Tanúsítványinfrastruktúra konfigurálása
A következőre vonatkozik: Configuration Manager (aktuális ág)
Fontos
A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.
Megtudhatja, hogyan konfigurálhatja a tanúsítványinfrastruktúrát Configuration Manager. Mielőtt hozzákezd, ellenőrizze, hogy vannak-e a tanúsítványprofilok előfeltételei között felsorolt előfeltételek.
Ezekkel a lépésekkel konfigurálhatja az infrastruktúrát SCEP- vagy PFX-tanúsítványokhoz.
1. lépés – A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása (csak SCEP-tanúsítványok esetén)
Telepítenie és konfigurálnia kell a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatásokhoz (AD CS), módosítania kell a tanúsítványsablonokra vonatkozó biztonsági engedélyeket, üzembe kell helyeznie egy nyilvános kulcsú infrastruktúra (PKI) ügyfél-hitelesítési tanúsítványát, és szerkesztenie kell a beállításjegyzéket az Internet Information Services (IIS) alapértelmezett URL-méretkorlátjának növeléséhez. Ha szükséges, konfigurálnia kell a kiállító hitelesítésszolgáltatót (CA) is, hogy engedélyezze az egyéni érvényességi időtartamot.
Fontos
Mielőtt konfigurálja a Configuration Manager a hálózati eszközök tanúsítványigénylési szolgáltatásával való együttműködésre, ellenőrizze a hálózati eszközök tanúsítványigénylési szolgáltatásának telepítését és konfigurációját. Ha ezek a függőségek nem működnek megfelelően, nehézségekbe ütközik a tanúsítványregisztráció hibaelhárítása Configuration Manager használatával.
A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása
Egy Windows Server 2012 R2-t futtató kiszolgálón telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatások kiszolgálói szerepkörhöz. További információ: Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához.
Ellenőrizze, és szükség esetén módosítsa a hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok biztonsági engedélyeit:
A Configuration Manager konzolt futtató fiók esetén: Olvasási engedély.
Erre az engedélyre azért van szükség, hogy a Tanúsítványprofil létrehozása varázsló futtatásakor tallózással válassza ki az SCEP-beállításprofil létrehozásakor használni kívánt tanúsítványsablont. A tanúsítványsablon kiválasztása azt jelenti, hogy a varázsló egyes beállításai automatikusan fel lesznek töltve, így kevesebbet kell konfigurálnia, és kisebb a kockázata annak, hogy olyan beállításokat választ, amelyek nem kompatibilisek a hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonokkal.
A Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete által használt SCEP-szolgáltatásfiók esetében: Olvasási és regisztrálási engedélyek.
Ez a követelmény nem Configuration Manager, hanem a hálózati eszközök tanúsítványigénylési szolgáltatásának konfigurálásának része. További információ: Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához.
Tipp
A Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok azonosításához tekintse meg a következő beállításkulcsot a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
Megjegyzés:
Ezek az alapértelmezett biztonsági engedélyek, amelyek a legtöbb környezethez megfelelőek lesznek. Alternatív biztonsági konfigurációt is használhat. További információ: Tanúsítványsablon-engedélyek tervezése tanúsítványprofilokhoz.
Helyezzen üzembe ezen a kiszolgálón egy PKI-tanúsítványt, amely támogatja az ügyfél-hitelesítést. Előfordulhat, hogy már telepítve van egy megfelelő tanúsítvány a számítógépen, amelyet használhat, vagy kifejezetten erre a célra kell telepítenie (vagy inkább) telepítenie egy tanúsítványt. A tanúsítvány követelményeivel kapcsolatos további információkért tekintse meg a Configuration Manager témakör PKI-tanúsítványokra vonatkozó követelményei című szakaszának A hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatással rendelkező Configuration Manager házirendmodult futtató kiszolgálók című szakaszát.
Tipp
Ha segítségre van szüksége a tanúsítvány üzembe helyezéséhez, kövesse az Ügyféltanúsítvány központi telepítése terjesztési pontokhoz című témakör utasításait, mivel a tanúsítványkövetelmények egy kivétellel megegyeznek:
Ne jelölje be a Titkos kulcs exportálásának engedélyezése jelölőnégyzetet a tanúsítványsablon tulajdonságainak Kérelemkezelés lapján.
Ezt a tanúsítványt nem kell titkos kulccsal exportálnia, mert a Configuration Manager házirendmodul konfigurálásakor megkeresheti a helyi számítógéptárolót, és kiválaszthatja azt.
