Podrobný příklad nasazení certifikátů PKI pro Configuration Manager: Certifikační autorita systému Windows Server 2008

  • Článek

Platí pro: Configuration Manager (Current Branch)

Tento podrobný příklad nasazení, které používá certifikační autoritu (CA) systému Windows Server 2008, obsahuje postupy, které ukazují, jak vytvořit a nasadit certifikáty infrastruktury veřejných klíčů (PKI), které Configuration Manager používat. Tyto postupy používají certifikační autoritu organizace (CA) a šablony certifikátů. Kroky jsou vhodné pouze pro testovací síť jako důkaz konceptu.

Vzhledem k tomu, že pro požadované certifikáty neexistuje jediná metoda nasazení, vyhledejte požadované postupy a osvědčené postupy pro nasazení požadovaných certifikátů do produkčního prostředí v dokumentaci ke konkrétnímu nasazení infrastruktury veřejných klíčů. Další informace o požadavcích na certifikáty najdete v tématu Požadavky na certifikát PKI pro Configuration Manager.

Tip

Pokyny v tomto tématu můžete přizpůsobit operačním systémům, které nejsou popsané v části Požadavky na testovací síť. Pokud však spouštíte vydávající certifikační autoritu na Windows Server 2012, nezobrazí se výzva k zadání verze šablony certifikátu. Místo toho zadejte na kartě Kompatibilita vlastností šablony toto:

  • Certifikační autorita: Windows Server 2003
    • Příjemce certifikátu: Windows XP / Server 2003

Test požadavků na síť

Podrobné pokyny mají následující požadavky:

  • Testovací síť běží Active Directory Domain Services se systémem Windows Server 2008 a instaluje se jako jedna doména, jedna doménová struktura.

  • Máte členský server se systémem Windows Server 2008 edice Enterprise, na kterém je nainstalovaná role Active Directory Certificate Services, a je nastavený jako kořenová certifikační autorita (CA) organizace.

  • Máte jeden počítač se systémem Windows Server 2008 (Standard Edition nebo edice Enterprise, R2 nebo novější), tento počítač je určen jako členský server a je na něm nainstalována Internetová informační služba (IIS). Tento počítač bude Configuration Manager server systému lokality, který nakonfigurujete pomocí plně kvalifikovaného názvu domény intranetu pro podporu připojení klientů v intranetu a internetového plně kvalifikovaného názvu domény, pokud potřebujete podporovat mobilní zařízení zaregistrovaná Configuration Manager a klienty na internetu.

  • Máte jeden klient systému Windows Vista, který má nainstalovanou nejnovější aktualizaci Service Pack, a tento počítač je nastaven s názvem počítače, který obsahuje znaky ASCII a je připojen k doméně. Tento počítač bude Configuration Manager klientský počítač.

  • Můžete se přihlásit pomocí účtu správce kořenové domény nebo účtu správce podnikové domény a použít tento účet pro všechny postupy v tomto ukázkovém nasazení.

Přehled certifikátů

Následující tabulka uvádí typy certifikátů PKI, které se můžou vyžadovat pro Configuration Manager, a popisuje, jak se používají.

Požadavek na certifikát Popis certifikátu
Certifikát webového serveru pro systémy lokality se službou IIS Tento certifikát slouží k šifrování dat a ověření serveru klientům. Musí se nainstalovat externě z Configuration Manager na serverech systémů lokality, na kterých běží Internetová informační služba (IIS) a které jsou v Configuration Manager nastaveny na používání protokolu HTTPS.

Postup nastavení a instalace tohoto certifikátu najdete v části Nasazení certifikátu webového serveru pro systémy lokality se službou IIS v tomto tématu.
Certifikát služby pro klienty pro připojení ke cloudovým distribučním bodům Postup konfigurace a instalace tohoto certifikátu najdete v části Nasazení certifikátu služby pro cloudové distribuční body v tomto tématu.

Důležité: Tento certifikát se používá ve spojení s certifikátem pro správu Windows Azure. Další informace o certifikátu pro správu najdete v tématech Vytvoření certifikátu pro správu a Přidání certifikátu pro správu do předplatného Windows Azure.
Klientský certifikát pro počítače s Windows Tento certifikát slouží k ověření Configuration Manager klientských počítačů v systémech lokality, které jsou nastavené na používání protokolu HTTPS. Dá se také použít pro body správy a body migrace stavu k monitorování jejich provozního stavu, když jsou nastavené na používání protokolu HTTPS. Musí být nainstalován externě z Configuration Manager na počítačích.

Postup nastavení a instalace tohoto certifikátu najdete v části Nasazení klientského certifikátu pro počítače s Windows v tomto tématu.
Klientský certifikát pro distribuční body Tento certifikát má dva účely:

Certifikát se používá k ověření distribučního bodu do bodu správy s povoleným protokolem HTTPS předtím, než distribuční bod odešle stavové zprávy.

Je-li vybrána možnost Povolit podporu PXE pro distribuční bod klientů, odešle se certifikát do počítačů se spouštěním technologie PXE, aby se mohly během nasazení operačního systému připojit k bodu správy s povoleným protokolem HTTPS.

