Konfigurace infrastruktury certifikátů

Platí pro: Configuration Manager (Current Branch)

Důležité

Od verze 2203 se tato funkce přístupu k prostředkům společnosti už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.

Naučte se konfigurovat infrastrukturu certifikátů v Configuration Manager. Než začnete, zkontrolujte všechny požadavky, které jsou uvedené v části Požadavky pro profily certifikátů.

Pomocí těchto kroků nakonfigurujte infrastrukturu pro certifikáty SCEP nebo PFX.

Krok 1 – Instalace a konfigurace služby zápisu síťových zařízení a závislostí (pouze pro certifikáty SCEP)

Musíte nainstalovat a nakonfigurovat službu role Služba zápisu síťových zařízení pro službu AD CS (Active Directory Certificate Services), změnit oprávnění zabezpečení v šablonách certifikátů, nasadit certifikát ověřování klientů infrastruktury veřejných klíčů (PKI) a upravit registr, aby se zvýšil výchozí limit velikosti adres URL Internetové informační služby (IIS). V případě potřeby musíte také nakonfigurovat vydávající certifikační autoritu (CA) tak, aby umožňovala vlastní dobu platnosti.

Důležité

Před konfigurací Configuration Manager pro práci se Službou zápisu síťových zařízení ověřte instalaci a konfiguraci Služby zápisu síťových zařízení. Pokud tyto závislosti nefungují správně, budete mít potíže s řešením potíží s registrací certifikátu pomocí Configuration Manager.

Instalace a konfigurace služby zápisu síťových zařízení a závislostí

1. Na serveru se systémem Windows Server 2012 R2 nainstalujte a nakonfigurujte službu role Služba zápisu síťových zařízení pro roli serveru služby AD CS (Active Directory Certificate Services). Další informace najdete v tématu Doprovodné materiály ke službě zápisu síťových zařízení.

2. Zkontrolujte a v případě potřeby upravte oprávnění zabezpečení pro šablony certifikátů, které používá Služba zápisu síťových zařízení:

   • Účet, na kterém běží konzola Configuration Manager: Oprávnění ke čtení.

     Toto oprávnění se vyžaduje, abyste při spuštění Průvodce vytvořením profilu certifikátu mohli vybrat šablonu certifikátu, kterou chcete použít při vytváření profilu nastavení SCEP. Výběr šablony certifikátu znamená, že některá nastavení v průvodci se vyplní automaticky, takže konfigurace je pro vás menší a existuje menší riziko výběru nastavení, která nejsou kompatibilní se šablonami certifikátů, které používá Služba zápisu síťových zařízení.

   • Pro účet služby SCEP, který fond aplikací Služby zápisu síťových zařízení používá: Oprávnění ke čtení a zápisu .

     Tento požadavek není specifický pro Configuration Manager ale je součástí konfigurace Služby zápisu síťových zařízení. Další informace najdete v tématu Doprovodné materiály ke službě zápisu síťových zařízení.

   Tip

   Pokud chcete zjistit, které šablony certifikátů Služba zápisu síťových zařízení používá, podívejte se na následující klíč registru na serveru, na kterém běží Služba zápisu síťových zařízení: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Poznámka

   Jedná se o výchozí oprávnění zabezpečení, která budou vhodná pro většinu prostředí. Můžete ale použít alternativní konfiguraci zabezpečení. Další informace najdete v tématu Plánování oprávnění šablon certifikátů pro profily certifikátů.

3. Nasaďte na tento server certifikát PKI, který podporuje ověřování klientů. Možná už máte na počítači nainstalovaný vhodný certifikát, který můžete použít, nebo možná budete muset (nebo raději) nasadit certifikát speciálně pro tento účel. Další informace o požadavcích na tento certifikát najdete v podrobnostech pro servery, na kterých běží modul zásad Configuration Manager se službou role Služba zápisu síťových zařízení v části Certifikáty PKI pro servery v tématu Požadavky na certifikáty PKI pro Configuration Manager.