Keresse meg azt a főtanúsítványt, amelybe az ügyfél-hitelesítési tanúsítvány láncba van láncolással. Ezután exportálja ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt egy tanúsítványfájlba (.cer). Mentse ezt a fájlt egy biztonságos helyre, amely biztonságosan elérhető lesz, amikor később telepíti és konfigurálja a helyrendszer-kiszolgálót a tanúsítványregisztrációs ponthoz.
Ugyanazon a kiszolgálón a beállításszerkesztővel növelje az IIS alapértelmezett URL-méretkorlátját a következő beállításkulcs DWORD értékeinek beállításával HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:
Állítsa a MaxFieldLength kulcsot a 65534 értékre.
Állítsa a MaxRequestBytes kulcsot 16777216 értékre.
További információkért lásd Microsoft ügyfélszolgálata 820129: A Windows beállításjegyzék-beállításainak Http.sys című cikket.
Ugyanazon a kiszolgálón az Internet Information Services (IIS) kezelőjében módosítsa a /certsrv/mscep alkalmazás kérelemszűrési beállításait, majd indítsa újra a kiszolgálót. A Kérelemszűrés beállításainak szerkesztésepárbeszédpanelen a Kérelemkorlátok beállításainak a következőknek kell lenniük:
Maximálisan megengedett tartalomhossz (bájt):30000000
URL-cím maximális hossza (bájt): 65534
Lekérdezési sztring maximális száma (bájt):65534
További információ ezekről a beállításokról és azok konfigurálásáról: IIS-kérelmek korlátai.
Ha olyan tanúsítványt szeretne igényelni, amelynek érvényességi időtartama alacsonyabb, mint a használt tanúsítványsabloné: Ez a konfiguráció alapértelmezés szerint le van tiltva egy vállalati hitelesítésszolgáltatónál. Ha vállalati hitelesítésszolgáltatón szeretné engedélyezni ezt a beállítást, használja a Certutil parancssori eszközt, majd állítsa le és indítsa újra a tanúsítványszolgáltatást az alábbi parancsokkal:
certutil – setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
További információ: Tanúsítványszolgáltatások eszközei és beállításai.
Ellenőrizze, hogy működik-e a hálózati eszközök tanúsítványigénylési szolgáltatása. Példaként használja a következő hivatkozást:
https://server.contoso.com/certsrv/mscep/mscep.dll
. Ekkor megjelenik a Hálózati eszközök tanúsítványigénylési szolgáltatásának beépített weblapja. Ez a weblap ismerteti a szolgáltatás lényegét, és ismerteti, hogy a hálózati eszközök az URL-címmel küldik el a tanúsítványkéréseket.Most, hogy konfigurálta a hálózati eszközök tanúsítványigénylési szolgáltatását és függőségeit, készen áll a tanúsítványregisztrációs pont telepítésére és konfigurálására.
2. lépés – A tanúsítványregisztrációs pont telepítése és konfigurálása.
Legalább egy tanúsítványregisztrációs pontot telepítenie és konfigurálnia kell a Configuration Manager hierarchiában, és telepítheti ezt a helyrendszerszerepkört a központi adminisztrációs helyen vagy egy elsődleges helyen.
Fontos
A tanúsítványregisztrációs pont telepítése előtt tekintse meg a tanúsítványregisztrációs pont operációsrendszer-követelményeit és függőségeit Configuration Manager támogatott konfigurációk című témakör Helyrendszer-követelmények című szakaszában.
A tanúsítványregisztrációs pont telepítése és konfigurálása
A Configuration Manager konzolon kattintson az Adminisztráció elemre.
Az Adminisztráció munkaterületen bontsa ki a Hely konfigurációja elemet, kattintson a Kiszolgálók és helyrendszerszerepkörök elemre, majd válassza ki a tanúsítványregisztrációs ponthoz használni kívánt kiszolgálót.
A Kezdőlap lapKiszolgáló csoportjában kattintson a Helyrendszerszerepkörök hozzáadása elemre.
Az Általános lapon adja meg a helyrendszer általános beállításait, majd kattintson a Tovább gombra.
A Proxy lapon kattintson a Tovább gombra. A tanúsítványregisztrációs pont nem használ internetes proxybeállításokat.
A Rendszerszerepkör kiválasztása lapon válassza a Tanúsítványregisztrációs pontot az elérhető szerepkörök listájából, majd kattintson a Tovább gombra.
A Tanúsítványregisztrációs mód lapon válassza ki, hogy ezt a tanúsítványregisztrációs pontot az SCEP-tanúsítványkérelmek feldolgozása vagy a PFX-tanúsítványkérelmek feldolgozása beállításra szeretné-e beállítani. A tanúsítványregisztrációs pontok nem tudják feldolgozni mindkét típusú kérést, de több tanúsítványregisztrációs pontot is létrehozhat, ha mindkét tanúsítványtípussal dolgozik.