Postup nastavení a instalace tohoto certifikátu najdete v části Nasazení klientského certifikátu pro distribuční body v tomto tématu.
Certifikát zápisu pro mobilní zařízení Tento certifikát slouží k ověřování klientů Configuration Manager mobilních zařízení v systémech lokality, které jsou nastavené na používání protokolu HTTPS. Musí se nainstalovat jako součást registrace mobilních zařízení v Configuration Manager a jako nastavení klienta mobilního zařízení zvolíte nakonfigurovanou šablonu certifikátu.

Postup nastavení tohoto certifikátu najdete v části Nasazení certifikátu zápisu pro mobilní zařízení v tomto tématu.
Klientský certifikát pro počítače Mac Tento certifikát si můžete vyžádat a nainstalovat z počítače Mac, když použijete Configuration Manager registraci a zvolíte nakonfigurovanou šablonu certifikátu jako nastavení klienta mobilního zařízení.

Postup nastavení tohoto certifikátu najdete v části Nasazení klientského certifikátu pro počítače Mac v tomto tématu.

Nasazení certifikátu webového serveru pro systémy lokality se službou IIS

Toto nasazení certifikátu má následující postupy:

  • Vytvoření a vystavení šablony certifikátu webového serveru v certifikační autoritě

  • Žádost o certifikát webového serveru

  • Konfigurace služby IIS pro použití certifikátu webového serveru

Vytvoření a vystavení šablony certifikátu webového serveru v certifikační autoritě

Tento postup vytvoří šablonu certifikátu pro systémy lokality Configuration Manager a přidá ji do certifikační autority.

Vytvoření a vydání šablony certifikátu webového serveru v certifikační autoritě

  1. Vytvořte skupinu zabezpečení s názvem Servery služby IIS ConfigMgr, která obsahuje členské servery pro instalaci Configuration Manager systémů lokality, které budou spouštět službu IIS.

  2. Na členském serveru s nainstalovanou Certifikační službou klikněte v konzole Certifikační autorita pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu Šablony certifikátů .

  3. V podokně výsledků klikněte pravým tlačítkem na položku, která obsahuje webový server ve sloupci Zobrazovaný název šablony , a pak zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu se ujistěte, že je vybraná možnost Windows 2003 Server, edice Enterprise, a pak zvolte OK.

    Důležité

    Nevybírejte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, například Certifikát webového serveru ConfigMgr, který vygeneruje webové certifikáty, které se budou používat v systémech Configuration Manager lokality.

  6. Zvolte kartu Název subjektu a ujistěte se, že je v požadavku vybraná možnost Zadat .

  7. Zvolte kartu Zabezpečení a potom odeberte oprávnění k registraci ze skupin zabezpečení Domain Admins a Enterprise Admins .

  8. Zvolte Přidat, do textového pole zadejte Servery IIS nástroje ConfigMgr a pak zvolte OK.

  9. Zvolte oprávnění k registraci pro tuto skupinu a nevymažte oprávnění ke čtení .

  10. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  11. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vystavit.

  12. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Certifikát webového serveru ConfigMgr a pak zvolte OK.

  13. Pokud nepotřebujete vytvářet a vydávat další certifikáty, zavřete certifikační autoritu.

Žádost o certifikát webového serveru

Tento postup umožňuje určit hodnoty intranetu a internetového plně kvalifikovaného názvu domény, které budou nastaveny ve vlastnostech serveru systému lokality, a poté nainstaluje certifikát webového serveru na členský server, na kterém běží služba IIS.

Vyžádání certifikátu webového serveru

  1. Restartujte členský server, na kterém běží služba IIS, a ujistěte se, že počítač bude mít přístup k šabloně certifikátu, kterou jste vytvořili pomocí nakonfigurovaných oprávnění ke čtení a zápisu .

  2. Zvolte Start, zvolte Spustit a pak zadejte mmc.exe. V prázdné konzole zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupných modulů snap-in a pak zvolte Přidat.

  4. V dialogovém okně Snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  5. V dialogovém okně Vybrat počítač se ujistěte, že je vybraná možnost Místní počítač: (počítač, na kterém je spuštěná tato konzola), a pak zvolte Dokončit.

  6. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  7. V konzole rozbalte položku Certifikáty (místní počítač) a pak zvolte Osobní.

  8. Klikněte pravým tlačítkem na Certifikáty, zvolte Všechny úlohy a pak zvolte Požádat o nový certifikát.

  9. Na stránce Než začnete zvolte Další.

  10. Pokud se zobrazí stránka Vybrat zásady zápisu certifikátu , zvolte Další.

  11. Na stránce Vyžádat certifikáty určete certifikát webového serveru ConfigMgr ze seznamu dostupných certifikátů a pak zvolte Další informace jsou potřeba k registraci tohoto certifikátu. Kliknutím sem nakonfigurujete nastavení.

  12. V dialogovém okně Vlastnosti certifikátu na kartě Předmět neprovičujte žádné změny názvu subjektu. To znamená, že pole Hodnota pro oddíl Název subjektu zůstane prázdné. Místo toho v části Alternativní název zvolte rozevírací seznam Typ a pak zvolte DNS.

  13. Do pole Hodnota zadejte hodnoty plně kvalifikovaného názvu domény, které zadáte ve vlastnostech systému lokality Configuration Manager, a potom kliknutím na OK zavřete dialogové okno Vlastnosti certifikátu.

