Részletes példa tanúsítványok központi telepítését a nyilvános kulcsokra épülő infrastruktúra a System Center Configuration Manager: Windows Server 2008 hitelesítésszolgáltatóStep-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 certification authority

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez részletes példa a központi telepítési, egy Windows Server 2008 hitelesítésszolgáltatót (CA) használ, eljárások, amelyek bemutatják a létrehozása és telepítése a System Center Configuration Manager használ a nyilvános kulcsokra épülő infrastruktúra (PKI) tanúsítványokat tartalmaz.This step-by-step example deployment, which uses a Windows Server 2008 certification authority (CA), has procedures that show you how to create and deploy the public key infrastructure (PKI) certificates that System Center Configuration Manager uses. Ezek a műveletek vállalati hitelesítésszolgáltatót és tanúsítványsablonokat tartalmaznak.These procedures use an enterprise certification authority (CA) and certificate templates. A lépéseket csak tesztelési célú hálózatban ajánlott végrehajtani megvalósíthatósági példaként.The steps are appropriate for a test network only, as a proof of concept.

Mivel nincs egységes módszer a szükséges tanúsítványok, tekintse meg az adott PKI központi telepítési dokumentációjában szükséges eljárások és ajánlott eljárások az éles környezetben a szükséges tanúsítványok telepítéséhez.Because there is no single method of deployment for the required certificates, consult your particular PKI deployment documentation for the required procedures and best practices to deploy the required certificates for a production environment. További információ a tanúsítványkövetelményekről PKI-tanúsítványkövetelmények a System Center Configuration Manager.For more about the certificate requirements, see PKI certificate requirements for System Center Configuration Manager.

Tipp

Ez a témakör az operációs rendszerek, amelyek nem szerepelnek a tesztelési célú hálózat követelményei szakaszban található utasítások módosíthatja.You can adapt the instructions in this topic for operating systems that are not documented in the Test Network Requirements section. Ha azonban a kiállító hitelesítésszolgáltatót a Windows Server 2012 rendszerben futtatja, a rendszer nem kéri a tanúsítványsablon verziójának megadását.However, if you are running the issuing CA on Windows Server 2012, you are not prompted for the certificate template version. Ehelyett adja meg a kompatibilitási a sablon tulajdonságok lapon:Instead, specify this on the Compatibility tab of the template properties:

  • Hitelesítésszolgáltató: Windows Server 2003Certification Authority: Windows Server 2003
    • Tanúsítvány kedvezményezettje: Windows XP / Server 2003Certificate recipient: Windows XP / Server 2003

A szakasz tartalmaIn this section

A következő részek lépésről létrehozása és telepítése a System Center Configuration Managerrel használható következő tanúsítványok:The following sections include example step-by-step instructions to create and deploy the following certificates that can be used with System Center Configuration Manager:

Tesztelési célú hálózat követelményeiTest network requirements

A tanúsítványok áttekintéseOverview of the certificates

A webkiszolgáló-tanúsítvány az IIS-t futtató helyrendszerek telepítéseDeploy the web server certificate for site systems that run IIS

A szolgáltatástanúsítvány a felhő alapú terjesztési pontok telepítéseDeploy the service certificate for cloud-based distribution points

A Windows rendszerű számítógépeken az ügyféltanúsítvány központi telepítéseDeploy the client certificate for Windows computers

Az ügyféltanúsítványt a terjesztési pontok telepítéseDeploy the client certificate for distribution points

Mobileszközök beléptetési tanúsítványának központi telepítéseDeploy the enrollment certificate for mobile devices

A tanúsítványok telepítése AMT-hezDeploy the certificates for AMT

A Mac számítógépeken futó ügyfele tanúsítvány telepítéseDeploy the client Certificate for Mac computers

Tesztelési célú hálózat követelményeiTest network requirements

A lépésenkénti útmutatás követelményei a következők:The step-by-step instructions have the following requirements:

  • A tesztelési célú hálózat az Active Directory tartományi szolgáltatásokat és a Windows Server 2008 rendszert futtatja, és egyetlen tartományként és egyetlen erdőként van telepítve.The test network is running Active Directory Domain Services with Windows Server 2008, and it is installed as a single domain, single forest.

  • A tagkiszolgálón fut a Windows Server 2008 Enterprise Edition telepítve van rá az Active Directory tanúsítványszolgáltatások szerepkör, és egy vállalati legfelső szintű hitelesítésszolgáltatóként (CA) van beállítva, hogy.You have a member server running Windows Server 2008 Enterprise Edition, which has the Active Directory Certificate Services role installed on it, and it is set up as an enterprise root certification authority (CA).

  • Több számítógépen, amelyen Windows Server 2008 (Standard Edition vagy Enterprise Edition R2 vagy újabb verzió) telepítve van-e, tagkiszolgálóként kapja meg, hogy a számítógép, és az Internet Information Services (IIS) telepítve van rajta.You have one computer that has Windows Server 2008 (Standard Edition or Enterprise Edition, R2 or later) installed on it, that computer is designated as a member server, and Internet Information Services (IIS) is installed on it. A számítógép lesz a System Center Configuration Manager helyrendszer-kiszolgáló, amely egy intranetes teljes tartománynevét (FQDN) ügyfélkapcsolatok támogatásához az intranetes és internetes teljes tartománynév, ha a System Center Configuration Manager és az ügyfelek által beléptetett mobileszközök támogatnia kell adnia az interneten.This computer will be the System Center Configuration Manager site system server that you will configure with an intranet fully qualified domain name (FQDN) to support client connections on the intranet and an Internet FQDN if you must support mobile devices that are enrolled by System Center Configuration Manager and clients on the Internet.

  • Egy Windows Vista ügyfél, amely rendelkezik a legújabb szervizcsomaggal, és a számítógép be van állítva az a számítógép neve, amely ASCII-karakterekből, és csatlakozik a tartományhoz.You have one Windows Vista client that has the latest service pack installed, and this computer is set up with a computer name that comprises ASCII characters and is joined to the domain. A számítógép lesz a System Center Configuration Manager-ügyfélszámítógépen.This computer will be a System Center Configuration Manager client computer.

  • Jelentkezzen be egy legfelső szintű tartományi rendszergazdai fiókot vagy egy vállalati tartományi rendszergazdai fiókot, és ezt a fiókot használják a telepítési példában szereplő összes művelethez.You can sign in with a root domain administrator account or an enterprise domain administrator account and use this account for all procedures in this example deployment.

A tanúsítványok áttekintéseOverview of the certificates

A következő táblázat a PKI-tanúsítványokat, melyek lehet szükség a System Center Configuration Manager, és megismerkedhet használatukkal típusú.The following table lists the types of PKI certificates that might be required for System Center Configuration Manager and describes how they are used.

Szükséges tanúsítványCertificate Requirement Tanúsítvány leírásaCertificate Description
Webkiszolgáló-tanúsítvány az IIS-t futtató helyrendszerekhezWeb server certificate for site systems that run IIS Ez a tanúsítvány használható az adatok titkosítására és a kiszolgáló hitelesítésére az ügyfeleken.This certificate is used to encrypt data and authenticate the server to clients. Az kívülről kell telepíteni a System Center Configuration Manager helyrendszer-kiszolgálókra, amelyek be vannak állítva a System Center Configuration Managerben a HTTPS vagy futó Internet Information Services (IIS).It must be installed externally from System Center Configuration Manager on site systems servers that run Internet Information Services (IIS) and that are set up in System Center Configuration Manager to use HTTPS.

Állítsa be, és a tanúsítvány telepítése lépéseit, lásd: a webkiszolgáló-tanúsítvány az IIS-t futtató helyrendszerek telepítése ebben a témakörben.For the steps to set up and install this certificate, see Deploy the web server certificate for site systems that run IIS in this topic.
Az ügyfelek szolgáltatástanúsítványai a felhőalapú terjesztési pontokhoz való csatlakozáshozService certificate for clients to connect to cloud-based distribution points Ez a tanúsítvány konfigurálásáról és telepítéséről lépéseiért lásd: a szolgáltatástanúsítvány a felhő alapú terjesztési pontok telepítése ebben a témakörben.For the steps to configure and install this certificate, see Deploy the service certificate for cloud-based distribution points in this topic.

Fontos: Ez a tanúsítvány a Windows Azure felügyeleti tanúsítvánnyal együtt használható.Important: This certificate is used in conjunction with the Windows Azure management certificate. A felügyeleti tanúsítvány kapcsolatban bővebben lásd: felügyeleti tanúsítvány létrehozása és felügyeleti tanúsítvány hozzáadása Windows Azure-előfizetéshez az MSDN Library Windows Azure Platform szakaszában.For more about the management certificate, see How to Create a Management Certificate and How to Add a Management Certificate to a Windows Azure Subscription in the Windows Azure Platform section of the MSDN Library.
Ügyféltanúsítvány a Windows rendszerű számítógépekhezClient certificate for Windows computers Ezzel a tanúsítvánnyal hitelesíti a System Center Configuration Manager-ügyfélszámítógépek számára, hogy be vannak állítva a HTTPS-t.This certificate is used to authenticate System Center Configuration Manager client computers to site systems that are set up to use HTTPS. Azt is segítségével a felügyeleti pontok és állapotáttelepítési pontok a működésük állapotának figyelésére, ha azok be vannak állítva a HTTPS protokoll használatát.It can also be used for management points and state migration points to monitor their operational status when they are set up to use HTTPS. Az kívülről kell telepíteni a System Center Configuration Manager a számítógépeken.It must be installed externally from System Center Configuration Manager on computers.

Állítsa be, és a tanúsítvány telepítése lépéseit, lásd: központi telepítése Windows rendszerű számítógépeken az ügyféltanúsítvány ebben a témakörben.For the steps to set up and install this certificate, see Deploy the client certificate for Windows computers in this topic.
Ügyféltanúsítvány a terjesztési pontokhozClient certificate for distribution points Ennek a tanúsítványnak két célja van:This certificate has two purposes:

Ezzel a tanúsítvánnyal hitelesíthető a terjesztési pont egy HTTPS használatára konfigurált felügyeleti ponton, mielőtt a terjesztési pont elküldi az állapotüzeneteket.The certificate is used to authenticate the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.

Amikor a terjesztési pontra vonatkozó PXE-támogatás engedélyezése ügyfeleknek beállítás meg van adva, a rendszer elküldi a tanúsítványt a PXE által elindított számítógépeknek, hogy csatlakozhassanak a HTTPS használatára konfigurált felügyeleti ponthoz az operációs rendszer telepítése közben.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers that PXE boot so that they can connect to a HTTPS-enabled management point during the deployment of the operating system.

Állítsa be, és a tanúsítvány telepítése lépéseit, lásd: telepítheti az ügyféltanúsítványt a terjesztési pontok ebben a témakörben.For the steps to set up and install this certificate, see Deploy the client certificate for distribution points in this topic.
Beléptetési tanúsítvány a mobileszközökhözEnrollment certificate for mobile devices Ezzel a tanúsítvánnyal be vannak állítva a HTTPS-t System Center Configuration Manager mobileszközös ügyfeleinek hitelesítésére.This certificate is used to authenticate System Center Configuration Manager mobile device clients to site systems that are set up to use HTTPS. A System Center Configuration Manager mobileszköz beléptetésének részeként kell telepíteni, és a konfigurált tanúsítványsablont választja, a mobileszközök ügyfélbeállításaként.It must be installed as part of mobile device enrollment in System Center Configuration Manager, and you choose the configured certificate template as a mobile device client setting.

Ez a tanúsítvány beállítása lépéseiért lásd: mobileszközök beléptetési tanúsítványának központi telepítése ebben a témakörben.For the steps to set up this certificate, see Deploy the enrollment certificate for mobile devices in this topic.
Az Intel AMT tanúsítványaiCertificates for Intel AMT Három tanúsítvány kapcsolódik az Intel AMT-alapú számítógépek sávon kívüli felügyeleti:Three certificates relate to out-of-band management for Intel AMT-based computers:
  • Az Active Management Technology AMT kiépítési tanúsítványAn Active Management Technology (AMT) provisioning certificate
  • Egy AMT webkiszolgáló-tanúsítványAn AMT web server certificate
  • Szükség esetén egy ügyfél-hitelesítési tanúsítvány a 802. 1 X-hitelesítésű vezetékes vagy vezeték nélküli hálózatokhozOptionally, a client authentication certificate for 802.1X wired or wireless networks
Az AMT kiépítési tanúsítványt kívülről kell telepíteni a System Center Configuration Manager a sávon kívüli szolgáltatási pont számítógépén, és majd a telepített tanúsítvány kiválasztása a sávon kívüli szolgáltatási pont tulajdonságainál.The AMT provisioning certificate must be installed externally from System Center Configuration Manager on the out-of-band service point computer, and then you choose the installed certificate in the out-of-band service point properties. Az AMT webkiszolgáló-tanúsítvány és az ügyfél-hitelesítési tanúsítvány AMT kiépítése és felügyelete közben telepíthető, és a sávon kívüli felügyeleti összetevő tulajdonságai párbeszédpanelen válassza ki a konfigurált tanúsítványsablonok.The AMT web server certificate and the client authentication certificate are installed during AMT provisioning and management, and you choose the configured certificate templates in the out-of-band management component properties.

Állítsa be ezeket a tanúsítványokat lépéseiért lásd: a tanúsítványok telepítése Amt ebben a témakörben.For the steps to set up these certificates, see Deploy the certificates for AMT in this topic.
Ügyféltanúsítvány a Mac rendszerű számítógépekhezClient certificate for Mac computers Igényli, és telepítse a tanúsítványt Mac rendszerű számítógépről, használja a System Center Configuration Manager-regisztrációt, és válassza ki a konfigurált tanúsítványsablont, a mobileszközök ügyfélbeállításaként.You can request and install this certificate from a Mac computer when you use System Center Configuration Manager enrollment and choose the configured certificate template as a mobile device client setting.

Ez a tanúsítvány beállítása lépéseiért lásd: telepítheti az ügyféltanúsítványt a Mac számítógépek ebben a témakörben.For the steps to set up this certificate, see Deploy the client certificate for Mac computers in this topic.

A webkiszolgáló-tanúsítvány az IIS-t futtató helyrendszerek telepítéseDeploy the web server certificate for site systems that run IIS

Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:This certificate deployment has the following procedures:

  • Létrehozása és kiállítása a webkiszolgáló tanúsítványsablon a hitelesítésszolgáltatónCreate and issue the web server certificate template on the certification authority

  • A webkiszolgáló-tanúsítvány kéréseRequest the web server certificate

  • Konfigurálja az IIS-t a webkiszolgáló-tanúsítvány használatáraConfigure IIS to use the web server certificate

Létrehozása és kiállítása a webkiszolgáló tanúsítványsablon a hitelesítésszolgáltatónCreate and issue the web server certificate template on the certification authority

Ez az eljárás tanúsítványsablont hoz létre a System Center Configuration Manager helyrendszerekhez, és hozzáadja azt a hitelesítésszolgáltatóhoz.This procedure creates a certificate template for System Center Configuration Manager site systems and adds it to the certification authority.

Webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónálTo create and issue the web server certificate template on the certification authority
  1. Hozzon létre egy biztonsági csoportot nevű ConfigMgr IIS-kiszolgálók , amely rendelkezik a tagkiszolgálókat IIS-t futtató helyrendszerek System Center Configuration Manager telepítéséhez.Create a security group named ConfigMgr IIS Servers that has the member servers to install System Center Configuration Manager site systems that will run IIS.

  2. Azon a tagkiszolgálón, amelyen a tanúsítványszolgáltatások telepítve, a hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok majd kezelése betöltése a tanúsítványsablonok konzol.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates and then choose Manage to load the Certificate Templates console.

  3. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik webkiszolgáló a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Editionbeállítást.Do not select Windows 2008 Server, Enterprise Edition.

  5. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr webkiszolgáló-tanúsítvány, a Configuration Manager helyrendszerein használni kívánt ügyféltanúsítványok előállításához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Web Server Certificate, to generate the web certificates that will be used on Configuration Manager site systems.

  6. Válassza ki a tulajdonosnévvel lapot, és győződjön meg arról, hogy a kérelem fogja tartalmazni van kiválasztva.Choose the Subject Name tab, and make sure that Supply in the request is selected.

  7. Válassza ki a biztonsági lapot, és távolítsa el a beléptetés engedélyt a Tartománygazdák és vállalati rendszergazdák biztonsági csoportokat.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Válasszon Hozzáadás, adja meg ConfigMgr IIS-kiszolgálók a szöveg mezőbe, majd válassza a OK.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  9. Válassza ki a beléptetés engedélyt ehhez a csoporthoz, és ne törölje a olvasási engedéllyel.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Válasszon OK, majd zárja be a Tanúsítványsablonok konzolt.Choose OK, and then close the Certificate Templates Console.

  11. A hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr webkiszolgáló-tanúsítvány, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Web Server Certificate, and then choose OK.

  13. Ha nem kell további tanúsítványokat, zárja be létrehoznia és kiállítania hitelesítésszolgáltató.If you do not need to create and issue more certificates, close Certification Authority.

A webkiszolgáló-tanúsítvány kéréseRequest the web server certificate

Ez az eljárás lehetővé teszi, hogy adja meg az intranetes és internetes teljes tartománynevet, hogy a helyrendszer-kiszolgáló tulajdonságainak a beállítása, és telepíti az IIS-t futtató tagkiszolgálóra a webkiszolgáló-tanúsítvány.This procedure lets you specify the intranet and Internet FQDN values that will be set up in the site system server properties and then installs the web server certificate on to the member server that runs IIS.

A webkiszolgáló-tanúsítvány igénylésének lépéseiTo request the web server certificate
  1. Győződjön meg arról, hogy a számítógép biztosan hozzáférhessen a használatával létrehozott tanúsítványsablon IIS-t futtató tagkiszolgálót indítsa újra a olvasási és beléptetés engedéllyel.Restart the member server that runs IIS to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Válasszon Start, válassza a futtassa, és írja be mmc.exe.Choose Start, choose Run, and then type mmc.exe. Az üres konzolban kattintson fájl, és válassza a beépülő modul hozzáadása/eltávolítása.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki tanúsítványok közül elérhető beépülő modulok, és válassza a Hozzáadás.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. Az a beépülő modul párbeszédpanelen válassza ki számítógépfiók, és válassza a következő.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. Az a számítógép kijelölése párbeszédpanelen ellenőrizze, hogy helyi számítógép: (a számítógép a konzol fut) van kiválasztva, és válassza a Befejezés.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. A konzolon bontsa ki tanúsítványok (helyi számítógép), és válassza a személyes.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Kattintson a jobb gombbal tanúsítványok, válassza a feladataival, és válassza a új tanúsítvány kérése.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. Az a előkészületek lapon, válassza ki következő.On the Before You Begin page, choose Next.

  10. Ha megjelenik a tanúsítványigénylési házirend kiválasztása lapon, válassza ki következő.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. A a tanúsítványkérés lapon, és keresse meg a ConfigMgr webkiszolgáló-tanúsítvány a rendelkezésre álló tanúsítványok listájáról, és válassza a a tanúsítvány igényléséhez több információ szükséges. Kattintson ide a beállítások konfigurálásához beállításra.On the Request Certificates page, identify the ConfigMgr Web Server Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. Click here to configure settings.

  12. Az a tanúsítvány tulajdonságai párbeszédpanel a tulajdonos lapján ne módosításait tulajdonos neve.In the Certificate Properties dialog box, in the Subject tab, do not make any changes to Subject name. Ez azt jelenti, hogy a Tulajdonos neve szakasz Érték mezőjének üresen kell maradnia.This means that the Value box for the Subject name section remains blank. Ehelyett a alternatív nevének területen válassza ki a típus legördülő listában, és válassza a DNS.Instead, from the Alternative name section, choose the Type drop-down list, and then choose DNS.

  13. Az a érték adja meg a teljes tartományneveket, a rendszer a System Center Configuration Manager hely tulajdonságainál adja meg, és válassza OK bezárásához a tanúsítvány tulajdonságai párbeszédpanel megnyitásához.In the Value box, specify the FQDN values that you will specify in the System Center Configuration Manager site system properties, and then choose OK to close the Certificate Properties dialog box.

    Például:Examples:

    • Ha a helyrendszer csak az intranetről érkező ügyfélkapcsolatokat fogja fogadni, és az intranetes teljes Tartománynevet a helyrendszer-kiszolgáló server1.internal.contoso.com, adja meg server1.internal.contoso.com, és válassza a Hozzáadás.If the site system will only accept client connections from the intranet, and the intranet FQDN of the site system server is server1.internal.contoso.com, enter server1.internal.contoso.com, and then choose Add.

    • Ha a helyrendszer az intranetről és az internetről is fog ügyfélkapcsolatokat fogadni, az intranetes helyrendszer-kiszolgáló teljes tartományneve server1.internal.contoso.com , az internetes helyrendszer-kiszolgáló teljes tartományneve pedig server.contoso.com:If the site system will accept client connections from the intranet and the Internet, and the intranet FQDN of the site system server is server1.internal.contoso.com and the Internet FQDN of the site system server is server.contoso.com:

      1. Adja meg server1.internal.contoso.com, és válassza a Hozzáadás.Enter server1.internal.contoso.com, and then choose Add.

      2. Adja meg server.contoso.com, és válassza a Hozzáadás.Enter server.contoso.com, and then choose Add.

      Megjegyzés

      Megadhatja a teljes tartományneveket a System Center Configuration Manager bármilyen sorrendben.You can specify the FQDNs for System Center Configuration Manager in any order. Azonban ellenőrizze, hogy minden olyan eszköznek, fogja használni a tanúsítványt, például a mobileszközök és a proxy-webkiszolgálók, használhatja a tanúsítvány Tulajdonos alternatív neve (SAN) és a több értékkel a tulajdonos alternatív nevének.However, check that all devices that will use the certificate, such as mobile devices and proxy web servers, can use a certificate subject alternative name (SAN) and multiple values in the SAN. Ha az eszközök csak korlátozottan támogatják a tanúsítványok tulajdonosának alternatív nevét megadó értékeket, lehetséges, hogy meg kell változtatnia a teljes tartománynevek sorrendjét, vagy a Tulajdonos neve beállítás értékét kell használnia.If devices have limited support for SAN values in certificates, you might have to change the order of the FQDNs or use the Subject value instead.

  14. A a tanúsítványok kérése lapon, válassza ki ConfigMgr webkiszolgáló-tanúsítvány a listából a rendelkezésre álló tanúsítványok, és válassza a beléptetés.On the Request Certificates page, choose ConfigMgr Web Server Certificate from the list of available certificates, and then choose Enroll.

  15. Az a Tanúsítványtelepítés – eredmények lapon Várjon, amíg a tanúsítvány van telepítve, és válassza a Befejezés.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  16. Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.Close Certificates (Local Computer).

Konfigurálja az IIS-t a webkiszolgáló-tanúsítvány használatáraConfigure IIS to use the web server certificate

Ez az eljárás összeköti a telepített tanúsítványt az IIS Alapértelmezett webhelybeállításával.This procedure binds the installed certificate to the IIS Default Web Site.

Hozzon létre az IIS a webkiszolgáló-tanúsítvány használatáraTo set up IIS to use the web server certificate
  1. A telepített IIS-t tartalmazó tagkiszolgálón kattintson Start, válassza a programok, válassza ki felügyeleti eszközök, és válassza a Internet Information Services (IIS) Manager.On the member server that has IIS installed, choose Start, choose Programs, choose Administrative Tools, and then choose Internet Information Services (IIS) Manager.

  2. Bontsa ki a helyek, kattintson a jobb gombbal alapértelmezett webhely, és válassza a kötések szerkesztése.Expand Sites, right-click Default Web Site, and then choose Edit Bindings.

  3. Válassza ki a https bejegyzést, és válassza a szerkesztése.Choose the https entry, and then choose Edit.

  4. Az a hely kötésének szerkesztése párbeszédpanelen válassza ki a ConfigMgr webkiszolgáló-tanúsítványok használatával igényelt tanúsítványt, és válassza a OK.In the Edit Site Binding dialog box, select the certificate that you requested by using the ConfigMgr Web Server Certificates template, and then choose OK.

    Megjegyzés

    Ha nem biztos abban, hogy ez az a megfelelő tanúsítvány, válasszon egyet, és válassza a nézet.If you are not sure which is the correct certificate, choose one, and then choose View. Ez lehetővé teszi, hogy a tanúsítványok a tanúsítványok beépülő modulban a kiválasztott tanúsítvány adatainak összehasonlítását.This lets you compare the selected certificate details to the certificates in the Certificates snap-in. Például a tanúsítványok beépülő modulban jeleníti meg a a tanúsítvány igényléséhez használt tanúsítványsablont.For example, the Certificates snap-in shows the certificate template that was used to request the certificate. Ezután összehasonlíthatja az aktuálisan kiválasztott tanúsítvány tanúsítvány-ujjlenyomata a ConfigMgr webkiszolgáló-tanúsítványok sablonnal igényelt tanúsítvány tanúsítvány-ujjlenyomata a hely kötésének szerkesztése párbeszédpanel megnyitásához.You can then compare the certificate thumbprint of the certificate that was requested by using the ConfigMgr Web Server Certificates template to the certificate thumbprint of the certificate currently selected in the Edit Site Binding dialog box.

  5. Válasszon OK a a hely kötésének szerkesztése párbeszédpanel mezőbe, majd válassza a Bezárás.Choose OK in the Edit Site Binding dialog box, and then choose Close.

  6. Zárja be az Internet Information Services (IIS) kezelőjeeszközt.Close Internet Information Services (IIS) Manager.

    A tagkiszolgálót most már be van állítva a System Center Configuration Manager webkiszolgáló-tanúsítvány.The member server is now set up with a System Center Configuration Manager web server certificate.

Fontos

Ha a System Center Configuration Manager helyrendszer-kiszolgáló ezen a számítógépen telepíti, győződjön meg arról, hogy adjon meg ugyanazokat a teljes tartományneveket a helyrendszer tulajdonságai, amikor a kért tanúsítvány megadott.When you install the System Center Configuration Manager site system server on this computer, make sure that you specify the same FQDNs in the site system properties as you specified when you requested the certificate.

A szolgáltatástanúsítvány a felhő alapú terjesztési pontok telepítéseDeploy the service certificate for cloud-based distribution points

Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:This certificate deployment has the following procedures:

Létrehozása és kiállítása az egyéni webkiszolgáló tanúsítványsablon a hitelesítésszolgáltatónCreate and issue a custom web server certificate template on the certification authority

Ez az eljárás tanúsítványsablont hoz létre egyéni a webkiszolgáló-tanúsítvány sablonja alapján.This procedure creates a custom certificate template that is based on the web server certificate template. A tanúsítvány a System Center Configuration Manager felhő alapú terjesztési pontok és a titkos kulcsnak exportálhatónak kell lennie.The certificate is for System Center Configuration Manager cloud-based distribution points and the private key must be exportable. Létrehozása után a tanúsítványsablon a hitelesítésszolgáltató részévé válik.After the certificate template is created, it is added to the certification authority.

Megjegyzés

Ez az eljárás egy a webkiszolgáló-tanúsítvány sablonjának létrehozott tanúsítványsablont használja, az IIS-t futtató helyrendszerek.This procedure uses a different certificate template from the web server certificate template that you created for site systems that run IIS. Bár mindkét tanúsítványnak kiszolgálóhitelesítési funkcióval igényelnek, a felhő alapú terjesztési pontok a tanúsítványt meg kell adnia egy egyénileg definiált értéket a tulajdonos nevének és a titkos kulcsot exportálni kell.Although both certificates require server authentication capability, the certificate for cloud-based distribution points requires you to enter a custom-defined value for the Subject Name and the private key must be exported. A biztonság érdekében célszerű, így nem tanúsítványsablonok beállítása, hogy a titkos kulcs exportálható legyen, ha ez a konfiguráció nem szükséges.As a security best practice, do not set up certificate templates so that the private key can be exported unless this configuration is required. A felhőalapú terjesztési ponthoz, ez a beállítás szükséges, mivel kell importálja a tanúsítványt fájlként, nem pedig válassza ki azt a tanúsítványtárolóból.The cloud-based distribution point requires this configuration because you must import the certificate as a file, rather than choose it from the certificate store.

Amikor ezt a tanúsítványt egy új tanúsítványsablont hoz létre, korlátozhatja a számítógépeket, amelyek igényelhet olyan tanúsítványt, amelynek titkos kulcs exportálható legyen.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. Éles hálózati környezetben akkor előfordulhat, hogy emellett szóba jöhet a tanúsítvány a következő módosításokat:On a production network, you might also consider adding the following changes for this certificate:

  • Telepítse a tanúsítványt, a biztonság további erősítése jóváhagyást igényel.Require approval to install the certificate for additional security.
    • A tanúsítvány érvényességi időtartamának növelése.Increase the certificate validity period. Mivel a kell exportálni, és importálja a tanúsítványt az Érvényesség lejárata előtt minden alkalommal, megnövelheti az érvényességi időtartam csökkenti, milyen gyakran kell ismételnie ezt az eljárást.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. Azonban megnövelheti az érvényességi időtartam is csökkenti a biztonsági tanúsítvány, mert a támadók titkos kulcs visszafejtésére és a tanúsítvány ellopására több időt biztosít.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Egyéni érték használata a tanúsítványnál a Tulajdonos alternatív neve (SAN) mezőben, hogy jobban megkülönböztethető legyen ez a tanúsítvány az IIS rendszerrel használt szokásos webkiszolgáló-tanúsítványoktól.Use a custom value in the certificate Subject Alternative Name (SAN) to help identify this certificate from standard web server certificates that you use with IIS.
Létrehozása és kiállítása az egyéni webkiszolgáló tanúsítványsablon a hitelesítésszolgáltatónTo create and issue the custom web server certificate template on the certification authority
  1. Hozzon létre egy biztonsági csoportot nevű ConfigMgr Helykiszolgálók , amely rendelkezik a tagkiszolgálókat telepítéséhez a System Center Configuration Manager elsődleges hely kiszolgálóin, amelyek felhőalapú terjesztési pontokat fogják kezelni.Create a security group named ConfigMgr Site Servers that has the member servers to install System Center Configuration Manager primary site servers that will manage cloud-based distribution points.

  2. A hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése a Tanúsítványsablonok kezelése konzol betöltéséhez.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik webkiszolgáló a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Editionbeállítást.Do not select Windows 2008 Server, Enterprise Edition.

  5. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr felhőalapú terjesztési pont tanúsítványa, a felhő alapú terjesztési pontok a webkiszolgáló-tanúsítvány létrehozásához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Cloud-Based Distribution Point Certificate, to generate the web server certificate for cloud-based distribution points.

  6. Válassza ki a kérelmek kezelése lapra, és válassza a a titkos kulcs exportálható.Choose the Request Handling tab, and then choose Allow private key to be exported.

  7. Válassza ki a biztonsági lapot, és távolítsa el a beléptetés engedélyt a vállalati rendszergazdák biztonsági csoport.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  8. Válasszon Hozzáadás, adja meg ConfigMgr Helykiszolgálók a szöveg mezőbe, majd válassza a OK.Choose Add, enter ConfigMgr Site Servers in the text box, and then choose OK.

  9. Ehhez a csoporthoz adja meg a Beléptetés engedélyt, és ne törölje az Olvasás engedélyt.Select the Enroll permission for this group, and do not clear the Read permission.

    Megjegyzés

    Győződjön meg arról, hogy minimális kulcshossz a a titkosítás lapon értékre lett állítva 2048-raEnsure that Minimum key size on the Cryptography tab has been set to 2048

  10. Válasszon OK, majd zárja be a Tanúsítványsablonok konzolt.Choose OK, and then close Certificate Templates Console.

  11. A hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr felhőalapú terjesztési pont tanúsítványa, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Cloud-Based Distribution Point Certificate, and then choose OK.

  13. Ha nem kell további tanúsítványokat, zárja be létrehoznia és kiállítania hitelesítésszolgáltató.If you do not have to create and issue more certificates, close Certification Authority.

Az egyéni webkiszolgáló-tanúsítvány kéréseRequest the custom web server certificate

Ez az eljárás kér, és telepíti az egyéni webkiszolgáló-tanúsítvány azon a tagkiszolgálón, amely a helykiszolgáló.This procedure requests and then installs the custom web server certificate on the member server that will run the site server.

Az egyéni webkiszolgáló-tanúsítvány igénylésének lépéseiTo request the custom web server certificate
  1. Indítsa újra a tagkiszolgálót, létrehozása és konfigurálása után a ConfigMgr Helykiszolgálók biztonsági csoportra, és győződjön meg arról, hogy a számítógép biztosan hozzáférhessen a használatával létrehozott tanúsítványsablon a olvasási és beléptetés engedéllyel.Restart the member server after you create and configure the ConfigMgr Site Servers security group to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Válasszon Start, válassza a futtatása, és írja be mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Az üres konzolban kattintson fájl, és válassza a beépülő modul hozzáadása/eltávolítása.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki tanúsítványok közül elérhető beépülő modulok, és válassza a Hozzáadás.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. Az a beépülő modul párbeszédpanelen válassza ki számítógépfiók, és válassza a következő.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. Az a számítógép kijelölése párbeszédpanelen ellenőrizze, hogy helyi számítógép: (a számítógép a konzol fut) van kiválasztva, és válassza a Befejezés.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. A konzolon bontsa ki tanúsítványok (helyi számítógép), és válassza a személyes.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Kattintson a jobb gombbal tanúsítványok, válassza a feladataival, és válassza a új tanúsítvány kérése.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. Az a előkészületek lapon, válassza ki következő.On the Before You Begin page, choose Next.

  10. Ha megjelenik a tanúsítványigénylési házirend kiválasztása lapon, válassza ki következő.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. A a tanúsítványok kérése lapon, és keresse meg a ConfigMgr felhőalapú terjesztési pont tanúsítványa a rendelkezésre álló tanúsítványok listájáról, és válassza a további információt az regisztrálnia kell a tanúsítványt. dönthet úgy, itt a beállítások.On the Request Certificates page, identify the ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. choose here to configure settings.

  12. A a tanúsítvány tulajdonságai párbeszédpanel a tulajdonos lapon, az a tulajdonos neve, válassza a köznapi név , a típus.In the Certificate Properties dialog box, in the Subject tab, for the Subject name, choose Common name as the Type.

  13. Az Érték mezőben adja meg a szolgáltatás és a tartomány választott nevét teljes tartománynév (FQDN) formátumban.In the Value box, specify your choice of service name and your domain name by using an FQDN format. Példa: clouddp1.contoso.com.For example: clouddp1.contoso.com.

    Megjegyzés

    Egyedivé teszi a szolgáltatás nevét a névtérben.Make the service name unique in your namespace. A DNS szolgáltatást fogja használni alias (CNAME rekord) létrehozásánál ennek a szolgáltatásnévnek a leképezéséhez automatikusan előállított azonosítóra (GUID) és egy IP-címre a Windows Azure rendszerből.You will use DNS to create an alias (CNAME record) to map this service name to an automatically generated identifier (GUID) and an IP address from Windows Azure.

  14. Válasszon Hozzáadás, és válassza a OK bezárásához a tanúsítvány tulajdonságai párbeszédpanel megnyitásához.Choose Add, and then choose OK to close the Certificate Properties dialog box.

  15. A a tanúsítványok kérése lapon, válassza ki ConfigMgr felhőalapú terjesztési pont tanúsítványa a listából a rendelkezésre álló tanúsítványok, és válassza a beléptetés.On the Request Certificates page, choose ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  16. Az a Tanúsítványtelepítés – eredmények lapon Várjon, amíg a tanúsítvány van telepítve, és válassza a Befejezés.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  17. Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.Close Certificates (Local Computer).

A felhő alapú terjesztési pontok az egyéni webkiszolgáló-tanúsítvány exportálásaExport the custom web server certificate for cloud-based distribution points

Ez az eljárás fájlba exportálja az egyéni webkiszolgáló-tanúsítványt, így az importálható lesz, amikor létrehozza a felhőalapú terjesztési pontot.This procedure exports the custom web server certificate to a file, so that it can be imported when you create the cloud-based distribution point.

Az egyéni webkiszolgáló-tanúsítvány exportálásának lépései felhőalapú terjesztési pontokhozTo export the custom web server certificate for cloud-based distribution points
  1. A a tanúsítványok (helyi számítógép) konzol, kattintson a jobb gombbal az imént telepített tanúsítványra, majd a feladataival, és válassza a exportálása.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. A Tanúsítványexportáló varázslóban kattintson következő.In the Certificates Export Wizard, choose Next.

  3. Az a titkos kulcs exportálása lapon, válassza ki Igen, a titkos kulcs exportálását választom, és válassza a következő.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Megjegyzés

    Ha ez a beállítás nem érhető el, a tanúsítványt a titkos kulcs exportálásának engedélyezése nélkül hozták létre.If this option is not available, the certificate has been created without the option to export the private key. Ebben az esetben nem exportálhatja a tanúsítványt a megkívánt formátumban.In this scenario, you cannot export the certificate in the required format. Be kell állítania a tanúsítványsablont, hogy a titkos kulcs exportálható, majd indítsa újra a tanúsítványt.You must set up the certificate template so that the private key can be exported, and then request the certificate again.

  4. Az a Exportfájlformátum lapon, ügyeljen arra, hogy a személyes információcsere - PKCS #12 (. PFX) beállítást.On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. Az a jelszó lapján adjon meg egy erős jelszót a titkos kulcsot tartalmazó exportált tanúsítvány védelméhez, és válassza a következő.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. Az a exportálandó fájl adja meg azokat a exportálni, és válassza a kívánt fájl nevét következő.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. A varázsló bezárásához kattintson a Befejezés a a Tanúsítványexportáló varázsló lapon, és válassza a OK a művelet megerősítését kérő párbeszédpanelen.To close the wizard, choose Finish in the Certificate Export Wizard page, and then choose OK in the confirmation dialog box.

  8. Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.Close Certificates (Local Computer).

  9. A fájlt biztonságos helyen tárolja, és győződjön meg arról, hogy hozzá tud férni a System Center Configuration Manager konzolról.Store the file securely and ensure that you can access it from the System Center Configuration Manager console.

    A tanúsítvány ezzel készen áll az importálásra, amikor felhőalapú terjesztési pontot hoz létre.The certificate is now ready to be imported when you create a cloud-based distribution point.

A Windows rendszerű számítógépeken az ügyféltanúsítvány központi telepítéseDeploy the client certificate for Windows computers

Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:This certificate deployment has the following procedures:

  • A hitelesítésszolgáltatón a munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállításaCreate and issue the Workstation Authentication certificate template on the certification authority

  • A munkaállomás-hitelesítési sablon automatikus igénylésének konfigurálása csoportházirend használatávalConfigure autoenrollment of the Workstation Authentication template by using Group Policy

  • Automatikusan léptetni a munkaállomás-hitelesítési tanúsítványt, és a számítógépek telepítésének ellenőrzéseAutomatically enroll the Workstation Authentication certificate and verify its installation on computers

A hitelesítésszolgáltatón a munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállításaCreate and issue the Workstation Authentication certificate template on the certification authority

Ez az eljárás tanúsítványsablont hoz létre a System Center Configuration Manager-ügyfelet a számítógépeken, és hozzáadja azt a hitelesítésszolgáltatóhoz.This procedure creates a certificate template for System Center Configuration Manager client computers and adds it to the certification authority.

A munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónálTo create and issue the Workstation Authentication certificate template on the certification authority
  1. A hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése a Tanúsítványsablonok kezelése konzol betöltéséhez.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik munkaállomás-hitelesítési a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Editionbeállítást.Do not select Windows 2008 Server, Enterprise Edition.

  4. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr ügyféltanúsítvány, a Configuration Manager ügyfélszámítógépein használni kívánt ügyféltanúsítványok előállításához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Certificate, to generate the client certificates that will be used on Configuration Manager client computers.

  5. Válassza ki a biztonsági lapon jelölje be a tartományi számítógépek csoportot, és válassza ki a engedéllyel olvasási és automatikus igénylés.Choose the Security tab, select the Domain Computers group, and then select the additional permissions of Read and Autoenroll. Ne törölje a Beléptetésengedélyt.Do not clear Enroll.

  6. Válasszon OK, majd zárja be a Tanúsítványsablonok konzolt.Choose OK, and then close Certificate Templates Console.

  7. A hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  8. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr ügyféltanúsítvány, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Certificate, and then choose OK.

  9. Ha nem kell további tanúsítványokat, zárja be létrehoznia és kiállítania hitelesítésszolgáltató.If you do not need to create and issue more certificates, close Certification Authority.

A munkaállomás-hitelesítési sablon automatikus igénylésének konfigurálása csoportházirend használatávalConfigure autoenrollment of the Workstation Authentication template by using Group Policy

Ez az eljárás beállítja csoportházirend automatikus igénylése az ügyféltanúsítványt a számítógépeken.This procedure sets up Group Policy to autoenroll the client certificate on computers.

A munkaállomás-hitelesítési sablon automatikus igénylésének beállítása a csoportházirenddelTo set up autoenrollment of the Workstation Authentication template by using Group Policy
  1. A tartományvezérlőn, válassza ki a Start, válassza a felügyeleti eszközök, és válassza a Csoportházirend kezelése.On the domain controller, choose Start, choose Administrative Tools, and then choose Group Policy Management.

  2. Nyissa meg a tartományhoz, kattintson jobb gombbal a tartományra, és válassza a egy csoportházirend-objektum létrehozása ebben a tartományban, és hivatkozás létrehozása itt.Go to your domain, right-click the domain, and then choose Create a GPO in this domain, and Link it here.

    Megjegyzés

    Ez a lépés ajánlott eljárásként használja új csoportházirend létrehozását az egyéni beállításokhoz, és nem az Active Directory tartományi szolgáltatásaival telepített alapértelmezett tartományi házirendet szerkeszti.This step uses the best practice of creating a new Group Policy for custom settings rather than editing the Default Domain Policy that is installed with Active Directory Domain Services. Ennek a csoportházirendnek tartományi szinten rendel, akkor alkalmazza azt a tartomány összes számítógépéhez.When you assign this Group Policy at the domain level, you will apply it to all computers in the domain. Éles környezetben korlátozhatja az automatikus igénylést, hogy csak a kiválasztott számítógépeken beléptetett.In a production environment, you can restrict the autoenrollment so that it enrolls on only selected computers. A csoportházirend egy szervezeti egység szintjén rendelhet, vagy a tartomány csoportházirendjét, egy biztonsági csoporttal szűrheti, hogy csak a csoport számítógépeinek vonatkozik.You can assign the Group Policy at an organizational unit level, or you can filter the domain Group Policy with a security group so that it applies only to the computers in the group. Ha korlátozza az automatikus igénylést, akkor ne felejtse el bevenni a kiszolgáló be van állítva a felügyeleti pontnak.If you restrict autoenrollment, remember to include the server that is set up as the management point.

  3. Az a új csoportházirend-objektum párbeszédpanelen adja meg egy nevet, például automatikus igénylés tanúsítványai, az új Csoportházirendnek, és válassza a OK.In the New GPO dialog box, enter a name, like Autoenroll Certificates, for the new Group Policy, and then choose OK.

  4. Az eredménypanelen a a csatolt csoportházirend-objektumok lapon kattintson a jobb gombbal az új Csoportházirendre, és válassza a szerkesztése.In the results pane, on the Linked Group Policy Objects tab, right-click the new Group Policy, and then choose Edit.

  5. Az a Csoportházirendkezelés-szerkesztő, bontsa ki a házirendek alatt számítógép konfigurációja, majd lépjen Windows-beállítások / biztonsági beállítások / nyilvános kulcs házirendjei.In the Group Policy Management Editor, expand Policies under Computer Configuration, and then go to Windows Settings / Security Settings / Public Key Policies.

  6. Kattintson a jobb gombbal nevű Tanúsítványszolgáltatások ügyfele - automatikus igénylés, és válassza a tulajdonságok.Right-click the object type named Certificate Services Client - Auto-enrollment, and then choose Properties.

  7. Az a konfigurációs modell legördülő menüben válassza ki engedélyezve, válassza a lejárt tanúsítványok megújítása, folyamatban lévő tanúsítványok frissítése, eltávolítása a visszavont tanúsítványok, válassza a tanúsítványsablonokat használó tanúsítványok frissítése, és válassza a OK.From the Configuration Model drop-down list, choose Enabled, choose Renew expired certificates, update pending certificates, remove revoked certificates, choose Update certificates that use certificate templates, and then choose OK.

  8. Zárja be a Csoportházirend kezeléseablakot.Close Group Policy Management.

Automatikusan léptetni a munkaállomás-hitelesítési tanúsítványt, és a számítógépek telepítésének ellenőrzéseAutomatically enroll the Workstation Authentication certificate and verify its installation on computers

Ez az eljárás az ügyféltanúsítványt telepíti a számítógépeken, és ellenőrzi a telepítést.This procedure installs the client certificate on computers and verifies the installation.

Automatikus léptetni a munkaállomás-hitelesítési tanúsítványt, és az ügyfélszámítógép telepítésének ellenőrzéseTo automatically enroll the Workstation Authentication certificate and verify its installation on the client computer
  1. Indítsa újra munkaállomás számítógépét, és várjon néhány percet, mielőtt bejelentkezik.Restart the workstation computer, and wait a few minutes before you sign in.

    Megjegyzés

    A számítógép újraindítása a legbiztonságosabb módszer annak biztosítására, hogy sikeres legyen a tanúsítvány automatikus igénylése.Restarting a computer is the most reliable method of ensuring success with certificate autoenrollment.

  2. Jelentkezzen be rendszergazdai jogosultságokkal rendelkező fiókkal.Sign in with an account that has administrative privileges.

  3. A keresési mezőbe, írja be a mmc.exe., majd nyomja le az Enter.In the search box, enter mmc.exe., and then press Enter.

  4. Az üres kezelőkonzolon kattintson fájl, és válassza a beépülő modul hozzáadása/eltávolítása.In the empty management console, choose File, and then choose Add/Remove Snap-in.

  5. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki tanúsítványok közül elérhető beépülő modulok, és válassza a Hozzáadás.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  6. Az a beépülő modul párbeszédpanelen válassza ki számítógépfiók, és válassza a következő.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  7. Az a számítógép kijelölése párbeszédpanelen ellenőrizze, hogy helyi számítógép: (a számítógép a konzol fut) van kiválasztva, és válassza a Befejezés.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  8. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki OK.In the Add or Remove Snap-ins dialog box, choose OK.

  9. A konzolon bontsa ki tanúsítványok (helyi számítógép), bontsa ki a személyes, és válassza a tanúsítványok.In the console, expand Certificates (Local Computer), expand Personal, and then choose Certificates.

  10. Az eredmények ablaktáblájában győződjön meg arról, hogy rendelkezik-e a tanúsítvány ügyfél-hitelesítés a a kívánt felhasználási cél oszlopban, és hogy ConfigMgr ügyféltanúsítvány szerepel a tanúsítványsablon oszlop.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column, and that ConfigMgr Client Certificate is in the Certificate Template column.

  11. Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.Close Certificates (Local Computer).

  12. Ismételje meg az 1 – 11. lépéseket a tagkiszolgálóra, ellenőrizze, hogy a kiszolgálót, amely hoznak létre a felügyeleti pontként is rendelkezik-e az ügyféltanúsítványt a.Repeat steps 1 through 11 for the member server to verify that the server that will be set up as the management point also has a client certificate.

    A számítógép most már be van állítva a System Center Configuration Manager ügyfél tanúsítvánnyal.The computer is now set up with a System Center Configuration Manager client certificate.

Az ügyféltanúsítványt a terjesztési pontok telepítéseDeploy the client certificate for distribution points

Megjegyzés

Ez a tanúsítvány olyan adathordozó programkódjára is használható, amely nem PXE-rendszerindítást használ, mivel a tanúsítvánnyal szembeni követelmények azonosak.This certificate can also be used for media images that do not use PXE boot, because the certificate requirements are the same.

Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:This certificate deployment has the following procedures:

  • A hitelesítésszolgáltatón egyéni munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállításaCreate and issue a custom Workstation Authentication certificate template on the certification authority

  • Az egyéni munkaállomás-hitelesítési tanúsítvány igénylésének lépéseiRequest the custom Workstation Authentication certificate

  • A terjesztési pontok ügyféltanúsítványának exportálásaExport the client certificate for distribution points

A hitelesítésszolgáltatón egyéni munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállításaCreate and issue a custom Workstation Authentication certificate template on the certification authority

Ez az eljárás tanúsítványsablont hoz létre egyéni System Center Configuration Manager terjesztési pontok számára, hogy a titkos kulcs exportálható, és a tanúsítványsablont hozzáadja a hitelesítésszolgáltatóhoz.This procedure creates a custom certificate template for System Center Configuration Manager distribution points so that the private key can be exported and adds the certificate template to the certification authority.

Megjegyzés

Ez az eljárás egy másik tanúsítványsablont a létrehozott tanúsítványsablont használja, az ügyfélszámítógépek számára.This procedure uses a different certificate template from the certificate template that you created for client computers. Bár mindkét tanúsítványnak ügyfél-hitelesítésre alkalmas igényelnek, a tanúsítványt a terjesztési pont van szükség, hogy a titkos kulcs exportálása.Although both certificates require client authentication capability, the certificate for distribution points requires that the private key is exported. A biztonság érdekében célszerű, így nem tanúsítványsablonok beállítása, a titkos kulcs exportálható legyen, ha ez a konfiguráció nem szükséges.As a security best practice, do not set up certificate templates so the private key can be exported unless this configuration is required. A terjesztési ponton, ez a beállítás szükséges, mivel kell importálnia a tanúsítványt fájlként helyett válassza ki azt a tanúsítványtárolóból.The distribution point requires this configuration because you must import the certificate as a file rather than choose it from the certificate store.

Amikor ezt a tanúsítványt egy új tanúsítványsablont hoz létre, korlátozhatja a számítógépeket, amelyek igényelhet olyan tanúsítványt, amelynek titkos kulcs exportálható legyen.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. Központi telepítési példánkban ez a System Center Configuration Manager helyrendszer-kiszolgálók IIS-t futtató korábban létrehozott biztonsági csoport lesz.In our example deployment, this will be the security group that you previously created for System Center Configuration Manager site system servers that run IIS. Olyan éles hálózati környezetben, amely az IIS helyrendszerszerepköreit terjeszti, érdemes megfontolnia a terjesztési pontokat futtató kiszolgálókhoz új biztonsági csoport létrehozását, így a tanúsítványt kizárólag ezekre a helyrendszeri kiszolgálókra korlátozhatja.On a production network that distributes the IIS site system roles, consider creating a new security group for the servers that run distribution points so that you can restrict the certificate to just these site system servers. Emellett szóba jöhet a következő módosítások végrehajtása is ennél a tanúsítványnál:You might also consider adding the following modifications for this certificate:

  • Telepítse a tanúsítványt, a biztonság további erősítése jóváhagyást igényel.Require approval to install the certificate for additional security.
    • A tanúsítvány érvényességi időtartamának növelése.Increase the certificate validity period. Mivel a kell exportálni, és importálja a tanúsítványt az Érvényesség lejárata előtt minden alkalommal, megnövelheti az érvényességi időtartam csökkenti, milyen gyakran kell ismételnie ezt az eljárást.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. Azonban megnövelheti az érvényességi időtartam is csökkenti a biztonsági tanúsítvány, mert a támadók titkos kulcs visszafejtésére és a tanúsítvány ellopására több időt biztosít.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Egyéni érték használata a tanúsítványnál a Tulajdonos vagy a Tulajdonos alternatív neve (SAN) mezőben, hogy jobban megkülönböztethető legyen ez a tanúsítvány a szokásos ügyféltanúsítványoktól.Use a custom value in the certificate Subject field or Subject Alternative Name (SAN) to help identify this certificate from standard client certificates. Ez különösen hasznos lehet, ha ugyanazt a tanúsítványt használja több terjesztési ponthoz.This can be particularly helpful if you will use the same certificate for multiple distribution points.
Az egyéni munkaállomás-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónálTo create and issue the custom Workstation Authentication certificate template on the certification authority
  1. A hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése a Tanúsítványsablonok kezelése konzol betöltéséhez.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik munkaállomás-hitelesítési a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Editionbeállítást.Do not select Windows 2008 Server, Enterprise Edition.

  4. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr-ügyfél terjesztési pontjának tanúsítványa, az ügyfél-hitelesítési tanúsítványt, a terjesztési pontok létrehozásához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Distribution Point Certificate, to generate the client authentication certificate for distribution points.

  5. Válassza ki a kérelmek kezelése lapra, és válassza a a titkos kulcs exportálható.Choose the Request Handling tab, and then choose Allow private key to be exported.

  6. Válassza ki a biztonsági lapot, és távolítsa el a beléptetés engedélyt a vállalati rendszergazdák biztonsági csoport.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  7. Válasszon Hozzáadás, adja meg ConfigMgr IIS-kiszolgálók a szöveg mezőbe, majd válassza a OK.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  8. Ehhez a csoporthoz adja meg a Beléptetés engedélyt, és ne törölje az Olvasás engedélyt.Select the Enroll permission for this group, and do not clear the Read permission.

  9. Válasszon OK, majd zárja be a Tanúsítványsablonok konzolt.Choose OK, and then close Certificate Templates Console.

  10. A hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  11. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr-ügyfél terjesztési pontjának tanúsítványa, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Distribution Point Certificate, and then choose OK.

  12. Ha nem kell további tanúsítványokat, zárja be létrehoznia és kiállítania hitelesítésszolgáltató.If you do not have to create and issue more certificates, close Certification Authority.

Az egyéni munkaállomás-hitelesítési tanúsítvány igénylésének lépéseiRequest the custom Workstation Authentication certificate

Ez az eljárás kér, és arra a tagkiszolgálóra, amelyen fut az IIS, és hogy hoznak létre a terjesztési pontok az egyéni ügyféltanúsítványt, majd telepíti.This procedure requests and then installs the custom client certificate on to the member server that runs IIS and that will be set up as a distribution point.

Az egyéni munkaállomás-hitelesítési tanúsítvány igénylésének lépéseiTo request the custom Workstation Authentication certificate
  1. Válasszon Start, válassza a futtatása, és írja be mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Az üres konzolban kattintson fájl, és válassza a beépülő modul hozzáadása/eltávolítása.In the empty console, choose File, and then choose Add/Remove Snap-in.

  2. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki tanúsítványok közül elérhető beépülő modulok, és válassza a Hozzáadás.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  3. Az a beépülő modul párbeszédpanelen válassza ki számítógépfiók, és válassza a következő.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  4. Az a számítógép kijelölése párbeszédpanelen ellenőrizze, hogy helyi számítógép: (a számítógép a konzol fut) van kiválasztva, és válassza a Befejezés.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  5. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki OK.In the Add or Remove Snap-ins dialog box, choose OK.

  6. A konzolon bontsa ki tanúsítványok (helyi számítógép), és válassza a személyes.In the console, expand Certificates (Local Computer), and then choose Personal.

  7. Kattintson a jobb gombbal tanúsítványok, válassza a feladataival, és válassza a új tanúsítvány kérése.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  8. Az a előkészületek lapon, válassza ki következő.On the Before You Begin page, choose Next.

  9. Ha megjelenik a tanúsítványigénylési házirend kiválasztása lapon, válassza ki következő.If you see the Select Certificate Enrollment Policy page, choose Next.

  10. A a tanúsítványkérés lapon, válassza ki ConfigMgr-ügyfél terjesztési pontjának tanúsítványa a rendelkezésre álló tanúsítványok listájáról, és válassza a beléptetés.On the Request Certificates page, choose ConfigMgr Client Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  11. Az a Tanúsítványtelepítés – eredmények lapon Várjon, amíg a tanúsítvány van telepítve, és válassza a Befejezés.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  12. Az eredmények ablaktáblájában győződjön meg arról, hogy rendelkezik-e a tanúsítvány ügyfél-hitelesítés a a kívánt felhasználási cél oszlop, és hogy ConfigMgr-ügyfél terjesztési pontjának tanúsítványa szerepel a tanúsítványsablon oszlop.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column and that ConfigMgr Client Distribution Point Certificate is in the Certificate Template column.

  13. Ne zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.Do not close Certificates (Local Computer).

A terjesztési pontok ügyféltanúsítványának exportálásaExport the client certificate for distribution points

Ezzel az eljárással exportálja fájlba az egyéni munkaállomás-hitelesítési tanúsítványt, így az, hogy importálni lehessen a terjesztési pont tulajdonságainál.This procedure exports the custom Workstation Authentication certificate to a file so that it can be imported in the distribution point properties.

A terjesztési pontok ügyféltanúsítványának exportálásaTo export the client certificate for distribution points
  1. A a tanúsítványok (helyi számítógép) konzol, kattintson a jobb gombbal az imént telepített tanúsítványra, majd a feladataival, és válassza a exportálása.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. A Tanúsítványexportáló varázslóban kattintson következő.In the Certificates Export Wizard, choose Next.

  3. Az a titkos kulcs exportálása lapon, válassza ki Igen, a titkos kulcs exportálását választom, és válassza a következő.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Megjegyzés

    Ha ez a beállítás nem érhető el, a tanúsítványt a titkos kulcs exportálásának engedélyezése nélkül hozták létre.If this option is not available, the certificate has been created without the option to export the private key. Ebben az esetben nem exportálhatja a tanúsítványt a megkívánt formátumban.In this scenario, you cannot export the certificate in the required format. Be kell állítania a tanúsítványsablont, hogy a titkos kulcs exportálható, és majd indítsa újra a tanúsítványt.You must set up the certificate template so that the private key can be exported and then request the certificate again.

  4. Az a Exportfájlformátum lapon, ügyeljen arra, hogy a személyes információcsere - PKCS #12 (. PFX) beállítást.On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. Az a jelszó lapján adjon meg egy erős jelszót a titkos kulcsot tartalmazó exportált tanúsítvány védelméhez, és válassza a következő.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. Az a exportálandó fájl adja meg azokat a exportálni, és válassza a kívánt fájl nevét következő.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. A varázsló bezárásához kattintson a Befejezés a a Tanúsítványexportáló varázsló lapon, és válassza a OK a művelet megerősítését kérő párbeszédpanelen.To close the wizard, choose Finish on the Certificate Export Wizard page, and choose OK in the confirmation dialog box.

  8. Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.Close Certificates (Local Computer).

  9. A fájlt biztonságos helyen tárolja, és győződjön meg arról, hogy hozzá tud férni a System Center Configuration Manager konzolról.Store the file securely and ensure that you can access it from the System Center Configuration Manager console.

    A tanúsítvány importálásra, amikor állít be a terjesztési pont készen áll.The certificate is now ready to be imported when you set up the distribution point.

Tipp

Is használhatja ugyanazt a tanúsítványfájlt, ha beállít egy operációs rendszer központi telepítése nem használja a PXE rendszerindító adathordozó programkódját, és a feladatütemezés, a lemezkép telepítéséhez kapcsolatba kell lépnie a felügyeleti pont HTTPS-ügyfélkapcsolatokat igényel.You can use the same certificate file when you set up media images for an operating system deployment that does not use PXE boot, and the task sequence to install the image must contact a management point that requires HTTPS client connections.

Mobileszközök beléptetési tanúsítványának központi telepítéseDeploy the enrollment certificate for mobile devices

Ennél a tanúsítványtelepítésnél egy eljárással hozható létre és állítható ki a beléptetési tanúsítványsablon a hitelesítésszolgáltatón.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Létrehozása és kiállítása a beléptetési tanúsítványsablon a hitelesítésszolgáltatónCreate and issue the enrollment certificate template on the certification authority

Ez az eljárás a System Center Configuration Manager mobileszközök beléptetési tanúsítványsablont hoz létre, és hozzáadja azt a hitelesítésszolgáltatóhoz.This procedure creates an enrollment certificate template for System Center Configuration Manager mobile devices and adds it to the certification authority.

A beléptetési tanúsítványsablon létrehozása és kiállítása a hitelesítésszolgáltatónálTo create and issue the enrollment certificate template on the certification authority
  1. Hozzon létre egy biztonsági csoportot, amely a felhasználókat, akik regisztrálni fogják a mobileszközeiket a System Center Configuration Managerben.Create a security group that has users who will enroll mobile devices in System Center Configuration Manager.

  2. Azon a tagkiszolgálón, amelyen a tanúsítványszolgáltatások telepítve, a hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése a Tanúsítványsablonok kezelése konzol betöltéséhez.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik hitelesített munkamenet a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Editionbeállítást.Do not select Windows 2008 Server, Enterprise Edition.

  5. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr mobileszköz-beléptetési tanúsítvány, a System Center Configuration Manager által felügyelendő mobileszközök beléptetési tanúsítványainak előállításához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mobile Device Enrollment Certificate, to generate the enrollment certificates for the mobile devices to be managed by System Center Configuration Manager.

  6. Válassza ki a tulajdonosnévvel lapra, győződjön meg arról, hogy az Active Directoryból jelölve, jelölje be köznapi név a a tulajdonos nevének formátuma:, és törölje a jelet egyszerű felhasználónév (UPN) a következő információk belefoglalása az alternatív tulajdonosnévbe.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, select Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Válassza ki a biztonsági lapra, válassza ki a biztonsági csoport, amely rendelkezik a mobileszközökkel rendelkező felhasználók, és válassza a engedéllyel beléptetés.Choose the Security tab, choose the security group that has users who have mobile devices to enroll, and then choose the additional permission of Enroll. Ne törölje az Olvasásengedélyt.Do not clear Read.

  8. Válasszon OK, majd zárja be a Tanúsítványsablonok konzolt.Choose OK, and then close Certificate Templates Console.

  9. A hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  10. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr mobileszköz-beléptetési tanúsítvány, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mobile Device Enrollment Certificate, and then choose OK.

  11. Ha nem kell további tanúsítványokat létrehoznia és kiállítania, zárja be a hitelesítésszolgáltató konzolt.If you do not need to create and issue more certificates, close the Certification Authority console.

    A mobileszköz-beléptetési tanúsítványsablon készen áll a kiválasztásra, amikor az ügyfél beállításai mobileszköz beléptetési profiljának beállítása.The mobile device enrollment certificate template is now ready to be selected when you set up a mobile device enrollment profile in the client settings.

A tanúsítványok telepítése AMT-hezDeploy the certificates for AMT

Ehhez a központi tanúsítványtelepítéshez a következő eljárások tartoznak:This certificate deployment has the following procedures:

  • Hozzon létre, ki és az AMT kiépítési tanúsítvány telepítéseCreate, issue, and install the AMT provisioning certificate

  • Létrehozása és kiállítása a webkiszolgáló-tanúsítványt az AMT-alapú számítógépekCreate and issue the web server certificate for AMT-based computers

  • Ügyfél létrehozása és kiállítása a 802.1 X AMT-alapú számítógépek ügyféltanúsítványokatCreate and issue the client authentication certificates for 802.1X AMT-based computers

Hozzon létre, ki és az AMT kiépítési tanúsítvány telepítéseCreate, issue, and install the AMT provisioning certificate

A belső hitelesítésszolgáltató a kiépítési tanúsítvány hozzon létre, amikor az AMT-alapú számítógépek be vannak állítva a belső legfelső szintű hitelesítésszolgáltató tanúsítvány-ujjlenyomatával.Create the provisioning certificate with your internal CA when the AMT-based computers are set up with the certificate thumbprint of your internal root CA. Ha ez nem áll fenn, és egy külső hitelesítésszolgáltatónak kell használnia, használja az AMT kiépítési tanúsítványt, amelyek többnyire azt írják elő a vállalat nyilvános webhelyén igényelheti a tanúsítványt kiállító vállalat utasításait.When this is not the case and you must use an external certification authority, use the instructions from the company that issued the AMT provisioning certificate, which will often involve requesting the certificate from the company's public web site. Előfordulhat, hogy is találhat részletes tájékoztatást a választott külső Hitelesítésszolgáltatóról az a Intel vPro szakértői központban: Microsoft vPro kezelhetőségi webhely.You might also find detailed instructions for your chosen external CA on the Intel vPro Expert Center: Microsoft vPro Manageability web site.

Fontos

Előfordulhat, hogy a külső hitelesítésszolgáltatók nem támogatják az Intel AMT kiépítési objektumazonosítót.External CAs might not support the Intel AMT provisioning object identifier. Ha ez a helyzet, adja meg a Intel(R) Client Setup Certificate OU attribútumot.When this is the case, supply the Intel(R) Client Setup Certificate OU attribute.

Amikor AMT kiépítési tanúsítványt igényel egy külső Hitelesítésszolgáltatótól kér le, telepítse a tanúsítványt azon a tagkiszolgálón, amely a sávon kívüli szolgáltatási pont tárolni fogja a számítógép személyes tanúsítványtárolójába.When you request an AMT provisioning certificate from an external CA, install the certificate into the Computer Personal certificate store on the member server that will host the out-of-band service point.

Az AMT kiépítési tanúsítvány igénylése és kiállításaTo request and issue the AMT provisioning certificate
  1. Hozzon létre egy biztonsági csoportot, amely rendelkezik, amely a sávon kívüli szolgáltatási pont helyrendszer-kiszolgálók számítógépfiókja.Create a security group that has the computer accounts of site system servers that will run the out-of-band service point.

  2. Azon a tagkiszolgálón, amelyen a tanúsítványszolgáltatások telepítve, a hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése betöltése a tanúsítványsablonok konzol.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  3. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik webkiszolgáló a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Editionbeállítást.Do not select Windows 2008 Server, Enterprise Edition.

  5. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr AMT kiépítés, az AMT kiépítési tanúsítványsablon előállításához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT Provisioning, for the AMT provisioning certificate template.

  6. Válassza ki a tulajdonosnévvel lapra, majd az Active Directoryból, és válassza a köznapi név.Choose the Subject Name tab, choose Build from this Active Directory information, and then choose Common name.

  7. Válassza ki a bővítmények lapra, győződjön meg arról, hogy alkalmazás-házirendek van kiválasztva, és válassza a szerkesztése.Choose the Extensions tab, make sure that Application Policies is selected, and then choose Edit.

  8. Az a használati szabályzatok bővítmény szerkesztése párbeszédpanelen válassza ki Hozzáadás.In the Edit Application Policies Extension dialog box, choose Add.

  9. Az a alkalmazás-házirend hozzáadása párbeszédpanelen válassza ki új.In the Add Application Policy dialog box, choose New.

  10. Az a az új házirend párbeszédpanelen adja meg a AMT kiépítés a a neve mezőben, és írja be a következő számot a objektumazonosító: 2.16.840.1.113741.1.2.3.In the New Application Policy dialog box, enter AMT Provisioning in the Name field, and then enter the following number for the Object identifier: 2.16.840.1.113741.1.2.3.

  11. Válasszon OK, és válassza a OK a a alkalmazás-házirend hozzáadása párbeszédpanel megnyitásához.Choose OK, and then choose OK in the Add Application Policy dialog box.

  12. Válasszon OK a a használati szabályzatok bővítmény szerkesztése párbeszédpanel megnyitásához.Choose OK in the Edit Application Policies Extension dialog box.

  13. Az a új sablon tulajdonságai párbeszédpanelen a következő van megadva, a alkalmazás-házirendek leírása: Kiszolgálóhitelesítés és AMT kiépítés.In the Properties of New Template dialog box, the following is listed as the Application Policies description: Server Authentication and AMT Provisioning.

  14. Válassza ki a biztonsági lapot, és távolítsa el a beléptetés engedélyt a Tartománygazdák és vállalati rendszergazdák biztonsági csoportokat.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  15. Válasszon Hozzáadás, adja meg a sávon kívüli szolgáltatási pont helyrendszerszerepkörének számítógépfiókját tartalmazó biztonsági csoport nevét, és válassza a OK.Choose Add, enter the name of a security group that has the computer account for the out-of-band service point site system role, and then choose OK.

  16. Válassza ki a beléptetés engedélyt ehhez a csoporthoz, és ne törölje a olvasási engedély...Choose the Enroll permission for this group, and do not clear the Read permission..

  17. Válasszon OK, majd zárja be a tanúsítványsablonok konzol.Choose OK, and then close the Certificate Templates console.

  18. A hitelesítésszolgáltató, kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In Certification Authority, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  19. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr AMT kiépítés, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT Provisioning, and then choose OK.

    Megjegyzés

    Ha nem tudja végrehajtani a 18. vagy 19. lépést, ellenőrizze, hogy a Windows Server 2008 Enterprise Edition kiadását használja-e.If you cannot complete steps 18 or 19, check that you are using the Enterprise Edition of Windows Server 2008. Bár a Windows Server Standard Edition és a tanúsítványszolgáltatások sablonok állíthat be, nem telepíthet tanúsítványokat a módosított tanúsítványsablonokkal, ha nem használja a kiadás a Windows Server 2008 Enterprise által.Although you can set up templates with Windows Server Standard Edition and Certificate Services, you cannot deploy certificates by using modified certificate templates unless you are using the Enterprise Edition of Windows Server 2008.

  20. Ne zárja be a Hitelesítésszolgáltatópárbeszédpanelt.Do not close Certification Authority.

    A belső hitelesítésszolgáltató AMT kiépítési tanúsítvány már készen áll a sávon kívüli szolgáltatási pont számítógépén kell telepíteni.The AMT provisioning certificate from your internal CA is now ready to be installed on the out-of-band service point computer.

Az AMT kiépítési tanúsítvány telepítéseTo install the AMT provisioning certificate
  1. Indítsa újra a tagkiszolgálót, amelyen az IIS-t, győződjön meg arról, hogy hozzáférhessen a tanúsítványsablonhoz a konfigurált engedéllyel.Restart the member server that runs IIS to ensure that it can access the certificate template with the configured permission.

  2. Válasszon Start, válassza a futtatása, és írja be mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Az üres konzolban kattintson fájl, és válassza a beépülő modul hozzáadása/eltávolítása.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki tanúsítványok közül elérhető beépülő modulok, és válassza a Hozzáadás.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. Az a beépülő modul párbeszédpanelen válassza ki számítógépfiók, és válassza a következő.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. Az a számítógép kijelölése párbeszédpanelen ellenőrizze, hogy helyi számítógép: (a számítógép a konzol fut) van kiválasztva, és válassza a Befejezés.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. Az a hozzáadása vagy eltávolítása a beépülő modulok párbeszédpanelen válassza ki OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. A konzolon bontsa ki tanúsítványok (helyi számítógép), és válassza a személyes.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Kattintson a jobb gombbal tanúsítványok, válassza a feladataival, és válassza a új tanúsítvány kérése.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. Az a előkészületek lapon, válassza ki következő.On the Before You Begin page, choose Next.

  10. Ha megjelenik a tanúsítványigénylési házirend kiválasztása lapon, válassza ki következő.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. A a tanúsítványok kérése lapon jelölje be AMT kiépítés a rendelkezésre álló tanúsítványok listájáról, és válassza a beléptetés.On the Request Certificates page, select AMT Provisioning from the list of available certificates, and then choose Enroll.

  12. Az a Tanúsítványtelepítés – eredmények lapon Várjon, amíg a tanúsítvány van telepítve, és válassza a Befejezés.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  13. Zárja be a Tanúsítványok (Helyi számítógép) párbeszédpanelt.Close Certificates (Local Computer).

    A belső hitelesítésszolgáltató AMT kiépítési tanúsítvány telepítve van, és ki kell választani a sávon kívüli szolgáltatási pont tulajdonságainál készen áll.The AMT provisioning certificate from your internal CA is now installed and is ready to be selected in the out-of-band service point properties.

Létrehozása és kiállítása a webkiszolgáló-tanúsítványt az AMT-alapú számítógépekCreate and issue the web server certificate for AMT-based computers

A következő művelettel készítheti elő a webkiszolgáló-tanúsítványokat az AMT-alapú számítógépekhez.Use the following procedure to prepare the web server certificates for AMT-based computers.

Létrehozása és kiállítása a webkiszolgáló tanúsítványsablonTo create and issue the web server certificate template
  1. Hozzon létre egy üres biztonsági csoportot, amely rendelkezik az AMT számítógépfiókokat, amely a System Center Configuration Manager hoz létre az AMT kiépítés során.Create an empty security group that has the AMT computer accounts that System Center Configuration Manager creates during AMT provisioning.

  2. Azon a tagkiszolgálón, amelyen a tanúsítványszolgáltatások telepítve, a hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése betöltése a tanúsítványsablonok konzol.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  3. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik webkiszolgáló a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr AMT webkiszolgáló-tanúsítvány, hogy az AMT számítógépeken a sávon kívüli felügyeleti használandó webtanúsítványok előállításához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT Web Server Certificate, to generate the web certificates that will be used for out-of-band management on AMT computers.

  6. Válassza ki a tulajdonos neve lapra, majd az Active Directoryból, válassza a köznapi név a a tulajdonos nevének formátuma, és törölje a jelet egyszerű felhasználónév (UPN) értéket az alternatív tulajdonosnév beállításánál.Choose the Subject Name tab, choose Build from this Active Directory information, choose Common name for the Subject name format, and then clear User principal name (UPN) for the alternative subject name.

  7. Válassza ki a biztonsági lapot, és távolítsa el a beléptetés engedélyt a Tartománygazdák és vállalati rendszergazdák biztonsági csoportokat.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Válasszon Hozzáadás, és adja meg az AMT kiépítéshez létrehozott biztonsági csoport nevét, és válassza a OK.Choose Add, and enter the name of the security group that you created for AMT provisioning, and then choose OK.

  9. Válassza ki a következő engedélyezése a biztonsági csoport engedélyeit: Olvasási és regisztrálása.Choose the following Allow permissions for this security group: Read and Enroll.

  10. Válasszon OK, majd zárja be a tanúsítványsablonok konzol.Choose OK, and then close the Certificate Templates console.

  11. Az a hitelesítésszolgáltató konzoljában a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr AMT webkiszolgáló-tanúsítvány, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT Web Server Certificate, and then choose OK.

  13. Ha nem kell további tanúsítványokat, zárja be létrehoznia és kiállítania hitelesítésszolgáltató.If you do not have to create and issue more certificates, close Certification Authority.

    Az AMT webkiszolgáló-tanúsítvány készen áll a webkiszolgáló-tanúsítványok AMT-alapú számítógépek beállítása.The AMT Web server template is now ready to set up AMT-based computers with web server certificates. Válassza ki a tanúsítványsablont a sávon kívüli felügyeleti összetevő tulajdonságai párbeszédpanelen.Choose this certificate template in the out-of-band management component properties.

Ügyfél létrehozása és kiállítása a 802.1 X AMT-alapú számítógépek ügyféltanúsítványokatCreate and issue the client authentication certificates for 802.1X AMT-based computers

A következő eljárást akkor használja, ha az AMT-alapú számítógépek ügyféltanúsítványokat fognak használni a 802.1X-hitelesítésű vezetékes vagy vezeték nélküli hálózatokhoz.Use the following procedure if AMT-based computers will use client certificates for 802.1X authenticated wired or wireless networks.

Az ügyfél-hitelesítési tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónálTo create and issue the client authentication certificate template on the CA
  1. Azon a tagkiszolgálón, amelyen a tanúsítványszolgáltatások telepítve, a hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése betöltése a tanúsítványsablonok konzol.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  2. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely rendelkezik munkaállomás-hitelesítési a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  3. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr AMT 802.1 X ügyfél-hitelesítési tanúsítvány, hogy az AMT számítógépeken a sávon kívüli felügyeleti használandó ügyféltanúsítványok előállításához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT 802.1X Client Authentication Certificate, to generate the client certificates that will be used for out-of-band management on AMT computers.

  4. Válassza ki a tulajdonosnévvel lapra, majd az Active Directoryból, és válassza a köznapi név a a tulajdonos nevének formátuma.Choose the Subject Name tab, choose Build from this Active Directory information, and then choose Common name for the Subject name format. Törölje a jelet DNS-név a alternatív tulajdonos neve, és válassza a egyszerű felhasználónév (UPN).Clear DNS name for the alternative subject name, and then choose User principal name (UPN).

  5. Válassza ki a biztonsági lapot, és távolítsa el a beléptetés engedélyt a Tartománygazdák és vállalati rendszergazdák biztonsági csoportokat.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  6. Válasszon Hozzáadás, adja meg a nevét, a biztonsági csoport, amely a rendszer adja meg a sávon kívüli felügyeleti összetevő tulajdonságai párbeszédpanelen az AMT-alapú számítógépek számítógépfiókjainak tárolásához, és válassza a OK.Choose Add, enter the name of the security group that you will specify in the out-of-band management component properties to contain the computer accounts of the AMT-based computers, and then choose OK.

  7. Válassza az alábbi engedélyezése a biztonsági csoport engedélyeit: Olvasási és regisztrálása.Select the following Allow permissions for this security group: Read and Enroll.

  8. Válasszon OK, majd zárja be a tanúsítványsablonok felügyeleti konzol certtmpl – [tanúsítványsablonok].Choose OK, and then close the Certificate Templates management console, certtmpl - [Certificate Templates].

  9. Az a hitelesítésszolgáltató felügyeleti konzolt, kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority management console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  10. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr AMT 802.1 X ügyfél-hitelesítési tanúsítvány, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT 802.1X Client Authentication Certificate, and then choose OK.

  11. Ha nem kell további tanúsítványokat, zárja be létrehoznia és kiállítania hitelesítésszolgáltató.If you do not need to create and issue more certificates, close Certification Authority.

    Az ügyfél-hitelesítési tanúsítványsablon ezzel készen áll arra, hogy tanúsítványokat állítson ki a 802.1X ügyfél-hitelesítéshez használható AMT-alapú számítógépeknek.The client authentication certificate template is now ready to issue certificates to AMT-based computers that can be used for 802.1X client authentication. Válassza ki a tanúsítványsablont a sávon kívüli felügyeleti összetevő tulajdonságai párbeszédpanelen.Choose this certificate template in the out-of-band management component properties.

Telepítheti az ügyféltanúsítványt a Mac számítógépekhezDeploy the client certificate for Mac computers

Ennél a tanúsítványtelepítésnél egy eljárással hozható létre és állítható ki a beléptetési tanúsítványsablon a hitelesítésszolgáltatón.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Létrehozása és kiállítása a Mac-ügyfél tanúsítványsablon a hitelesítésszolgáltatónCreate and issue a Mac client certificate template on the certification authority

Ez az eljárás tanúsítványsablont hoz létre egy egyéni a System Center Configuration Manager Mac számítógépekre, és a tanúsítványsablont hozzáadja a hitelesítésszolgáltatóhoz.This procedure creates a custom certificate template for System Center Configuration Manager Mac computers and adds the certificate template to the certification authority.

Megjegyzés

Ez az eljárás a Windows rendszerű ügyfélszámítógépekhez vagy a terjesztési pontokhoz létrehozott tanúsítványsablontól különböző tanúsítványsablont használ.This procedure uses a different certificate template from the certificate template that you might have created for Windows client computers or for distribution points.

Amikor ezt a tanúsítványt egy új tanúsítványsablont hoz létre, korlátozhatja a tanúsítványkérelmet engedéllyel rendelkező felhasználók számára.When you create a new certificate template for this certificate, you can restrict the certificate request to authorized users.

A MAC ügyfél-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónálTo create and issue the Mac client certificate template on the certification authority
  1. Hozzon létre egy biztonsági csoportot, amely rendelkezik a felhasználói fiókokat a rendszergazdákat, akik regisztrálni fogják a tanúsítványt a Mac számítógépen a System Center Configuration Manager használatával.Create a security group that has user accounts for administrative users who will enroll the certificate on the Mac computer by using System Center Configuration Manager.

  2. A hitelesítésszolgáltató konzolt futtató tagkiszolgálón kattintson a jobb gombbal tanúsítványsablonok, és válassza a kezelése a Tanúsítványsablonok kezelése konzol betöltéséhez.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. Az eredménypanelen kattintson a jobb gombbal az bejegyzést, amely megjeleníti hitelesített munkamenet a a sablon megjelenítendő neve oszlop, és válassza a Sablon duplikálása.In the results pane, right-click the entry that displays Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. Az a Sablon duplikálása párbeszédpanelen ellenőrizze, hogy Windows 2003 Server, Enterprise Edition van kiválasztva, és válassza a OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Fontos

    Ne válassza a Windows 2008 Server, Enterprise Editionbeállítást.Do not select Windows 2008 Server, Enterprise Edition.

  5. Az a új sablon tulajdonságai párbeszédpanel a általános lapra, adja meg a sablon nevét, például ConfigMgr Mac-ügyféltanúsítványa, a Mac ügyfél-tanúsítvány előállításához.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mac Client Certificate, to generate the Mac client certificate.

  6. Válassza ki a tulajdonos neve lapra, győződjön meg arról, hogy az Active Directoryból van kiválasztva, válassza a köznapi név a a tulajdonos nevének formátuma:, és törölje a jelet egyszerű felhasználónév (UPN) a következő információk belefoglalása az alternatív tulajdonosnévbe.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, choose Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Válassza ki a biztonsági lapot, és távolítsa el a beléptetés engedélyt a Tartománygazdák és vállalati rendszergazdák biztonsági csoportokat.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Válasszon Hozzáadás, adja meg a biztonsági csoportot, amelyiket az első lépésben létrehozott, és válassza a OK.Choose Add, specify the security group that you created in step one, and then choose OK.

  9. Válassza ki a beléptetés engedélyt ehhez a csoporthoz, és ne törölje a olvasási engedéllyel.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Válasszon OK, majd zárja be a Tanúsítványsablonok konzolt.Choose OK, and then close Certificate Templates Console.

  11. A hitelesítésszolgáltató konzolon kattintson a jobb gombbal tanúsítványsablonok, válassza a új, és válassza a Kiállítandó tanúsítványsablon.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. Az a tanúsítványsablonok engedélyezése párbeszédpanelen válassza ki az imént létrehozott, az új sablon ConfigMgr Mac-ügyféltanúsítványa, és válassza a OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mac Client Certificate, and then choose OK.

  13. Ha nem kell további tanúsítványokat, zárja be létrehoznia és kiállítania hitelesítésszolgáltató.If you do not have to create and issue more certificates, close Certification Authority.

    A Mac ügyféltanúsítvány-sablonjához készen áll a kiválasztásra, amikor a beléptetéshez szükséges ügyfélbeállítások beállítása.The Mac client certificate template is now ready to be selected when you set up client settings for enrollment.