PFX-tanúsítványok feldolgozásakor ki kell választania egy hitelesítésszolgáltatót, Microsoft vagy a Entrust szolgáltatót.
A Tanúsítványregisztrációs pont beállításai lap a tanúsítvány típusától függően változik:
Ha az SCEP-tanúsítványkérelmek feldolgozása lehetőséget választotta, konfigurálja a következőket:
- A tanúsítványregisztrációs pont webhelyneve, HTTPS-portszáma és virtuális alkalmazásneve. Ezek a mezők automatikusan kitöltik az alapértelmezett értékeket.
- A Hálózati eszközök tanúsítványigénylési szolgáltatásának és a legfelső szintű hitelesítésszolgáltatói tanúsítvány URL-címe – Kattintson a Hozzáadás gombra, majd az URL-cím és a legfelső szintű hitelesítésszolgáltatói tanúsítvány hozzáadása párbeszédpanelen adja meg a következőket:
- A hálózati eszközök tanúsítványigénylési szolgáltatásának URL-címe: Adja meg az URL-címet a következő formátumban: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Ha például a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló teljes tartománynevét server1.contoso.com, írja be a következőt
https://server1.contoso.com/certsrv/mscep/mscep.dll
: . - Legfelső szintű hitelesítésszolgáltatói tanúsítvány: Keresse meg és válassza ki az 1. lépés: A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása című lépésben létrehozott és mentett tanúsítványfájlt (.cer). Ez a legfelső szintű hitelesítésszolgáltatói tanúsítvány lehetővé teszi, hogy a tanúsítványregisztrációs pont érvényesítse a Configuration Manager házirendmodul által használt ügyfél-hitelesítési tanúsítványt.
- A hálózati eszközök tanúsítványigénylési szolgáltatásának URL-címe: Adja meg az URL-címet a következő formátumban: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Ha például a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló teljes tartománynevét server1.contoso.com, írja be a következőt
Ha a PFX-tanúsítványkérelmek feldolgozása lehetőséget választotta, konfigurálja a kiválasztott hitelesítésszolgáltató kapcsolati adatait és hitelesítő adatait.
Ha Microsoft szeretne hitelesítésszolgáltatóként használni, kattintson a Hozzáadás gombra, majd a Hitelesítésszolgáltató és fiók hozzáadása párbeszédpanelen adja meg a következőket:
Hitelesítésszolgáltató kiszolgálójának neve – Adja meg a hitelesítésszolgáltató kiszolgálójának nevét.
Hitelesítésszolgáltatói fiók – A Beállítás gombra kattintva kiválaszthatja vagy létrehozhatja azt a fiókot, amely jogosult a hitelesítésszolgáltató sablonjaiban való regisztrálásra.
Tanúsítványregisztrációs pont csatlakozási fiókja – Válassza ki vagy hozza létre azt a fiókot, amely a tanúsítványregisztrációs pontot a Configuration Manager adatbázishoz csatlakoztatja. Váltakozó módon használhatja a tanúsítványregisztrációs pontot üzemeltető számítógép helyi számítógépfiókját.
Active Directory tanúsítvány-közzétételi fiók – Válasszon ki egy fiókot, vagy hozzon létre egy új fiókot, amellyel tanúsítványokat tehet közzé az Active Directory felhasználói objektumaiban.
A Hálózati eszközök regisztrációja és a legfelső szintű hitelesítésszolgáltató tanúsítványa párbeszédpanel URL-címében adja meg a következőket, majd kattintson az OK gombra:
A Entrust hitelesítésszolgáltatóként való használatához adja meg a következőket:
Az MDM webszolgáltatás URL-címe
Az URL-címhez tartozó felhasználónév és jelszó hitelesítő adatai.
Ha az MDM API-t használja a Entrust webszolgáltatás URL-címének meghatározásához, ügyeljen arra, hogy az API legalább 9-es verzióját használja, az alábbi példában látható módon:
https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9
Az API korábbi verziói nem támogatják a Entrustt.
Kattintson a Tovább gombra, és fejezze be a varázslót.
Várjon néhány percet, amíg a telepítés befejeződik, majd az alábbi módszerek bármelyikével ellenőrizze, hogy a tanúsítványregisztrációs pont telepítése sikeresen megtörtént-e:
A Figyelés munkaterületen bontsa ki a Rendszer állapota csomópontot, kattintson az Összetevő állapota elemre, és keresse meg az SMS_CERTIFICATE_REGISTRATION_POINT összetevő állapotüzeneteit.