   Tip

   Pokud potřebujete pomoc s nasazením tohoto certifikátu, můžete použít pokyny k nasazení klientského certifikátu pro distribuční body, protože požadavky na certifikát jsou stejné s jednou výjimkou:

   • Nezaškrtávejte políčko Povolit export privátního klíče na kartě Zpracování požadavků ve vlastnostech šablony certifikátu.

     Tento certifikát nemusíte exportovat s privátním klíčem, protože budete moct přejít do místního úložiště počítače a vybrat ho při konfiguraci modulu zásad Configuration Manager.

4. Vyhledejte kořenový certifikát, se kterým se řetězí ověřovací certifikát klienta. Potom tento certifikát kořenové certifikační autority exportujte do souboru certifikátu (.cer). Uložte tento soubor do zabezpečeného umístění, ke kterému budete mít zabezpečený přístup při pozdější instalaci a konfiguraci serveru systému lokality pro bod registrace certifikátu.

5. Na stejném serveru použijte editor registru ke zvýšení výchozího limitu velikosti adresy URL služby IIS nastavením následujících hodnot DWORD klíče registru v HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   • Nastavte klíč MaxFieldLength na 65534.

   • Nastavte klíč MaxRequestBytes na 16777216.

     Další informace najdete v podpora Microsoftu článku 820129: Http.sys nastavení registru pro Windows.

6. Na stejném serveru ve Správci Internetové informační služby (IIS) upravte nastavení filtrování požadavků pro aplikaci /certsrv/mscep a restartujte server. V dialogovém okně Upravit nastavení filtrování požadavků by nastavení Omezení požadavků mělo vypadat takto:

   • Maximální povolená délka obsahu (bajty):30000000

   • Maximální délka adresy URL (bajty):65534

   • Maximální řetězec dotazu (bajty): 65534

     Další informace o těchto nastaveních a jejich konfiguraci najdete v tématu Omezení požadavků služby IIS.

7. Pokud chcete mít možnost požádat o certifikát, který má kratší dobu platnosti než šablona certifikátu, kterou používáte: Tato konfigurace je ve výchozím nastavení pro certifikační autoritu organizace zakázaná. Pokud chcete tuto možnost povolit u certifikační autority organizace, použijte nástroj příkazového řádku Certutil a pak pomocí následujících příkazů zastavte a restartujte certifikační službu:

   1. certutil – setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      Další informace najdete v tématu Nástroje a nastavení certifikačních služeb.

8. Pomocí následujícího odkazu jako příklad ověřte, že služba zápisu síťových zařízení funguje: https://server.contoso.com/certsrv/mscep/mscep.dll. Měli byste vidět integrovanou webovou stránku Služby zápisu síťových zařízení. Tato webová stránka vysvětluje, co je služba, a vysvětluje, že síťová zařízení používají adresu URL k odesílání žádostí o certifikát.

   Teď, když je služba zápisu síťových zařízení a závislosti nakonfigurované, jste připraveni nainstalovat a nakonfigurovat bod registrace certifikátu.

Krok 2 – Instalace a konfigurace bodu registrace certifikátu

Musíte nainstalovat a nakonfigurovat alespoň jeden bod registrace certifikátu v hierarchii Configuration Manager a tuto roli systému lokality můžete nainstalovat v lokalitě centrální správy nebo v primární lokalitě.

Důležité

Před instalací bodu registrace certifikátu si přečtěte část Požadavky na systém lokality v tématu Podporované konfigurace pro Configuration Manager pro požadavky na operační systém a závislosti pro bod registrace certifikátu.

Instalace a konfigurace bodu registrace certifikátu

1. V konzole Configuration Manager klikněte na Správa.

2. V pracovním prostoru Správa rozbalte položku Konfigurace lokality, klikněte na servery a role systému lokality a pak vyberte server, který chcete použít pro bod registrace certifikátu.

3. Na kartě Domů klikněte ve skupině Server na přidat role systému lokality.

4. Na stránce Obecné zadejte obecné nastavení systému lokality a potom klikněte na Tlačítko Další.

5. Na stránce Proxy klikněte na Další. Bod registrace certifikátu nepoužívá nastavení internetového proxy serveru.

6. Na stránce Výběr role systému vyberte ze seznamu dostupných rolí bod registrace certifikátu a potom klikněte na Další.

7. Na stránce Režim registrace certifikátu vyberte, jestli chcete, aby bod registrace certifikátu zpracovával žádosti o certifikátY SCEP, nebo Zpracovávat žádosti o certifikát PFX. Bod registrace certifikátu nemůže zpracovat oba typy požadavků, ale pokud pracujete s oběma typy certifikátů, můžete vytvořit více bodů registrace certifikátu.

   Pokud zpracováváte certifikáty PFX, budete muset zvolit certifikační autoritu, Microsoft nebo svěřit.

8. Stránka Nastavení bodu registrace certifikátu se liší podle typu certifikátu:

   • Pokud jste vybrali Zpracovat žádosti o certifikátY SCEP, nakonfigurujte následující:

     • Název webu, číslo portu HTTPS a název virtuální aplikace pro bod registrace certifikátu. Tato pole se automaticky vyplní výchozími hodnotami.
     • Adresa URL služby zápisu síťových zařízení a certifikátu kořenové certifikační autority – klikněte na Přidat a pak v dialogovém okně Přidat adresu URL a certifikát kořenové certifikační autority zadejte následující:
       • Adresa URL služby zápisu síťových zařízení: Zadejte adresu URL v následujícím formátu: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Pokud je například plně kvalifikovaný název domény vašeho serveru, na kterém běží Služba zápisu síťových zařízení, server1.contoso.com, zadejte https://server1.contoso.com/certsrv/mscep/mscep.dll.
       • Certifikát kořenové certifikační autority: Vyhledejte a vyberte soubor certifikátu (.cer), který jste vytvořili a uložili v kroku 1: Instalace a konfigurace Služby zápisu síťových zařízení a závislostí. Tento certifikát kořenové certifikační autority umožňuje bodu registrace certifikátu ověřit certifikát ověřování klienta, který bude modul zásad Configuration Manager používat.

   • Pokud jste vybrali zpracovat žádosti o certifikát PFX, nakonfigurujete podrobnosti připojení a přihlašovací údaje pro vybranou certifikační autoritu.

     • Pokud chcete jako certifikační autoritu použít Microsoft, klikněte na Přidat a pak v dialogovém okně Přidat certifikační autoritu a účet zadejte následující:

       • Název serveru certifikační autority – Zadejte název serveru certifikační autority.

       • Účet certifikační autority – Kliknutím na Nastavit vyberte nebo vytvořte účet, který má oprávnění k registraci v šablonách v certifikační autoritě.

       • Účet připojení bodu registrace certifikátu – Vyberte nebo vytvořte účet, který připojí bod registrace certifikátu k databázi Configuration Manager. Alterativně můžete použít účet místního počítače počítače, který je hostitelem bodu registrace certifikátu.

       • Účet publikování certifikátů služby Active Directory – Vyberte účet nebo vytvořte nový účet, který se použije k publikování certifikátů pro objekty uživatelů ve službě Active Directory.

       • V dialogovém okně Adresa URL zápisu síťového zařízení a certifikátu kořenové certifikační autority zadejte následující a klikněte na OK:

     • Pokud chcete jako certifikační autoritu použít Svěření, zadejte:

       • Adresa URL webové služby MDM

       • Přihlašovací údaje uživatelského jména a hesla pro adresu URL.

         Při použití rozhraní MDM API k definování adresy URL svěřit webové služby nezapomeňte použít alespoň verzi 9 rozhraní API, jak je znázorněno v následující ukázce:

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         Starší verze rozhraní API nepodporují Funkci Svěření.

9. Klikněte na Další a dokončete průvodce.

10. Počkejte několik minut, než se instalace dokončí, a pak pomocí některé z následujících metod ověřte, že se bod registrace certifikátu úspěšně nainstaloval:

    • V pracovním prostoru Monitorování rozbalte položku Stav systému, klikněte na Stav součásti a vyhledejte stavové zprávy z SMS_CERTIFICATE_REGISTRATION_POINT komponenty.

    • Na serveru systému lokality použijte <soubor Instalační cesta> nástroje ConfigMgr\Logs\crpsetup.log a <Instalační cesta> nástroje ConfigMgr\Logs\crpmsi.log. Úspěšná instalace vrátí ukončovací kód 0.

    • Pomocí prohlížeče ověřte, že se můžete připojit k adrese URL bodu registrace certifikátu. Například: https://server1.contoso.com/CMCertificateRegistration. Měla by se zobrazit stránka Chyba serveru pro název aplikace s popisem HTTP 404.

11. Vyhledejte exportovaný soubor certifikátu pro kořenovou certifikační autoritu, kterou automaticky vytvořil bod registrace certifikátu, v následující složce na počítači serveru primární lokality: <Instalační cesta> nástroje ConfigMgr\inboxes\certmgr.box. Uložte tento soubor do zabezpečeného umístění, ke kterému budete mít zabezpečený přístup, když později nainstalujete modul zásad Configuration Manager na server, na kterém běží Služba zápisu síťových zařízení.

    Tip

    Tento certifikát není v této složce okamžitě dostupný. Možná budete muset chvíli počkat (například půl hodiny), než Configuration Manager soubor zkopíruje do tohoto umístění.

Krok 3 : Nainstalujte modul zásad Configuration Manager (pouze pro certifikáty SCEP).

Modul zásad Configuration Manager musíte nainstalovat a nakonfigurovat na každém serveru, který jste zadali v kroku 2: Instalace a konfigurace bodu registrace certifikátu jako adresy URL služby zápisu síťových zařízení ve vlastnostech bodu registrace certifikátu.

Instalace modulu zásad

1. Na serveru, na kterém běží Služba zápisu síťových zařízení, se přihlaste jako správce domény a zkopírujte následující soubory ze <složky ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 na instalačním médiu Configuration Manager do dočasné složky:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Pokud máte navíc na instalačním médiu složku LanguagePack, zkopírujte tuto složku a její obsah.

2. Z dočasné složky spusťte PolicyModuleSetup.exe a spusťte průvodce instalací modulu zásad Configuration Manager.

3. Na úvodní stránce průvodce klikněte na Další, přijměte licenční podmínky a potom klikněte na Další.

4. Na stránce Instalační složka přijměte výchozí instalační složku pro modul zásad nebo zadejte alternativní složku a klikněte na Další.

5. Na stránce Bod registrace certifikátu zadejte adresu URL bodu registrace certifikátu pomocí plně kvalifikovaného názvu domény serveru systému lokality a názvu virtuální aplikace, který je zadaný ve vlastnostech bodu registrace certifikátu. Výchozí název virtuální aplikace je CMCertificateRegistration. Pokud má například server systému lokality plně kvalifikovaný název domény server1.contoso.com a použili jste výchozí název virtuální aplikace, zadejte https://server1.contoso.com/CMCertificateRegistration.

6. Přijměte výchozí port 443 nebo zadejte alternativní číslo portu, který používá bod registrace certifikátu, a potom klikněte na Další.

7. Na stránce Klientský certifikát pro modul zásadvyhledejte a zadejte certifikát ověřování klienta, který jste nasadili v kroku 1: Instalace a konfigurace Služby zápisu síťových zařízení a závislostí, a pak klikněte na Další.

8. Na stránce Certifikát bodu registrace certifikátu klikněte na Procházet a vyberte exportovaný soubor certifikátu pro kořenovou certifikační autoritu, který jste vyhledli a uložili na konci kroku 2: Instalace a konfigurace bodu registrace certifikátu.

   Poznámka

   Pokud jste tento soubor certifikátu dříve neukládali, nachází se v <instalační cestě> nástroje ConfigMgr\inboxes\certmgr.box na počítači serveru lokality.

9. Klikněte na Další a dokončete průvodce.

   Pokud chcete odinstalovat modul zásad Configuration Manager, použijte programy a funkce v Ovládací panely.

Teď, když jste dokončili kroky konfigurace, jste připraveni nasadit certifikáty pro uživatele a zařízení vytvořením a nasazením profilů certifikátů. Další informace o vytváření profilů certifikátů najdete v tématu Vytvoření profilů certifikátů.