    Příklady:

    • Pokud systém lokality přijímá připojení klientů pouze z intranetu a intranetový plně kvalifikovaný název domény serveru systému lokality je server1.internal.contoso.com, zadejte server1.internal.contoso.com a pak zvolte Přidat.

    • Pokud bude systém lokality přijímat připojení klientů z intranetu a internetu a intranetový plně kvalifikovaný název domény serveru systému lokality je server1.internal.contoso.com a internetový plně kvalifikovaný název domény serveru systému lokality je server.contoso.com:

      1. Zadejte server1.internal.contoso.com a pak zvolte Přidat.

      2. Zadejte server.contoso.com a pak zvolte Přidat.

      Poznámka

      Plně kvalifikované názvy domén pro Configuration Manager můžete zadat v libovolném pořadí. Zkontrolujte ale, že všechna zařízení, která budou certifikát používat, jako jsou mobilní zařízení a webové proxy servery, můžou používat alternativní název subjektu certifikátu (SAN) a více hodnot v síti SAN. Pokud mají zařízení omezenou podporu hodnot SAN v certifikátech, možná budete muset změnit pořadí plně kvalifikovaných názvů domén nebo místo toho použít hodnotu Předmět.

  14. Na stránce Vyžádat certifikáty zvolte v seznamu dostupných certifikátů možnost Certifikát webového serveru ConfigMgr a pak zvolte Registrovat.

  15. Na stránce Výsledky instalace certifikátů počkejte, až se certifikát nainstaluje, a pak zvolte Dokončit.

  16. Zavřete certifikáty (místní počítač).

Konfigurace služby IIS pro použití certifikátu webového serveru

Tento postup vytvoří vazbu nainstalovaného certifikátu na výchozí web služby IIS.

Nastavení služby IIS pro používání certifikátu webového serveru

  1. Na členském serveru, který má nainstalovanou službu IIS, zvolte Start, zvolte Programy, nástroje pro správu a pak zvolte Správce Internetové informační služby (IIS).

  2. Rozbalte weby, klikněte pravým tlačítkem na Výchozí web a pak zvolte Upravit vazby.

  3. Zvolte položku https a pak zvolte Upravit.

  4. V dialogovém okně Upravit vazbu webu vyberte certifikát, který jste požadovali pomocí šablony Certifikáty webového serveru Nástroje ConfigMgr, a pak zvolte OK.

    Poznámka

    Pokud si nejste jistí, který certifikát je správný, zvolte ho a pak zvolte Zobrazit. To vám umožní porovnat podrobnosti vybraného certifikátu s certifikáty v modulu snap-in Certifikáty. Například modul snap-in Certifikáty zobrazuje šablonu certifikátu, která byla použita k vyžádání certifikátu. Potom můžete porovnat kryptografický otisk certifikátu požadovaného pomocí šablony Certifikáty webového serveru Nástroje ConfigMgr s kryptografickým otiskem certifikátu aktuálně vybraného v dialogovém okně Upravit vazbu webu .

  5. V dialogovém okně Upravit vazbu webu zvolte OK a pak zvolte Zavřít.

  6. Zavřete Správce Internetové informační služby (IIS).

    Členský server je teď nastavený s certifikátem Configuration Manager webového serveru.

Důležité

Při instalaci serveru systému lokality Configuration Manager na tento počítač se ujistěte, že jste ve vlastnostech systému lokality zadali stejné plně kvalifikované názvy domén, které jste zadali při žádosti o certifikát.

Nasazení certifikátu služby pro cloudové distribuční body

Toto nasazení certifikátu má následující postupy:

Vytvoření a vystavení vlastní šablony certifikátu webového serveru pro certifikační autoritu

Tento postup vytvoří vlastní šablonu certifikátu, která je založena na šabloně certifikátu webového serveru. Certifikát je určený pro Configuration Manager cloudových distribučních bodů a privátní klíč musí být exportovatelný. Po vytvoření se šablona certifikátu přidá do certifikační autority.

Poznámka

Tento postup používá jinou šablonu certifikátu než šablonu certifikátu webového serveru, kterou jste vytvořili pro systémy lokality se službou IIS. I když oba certifikáty vyžadují funkci ověřování serveru, certifikát pro cloudové distribuční body vyžaduje zadání vlastní definované hodnoty pro název subjektu a privátní klíč se musí exportovat. Osvědčeným postupem zabezpečení je nenastavovat šablony certifikátů tak, aby bylo možné privátní klíč exportovat, pokud se tato konfigurace nevyžaduje. Cloudový distribuční bod tuto konfiguraci vyžaduje, protože certifikát musíte importovat jako soubor a ne zvolit ho z úložiště certifikátů.

