Tanúsítványinfrastruktúra konfigurálása

A következőre vonatkozik: Configuration Manager (aktuális ág)

Fontos

A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.

Megtudhatja, hogyan konfigurálhatja a tanúsítványinfrastruktúrát Configuration Manager. Mielőtt hozzákezd, ellenőrizze, hogy vannak-e a tanúsítványprofilok előfeltételei között felsorolt előfeltételek.

Ezekkel a lépésekkel konfigurálhatja az infrastruktúrát SCEP- vagy PFX-tanúsítványokhoz.

1. lépés – A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása (csak SCEP-tanúsítványok esetén)

Telepítenie és konfigurálnia kell a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatásokhoz (AD CS), módosítania kell a tanúsítványsablonokra vonatkozó biztonsági engedélyeket, üzembe kell helyeznie egy nyilvános kulcsú infrastruktúra (PKI) ügyfél-hitelesítési tanúsítványát, és szerkesztenie kell a beállításjegyzéket az Internet Information Services (IIS) alapértelmezett URL-méretkorlátjának növeléséhez. Ha szükséges, konfigurálnia kell a kiállító hitelesítésszolgáltatót (CA) is, hogy engedélyezze az egyéni érvényességi időtartamot.

Fontos

Mielőtt konfigurálja a Configuration Manager a hálózati eszközök tanúsítványigénylési szolgáltatásával való együttműködésre, ellenőrizze a hálózati eszközök tanúsítványigénylési szolgáltatásának telepítését és konfigurációját. Ha ezek a függőségek nem működnek megfelelően, nehézségekbe ütközik a tanúsítványregisztráció hibaelhárítása Configuration Manager használatával.

A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása

1. Egy Windows Server 2012 R2-t futtató kiszolgálón telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatások kiszolgálói szerepkörhöz. További információ: Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához.

2. Ellenőrizze, és szükség esetén módosítsa a hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok biztonsági engedélyeit:

   • A Configuration Manager konzolt futtató fiók esetén: Olvasási engedély.

     Erre az engedélyre azért van szükség, hogy a Tanúsítványprofil létrehozása varázsló futtatásakor tallózással válassza ki az SCEP-beállításprofil létrehozásakor használni kívánt tanúsítványsablont. A tanúsítványsablon kiválasztása azt jelenti, hogy a varázsló egyes beállításai automatikusan fel lesznek töltve, így kevesebbet kell konfigurálnia, és kisebb a kockázata annak, hogy olyan beállításokat választ, amelyek nem kompatibilisek a hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonokkal.

   • A Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete által használt SCEP-szolgáltatásfiók esetében: Olvasási és regisztrálási engedélyek.

     Ez a követelmény nem Configuration Manager, hanem a hálózati eszközök tanúsítványigénylési szolgáltatásának konfigurálásának része. További információ: Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához.

   Tipp

   A Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok azonosításához tekintse meg a következő beállításkulcsot a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Megjegyzés:

   Ezek az alapértelmezett biztonsági engedélyek, amelyek a legtöbb környezethez megfelelőek lesznek. Alternatív biztonsági konfigurációt is használhat. További információ: Tanúsítványsablon-engedélyek tervezése tanúsítványprofilokhoz.

3. Helyezzen üzembe ezen a kiszolgálón egy PKI-tanúsítványt, amely támogatja az ügyfél-hitelesítést. Előfordulhat, hogy már telepítve van egy megfelelő tanúsítvány a számítógépen, amelyet használhat, vagy kifejezetten erre a célra kell telepítenie (vagy inkább) telepítenie egy tanúsítványt. A tanúsítvány követelményeivel kapcsolatos további információkért tekintse meg a Configuration Manager témakör PKI-tanúsítványokra vonatkozó követelményei című szakaszának A hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatással rendelkező Configuration Manager házirendmodult futtató kiszolgálók című szakaszát.

   Tipp

   Ha segítségre van szüksége a tanúsítvány üzembe helyezéséhez, kövesse az Ügyféltanúsítvány központi telepítése terjesztési pontokhoz című témakör utasításait, mivel a tanúsítványkövetelmények egy kivétellel megegyeznek:

   • Ne jelölje be a Titkos kulcs exportálásának engedélyezése jelölőnégyzetet a tanúsítványsablon tulajdonságainak Kérelemkezelés lapján.

     Ezt a tanúsítványt nem kell titkos kulccsal exportálnia, mert a Configuration Manager házirendmodul konfigurálásakor megkeresheti a helyi számítógéptárolót, és kiválaszthatja azt.