A helyrendszer-kiszolgálón használja a <ConfigMgr telepítési útvonal>\Logs\crpsetup.log fájlt és <a ConfigMgr telepítési útvonal>\Logs\crpmsi.log fájlt. A sikeres telepítés 0 kilépési kódot ad vissza.
Egy böngészőben ellenőrizze, hogy tud-e csatlakozni a tanúsítványregisztrációs pont URL-címéhez. Használja például a
https://server1.contoso.com/CMCertificateRegistration
címet. Az alkalmazás nevének egy Kiszolgálóhiba lapnak kell megjelennie, http 404-leírással.
Keresse meg a legfelső szintű hitelesítésszolgáltató exportált tanúsítványfájlját, amelyet a tanúsítványregisztrációs pont automatikusan létrehozott az elsődleges helykiszolgáló számítógépének következő mappájában: <ConfigMgr telepítési útvonal>\inboxes\certmgr.box. Mentse a fájlt egy biztonságos helyre, amely biztonságosan elérhető, amikor később telepíti a Configuration Manager házirendmodult a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálóra.
Tipp
Ez a tanúsítvány nem érhető el azonnal ebben a mappában. Előfordulhat, hogy várnia kell egy kicsit (például fél órát), mielőtt Configuration Manager átmásolja a fájlt erre a helyre.
3. lépés – A Configuration Manager házirendmodul telepítése (csak SCEP-tanúsítványok esetén).
Telepítenie és konfigurálnia kell a Configuration Manager házirendmodult minden olyan kiszolgálón, amelyet a 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása a hálózati eszközök tanúsítványigénylési szolgáltatásának URL-címeként a tanúsítványregisztrációs pont tulajdonságai között megadott.
A házirendmodul telepítése
A Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón jelentkezzen be tartományi rendszergazdaként, és másolja a következő fájlokat a <Configuration Manager telepítési adathordozójának ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 mappájából egy ideiglenes mappába:
PolicyModule.msi
PolicyModuleSetup.exe
Emellett, ha a telepítési adathordozón található egy LanguagePack mappa, másolja ezt a mappát és annak tartalmát.
Az ideiglenes mappában futtassa a PolicyModuleSetup.exe parancsot a Configuration Manager Házirendmodul telepítővarázslójának elindításához.
A varázsló kezdeti lapján kattintson a Tovább gombra, fogadja el a licencfeltételeket, majd kattintson a Tovább gombra.
A Telepítési mappa lapon fogadja el a házirendmodul alapértelmezett telepítési mappáját, vagy adjon meg egy másik mappát, majd kattintson a Tovább gombra.
A Tanúsítványregisztrációs pont lapon adja meg a tanúsítványregisztrációs pont URL-címét a helyrendszer-kiszolgáló teljes tartománynevével és a tanúsítványregisztrációs pont tulajdonságaiban megadott virtuális alkalmazásnévvel. Az alapértelmezett virtuális alkalmazásnév a CMCertificateRegistration. Ha például a helyrendszer-kiszolgáló teljes tartományneve server1.contoso.com, és az alapértelmezett virtuális alkalmazásnevet használta, adja meg a következőt
https://server1.contoso.com/CMCertificateRegistration
: .Fogadja el az alapértelmezett 443-at , vagy adja meg a tanúsítványregisztrációs pont által használt alternatív portszámot, majd kattintson a Tovább gombra.
A Házirendmodul ügyféltanúsítványalapon keresse meg és adja meg az 1. lépés: A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása című szakaszban üzembe helyezett ügyfél-hitelesítési tanúsítványt, majd kattintson a Tovább gombra.
A Tanúsítványregisztrációs pont tanúsítványa lapon kattintson a Tallózás gombra a 2. lépés végén található és mentett legfelső szintű hitelesítésszolgáltató exportált tanúsítványfájljának kiválasztásához : A tanúsítványregisztrációs pont telepítése és konfigurálása.
Megjegyzés:
Ha korábban nem mentette ezt a tanúsítványfájlt, az a <helykiszolgáló számítógépének ConfigMgr telepítési útvonala>\inboxes\certmgr.box mappájában található.
Kattintson a Tovább gombra, és fejezze be a varázslót.
Ha el szeretné távolítani a Configuration Manager házirendmodult, használja a Programok és szolgáltatások Vezérlőpult.
Most, hogy elvégezte a konfigurációs lépéseket, tanúsítványprofilok létrehozásával és telepítésével készen áll a tanúsítványok felhasználókra és eszközökre történő telepítésére. További információ a tanúsítványprofilok létrehozásáról: Tanúsítványprofilok létrehozása.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: