Certificate. Další informace o certifikátu pro správu najdete v tématu Jak vytvořit certifikát pro správu a Jak přidat certifikát pro správu do předplatného Windows Azure.
Klientský certifikát pro Windows počítače Tento certifikát se používá k Správce konfigurace klientských počítačů v systémech webu, které jsou nastavené pro použití protokolu HTTPS. Můžete ho taky použít pro body správy a body migrace stavu ke sledování jejich provozního stavu, když jsou nastavené pro použití protokolu HTTPS. Musí být nainstalovaný externě z Správce konfigurace na počítačích.

Postup nastavení a instalace tohoto certifikátu najdete v tématu Nasazení klientského certifikátu pro Windows počítače v tomto tématu.
Klientský certifikát pro distribuční body Tento certifikát má dva účely:

Certifikát se používá k ověření distribučního bodu na bod správy s podporou protokolu HTTPS před tím, než distribuční bod odešle zprávy o stavu.

Pokud je zaškrtnuté políčko Povolit podporu pxe pro distribuční bod klientů, certifikát se odesílá do počítačů, které pxe zavadí, aby se během nasazení operačního systému mohli připojit k bodu správy s podporou protokolu HTTPS.

Postup nastavení a instalace tohoto certifikátu najdete v tématu Nasazení klientského certifikátu pro distribuční body v tomto tématu.
Certifikát registrace pro mobilní zařízení Tento certifikát se používá k ověřování Správce konfigurace mobilních zařízení v systémech webu, které jsou nastavené pro použití protokolu HTTPS. Musí být nainstalovaná jako součást registrace mobilního zařízení v Správce konfigurace a vy zvolíte nakonfigurovanou šablonu certifikátu jako nastavení klienta mobilního zařízení.

Postup nastavení tohoto certifikátu najdete v tématu Nasazení certifikátu registrace pro mobilní zařízení v tomto tématu.
Klientský certifikát pro počítače Mac Tento certifikát si můžete vyžádat a nainstalovat z počítače Mac, když Správce konfigurace registrace a jako nastavení klienta mobilního zařízení zvolit nakonfigurovanou šablonu certifikátu.

Postup nastavení tohoto certifikátu najdete v tématu Nasazení klientského certifikátu pro počítače Mac v tomto tématu.

Nasazení certifikátu webového serveru pro systémy webu se spuštěnou službou IIS

Toto nasazení certifikátu má následující postupy:

  • Vytvoření a vydání šablony certifikátu webového serveru v certifikační autoritě

  • Vyžádání certifikátu webového serveru

  • Konfigurace služby IIS pro použití certifikátu webového serveru

Vytvoření a vydání šablony certifikátu webového serveru v certifikační autoritě

Tento postup vytvoří šablonu certifikátu pro Správce konfigurace webů a přidá ji do certifikační autority.

Vytvoření a vydání šablony certifikátu webového serveru v certifikační autoritě
  1. Vytvořte skupinu zabezpečení s názvem Servery IIS ConfigMgr, která má členské servery pro instalaci Správce konfigurace, které budou spouštět službu IIS.

  2. Na členském serveru s nainstalovanou Certifikační službou klikněte v konzole Certifikační autorita pravým tlačítkem myši na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu Šablony certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem myši na položku s webovým serverem ve sloupci Zobrazovaný název šablony a pak zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplicitní šablona zkontrolujte, že je Windows 2003 Server, edice Enterprise a pak zvolte OK.

    Důležité

    Nevyberte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, například Certifikát webového serveru ConfigMgr, a vygenerování webových certifikátů, které se budou používat v Správce konfigurace webu.

  6. Zvolte kartu Název předmětu a ujistěte se, že je vybraná možnost Dodat v žádosti.

  7. Zvolte kartu Zabezpečení a potom odeberte oprávnění Zaregistrovat ze skupin zabezpečení Domain Admins a Enterprise Admins.

  8. Zvolte Add(Přidat), do textového pole zadejte ConfigMgr IIS Servers (Servery IIS ConfigMgr) a pak zvolte OK.

  9. Zvolte oprávnění Zaregistrovat pro tuto skupinu a zrušte zaškrtnutí políčka Číst.

  10. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  11. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vydat.

  12. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Certifikát webového serveru ConfigMgr a pak zvolte OK.

  13. Pokud nepotřebujete vytvářet a vydávat další certifikáty, zavřete Certifikační autoritu.

Vyžádání certifikátu webového serveru

Tento postup umožňuje zadat hodnoty plně kvalifikovaných názvů domény intranetu a internetu, které se nastaví ve vlastnostech serveru systému webu, a pak certifikát webového serveru nainstalovat na členský server, na který běží služba IIS.