4. Keresse meg azt a főtanúsítványt, amelybe az ügyfél-hitelesítési tanúsítvány láncba van láncolással. Ezután exportálja ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt egy tanúsítványfájlba (.cer). Mentse ezt a fájlt egy biztonságos helyre, amely biztonságosan elérhető lesz, amikor később telepíti és konfigurálja a helyrendszer-kiszolgálót a tanúsítványregisztrációs ponthoz.

5. Ugyanazon a kiszolgálón a beállításszerkesztővel növelje az IIS alapértelmezett URL-méretkorlátját a következő beállításkulcs DWORD értékeinek beállításával HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   • Állítsa a MaxFieldLength kulcsot a 65534 értékre.

   • Állítsa a MaxRequestBytes kulcsot 16777216 értékre.

     További információkért lásd Microsoft ügyfélszolgálata 820129: A Windows beállításjegyzék-beállításainak Http.sys című cikket.

6. Ugyanazon a kiszolgálón az Internet Information Services (IIS) kezelőjében módosítsa a /certsrv/mscep alkalmazás kérelemszűrési beállításait, majd indítsa újra a kiszolgálót. A Kérelemszűrés beállításainak szerkesztésepárbeszédpanelen a Kérelemkorlátok beállításainak a következőknek kell lenniük:

   • Maximálisan megengedett tartalomhossz (bájt):30000000

   • URL-cím maximális hossza (bájt): 65534

   • Lekérdezési sztring maximális száma (bájt):65534

     További információ ezekről a beállításokról és azok konfigurálásáról: IIS-kérelmek korlátai.

7. Ha olyan tanúsítványt szeretne igényelni, amelynek érvényességi időtartama alacsonyabb, mint a használt tanúsítványsabloné: Ez a konfiguráció alapértelmezés szerint le van tiltva egy vállalati hitelesítésszolgáltatónál. Ha vállalati hitelesítésszolgáltatón szeretné engedélyezni ezt a beállítást, használja a Certutil parancssori eszközt, majd állítsa le és indítsa újra a tanúsítványszolgáltatást az alábbi parancsokkal:

   1. certutil – setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      További információ: Tanúsítványszolgáltatások eszközei és beállításai.

8. Ellenőrizze, hogy működik-e a hálózati eszközök tanúsítványigénylési szolgáltatása. Példaként használja a következő hivatkozást: https://server.contoso.com/certsrv/mscep/mscep.dll. Ekkor megjelenik a Hálózati eszközök tanúsítványigénylési szolgáltatásának beépített weblapja. Ez a weblap ismerteti a szolgáltatás lényegét, és ismerteti, hogy a hálózati eszközök az URL-címmel küldik el a tanúsítványkéréseket.

   Most, hogy konfigurálta a hálózati eszközök tanúsítványigénylési szolgáltatását és függőségeit, készen áll a tanúsítványregisztrációs pont telepítésére és konfigurálására.

2. lépés – A tanúsítványregisztrációs pont telepítése és konfigurálása.

Legalább egy tanúsítványregisztrációs pontot telepítenie és konfigurálnia kell a Configuration Manager hierarchiában, és telepítheti ezt a helyrendszerszerepkört a központi adminisztrációs helyen vagy egy elsődleges helyen.

Fontos

A tanúsítványregisztrációs pont telepítése előtt tekintse meg a tanúsítványregisztrációs pont operációsrendszer-követelményeit és függőségeit Configuration Manager támogatott konfigurációk című témakör Helyrendszer-követelmények című szakaszában.

A tanúsítványregisztrációs pont telepítése és konfigurálása

1. A Configuration Manager konzolon kattintson az Adminisztráció elemre.

2. Az Adminisztráció munkaterületen bontsa ki a Hely konfigurációja elemet, kattintson a Kiszolgálók és helyrendszerszerepkörök elemre, majd válassza ki a tanúsítványregisztrációs ponthoz használni kívánt kiszolgálót.

3. A Kezdőlap lapKiszolgáló csoportjában kattintson a Helyrendszerszerepkörök hozzáadása elemre.

4. Az Általános lapon adja meg a helyrendszer általános beállításait, majd kattintson a Tovább gombra.

5. A Proxy lapon kattintson a Tovább gombra. A tanúsítványregisztrációs pont nem használ internetes proxybeállításokat.

6. A Rendszerszerepkör kiválasztása lapon válassza a Tanúsítványregisztrációs pontot az elérhető szerepkörök listájából, majd kattintson a Tovább gombra.

7. A Tanúsítványregisztrációs mód lapon válassza ki, hogy ezt a tanúsítványregisztrációs pontot az SCEP-tanúsítványkérelmek feldolgozása vagy a PFX-tanúsítványkérelmek feldolgozása beállításra szeretné-e beállítani. A tanúsítványregisztrációs pontok nem tudják feldolgozni mindkét típusú kérést, de több tanúsítványregisztrációs pontot is létrehozhat, ha mindkét tanúsítványtípussal dolgozik.

   PFX-tanúsítványok feldolgozásakor ki kell választania egy hitelesítésszolgáltatót, Microsoft vagy a Entrust szolgáltatót.

8. A Tanúsítványregisztrációs pont beállításai lap a tanúsítvány típusától függően változik:

   • Ha az SCEP-tanúsítványkérelmek feldolgozása lehetőséget választotta, konfigurálja a következőket:

     • A tanúsítványregisztrációs pont webhelyneve, HTTPS-portszáma és virtuális alkalmazásneve. Ezek a mezők automatikusan kitöltik az alapértelmezett értékeket.
     • A Hálózati eszközök tanúsítványigénylési szolgáltatásának és a legfelső szintű hitelesítésszolgáltatói tanúsítvány URL-címe – Kattintson a Hozzáadás gombra, majd az URL-cím és a legfelső szintű hitelesítésszolgáltatói tanúsítvány hozzáadása párbeszédpanelen adja meg a következőket:
       • A hálózati eszközök tanúsítványigénylési szolgáltatásának URL-címe: Adja meg az URL-címet a következő formátumban: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Ha például a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló teljes tartománynevét server1.contoso.com, írja be a következőt https://server1.contoso.com/certsrv/mscep/mscep.dll: .
       • Legfelső szintű hitelesítésszolgáltatói tanúsítvány: Keresse meg és válassza ki az 1. lépés: A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása című lépésben létrehozott és mentett tanúsítványfájlt (.cer). Ez a legfelső szintű hitelesítésszolgáltatói tanúsítvány lehetővé teszi, hogy a tanúsítványregisztrációs pont érvényesítse a Configuration Manager házirendmodul által használt ügyfél-hitelesítési tanúsítványt.

   • Ha a PFX-tanúsítványkérelmek feldolgozása lehetőséget választotta, konfigurálja a kiválasztott hitelesítésszolgáltató kapcsolati adatait és hitelesítő adatait.

     • Ha Microsoft szeretne hitelesítésszolgáltatóként használni, kattintson a Hozzáadás gombra, majd a Hitelesítésszolgáltató és fiók hozzáadása párbeszédpanelen adja meg a következőket:

       • Hitelesítésszolgáltató kiszolgálójának neve – Adja meg a hitelesítésszolgáltató kiszolgálójának nevét.

       • Hitelesítésszolgáltatói fiók – A Beállítás gombra kattintva kiválaszthatja vagy létrehozhatja azt a fiókot, amely jogosult a hitelesítésszolgáltató sablonjaiban való regisztrálásra.

       • Tanúsítványregisztrációs pont csatlakozási fiókja – Válassza ki vagy hozza létre azt a fiókot, amely a tanúsítványregisztrációs pontot a Configuration Manager adatbázishoz csatlakoztatja. Váltakozó módon használhatja a tanúsítványregisztrációs pontot üzemeltető számítógép helyi számítógépfiókját.

       • Active Directory tanúsítvány-közzétételi fiók – Válasszon ki egy fiókot, vagy hozzon létre egy új fiókot, amellyel tanúsítványokat tehet közzé az Active Directory felhasználói objektumaiban.

       • A Hálózati eszközök regisztrációja és a legfelső szintű hitelesítésszolgáltató tanúsítványa párbeszédpanel URL-címében adja meg a következőket, majd kattintson az OK gombra:

     • A Entrust hitelesítésszolgáltatóként való használatához adja meg a következőket:

       • Az MDM webszolgáltatás URL-címe

       • Az URL-címhez tartozó felhasználónév és jelszó hitelesítő adatai.

         Ha az MDM API-t használja a Entrust webszolgáltatás URL-címének meghatározásához, ügyeljen arra, hogy az API legalább 9-es verzióját használja, az alábbi példában látható módon:

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         Az API korábbi verziói nem támogatják a Entrustt.

9. Kattintson a Tovább gombra, és fejezze be a varázslót.

10. Várjon néhány percet, amíg a telepítés befejeződik, majd az alábbi módszerek bármelyikével ellenőrizze, hogy a tanúsítványregisztrációs pont telepítése sikeresen megtörtént-e:

    • A Figyelés munkaterületen bontsa ki a Rendszer állapota csomópontot, kattintson az Összetevő állapota elemre, és keresse meg az SMS_CERTIFICATE_REGISTRATION_POINT összetevő állapotüzeneteit.