Při vytváření nové šablony certifikátu pro tento certifikát můžete omezit počítače, které mohou požadovat certifikát, jehož privátní klíč lze exportovat. V produkční síti můžete také zvážit přidání následujících změn pro tento certifikát:

  • Instalace certifikátu vyžaduje schválení kvůli dalšímu zabezpečení.
    • Prodlužte dobu platnosti certifikátu. Vzhledem k tomu, že certifikát musíte exportovat a importovat pokaždé před vypršením jeho platnosti, prodloužení doby platnosti zkracuje, jak často musíte tento postup opakovat. Prodloužení doby platnosti ale také snižuje zabezpečení certifikátu, protože útočníkovi poskytuje více času na dešifrování privátního klíče a odcizení certifikátu.
    • Použijte vlastní hodnotu v alternativním názvu subjektu certifikátu (SAN) k identifikaci tohoto certifikátu ze standardních certifikátů webového serveru, které používáte se službou IIS.
Vytvoření a vydání vlastní šablony certifikátu webového serveru v certifikační autoritě

  1. Vytvořte skupinu zabezpečení s názvem Servery lokality ConfigMgr, která obsahuje členské servery pro instalaci Configuration Manager serverů primární lokality, které budou spravovat cloudové distribuční body.

  2. Na členském serveru, na kterém je spuštěna konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu Šablony certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem na položku, která obsahuje webový server ve sloupci Zobrazovaný název šablony , a pak zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu se ujistěte, že je vybraná možnost Windows 2003 Server, edice Enterprise, a pak zvolte OK.

    Důležité

    Nevybírejte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, například ConfigMgr Cloud-Based Certifikát distribučního bodu, který vygeneruje certifikát webového serveru pro cloudové distribuční body.

  6. Zvolte kartu Zpracování požadavků a pak zvolte Povolit export privátního klíče.

  7. Zvolte kartu Zabezpečení a pak odeberte oprávnění k registraci ze skupiny zabezpečení Enterprise Admins .

  8. Zvolte Přidat, do textového pole zadejte Servery lokality nástroje ConfigMgr a pak zvolte OK.

  9. Vyberte oprávnění k zápisu pro tuto skupinu a nevymažte oprávnění ke čtení .

  10. Zvolte kartu Kryptografie a ujistěte se, že minimální velikost klíče je nastavená na 2048.

  11. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  12. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vystavit.

  13. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili. Nástroj ConfigMgr Cloud-Based Certifikát distribučního bodu a pak zvolte OK.

  14. Pokud nemusíte vytvářet a vydávat další certifikáty, zavřete certifikační autoritu.

Vyžádání vlastního certifikátu webového serveru

Tento postup vyžádá a pak nainstaluje certifikát vlastního webového serveru na členský server, na který bude server lokality spuštěn.

Vyžádání vlastního certifikátu webového serveru

  1. Po vytvoření a konfiguraci skupiny zabezpečení Servery lokality nástroje ConfigMgr restartujte členský server, abyste zajistili, že počítač bude mít přístup k šabloně certifikátu, kterou jste vytvořili pomocí nakonfigurovaných oprávnění číst a zapsat .

  2. Zvolte Start, zvolte Spustit a pak zadejte mmc.exe. V prázdné konzole zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupných modulů snap-in a pak zvolte Přidat.

  4. V dialogovém okně Snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  5. V dialogovém okně Vybrat počítač se ujistěte, že je vybraná možnost Místní počítač: (počítač, na kterém je spuštěná tato konzola), a pak zvolte Dokončit.

  6. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  7. V konzole rozbalte položku Certifikáty (místní počítač) a pak zvolte Osobní.

  8. Klikněte pravým tlačítkem na Certifikáty, zvolte Všechny úlohy a pak zvolte Požádat o nový certifikát.

  9. Na stránce Než začnete zvolte Další.

  10. Pokud se zobrazí stránka Vybrat zásady zápisu certifikátu , zvolte Další.

  11. Na stránce Vyžádat certifikáty určete certifikát Cloud-Based distribučního bodu nástroje ConfigMgr ze seznamu dostupných certifikátů a pak zvolte Další informace jsou potřeba k zápisu tohoto certifikátu. Nastavení nakonfigurujte zde.

  12. V dialogovém okně Vlastnosti certifikátu na kartě Předmět jako Název subjektu zvolte Běžný název jako Typ.

  13. Do pole Hodnota zadejte název služby a název vaší domény ve formátu FQDN. Příklad: clouddp1.contoso.com.

    Poznámka

    Nastavte název služby v oboru názvů jako jedinečný. Pomocí DNS vytvoříte alias (záznam CNAME), který namapuje název této služby na automaticky vygenerovaný identifikátor (GUID) a IP adresu z Windows Azure.

  14. Zvolte Přidat a potom kliknutím na OK zavřete dialogové okno Vlastnosti certifikátu .

  15. Na stránce Vyžádat certifikáty zvolte v seznamu dostupných certifikátů možnost ConfigMgr Cloud-Based Certifikát distribučního bodu a pak zvolte Registrovat.

  16. Na stránce Výsledky instalace certifikátů počkejte, až se certifikát nainstaluje, a pak zvolte Dokončit.

  17. Zavřete certifikáty (místní počítač).

Export vlastního certifikátu webového serveru pro cloudové distribuční body

Tento postup exportuje vlastní certifikát webového serveru do souboru, aby se mohl importovat při vytváření cloudového distribučního bodu.

Export vlastního certifikátu webového serveru pro cloudové distribuční body

  1. V konzole Certifikáty (místní počítač) klikněte pravým tlačítkem na certifikát, který jste právě nainstalovali, zvolte Všechny úlohy a pak zvolte Exportovat.

  2. V Průvodci exportem certifikátů zvolte Další.

  3. Na stránce Export privátního klíče zvolte Ano, exportovat privátní klíč a pak zvolte Další.

    Poznámka

    Pokud tato možnost není dostupná, byl certifikát vytvořen bez možnosti exportovat privátní klíč. V tomto scénáři nelze exportovat certifikát v požadovaném formátu. Musíte nastavit šablonu certifikátu tak, aby se privátní klíč mohl exportovat, a pak znovu požádat o certifikát.

  4. Na stránce Formát souboru exportu se ujistěte, že osobní výměna informací – PKCS č. 12 (. Je vybraná možnost PFX).

  5. Na stránce Heslo zadejte silné heslo pro ochranu exportovaného certifikátu pomocí jeho privátního klíče a pak zvolte Další.

  6. Na stránce Soubor k exportu zadejte název souboru, který chcete exportovat, a pak zvolte Další.

  7. Průvodce zavřete tak, že na stránce Průvodce exportem certifikátuzvolíte Dokončit a pak v potvrzovacím dialogovém okně zvolíte OK.

  8. Zavřete certifikáty (místní počítač).

  9. Uložte soubor bezpečně a ujistěte se, že k němu máte přístup z konzoly Configuration Manager.

    Certifikát je teď připravený k importu při vytváření cloudového distribučního bodu.

Nasazení klientského certifikátu pro počítače s Windows

Toto nasazení certifikátu má následující postupy:

  • Vytvoření a vystavení šablony ověřovacího certifikátu pracovní stanice pro certifikační autoritu

  • Konfigurace automatického zápisu šablony Ověřování pracovní stanice pomocí Zásady skupiny

  • Automatická registrace ověřovacího certifikátu pracovní stanice a ověření jeho instalace v počítačích

Vytvoření a vystavení šablony ověřovacího certifikátu pracovní stanice pro certifikační autoritu

Tento postup vytvoří šablonu certifikátu pro Configuration Manager klientské počítače a přidá ji do certifikační autority.

Vytvoření a vydání šablony certifikátu ověřování pracovní stanice v certifikační autoritě

  1. Na členském serveru, na kterém je spuštěna konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu Šablony certifikátů.

  2. V podokně výsledků klikněte pravým tlačítkem na položku Ověřování pracovní stanice ve sloupci Zobrazovaný název šablony a zvolte Duplikovat šablonu.

  3. V dialogovém okně Duplikovat šablonu se ujistěte, že je vybraná možnost Windows 2003 Server, edice Enterprise, a pak zvolte OK.

    Důležité

    Nevybírejte Windows 2008 Server, edice Enterprise.

  4. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, například Klientský certifikát nástroje ConfigMgr, který vygeneruje klientské certifikáty, které se použijí na Configuration Manager klientských počítačích.

  5. Zvolte kartu Zabezpečení , vyberte skupinu Počítače domény a pak vyberte další oprávnění číst a automaticky zapsat. Nevymažte zaškrtnutí políčka Zaregistrovat.

  6. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  7. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vystavit.

  8. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, klientský certifikát nástroje ConfigMgr a pak zvolte OK.

  9. Pokud nepotřebujete vytvářet a vydávat další certifikáty, zavřete certifikační autoritu.

Konfigurace automatického zápisu šablony Ověřování pracovní stanice pomocí Zásady skupiny

Tento postup nastaví Zásady skupiny pro automatickou registraci klientského certifikátu v počítačích.

Nastavení automatického zápisu šablony Ověřování pracovní stanice pomocí Zásady skupiny

  1. Na řadiči domény zvolte Start, zvolte Nástroje pro správu a pak zvolte správa Zásady skupiny.

  2. Přejděte na svoji doménu, klikněte na ni pravým tlačítkem myši a pak zvolte Vytvořit objekt zásad_sítě v této doméně a připojte ho sem.

    Poznámka

    Tento krok používá osvědčený postup vytvoření nového Zásady skupiny pro vlastní nastavení místo úprav výchozích zásad domény nainstalovaných s Active Directory Domain Services. Když přiřadíte tuto Zásady skupiny na úrovni domény, použijete ji na všechny počítače v doméně. V produkčním prostředí můžete automatický zápis omezit tak, aby se registrovalo jenom na vybraných počítačích. Zásady skupiny můžete přiřadit na úrovni organizační jednotky nebo můžete doménovou Zásady skupiny filtrovat pomocí skupiny zabezpečení tak, aby se vztahovala jenom na počítače ve skupině. Pokud omezíte automatický zápis, nezapomeňte zahrnout server, který je nastavený jako bod správy.

  3. V dialogovém okně Nový objekt zásad zadejte název nového Zásady skupiny, například Automatické zápisy certifikátů, a pak zvolte OK.

  4. V podokně výsledků klikněte na kartě Propojené Zásady skupiny Objekty pravým tlačítkem myši na nový Zásady skupiny a pak zvolte Upravit.

  5. V editoru pro správu Zásady skupiny rozbalte Zásady v části Konfigurace počítače a pak přejděte na Nastavení Windows / Nastavení / ZabezpečeníZásady veřejného klíče.

  6. Klikněte pravým tlačítkem na typ objektu s názvem Klient Certifikační služby – automatický zápis a pak zvolte Vlastnosti.

  7. V rozevíracím seznamu Model konfigurace zvolte Povoleno, zvolte Obnovit certifikáty, jejichž platnost vypršela, aktualizovat čekající certifikáty, odebrat odvolané certifikáty, zvolte Aktualizovat certifikáty používající šablony certifikátů a pak zvolte OK.

  8. Zavřete Zásady skupiny Management.

Automatická registrace ověřovacího certifikátu pracovní stanice a ověření jeho instalace v počítačích

Tento postup nainstaluje klientský certifikát do počítačů a ověří instalaci.

Automatická registrace ověřovacího certifikátu pracovní stanice a ověření jeho instalace v klientském počítači

  1. Restartujte počítač pracovní stanice a počkejte několik minut, než se přihlásíte.

    Poznámka

    Restartování počítače je nejspolehlivější způsob, jak zajistit úspěch s automatickým zápisem certifikátů.

  2. Přihlaste se pomocí účtu, který má oprávnění správce.

  3. Do vyhledávacího pole zadejte mmc.exe a stiskněte klávesu Enter.

  4. V prázdné konzole pro správu zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  5. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupných modulů snap-in a pak zvolte Přidat.

  6. V dialogovém okně Snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  7. V dialogovém okně Vybrat počítač se ujistěte, že je vybraná možnost Místní počítač: (počítač, na kterém je spuštěná tato konzola), a pak zvolte Dokončit.

  8. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  9. V konzole rozbalte položku Certifikáty (místní počítač), rozbalte položku Osobní a pak zvolte Certifikáty.

  10. V podokně výsledků ověřte, že certifikát obsahuje ověřování klienta ve sloupci Zamýšlený účel a že klientský certifikát nástroje ConfigMgr je ve sloupci Šablona certifikátu .

  11. Zavřete certifikáty (místní počítač).

  12. Opakujte kroky 1 až 11 pro členský server a ověřte, že server, který bude nastaven jako bod správy, má také klientský certifikát.

    Počítač je teď nastavený s Configuration Manager klientským certifikátem.

Nasazení klientského certifikátu pro distribuční body

Poznámka

Tento certifikát lze použít také pro image médií, které nepoužívají spouštění pomocí technologie PXE, protože požadavky na certifikát jsou stejné.

Toto nasazení certifikátu má následující postupy:

  • Vytvoření a vydání vlastní šablony ověřovacího certifikátu pracovní stanice v certifikační autoritě

  • Vyžádání vlastního ověřovacího certifikátu pracovní stanice

  • Export klientského certifikátu pro distribuční body

Vytvoření a vydání vlastní šablony ověřovacího certifikátu pracovní stanice v certifikační autoritě

Tento postup vytvoří vlastní šablonu certifikátu pro Configuration Manager distribuční body, aby bylo možné exportovat privátní klíč, a přidá šablonu certifikátu do certifikační autority.

Poznámka

Tento postup používá jinou šablonu certifikátu než šablonu certifikátu, kterou jste vytvořili pro klientské počítače. I když oba certifikáty vyžadují ověřování klientů, certifikát pro distribuční body vyžaduje export privátního klíče. Osvědčeným postupem zabezpečení je nenastavovat šablony certifikátů, aby bylo možné privátní klíč exportovat, pokud se tato konfigurace nevyžaduje. Distribuční bod vyžaduje tuto konfiguraci, protože certifikát musíte importovat jako soubor a ne zvolit ho z úložiště certifikátů.

Při vytváření nové šablony certifikátu pro tento certifikát můžete omezit počítače, které mohou požadovat certifikát, jehož privátní klíč lze exportovat. V našem ukázkovém nasazení to bude skupina zabezpečení, kterou jste dříve vytvořili pro Configuration Manager servery systému lokality se službou IIS. V produkční síti, která distribuuje role systému lokality služby IIS, zvažte vytvoření nové skupiny zabezpečení pro servery, na kterých běží distribuční body, abyste mohli omezit certifikát pouze na tyto servery systému lokality. Můžete také zvážit přidání následujících úprav pro tento certifikát:

  • Instalace certifikátu vyžaduje schválení kvůli dalšímu zabezpečení.
    • Prodlužte dobu platnosti certifikátu. Vzhledem k tomu, že certifikát musíte exportovat a importovat pokaždé před vypršením jeho platnosti, prodloužení doby platnosti zkracuje, jak často musíte tento postup opakovat. Prodloužení doby platnosti ale také snižuje zabezpečení certifikátu, protože útočníkovi poskytuje více času na dešifrování privátního klíče a odcizení certifikátu.
    • K identifikaci tohoto certifikátu ze standardních klientských certifikátů použijte vlastní hodnotu v poli Předmět certifikátu nebo v alternativním názvu subjektu (SAN). To může být užitečné zejména v případě, že budete stejný certifikát používat pro více distribučních bodů.
Vytvoření a vydání vlastní šablony ověřovacího certifikátu pracovní stanice v certifikační autoritě

  1. Na členském serveru, na kterém je spuštěna konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu Šablony certifikátů.

  2. V podokně výsledků klikněte pravým tlačítkem na položku Ověřování pracovní stanice ve sloupci Zobrazovaný název šablony a zvolte Duplikovat šablonu.

  3. V dialogovém okně Duplikovat šablonu se ujistěte, že je vybraná možnost Windows 2003 Server, edice Enterprise, a pak zvolte OK.

    Důležité

    Nevybírejte Windows 2008 Server, edice Enterprise.

  4. V dialogovém okně Vlastnosti nové šablony na kartě Obecné zadejte název šablony, například Certifikát distribučního bodu klienta nástroje ConfigMgr, který vygeneruje ověřovací certifikát klienta pro distribuční body.

  5. Zvolte kartu Zpracování požadavků a pak zvolte Povolit export privátního klíče.

  6. Zvolte kartu Zabezpečení a pak odeberte oprávnění k registraci ze skupiny zabezpečení Enterprise Admins .

  7. Zvolte Přidat, do textového pole zadejte Servery IIS nástroje ConfigMgr a pak zvolte OK.

  8. Vyberte oprávnění k zápisu pro tuto skupinu a nevymažte oprávnění ke čtení .

  9. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  10. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vystavit.

  11. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Certifikát distribučního bodu klienta nástroje ConfigMgr a pak zvolte OK.

  12. Pokud nemusíte vytvářet a vydávat další certifikáty, zavřete certifikační autoritu.

Vyžádání vlastního ověřovacího certifikátu pracovní stanice

Tento postup vyžádá a pak nainstaluje vlastní klientský certifikát na členský server, na kterém běží služba IIS a který se nastaví jako distribuční bod.

Vyžádání vlastního ověřovacího certifikátu pracovní stanice

  1. Zvolte Start, zvolte Spustit a pak zadejte mmc.exe. V prázdné konzole zvolte Soubor a pak zvolte Přidat nebo odebrat modul snap-in.

  2. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte Certifikáty ze seznamu Dostupných modulů snap-in a pak zvolte Přidat.

  3. V dialogovém okně Snap-in Certifikát zvolte Účet počítače a pak zvolte Další.

  4. V dialogovém okně Vybrat počítač se ujistěte, že je vybraná možnost Místní počítač: (počítač, na kterém je spuštěná tato konzola), a pak zvolte Dokončit.

  5. V dialogovém okně Přidat nebo odebrat moduly snap-in zvolte OK.

  6. V konzole rozbalte položku Certifikáty (místní počítač) a pak zvolte Osobní.

  7. Klikněte pravým tlačítkem na Certifikáty, zvolte Všechny úlohy a pak zvolte Požádat o nový certifikát.

  8. Na stránce Než začnete zvolte Další.

  9. Pokud se zobrazí stránka Vybrat zásady zápisu certifikátu , zvolte Další.

  10. Na stránce Vyžádat certifikáty zvolte v seznamu dostupných certifikátů certifikát klientského distribučního bodu nástroje ConfigMgr a pak zvolte Registrovat.

  11. Na stránce Výsledky instalace certifikátů počkejte, až se certifikát nainstaluje, a pak zvolte Dokončit.

  12. V podokně výsledků ověřte, že certifikát obsahuje ověřování klienta ve sloupci Zamýšlený účel a že certifikát distribučního bodu klienta nástroje ConfigMgr je ve sloupci Šablona certifikátu .

  13. Nezavírejte certifikáty (místní počítač).

Export klientského certifikátu pro distribuční body

Tento postup exportuje vlastní ověřovací certifikát pracovní stanice do souboru, aby ho bylo možné importovat ve vlastnostech distribučního bodu.

Export klientského certifikátu pro distribuční body

  1. V konzole Certifikáty (místní počítač) klikněte pravým tlačítkem na certifikát, který jste právě nainstalovali, zvolte Všechny úlohy a pak zvolte Exportovat.

  2. V Průvodci exportem certifikátů zvolte Další.

  3. Na stránce Export privátního klíče zvolte Ano, exportovat privátní klíč a pak zvolte Další.

    Poznámka

    Pokud tato možnost není dostupná, byl certifikát vytvořen bez možnosti exportovat privátní klíč. V tomto scénáři nelze exportovat certifikát v požadovaném formátu. Musíte nastavit šablonu certifikátu tak, aby se privátní klíč mohl exportovat, a pak znovu požádat o certifikát.

  4. Na stránce Formát souboru exportu se ujistěte, že osobní výměna informací – PKCS č. 12 (. Je vybraná možnost PFX).

  5. Na stránce Heslo zadejte silné heslo pro ochranu exportovaného certifikátu pomocí jeho privátního klíče a pak zvolte Další.

  6. Na stránce Soubor k exportu zadejte název souboru, který chcete exportovat, a pak zvolte Další.

  7. Průvodce zavřete tak, že na stránce Průvodce exportem certifikátuzvolíte Dokončit a v potvrzovací dialogovém okně zvolíte OK.

  8. Zavřete certifikáty (místní počítač).

  9. Uložte soubor bezpečně a ujistěte se, že k němu máte přístup z konzoly Configuration Manager.

    Certifikát je teď připravený k importu při nastavování distribučního bodu.

Tip

Stejný soubor certifikátu můžete použít při nastavování imagí médií pro nasazení operačního systému, které nepoužívá spouštění pomocí technologie PXE, a pořadí úkolů k instalaci image musí kontaktovat bod správy, který vyžaduje připojení klienta HTTPS.

Nasazení certifikátu zápisu pro mobilní zařízení

Toto nasazení certifikátu má jediný postup pro vytvoření a vydání šablony certifikátu zápisu v certifikační autoritě.

Vytvoření a vystavení šablony certifikátu zápisu v certifikační autoritě

Tento postup vytvoří šablonu certifikátu zápisu pro Configuration Manager mobilních zařízení a přidá ji do certifikační autority.

Vytvoření a vydání šablony certifikátu zápisu pro certifikační autoritu

  1. Vytvořte skupinu zabezpečení, která obsahuje uživatele, kteří budou v Configuration Manager registrovat mobilní zařízení.

  2. Na členském serveru, který má nainstalovanou Certifikační službu, klikněte v konzole Certifikační autorita pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu Šablony certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem na položku s ověřenou relací ve sloupci Zobrazovaný název šablony a zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu se ujistěte, že je vybraná možnost Windows 2003 Server, edice Enterprise, a pak zvolte OK.

    Důležité

    Nevybírejte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, například Certifikát zápisu mobilních zařízení nástroje ConfigMgr, který vygeneruje certifikáty zápisu pro mobilní zařízení, která mají být spravována službou Configuration Manager.

  6. Zvolte kartu Název subjektu , ujistěte se, že je vybraná možnost Sestavit z těchto informací služby Active Directory , vyberte Běžný název pro formát názvu subjektu a pak zrušte zaškrtnutí hlavního názvu uživatele (UPN)v části Zahrnout tyto informace do alternativního názvu subjektu.

  7. Zvolte kartu Zabezpečení , zvolte skupinu zabezpečení, která obsahuje uživatele, kteří mají mobilní zařízení k registraci, a pak zvolte další oprávnění Zaregistrovat. Nevymažte zaškrtnutí políčka Číst.

  8. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  9. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vystavit.

  10. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, Certifikát zápisu mobilních zařízení nástroje ConfigMgr a pak zvolte OK.

  11. Pokud nepotřebujete vytvářet a vydávat další certifikáty, zavřete konzolu Certifikační autorita.

    Šablona certifikátu zápisu mobilních zařízení je teď připravená k výběru při nastavování profilu registrace mobilního zařízení v nastavení klienta.

Nasazení klientského certifikátu pro počítače Mac

Toto nasazení certifikátu má jediný postup pro vytvoření a vydání šablony certifikátu zápisu v certifikační autoritě.

Vytvoření a vystavení šablony klientského certifikátu pro Mac v certifikační autoritě

Tento postup vytvoří vlastní šablonu certifikátu pro počítače Configuration Manager Mac a přidá ji do certifikační autority.

Poznámka

Tento postup používá jinou šablonu certifikátu než šablonu certifikátu, kterou jste vytvořili pro klientské počítače s Windows nebo pro distribuční body.

Při vytváření nové šablony certifikátu pro tento certifikát můžete omezit žádost o certifikát na autorizované uživatele.

Vytvoření a vydání šablony klientského certifikátu systému Mac pro certifikační autoritu

  1. Vytvořte skupinu zabezpečení s uživatelskými účty pro správce, kteří budou certifikát na počítači Mac zapsat pomocí Configuration Manager.

  2. Na členském serveru, na kterém je spuštěna konzola Certifikační autorita, klikněte pravým tlačítkem na Šablony certifikátů a pak zvolte Spravovat a načtěte konzolu pro správu Šablony certifikátů.

  3. V podokně výsledků klikněte pravým tlačítkem na položku, která ve sloupci Zobrazovaný název šablony zobrazuje ověřenou relaci, a pak zvolte Duplikovat šablonu.

  4. V dialogovém okně Duplikovat šablonu se ujistěte, že je vybraná možnost Windows 2003 Server, edice Enterprise, a pak zvolte OK.

    Důležité

    Nevybírejte Windows 2008 Server, edice Enterprise.

  5. V dialogovém okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony, například Klientský certifikát nástroje ConfigMgr pro Mac, který vygeneruje klientský certifikát systému Mac.

  6. Zvolte kartu Název subjektu , ujistěte se, že je vybraná možnost Sestavit z těchto informací služby Active Directory , zvolte Běžný název pro formát názvu subjektu: a pak zrušte zaškrtnutí hlavního názvu uživatele (UPN)v části Zahrnout tyto informace do alternativního názvu subjektu.

  7. Zvolte kartu Zabezpečení a potom odeberte oprávnění k registraci ze skupin zabezpečení Domain Admins a Enterprise Admins .

  8. Zvolte Přidat, zadejte skupinu zabezpečení, kterou jste vytvořili v kroku 1, a pak zvolte OK.

  9. Zvolte oprávnění k registraci pro tuto skupinu a nevymažte oprávnění ke čtení .

  10. Zvolte OK a pak zavřete konzolu Šablony certifikátů.

  11. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, zvolte Nový a pak zvolte Šablona certifikátu, kterou chcete vystavit.

  12. V dialogovém okně Povolit šablony certifikátů zvolte novou šablonu, kterou jste právě vytvořili, klientský certifikát nástroje ConfigMgr pro Mac a pak zvolte OK.

  13. Pokud nemusíte vytvářet a vydávat další certifikáty, zavřete certifikační autoritu.

    Šablona klientského certifikátu pro Mac je teď připravená k výběru při nastavování nastavení klienta pro registraci.