Tanúsítványinfrastruktúra konfigurálásaConfigure certificate infrastructure

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ismerje meg, ha a tanúsítvány-infrastruktúra konfigurálására a System Center Configuration Managerben.Learn to configure certificate infrastructure in System Center Configuration Manager. Kezdés előtt ellenőrizze az itt felsorolt előfeltételeket:Tanúsítványprofilok használatának előfeltételei a System Center Configuration Managerben.Before you start, check for any prerequisites that are listed in Prerequisites for certificate profiles in System Center Configuration Manager.

Az infrastruktúra konfigurálása az SCEP, az alábbi lépések segítségével vagy a PFX-tanúsítványokat.Use these steps to configure your infrastructure for SCEP, or PFX certificates.

1. lépés – és függőségeinek telepítése és konfigurálása a hálózati eszközök tanúsítványigénylési szolgáltatása (a csak SCEP-tanúsítványok)Step 1 - Install and Configure the Network Device Enrollment Service and Dependencies (for SCEP certificates only)

Telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkört az Active Directory tanúsítványszolgáltatásokhoz (AD CS), módosítsa a tanúsítványsablonokra vonatkozó biztonsági engedélyeket, telepítsen egy nyilvános kulcsú infrastruktúrára (PKI) épülő ügyfél-hitelesítési tanúsítványt, majd a beállításjegyzék szerkesztésével növelje meg az Internet Information Services (IIS) alapértelmezett URL-méretének korlátját.You must install and configure the Network Device Enrollment Service role service for Active Directory Certificate Services (AD CS), change the security permissions on the certificate templates, deploy a public key infrastructure (PKI) client authentication certificate, and edit the registry to increase the Internet Information Services (IIS) default URL size limit. Emellett ha szükséges, a kiállító hitelesítésszolgáltató konfigurálásával engedélyezze az egyéni érvényességi időt is.If necessary, you must also configure the issuing certification authority (CA) to allow a custom validity period.

Fontos

A hálózati eszközök tanúsítványigénylési szolgáltatása használható a System Center Configuration Manager konfigurálása előtt ellenőrizze a telepítése és konfigurálása a hálózati eszközök tanúsítványigénylési szolgáltatása.Before you configure System Center Configuration Manager to work with the Network Device Enrollment Service, verify the installation and configuration of the Network Device Enrollment Service. Ha ezek a függőségi viszonyok nem működnek megfelelően, hogy nehezen tanúsítványigénylés hibaelhárításával a System Center Configuration Manager használatával.If these dependencies are not working correctly, you will have difficulty troubleshooting certificate enrollment by using System Center Configuration Manager.

A Hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek telepítése és konfigurálásaTo install and configure the Network Device Enrollment Service and dependencies

  1. A Windows Server 2012 R2-t futtató kiszolgálón telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatások kiszolgálói szerepkörhöz.On a server that is running Windows Server 2012 R2, install and configure the Network Device Enrollment Service role service for the Active Directory Certificate Services server role. További információért olvassa el az Útmutató a Hálózati eszközök tanúsítványigénylési szolgáltatásához című cikket az Active Directory tanúsítványszolgáltatások dokumentumtárában a TechNet webhelyen.For more information, see Network Device Enrollment Service Guidance in the Active Directory Certificate Services library on TechNet.

  2. Ellenőrizze, és szükség esetén módosítsa a Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok biztonsági engedélyeit:Check, and if necessary, modify the security permissions for the certificate templates that the Network Device Enrollment Service is using:

    • A fiók, amelyen fut a System Center Configuration Manager konzol: Olvasási engedéllyel.For the account that runs the System Center Configuration Manager console: Read permission.

      Ez az engedély szükséges ahhoz, hogy a Tanúsítványprofil létrehozása varázsló futtatásakor tallózással kiválaszthassa az SCEP-beállításprofil létrehozásakor használni kívánt tanúsítványsablont.This permission is required so that when you run the Create Certificate Profile Wizard, you can browse to select the certificate template that you want to use when you create a SCEP settings profile. Tanúsítványsablon választásakor a rendszer a varázsló egyes beállításait automatikusan meghatározza, így kevesebb beállítást kell konfigurálni, és kisebb a veszélye annak, hogy a Hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonokkal nem kompatibilis beállításokat választ.Selecting a certificate template means that some settings in the wizard are automatically populated, so there is less for you to configure and there is less risk of selecting settings that are not compatible with the certificate templates that the Network Device Enrollment Service is using.

    • A hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete által használt SCEP szolgáltatásfiók: Olvasási és beléptetés engedélyek.For the SCEP Service account that the Network Device Enrollment Service application pool uses: Read and Enroll permissions.

      Ez a követelmény nem a System Center Configuration Manager adott, de része a hálózati eszközök tanúsítványigénylési szolgáltatása konfigurálásának.This requirement is not specific to System Center Configuration Manager but is part of configuring the Network Device Enrollment Service. További információért olvassa el az Útmutató a Hálózati eszközök tanúsítványigénylési szolgáltatásához című cikket az Active Directory tanúsítványszolgáltatások dokumentumtárában a TechNet webhelyen.For more information, see Network Device Enrollment Service Guidance in the Active Directory Certificate Services library on TechNet.

    Tipp

    A hálózati eszközök tanúsítványigénylési szolgáltatása által használt tanúsítványsablonok azonosításához keresse meg a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón a következő beállításkulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.To identify which certificate templates the Network Device Enrollment Service is using, view the following registry key on the server that is running the Network Device Enrollment Service: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    Megjegyzés

    Ezek az alapértelmezett biztonsági engedélyek, amelyek a legtöbb környezetben megfelelő megoldást nyújtanak –These are the default security permissions that will be appropriate for most environments. ehelyett azonban alternatív biztonsági konfigurációt is használhat.However, you can use an alternative security configuration. További tájékoztatásért lásd: Tanúsítványsablonok engedélyeinek tervezése a System Center Configuration Manager tanúsítványprofiljaihoz.For more information, see Planning for certificate template permissions for certificate profiles in System Center Configuration Manager.

  3. Telepítsen a kiszolgálón egy PKI-tanúsítványt, amely támogatja az ügyfél-hitelesítést.Deploy to this server a PKI certificate that supports client authentication. Előfordulhat, hogy már használható tanúsítvány van telepítve a számítógépen, de az is lehet, hogy kifejezetten erre a célra szolgáló tanúsítványt kell (vagy célszerű) telepítenie.You might already have a suitable certificate installed on the computer that you can use, or you might have to (or prefer to) deploy a certificate specifically for this purpose. Ez a tanúsítvány követelményeivel kapcsolatos további információkért olvassa el a Configuration Manager házirend modulját és a hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást futtató kiszolgálók a ** PKI-tanúsítványok a kiszolgálók ** szakasz a PKI-tanúsítványkövetelmények a System Center Configuration Manager témakör.For more information about the requirements for this certificate, refer to the details for Servers running the Configuration Manager Policy Module with the Network Device Enrollment Service role service in the** PKI Certificates for Servers** section in the PKI certificate requirements for System Center Configuration Manager topic.

    Tipp

    Ha a tanúsítvány telepítéséhez segítségre van szüksége, használhatja a használati a terjesztési pontok az ügyféltanúsítvány központi telepítése, mivel a tanúsítványkövetelmények azonosak, egy kivétellel:If you need help deploying this certificate, you can use the instructions for Deploying the Client Certificate for Distribution Points, because the certificate requirements are the same with one exception:

    • A tanúsítványsablon tulajdonságai között a Kérelmek kezelése lapon ne jelölje be A titkos kulcs exportálható négyzetet.Do not select the Allow private key to be exported check box on the Request Handling tab of the properties for the certificate template.

      Nincs a tanúsítvány exportálása a titkos kulccsal, ugyanis a helyi számítógéptárolóból, és válassza ki azt a System Center Configuration Manager házirend moduljának konfigurálásakor.You do not have to export this certificate with the private key because you will be able to browse to the local Computer store and select it when you configure the System Center Configuration Manager Policy Module.

  4. Keresse meg azt a legfelső szintű tanúsítványt, amelyhez az ügyfél-hitelesítési tanúsítvány kapcsolódik,Locate the root certificate that the client authentication certificate chains to. majd exportálja ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt egy tanúsítványfájlba (.cer).Then, export this root CA certificate to a certificate (.cer) file. Mentse ezt a fájlt védett helyre, amelyet később biztonságosan elérhet a tanúsítványregisztrációs pont helyrendszer-kiszolgálójának telepítésekor és konfigurálásakor.Save this file to a secured location that you can securely access when you later install and configure the site system server for the certificate registration point.

  5. Ugyanezen a kiszolgálón használja a beállításszerkesztőt, hogy növelje az IIS alapértelmezett URL-méretének korlátját, amit a következő beállításkulcs DWORD-értékek beállításával itt tehet meg: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:On the same server, use the registry editor to increase the IIS default URL size limit by setting the following registry key DWORD values in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

  6. Ugyanezen a kiszolgálón az Internet Information Services (IIS) kezelőjében módosítsa a /certsrv/mscep alkalmazás kérelemszűrési beállításait, majd indítsa újra a kiszolgálót.On the same server, in Internet Information Services (IIS) Manager, modify the request-filtering settings for the /certsrv/mscep application, and then restart the server. A Kérelemszűrési beállítások szerkesztése párbeszédpanelen a Kérelmekre vonatkozó korlátok az alábbiak legyenek:In the Edit Request Filtering Settings dialog box, the Request Limits settings should be as follows:

    • Tartalom engedélyezett maximális hossza (bájt): 30000000Maximum allowed content length (Bytes): 30000000

    • Maximális URL-cím hossza (bájt): 65534Maximum URL length (Bytes): 65534

    • Maximális lekérdezési karakterlánc (bájt): 65534Maximum query string (Bytes): 65534

      A fenti beállításokról és konfigurálásukról további információt a Lekérdezési korlátok című cikkben olvashat az IIS referenciatárában.For more information about these settings and how to configure them, see Requests Limits in the IIS Reference Library.

  7. Ha szeretne egy Ön által használt tanúsítványsablon rövidebb érvényességi idejű tanúsítványt igényelni: Ez a konfiguráció vállalati Hitelesítésszolgáltatók esetében alapértelmezés szerint le van tiltva.If you want to be able to request a certificate that has a lower validity period than the certificate template that you are using: This configuration is disabled by default for an enterprise CA. Ha vállalati hitelesítésszolgáltatón szeretné engedélyezni ezt a beállítást, a Certutil parancssori eszközzel állítsa le és indítsa újra a tanúsítványszolgáltatást, az alábbi parancsokkal:To enable this option on an enterprise CA, use the Certutil command-line tool, and then stop and restart the certificate service by using the following commands:

    1. certutil - setreg Policy\EditFlags + EDITF_ATTRIBUTEENDDATEcertutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvcnet stop certsvc

    3. a net start certsvcnet start certsvc

      További információért olvassa el a Tanúsítványszolgáltatások – Eszközök és beállítások című cikket a PKI-technológiák dokumentumtárában a TechNet webhelyen.For more information, see Certificate Services Tools and Settings in the PKI Technologies library on TechNet.

  8. Győződjön meg arról, hogy működik-e a hálózati eszközök tanúsítványigénylési szolgáltatása példaként a következő hivatkozás használatával: https://server.contoso.com/certsrv/mscep/mscep.dll.Verify that the Network Device Enrollment Service is working by using the following link as an example: https://server.contoso.com/certsrv/mscep/mscep.dll. Ha a szolgáltatás működik, a Hálózati eszközök tanúsítványigénylési szolgáltatásának beépített weblapja jelenik meg.You should see the built-in Network Device Enrollment Service webpage. A weblap bemutatja a szolgáltatást és leírja, hogy a hálózati eszközök az URL segítségével küldenek tanúsítványkérelmeket.This webpage explains what the service is and explains that network devices use the URL to submit certificate requests.

    Most, hogy végzett a Hálózati eszközök tanúsítványigénylési szolgáltatása és függőségei konfigurálásával, készen áll a tanúsítványregisztrációs pont telepítésére és konfigurálására.Now that the Network Device Enrollment Service and dependencies are configured, you are ready to install and configure the certificate registration point.

2. lépés – telepítés és a tanúsítványregisztrációs pont konfigurálásáról.Step 2 - Install and configure the certificate registration point.

Ön telepítenie és konfigurálnia kell legalább egy tanúsítványregisztrációs pontot a System Center Configuration Manager-hierarchiában, és a helyrendszerszerepkör a központi adminisztrációs hely vagy elsődleges helyen telepíthető.You must install and configure at least one certificate registration point in the System Center Configuration Manager hierarchy, and you can install this site system role in the central administration site or in a primary site.

Fontos

A tanúsítványregisztrációs pont telepítését megelőzően tekintse meg A System Center Configuration Manager által támogatott konfigurációk című témakör Helyrendszer követelményei című szakaszát az operációs rendszerre vonatkozó követelményekért és a tanúsítványregisztrációs pont függőségeiért.Before you install the certificate registration point, see the Site System Requirements section in the Supported configurations for System Center Configuration Manager topic for operating system requirements and dependencies for the certificate registration point.

A tanúsítványregisztrációs pont telepítése és konfigurálásaTo install and configure the certificate registration point
  1. A System Center Configuration Manager konzolon kattintson felügyeleti.In the System Center Configuration Manager console, click Administration.

  2. Az Adminisztráció munkaterületen bontsa ki a Helykonfiguráció csomópontot, kattintson a Kiszolgálók és helyrendszerszerepkörök elemre, majd jelölje ki a kiszolgálót, amelyet a tanúsítványregisztrációs pontként használni kíván.In the Administration workspace, expand Site Configuration, click Servers and Site System Roles, and then select the server that you want to use for the certificate registration point.

  3. A Kezdőlap Kiszolgáló csoportjában kattintson a Helyrendszerszerepkörök hozzáadása elemre.On the Home tab, in the Server group, click Add Site System Roles.

  4. Az Általános lapon adja meg a helyrendszer általános beállításait, majd kattintson a Továbbgombra.On the General page, specify the general settings for the site system, and then click Next.

  5. A Proxy lapon kattintson a Tovább gombra.On the Proxy page, click Next. A tanúsítványregisztrációs pont nem használ internetes proxybeállításokat.The certificate registration point does not use Internet proxy settings.

  6. A Rendszerszerepkör kiválasztása lapon az elérhető szerepkörök listájából válassza a Tanúsítványregisztrációs pont elemet, majd kattintson a Tovább gombra.On the System Role Selection page, select Certificate registration point from the list of available roles, and then click Next.

  7. Az a tanúsítvány regisztrációs mód lapon, válassza ki, hogy a tanúsítványregisztrációs pontot az folyamat SCEP tanúsítványkérelmek, vagy folyamat PFX tanúsítványkérelmek.On the Certificate Registration Mode page, select whether you want this certificate registration point to Process SCEP certificate requests, or Process PFX certificate requests. A tanúsítványregisztrációs pont nem tudja feldolgozni a kéréseket mindkét típusú, de létrehozhat több tanúsítvány tanúsítványregisztrációs pont Ha mindkét tanúsítványtípusok dolgozik.A certificate registration point cannot process both kinds of requests, but you can create multiple certificate registration points if you are working with both certificate types.

    Ha PFX-tanúsítványok feldolgozása, szüksége lesz a hitelesítésszolgáltatótól, a Microsoft vagy Entrust kiválasztásához.If processing PFX certificates, you'll need to choose a certificate authority, either Microsoft or Entrust.

  8. A Tanúsítványregisztrációs pont beállításainak lap helytől függ a tanúsítvány típusát:The Certificate Registration Point Settings page varies according to the certificate type:

    • Ha a kiválasztott folyamat SCEP tanúsítványkérelmek, majd konfigurálja a következőket:If you selected Process SCEP certificate requests, then configure the following:

      • Webhely neve, HTTPS-port száma, és virtuális alkalmazásnév a tanúsítványregisztrációs pont.Website name, HTTPS port number, and Virtual application name for the certificate registration point. Ezek a mezők kitölti automatikusan az alapértelmezett értékekkel.These fields are filled in automatically with default values.
      • A hálózati eszközök tanúsítványigénylési szolgáltatását és a legfelső szintű Hitelesítésszolgáltatói tanúsítvány URL-cím -kattintson Hozzáadás, ezt a a URL-CÍMEK hozzáadása és a legfelső szintű Hitelesítésszolgáltatói tanúsítvány párbeszédpanelen adja meg a következő:URL for the Network Device Enrollment Service and root CA certificate - Click Add, then in the Add URL and Root CA Certificate dialog box, specify the following:
        • A hálózati eszközök tanúsítványigénylési szolgáltatásához tartozó URL-cím: A következő formátumban adja meg az URL-cím: https://< Kiszolgáló_teljes_tartományneve >/certsrv/mscep/mscep.dll.URL for the Network Device Enrollment Service: Specify the URL in the following format: https://<server_FQDN>/certsrv/mscep/mscep.dll. Ha az a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló teljes Tartományneve server1.contoso.com, írja be például https://server1.contoso.com/certsrv/mscep/mscep.dll.For example, if the FQDN of your server that is running the Network Device Enrollment Service is server1.contoso.com, type https://server1.contoso.com/certsrv/mscep/mscep.dll.
        • Legfelső szintű hitelesítésszolgáltató tanúsítványának: Keresse meg és jelölje ki a létrehozott és mentett tanúsítvány (.cer) fájlját 1. lépés: Telepítse és konfigurálja a hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek.Root CA Certificate: Browse to and select the certificate (.cer) file that you created and saved in Step 1: Install and configure the Network Device Enrollment Service and dependencies. A legfelső szintű Hitelesítésszolgáltatói tanúsítvány lehetővé teszi a tanúsítványregisztrációs pontot az ügyfél hitelesítési tanúsítvánnyal, amely a System Center Configuration Manager házirend modulját fogja használni.This root CA certificate allows the certificate registration point to validate the client authentication certificate that the System Center Configuration Manager Policy Module will use.
    • Ha a kiválasztott folyamat PFX tanúsítványkérelmek, a kapcsolat adatai és a hitelesítő adatokat a kijelölt hitelesítésszolgáltató konfigurálása.If you selected Process PFX certificate requests, you configure the connection details and credentials for the selected certificate authority.

      • A hitelesítő Microsoft használatához kattintson hozzáadása ezt a a adja hozzá a hitelesítésszolgáltató és a fiók párbeszédpanelen adja meg a következő:To use Microsoft as the certificate authority, click Add then in the Add a Certificate Authority and Account dialog box, specify the following:

        • Tanúsítvány-szolgáltató kiszolgáló neve -adja meg a tanúsítvány hitelesítésszolgáltatói kiszolgáló nevét.Certificate Authority Server Name - Enter the name of your certificate authority server.
        • Tanúsítvány-szolgáltató fiók -kattintson beállítása válassza ki, vagy hozzon létre a fiókot, amely jogosult az igénylésre a sablonok a hitelesítésszolgáltatón.Certificate Authority Account - Click Set to select, or create the account that has permissions to enroll in templates on the certification authority.
        • Tanúsítványregisztrációs pont csatlakozási fiókja tanúsítvány – válasszon ki vagy hozzon létre a fiókot, amely a tanúsítványregisztrációs pont csatlakozik a Configuration Manager adatbázisába.Certificate Registration Point Connection Account - Select or create the account that connects the certificate registration point to the Configuration Manager database. Alteratively a tanúsítványregisztrációs pontot futtató számítógép helyi számítógépfiók is használhatja.Alteratively, you can use the local computer account of the computer hosting the certificate registration point.
        • Active Directory tanúsítvány közzétételi fiók – válassza ki a fiókot, vagy hozzon létre egy új fiókot, amely a tanúsítványok közzététele az Active Directory felhasználói objektumok történik.Active Directory Certificate Publishing Account - Select an account, or create a new account that will be used to publish certificates to user objects in Active Directory.

        • Az a URL-címet a hálózati eszközök tanúsítványigénylési és a legfelső szintű Hitelesítésszolgáltatói tanúsítvány párbeszédpanelen adja meg a következő beállításokat, és kattintson OK:In the URL for the Network Device Enrollment and root CA certificate dialog box, specify the following, and then click OK:

      • A hitelesítő Entrust használatához adja meg:To use Entrust as the certificate authority, specify:

        • A MDM webes URL-címeThe MDM web service URL
        • A felhasználónév és jelszó hitelesítő adatait az URL-címet.The username and password credentials for the URL.