    • A helyrendszer-kiszolgálón használja a <ConfigMgr telepítési útvonal>\Logs\crpsetup.log fájlt és <a ConfigMgr telepítési útvonal>\Logs\crpmsi.log fájlt. A sikeres telepítés 0 kilépési kódot ad vissza.

    • Egy böngészőben ellenőrizze, hogy tud-e csatlakozni a tanúsítványregisztrációs pont URL-címéhez. Használja például a https://server1.contoso.com/CMCertificateRegistration címet. Az alkalmazás nevének egy Kiszolgálóhiba lapnak kell megjelennie, http 404-leírással.

11. Keresse meg a legfelső szintű hitelesítésszolgáltató exportált tanúsítványfájlját, amelyet a tanúsítványregisztrációs pont automatikusan létrehozott az elsődleges helykiszolgáló számítógépének következő mappájában: <ConfigMgr telepítési útvonal>\inboxes\certmgr.box. Mentse a fájlt egy biztonságos helyre, amely biztonságosan elérhető, amikor később telepíti a Configuration Manager házirendmodult a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálóra.

    Tipp

    Ez a tanúsítvány nem érhető el azonnal ebben a mappában. Előfordulhat, hogy várnia kell egy kicsit (például fél órát), mielőtt Configuration Manager átmásolja a fájlt erre a helyre.

3. lépés – A Configuration Manager házirendmodul telepítése (csak SCEP-tanúsítványok esetén).

Telepítenie és konfigurálnia kell a Configuration Manager házirendmodult minden olyan kiszolgálón, amelyet a 2. lépés: A tanúsítványregisztrációs pont telepítése és konfigurálása a hálózati eszközök tanúsítványigénylési szolgáltatásának URL-címeként a tanúsítványregisztrációs pont tulajdonságai között megadott.

A házirendmodul telepítése

1. A Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón jelentkezzen be tartományi rendszergazdaként, és másolja a következő fájlokat a <Configuration Manager telepítési adathordozójának ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 mappájából egy ideiglenes mappába:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Emellett, ha a telepítési adathordozón található egy LanguagePack mappa, másolja ezt a mappát és annak tartalmát.

2. Az ideiglenes mappában futtassa a PolicyModuleSetup.exe parancsot a Configuration Manager Házirendmodul telepítővarázslójának elindításához.

3. A varázsló kezdeti lapján kattintson a Tovább gombra, fogadja el a licencfeltételeket, majd kattintson a Tovább gombra.

4. A Telepítési mappa lapon fogadja el a házirendmodul alapértelmezett telepítési mappáját, vagy adjon meg egy másik mappát, majd kattintson a Tovább gombra.

5. A Tanúsítványregisztrációs pont lapon adja meg a tanúsítványregisztrációs pont URL-címét a helyrendszer-kiszolgáló teljes tartománynevével és a tanúsítványregisztrációs pont tulajdonságaiban megadott virtuális alkalmazásnévvel. Az alapértelmezett virtuális alkalmazásnév a CMCertificateRegistration. Ha például a helyrendszer-kiszolgáló teljes tartományneve server1.contoso.com, és az alapértelmezett virtuális alkalmazásnevet használta, adja meg a következőt https://server1.contoso.com/CMCertificateRegistration: .

6. Fogadja el az alapértelmezett 443-at , vagy adja meg a tanúsítványregisztrációs pont által használt alternatív portszámot, majd kattintson a Tovább gombra.

7. A Házirendmodul ügyféltanúsítványalapon keresse meg és adja meg az 1. lépés: A hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálása című szakaszban üzembe helyezett ügyfél-hitelesítési tanúsítványt, majd kattintson a Tovább gombra.

8. A Tanúsítványregisztrációs pont tanúsítványa lapon kattintson a Tallózás gombra a 2. lépés végén található és mentett legfelső szintű hitelesítésszolgáltató exportált tanúsítványfájljának kiválasztásához : A tanúsítványregisztrációs pont telepítése és konfigurálása.

   Megjegyzés:

   Ha korábban nem mentette ezt a tanúsítványfájlt, az a <helykiszolgáló számítógépének ConfigMgr telepítési útvonala>\inboxes\certmgr.box mappájában található.

9. Kattintson a Tovább gombra, és fejezze be a varázslót.

   Ha el szeretné távolítani a Configuration Manager házirendmodult, használja a Programok és szolgáltatások Vezérlőpult.

Most, hogy elvégezte a konfigurációs lépéseket, tanúsítványprofilok létrehozásával és telepítésével készen áll a tanúsítványok felhasználókra és eszközökre történő telepítésére. További információ a tanúsítványprofilok létrehozásáról: Tanúsítványprofilok létrehozása.