Vyžádání certifikátu webového serveru
  1. Restartujte členský server, na který běží služba IIS, aby počítač měl přístup k šabloně certifikátu, kterou jste vytvořili pomocí nakonfigurovaných oprávnění pro čtení a zápis.

  2. Zvolte Start, zvolte Spustit a potom zadejte mmc.exe. V prázdné konzole zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupné moduly snap-in a pak zvolte Přidat.

  4. V dialogovém okně Modul snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  5. V dialogovém okně Vybrat počítač zkontrolujte, že je vybraný místní počítač ( počítač, na který je tato konzola spuštěná) a pak zvolte Dokončit.

  6. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  7. V konzole rozbalte Certifikáty (místní počítač) a pak zvolte Osobní.

  8. Klikněte pravým tlačítkem na Certifikáty, zvolte Všechny úkoly a pak zvolte Požádat o nový certifikát.

  9. Na stránce Než začnete zvolte Další.

  10. Pokud se zobrazí stránka Select Certificate Enrollment Policy (Vybrat zásady zápisu certifikátů), zvolte Next (Další).

  11. Na stránce Request Certificates (Vyžádat certifikáty) v seznamu dostupných certifikátů určete certifikát webového serveru ConfigMgr a pak zvolte Další informace. Kliknutím sem nakonfigurujte nastavení.

  12. V dialogovém okně Vlastnosti certifikátu na kartě Předmět neudělte žádné změny v poli Název předmětu. To znamená, že pole Hodnota pro oddíl Název předmětu zůstane prázdné. Místo toho v části Alternativní název zvolte rozevírací seznam Typ a pak zvolte DNS.

  13. Do pole Hodnota zadejte hodnoty plně kvalifikovaných název_domény, které zadáte ve vlastnostech systému Správce konfigurace webu, a pak zvolte OK a zavřete dialogové okno Vlastnosti certifikátu.

    Příklady:

    • Pokud systém webu bude přijímat jenom klientská připojení z intranetu a plně kvalifikovaný název domény intranetu serveru systému webu je server1.internal.contoso.com, zadejte server1.internal.contoso.com a pak zvolte Přidat.

    • Pokud systém webu přijme připojení klientů z intranetu a internetu a plně kvalifikovaný název domény intranetu serveru systému webu je server1.internal.contoso.com a plně kvalifikovaný název domény webu je server.contoso.com:

      1. Zadejte server1.internal.contoso.com a pak zvolte Přidat.

      2. Zadejte server.contoso.com a pak zvolte Přidat.

      Poznámka

      Můžete zadat FQDNs pro Správce konfigurace v libovolném pořadí. Zkontrolujte ale, že všechna zařízení, která budou certifikát používat, jako jsou mobilní zařízení a proxy webové servery, používejte alternativní název subjektu certifikátu (SAN) a několik hodnot v síti SAN. Pokud mají zařízení omezenou podporu hodnot SAN v certifikátech, budete možná muset změnit pořadí úplných sítí domény nebo místo toho použít hodnotu Předmět.

  14. Na stránce Požádat o certifikáty zvolte v seznamu dostupných certifikátů certifikát webového serveru ConfigMgr a pak zvolte Zaregistrovat.

  15. Na stránce Výsledky instalace certifikátů počkejte, dokud se certifikát nenainstaluje, a pak zvolte Dokončit.

  16. Zavřete certifikáty (místní počítač).

Konfigurace služby IIS pro použití certifikátu webového serveru

Tento postup váže nainstalovaný certifikát na výchozí web služby IIS .

Nastavení služby IIS pro použití certifikátu webového serveru
  1. Na členském serveru, na který je nainstalovaná služba IIS, zvolte Start , zvolte Programy , zvolte Nástroje pro správu a pak zvolte Internetová informační služba (IIS).

  2. Rozbalte weby, klikněte pravým tlačítkem myši na Výchozí web a pak zvolte Upravit vazby.

  3. Zvolte položku https a pak zvolte Upravit.

  4. V dialogovém okně Upravit vazbu webu vyberte certifikát, který jste požadovali pomocí šablony Certifikáty webového serveru ConfigMgr, a pak zvolte OK.

    Poznámka

    Pokud si nejste jistí, který certifikát je správný, vyberte ho a pak zvolte Zobrazení. Díky tomu můžete porovnat vybrané podrobnosti certifikátu s certifikáty v modulu snap-in Certifikáty. Například modul snap-in Certifikáty zobrazuje šablonu certifikátu, která se použila k vyžádání certifikátu. Potom můžete porovnat kryptografický otisk certifikátu požadovaného pomocí šablony Certifikáty webového serveru ConfigMgr s otiskem certifikátu aktuálně vybraného v dialogovém okně Upravit vazbu webu.

  5. V dialogovém okně Upravit vazbu webu zvolte OK a pak zvolte Zavřít.

  6. Zavřete Internetová informační služba (IIS).

    Server členů je teď nastavený pomocí certifikátu Správce konfigurace webového serveru.

Důležité

Když na tento počítač nainstalujete server Správce konfigurace webu, ujistěte se, že jste zadali stejné domény ve vlastnostech systému webu, které jste zadali při žádosti o certifikát.

Nasazení certifikátu služby pro cloudové distribuční body

Toto nasazení certifikátu má následující postupy:

Vytvoření a vydání vlastní šablony certifikátu webového serveru v certifikační autoritě

Tento postup vytvoří vlastní šablonu certifikátu, která je založená na šabloně certifikátu webového serveru. Certifikát je pro Správce konfigurace cloudové distribuční body a soukromý klíč musí být exportovatelný. Po vytvoření šablony certifikátu se přidá do certifikační autority.

Poznámka

Tento postup používá jinou šablonu certifikátu než šablonu certifikátu webového serveru, kterou jste vytvořili pro systémy webu se spuštěnou službou IIS. I když oba certifikáty vyžadují možnost ověření serveru, certifikát pro cloudové distribuční body vyžaduje zadání vlastní definované hodnoty pro název předmětu a musí být exportován soukromý klíč. Jako osvědčený postup zabezpečení nenastavujte šablony certifikátů tak, aby bylo možné exportovat soukromý klíč, pokud tato konfigurace není nutná. Cloudový distribuční bod vyžaduje tuto konfiguraci, protože certifikát musíte naimportovat jako soubor, a ne ho zvolit z úložiště certifikátů.

Když pro tento certifikát vytvoříte novou šablonu certifikátu, můžete omezit počítače, které žádají o certifikát, jehož privátní klíč je možné exportovat. V produkční síti můžete také zvážit přidání následujících změn pro tento certifikát:

  • Vyžadovat schválení k instalaci certifikátu pro další zabezpečení
    • Zvětšete dobu platnosti certifikátu. Vzhledem k tomu, že certifikát musíte exportovat a importovat pokaždé, když vyprší jeho platnost, zkracuje se doba platnosti, jak často musíte tento postup opakovat. Zvýšení doby platnosti ale také snižuje zabezpečení certifikátu, protože útočníkovi poskytuje víc času na dešifrování soukromého klíče a krádež certifikátu.
    • K identifikaci tohoto certifikátu ze standardních certifikátů webového serveru, které používáte se službou IIS, použijte vlastní hodnotu v certifikátu s alternativním názvem předmětu (SAN).
Vytvoření a vydání šablony certifikátu vlastního webového serveru v certifikační autoritě
  1. Vytvořte skupinu zabezpečení s názvem Servery webu ConfigMgr, která má členské servery pro instalaci Správce konfigurace serverů primárního webu, které budou spravovat cloudové distribuční body.

  2. Na členském serveru, na který běží konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu šablon certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem myši na položku s webovým serverem ve sloupci Zobrazovaný název šablony a pak zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplicitní šablona zkontrolujte, že je Windows 2003 Server, edice Enterprise a pak zvolte OK.

    Důležité

    Nevyberte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, například Certifikát distribučního bodu ConfigMgr Cloud-Based, a vygeneruje certifikát webového serveru pro cloudové distribuční body.

  6. Zvolte kartu Zpracování žádostí a pak zvolte Povolit export privátního klíče.

  7. Zvolte kartu Zabezpečení a potom odeberte oprávnění Zaregistrovat ze skupiny zabezpečení Enterprise Správci.

  8. Zvolte Přidat, do textového pole zadejte ConfigMgr Site Servers a pak zvolte OK.

  9. Vyberte oprávnění Zaregistrovat pro tuto skupinu a zrušte zaškrtnutí políčka Číst.

  10. Zvolte kartu Kryptografie a ujistěte se, že je minimální velikost klíče nastavená na 2048.

  11. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  12. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vydat.

  13. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, ConfigMgr Cloud-Based Distribuční bod certifikát a pak zvolte OK.

  14. Pokud nemáte vytvářet a vydávat další certifikáty, zavřete Certifikační autoritu.

Vyžádání vlastního certifikátu webového serveru

Tento postup si vyžádá a nainstaluje certifikát vlastního webového serveru na členský server, na který bude server webu spuštěn.

Vyžádání vlastního certifikátu webového serveru
  1. Po vytvoření a konfiguraci skupiny zabezpečení Servery webu ConfigMgr restartujte členský server, aby se zajistilo, že počítač bude mít přístup k šabloně certifikátu, kterou jste vytvořili pomocí nakonfigurovaných oprávnění pro čtení a zápis.

  2. Zvolte Start, zvolte Spustit a potom zadejte mmc.exe. V prázdné konzole zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupné moduly snap-in a pak zvolte Přidat.

  4. V dialogovém okně Modul snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  5. V dialogovém okně Vybrat počítač zkontrolujte, že je vybraný místní počítač ( počítač, na který je tato konzola spuštěná) a pak zvolte Dokončit.

  6. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  7. V konzole rozbalte Certifikáty (místní počítač) a pak zvolte Osobní.

  8. Klikněte pravým tlačítkem na Certifikáty, zvolte Všechny úkoly a pak zvolte Požádat o nový certifikát.

  9. Na stránce Než začnete zvolte Další.

  10. Pokud se zobrazí stránka Select Certificate Enrollment Policy (Vybrat zásady zápisu certifikátů), zvolte Next (Další).

  11. Na stránce Požádat o certifikáty určete certifikát configmgr Cloud-Based distribučního bodu ze seznamu dostupných certifikátů a pak zvolte Další informace, které se mají zaregistrovat k tomuto certifikátu. Tady nakonfigurujte nastavení .

  12. V dialogovém okně Vlastnosti certifikátu zvolte na kartě Předmět v poli Název předmětu možnost Běžný název jako Typ.

  13. Do pole Hodnota zadejte název služby a název domény pomocí formátu plně kvalifikovaných názvů domén. Příklad: clouddp1.contoso.com.

    Poznámka

    Vytvořte název služby jedinečný ve vašem oboru názvů. Pomocí DNS vytvoříte alias (záznam CNAME) a namapuje tento název služby na automaticky vygenerovaný identifikátor (GUID) a IP adresu z Windows Azure.

  14. Zvolte Přidat a pak kliknutím na OK zavřete dialogové okno Vlastnosti certifikátu.

  15. Na stránce Request Certificates (Požádat o certifikáty) zvolte ConfigMgr Cloud-Based Distribution Point Certificate (Certifikát distribučního bodu) ze seznamu dostupných certifikátů a pak zvolte Enroll(Zapsat).

  16. Na stránce Výsledky instalace certifikátů počkejte, dokud se certifikát nenainstaluje, a pak zvolte Dokončit.

  17. Zavřete certifikáty (místní počítač).

Export certifikátu vlastního webového serveru pro cloudové distribuční body

Tento postup exportuje certifikát vlastního webového serveru do souboru, takže ho můžete importovat při vytváření cloudového distribučního bodu.

Export certifikátu vlastního webového serveru pro cloudové distribuční body
  1. V konzole Certifikáty (místní počítač) klikněte pravým tlačítkem myši na certifikát, který jste právě nainstalovali, zvolte Všechny úkoly a pak zvolte Exportovat.

  2. V Průvodci exportem certifikátů zvolte Další.

  3. Na stránce Exportovat soukromý klíč zvolte Ano, vyexportujte soukromý klíč a pak zvolte Další.

    Poznámka

    Pokud tato možnost není dostupná, certifikát byl vytvořen bez možnosti exportovat soukromý klíč. V tomto scénáři nemůžete certifikát exportovat v požadovaném formátu. Šablonu certifikátu je nutné nastavit tak, aby bylo možné exportovat soukromý klíč, a pak certifikát požádat znovu.

  4. Na stránce Exportovat formát souboru se ujistěte, že je Exchange - PKCS #12 (. PFX) je vybraná možnost.

  5. Na stránce Heslo zadejte silné heslo, které bude chránit exportovaný certifikát jeho privátním klíčem, a pak zvolte Další.

  6. Na stránce Soubor k exportu zadejte název souboru, který chcete exportovat, a pak zvolte Další.

  7. Průvodce zavřete tak, že na stránce Průvodce exportem certifikátu zvolíte Dokončit a v potvrzovacím dialogovém okně zvolte OK.

  8. Zavřete certifikáty (místní počítač).

  9. Uložte soubor bezpečně a ujistěte se, že k souboru máte přístup z Správce konfigurace konzoly.

    Certifikát je teď připravený k importu při vytváření cloudového distribučního bodu.

Nasazení klientského certifikátu pro Windows počítače

Toto nasazení certifikátu má následující postupy:

  • Vytvoření a vydání šablony certifikátu ověřování pracovní stanice v certifikační autoritě

  • Konfigurace automatického zápisu šablony ověřování pracovní stanice pomocí Zásady skupiny

  • Automatická registrace certifikátu ověřování pracovní stanice a ověření jeho instalace na počítačích

Vytvoření a vydání šablony certifikátu ověřování pracovní stanice v certifikační autoritě

Tento postup vytvoří šablonu certifikátu pro Správce konfigurace klientských počítačů a přidá ji do certifikační autority.

Vytvoření a vydání šablony certifikátu ověřování pracovní stanice v certifikační autoritě
  1. Na členském serveru, na který běží konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu šablon certifikátů.

  2. V podokně výsledků klikněte pravým tlačítkem myši na položku s ověřováním pracovní stanice ve sloupci Zobrazovaný název šablony a pak zvolte Duplikovat šablonu.

  3. V dialogovém okně Duplicitní šablona zkontrolujte, že je Windows 2003 Server, edice Enterprise a pak zvolte OK.

    Důležité

    Nevyberte Windows 2008 Server, edice Enterprise.

  4. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, jako je klientský certifikát ConfigMgr, a vygenerování klientských certifikátů, které se budou používat Správce konfigurace klientských počítačích.

  5. Zvolte kartu Zabezpečení, vyberte skupinu Domain Computers (Počítače domény) a potom vyberte další oprávnění pro čtení a automatický zápis. Nezakašlete zaškrtnutí políčka Zaregistrovat.

  6. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  7. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vydat.

  8. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Klientský certifikát ConfigMgr a pak zvolte OK.

  9. Pokud nepotřebujete vytvářet a vydávat další certifikáty, zavřete Certifikační autoritu.

Konfigurace automatického zápisu šablony ověřování pracovní stanice pomocí Zásady skupiny

Tímto postupem nastavíte Zásady skupiny pro automatický zápis klientského certifikátu na počítačích.

Nastavení automatického zápisu šablony ověřování pracovní stanice pomocí Zásady skupiny
  1. Na řadiči domény zvolte Start, zvolte Nástroje pro správu a pak zvolte Zásady skupiny Správa.

  2. Přejděte do své domény, klikněte pravým tlačítkem myši na doménu a pak zvolte Vytvořit objekt zásad skupiny v této doméně a propojit ji tady.

    Poznámka

    Tento krok se používá k osvědčeným postupům při vytváření nového Zásady skupiny pro vlastní nastavení místo úprav výchozích zásad domény, které jsou nainstalované s služba Active Directory Domain Services. Když přiřadíte tuto Zásady skupiny na úrovni domény, použijete ji na všechny počítače v doméně. V produkčním prostředí můžete omezit automatický zápis tak, aby se zaregistroval jenom na vybraných počítačích. Můžete přiřadit Zásady skupiny na úrovni organizační jednotky nebo můžete filtrovat doménu Zásady skupiny se skupinou zabezpečení tak, aby se vztahuje jenom na počítače ve skupině. Pokud omezíte automatický zápis, nezapomeňte zahrnout server, který je nastavený jako bod správy.

  3. V dialogovém okně Nový objekt zásad skupiny zadejte název nového objektu, například Certifikáty Zásady skupiny automatického zápisu , a pak zvolte OK.

  4. V podokně výsledků klikněte na kartě Propojené Zásady skupiny objekty pravým tlačítkem myši na nový Zásady skupiny a pak zvolte Upravit.

  5. V editoru Zásady skupiny managementu rozbalte zásady v části Konfigurace počítače a potom přejděte na Windows Nastavení / Zabezpečení Nastavení zásady veřejných / klíčů.

  6. Klikněte pravým tlačítkem myši na typ objektu s názvem Klient certifikační služby – automatický zápis a pak zvolte Vlastnosti.

  7. V rozevíracím seznamu Model konfigurace zvolte Povoleno , zvolte Prodloužit certifikáty s ukončenou platností, aktualizovat nevyřízené certifikáty, odebrat odvolané certifikáty , zvolte Aktualizovat certifikáty, které používají šablony certifikátů, a pak zvolte OK.

  8. Zavřete Zásady skupiny správy.

Automatická registrace certifikátu ověřování pracovní stanice a ověření jeho instalace na počítačích

Tento postup nainstaluje klientský certifikát do počítačů a ověří instalaci.

Automatická registrace certifikátu ověřování pracovní stanice a ověření jeho instalace v klientském počítači
  1. Restartujte počítač pracovní stanice a počkejte několik minut, než se přihlásíte.

    Poznámka

    Restartování počítače je nejspolehlivější způsob, jak zajistit úspěch při automatickém zápisu certifikátů.

  2. Přihlaste se pomocí účtu, který má oprávnění správce.

  3. Do vyhledávacího pole zadejte mmc.exe. a stiskněte Enter.

  4. V prázdné konzole pro správu zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  5. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupné moduly snap-in a pak zvolte Přidat.

  6. V dialogovém okně Modul snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  7. V dialogovém okně Vybrat počítač zkontrolujte, že je vybraný místní počítač ( počítač, na který je tato konzola spuštěná) a pak zvolte Dokončit.

  8. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  9. V konzole rozbalte Certifikáty (místní počítač), rozbalte Osobní a pak zvolte Certifikáty.

  10. V podokně výsledků ověřte, že certifikát obsahuje ověřování klienta ve sloupci Zamýšlený účel a že klientský certifikát ConfigMgr je ve sloupci Šablona certifikátu.

  11. Zavřete certifikáty (místní počítač).

  12. Opakujte kroky 1 až 11 pro členský server, abyste ověřili, že server, který bude nastavený jako bod správy, má také klientský certifikát.

    Počítač je teď nastavený s certifikátem Správce konfigurace klienta.

Nasazení klientského certifikátu pro distribuční body

Poznámka

Tento certifikát se taky používá pro obrázky médií, které nepoužít spouštění pxe, protože požadavky na certifikát jsou stejné.

Toto nasazení certifikátu má následující postupy:

  • Vytvoření a vydání vlastní šablony certifikátu ověřování pracovní stanice v certifikační autoritě

  • Vyžádání vlastního ověřovacího certifikátu pracovní stanice

  • Export klientského certifikátu pro distribuční body

Vytvoření a vydání vlastní šablony certifikátu ověřování pracovní stanice v certifikační autoritě

Tento postup vytvoří vlastní šablonu certifikátu pro Správce konfigurace distribučních bodů, aby bylo možné exportovat soukromý klíč a přidat šablonu certifikátu do certifikační autority.

Poznámka

Tento postup používá jinou šablonu certifikátu než šablona certifikátu, kterou jste vytvořili pro klientské počítače. I když oba certifikáty vyžadují možnost ověření klienta, certifikát pro distribuční body vyžaduje export soukromého klíče. Jako osvědčený postup zabezpečení nenastavujte šablony certifikátů, aby bylo možné exportovat soukromý klíč, pokud tato konfigurace není nutná. Distribuční bod vyžaduje tuto konfiguraci, protože certifikát musíte naimportovat jako soubor a ne ho zvolit z úložiště certifikátů.

Když pro tento certifikát vytvoříte novou šablonu certifikátu, můžete omezit počítače, které žádají o certifikát, jehož privátní klíč je možné exportovat. V našem příkladu nasazení se jedná o skupinu zabezpečení, kterou jste dříve vytvořili pro Správce konfigurace serverů systému webu, na které běží služba IIS. V produkční síti, která distribuuje role systému webu služby IIS, zvažte vytvoření nové skupiny zabezpečení pro servery, které spouštěly distribuční body, abyste mohli certifikát omezit jenom na tyto servery systému webu. Můžete také zvážit přidání následujících změn pro tento certifikát:

  • Vyžadovat schválení k instalaci certifikátu pro další zabezpečení
    • Zvětšete dobu platnosti certifikátu. Vzhledem k tomu, že certifikát musíte exportovat a importovat pokaždé, když vyprší jeho platnost, zkracuje se doba platnosti, jak často musíte tento postup opakovat. Zvýšení doby platnosti ale také snižuje zabezpečení certifikátu, protože útočníkovi poskytuje víc času na dešifrování soukromého klíče a krádež certifikátu.
    • K identifikaci tohoto certifikátu ze standardních klientských certifikátů použijte vlastní hodnotu v poli Předmět certifikátu nebo Alternativní název předmětu (SAN). To může být užitečné zejména v případě, že použijete stejný certifikát pro více distribučních bodů.
Vytvoření a vydání vlastní šablony certifikátu ověřování pracovní stanice v certifikační autoritě
  1. Na členském serveru, na který běží konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu šablon certifikátů.

  2. V podokně výsledků klikněte pravým tlačítkem myši na položku s ověřováním pracovní stanice ve sloupci Zobrazovaný název šablony a pak zvolte Duplikovat šablonu.

  3. V dialogovém okně Duplicitní šablona zkontrolujte, že je Windows 2003 Server, edice Enterprise a pak zvolte OK.

    Důležité

    Nevyberte Windows 2008 Server, edice Enterprise.

  4. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, například Certifikát distribučního bodu klienta ConfigMgr, a vygenerte certifikát ověřování klienta pro distribuční body.

  5. Zvolte kartu Zpracování žádostí a pak zvolte Povolit export privátního klíče.

  6. Zvolte kartu Zabezpečení a potom odeberte oprávnění Zaregistrovat ze skupiny zabezpečení Enterprise Správci.

  7. Zvolte Add(Přidat), do textového pole zadejte ConfigMgr IIS Servers (Servery IIS ConfigMgr) a pak zvolte OK.

  8. Vyberte oprávnění Zaregistrovat pro tuto skupinu a zrušte zaškrtnutí políčka Číst.

  9. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  10. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vydat.

  11. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, ConfigMgr Client Distribution Point Certificate a pak zvolte OK.

  12. Pokud nemáte vytvářet a vydávat další certifikáty, zavřete Certifikační autoritu.

Vyžádání vlastního ověřovacího certifikátu pracovní stanice

Tento postup vyžaduje a nainstaluje vlastní klientský certifikát na členský server, na který běží služba IIS a který bude nastavený jako distribuční bod.

Vyžádání vlastního ověřovacího certifikátu pracovní stanice
  1. Zvolte Start, zvolte Spustit a potom zadejte mmc.exe. V prázdné konzole zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  2. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupné moduly snap-in a pak zvolte Přidat.

  3. V dialogovém okně Modul snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  4. V dialogovém okně Vybrat počítač zkontrolujte, že je vybraný místní počítač ( počítač, na který je tato konzola spuštěná) a pak zvolte Dokončit.

  5. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  6. V konzole rozbalte Certifikáty (místní počítač) a pak zvolte Osobní.

  7. Klikněte pravým tlačítkem na Certifikáty, zvolte Všechny úkoly a pak zvolte Požádat o nový certifikát.

  8. Na stránce Než začnete zvolte Další.

  9. Pokud se zobrazí stránka Select Certificate Enrollment Policy (Vybrat zásady zápisu certifikátů), zvolte Next (Další).

  10. Na stránce Request Certificates (Požádat o certifikáty) zvolte v seznamu dostupných certifikátů možnost ConfigMgr Client Distribution Point Certificate (Certifikát distribučního bodu klienta ConfigMgr) a pak zvolte Enroll (Zaregistrovat).

  11. Na stránce Výsledky instalace certifikátů počkejte, dokud se certifikát nenainstaluje, a pak zvolte Dokončit.

  12. V podokně výsledků ověřte, že certifikát obsahuje ověřování klienta ve sloupci Zamýšlený účel a že certifikát distribučního bodu klienta ConfigMgr je ve sloupci Šablona certifikátu.

  13. Nezabýtá se certifikáty (místní počítač).

Export klientského certifikátu pro distribuční body

Tento postup exportuje vlastní certifikát ověřování pracovní stanice do souboru, aby ho bylo možné importovat ve vlastnostech distribučního bodu.

Export klientského certifikátu pro distribuční body
  1. V konzole Certifikáty (místní počítač) klikněte pravým tlačítkem myši na certifikát, který jste právě nainstalovali, zvolte Všechny úkoly a pak zvolte Exportovat.

  2. V Průvodci exportem certifikátů zvolte Další.

  3. Na stránce Exportovat soukromý klíč zvolte Ano, vyexportujte soukromý klíč a pak zvolte Další.

    Poznámka

    Pokud tato možnost není dostupná, certifikát byl vytvořen bez možnosti exportovat soukromý klíč. V tomto scénáři nemůžete certifikát exportovat v požadovaném formátu. Šablonu certifikátu je nutné nastavit tak, aby se soukromý klíč mohl exportovat, a pak ho znovu požádat o certifikát.

  4. Na stránce Exportovat formát souboru se ujistěte, že je Exchange - PKCS #12 (. PFX) je vybraná možnost.

  5. Na stránce Heslo zadejte silné heslo, které bude chránit exportovaný certifikát jeho privátním klíčem, a pak zvolte Další.

  6. Na stránce Soubor k exportu zadejte název souboru, který chcete exportovat, a pak zvolte Další.

  7. Pokud chcete průvodce zavřít, zvolte Dokončit na stránce Průvodce exportem certifikátu a v potvrzovacím dialogovém okně zvolte OK.

  8. Zavřete certifikáty (místní počítač).

  9. Uložte soubor bezpečně a ujistěte se, že k souboru máte přístup z Správce konfigurace konzoly.

    Certifikát je teď připravený k importu při nastavení distribučního bodu.

Tip

Stejný soubor certifikátu můžete použít při nastavení obrázků médií pro nasazení operačního systému, které nepou ít spouštění PXE, a pořadí úkolů k instalaci bitové kopie musí kontaktovat bod správy, který vyžaduje připojení klientů HTTPS.

Nasazení certifikátu registrace pro mobilní zařízení

Toto nasazení certifikátu má jediný postup pro vytvoření a vydání šablony certifikátu pro zápis na certifikační autoritu.

Vytvoření a vydání šablony certifikátu pro zápis v certifikační autoritě

Tento postup vytvoří šablonu certifikátu pro zápis Správce konfigurace mobilních zařízení a přidá ji do certifikační autority.

Vytvoření a vydání šablony certifikátu pro zápis v certifikační autoritě
  1. Vytvořte skupinu zabezpečení, ve které budou mít uživatelé, kteří budou zaregistrovat mobilní zařízení v Správce konfigurace.

  2. Na členském serveru s nainstalovanou Certifikační službou klikněte v konzole Certifikační autorita pravým tlačítkem myši na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu šablon certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem myši na položku s ověřenou relací ve sloupci Zobrazovaný název šablony a pak zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplicitní šablona zkontrolujte, že je Windows 2003 Server, edice Enterprise a pak zvolte OK.

    Důležité

    Nevyberte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, například Certifikát registrace mobilního zařízení ConfigMgr, a vygeneruje certifikáty pro zápis pro mobilní zařízení, která mají být spravována Správce konfigurace.

  6. Zvolte kartu Název předmětu, ujistěte se, že je vybraná možnost Build z těchto informací služby Active Directory, vyberte Běžný název pro formát Název předmětu: a zrušte zaškrtnutí políčka Hlavní uživatelské jméno (UPN) v části Zahrnout tyto informace do alternativního názvu předmětu.

  7. Zvolte kartu Zabezpečení, zvolte skupinu zabezpečení, která má uživatele, kteří mají mobilní zařízení k registraci, a pak zvolte další oprávnění zaregistrovat. Zrušte zaškrtnutí políčka Číst.

  8. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  9. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vydat.

  10. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, ConfigMgr Mobile Device Enrollment Certificate a pak zvolte OK.

  11. Pokud nepotřebujete vytvářet a vydávat další certifikáty, zavřete konzolu Certifikační autorita.

    Šablona certifikátu registrace mobilního zařízení je teď připravená k výběru při nastavení profilu registrace mobilního zařízení v nastavení klienta.

Nasazení klientského certifikátu pro počítače Mac

Toto nasazení certifikátu má jediný postup pro vytvoření a vydání šablony certifikátu pro zápis na certifikační autoritu.

Vytvoření a vydání šablony klientského certifikátu Mac v certifikační autoritě

Tento postup vytvoří vlastní šablonu certifikátu pro Správce konfigurace mac a přidá šablonu certifikátu do certifikační autority.

Poznámka

Tento postup používá jinou šablonu certifikátu než šablonu certifikátu, kterou jste mohli vytvořit Windows klientských počítačů nebo distribučních bodů.

Když pro tento certifikát vytvoříte novou šablonu certifikátu, můžete žádost o certifikát omezit na oprávněné uživatele.

Vytvoření a vydání šablony klientského certifikátu Mac v certifikační autoritě
  1. Vytvořte skupinu zabezpečení, která má uživatelské účty pro správce uživatelů, kteří si certifikát zaregistrují na počítači Mac pomocí Správce konfigurace.

  2. Na členském serveru, na který běží konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu šablon certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem myši na položku, která zobrazuje ověřenou relaci ve sloupci Zobrazovaný název šablony, a pak zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplicitní šablona zkontrolujte, že je Windows 2003 Server, edice Enterprise a pak zvolte OK.

    Důležité

    Nevyberte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, například Klientský certifikát ConfigMgr pro Mac, který vygeneruje klientský certifikát Mac.

  6. Zvolte kartu Název předmětu, ujistěte se, že je vybraná možnost Build from this Active Directory information (Build from this Active Directory information), zvolte Common name for the Subject name format (Název předmětu): a zrušte zaškrtnutí políčka Hlavní uživatelské jméno (UPN) v části Zahrnout tyto informace do alternativního názvu předmětu.

  7. Zvolte kartu Zabezpečení a potom odeberte oprávnění Zaregistrovat ze skupin zabezpečení Domain Admins a Enterprise Admins.

  8. Zvolte Přidat, zadejte skupinu zabezpečení, kterou jste vytvořili v prvním kroku, a pak zvolte OK.

  9. Zvolte oprávnění Zaregistrovat pro tuto skupinu a zrušte zaškrtnutí políčka Číst.

  10. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  11. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vydat.

  12. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, ConfigMgr Klientský certifikát mac a pak zvolte OK.

  13. Pokud nemáte vytvářet a vydávat další certifikáty, zavřete Certifikační autoritu.

    Šablona certifikátu klienta Mac je teď připravená k výběru, když nastavíte nastavení klienta pro registraci.