          Ha a mobileszköz-kezelési API segítségével határozza meg a Entrust webes szolgáltatás URL-címe, ügyeljen arra, hogy legalább 9-es verzió, az API-t, a következő mintában látható módon:When using the MDM API to define the Entrust web service URL, be sure to use at least version 9 of the API, as shown in the following sample:

          https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

          Az API-t korábbi verziói nem támogatják a Entrust.Earlier versions of the API do not support Entrust.

  9. Kattintson a Tovább gombra, és fejezze be a varázslót.Click Next and complete the wizard.

  10. Várjon néhány percet, míg a telepítés befejeződik, majd az alábbi módszerek egyikével ellenőrizze, hogy a tanúsítványregisztrációs pont telepítése sikeres volt-e:Wait a few minutes to let the installation finish, and then verify that the certificate registration point was installed successfully by using any of the following methods:

    • A Figyelés munkaterületen bontsa ki a Rendszer állapota elemet, kattintson az Összetevő állapota lehetőségre, és keresse meg az SMS_CERTIFICATE_REGISTRATION_POINT összetevőtől származó állapotüzeneteket.In the Monitoring workspace, expand System Status, click Component Status, and look for status messages from the SMS_CERTIFICATE_REGISTRATION_POINT component.

    • A helyrendszer-kiszolgálón tekintse meg a <ConfigMgr telepítési útvonala> \Logs\crpsetup.log és a <ConfigMgr telepítési útvonala> \Logs\crpmsi.log fájlt.On the site system server, use the <ConfigMgr Installation Path> \Logs\crpsetup.log file and <ConfigMgr Installation Path> \Logs\crpmsi.log file. Sikeres telepítés esetén a kilépési kód „0”.A successful installation will return an exit code of 0.

    • Egy böngészővel ellenőrizze, hogy képes-e csatlakozni a tanúsítvány regisztrációs pointâ "URL-címe" például https://server1.contoso.com/CMCertificateRegistration.By using a browser, verify that you can connect to the URL of the certificate registration point—for example, https://server1.contoso.com/CMCertificateRegistration. Ha a telepítés sikeres volt, egy Kiszolgálóhiba oldal jelenik meg az alkalmazás nevével és a HTTP 404-es hiba leírásával.You should see a Server Error page for the application name, with an HTTP 404 description.

  11. Keresse meg a legfelső szintű hitelesítésszolgáltatóhoz tartozó exportált tanúsítványfájlt, amelyet a tanúsítványregisztrációs pont automatikusan létrehozott az elsődleges helykiszolgáló számítógépén a következő mappában: <ConfigMgr Installation Path> \inboxes\certmgr.box.Locate the exported certificate file for the root CA that the certificate registration point automatically created in the following folder on the primary site server computer: <ConfigMgr Installation Path> \inboxes\certmgr.box. Mentse a fájlt védett helyre, ha később telepíti a System Center Configuration Manager házirend modulját a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón biztonságosan elérhetők.Save this file to a secured location that you can securely access when you later install the System Center Configuration Manager Policy Module on the server that is running the Network Device Enrollment Service.

    Tipp

    A tanúsítvány nem érhető el azonnal a mappában;This certificate is not immediately available in this folder. Előfordulhat, hogy meg kell várni valamennyit (körülbelül fél órát) System Center Configuration Manager átmásolja a fájlt erre a helyre.You might need to wait awhile (for example, half an hour) before System Center Configuration Manager copies the file to this location.

3. lépés - a System Center Configuration Manager házirend modulját (a csak SCEP-tanúsítványok) telepítéséhez.Step 3 - Install the System Center Configuration Manager Policy Module (for SCEP certificates only).

Ön telepítenie és konfigurálnia kell a System Center Configuration Manager házirend modulját minden kiszolgálón, amelyet a 2. lépés: Telepítse és konfigurálja a tanúsítványregisztrációs pont , a hálózati eszközök tanúsítványigénylési szolgáltatásához tartozó URL-cím a tanúsítványregisztrációs pont tulajdonságainál.You must install and configure the System Center Configuration Manager Policy Module on each server that you specified in Step 2: Install and configure the certificate registration point as URL for the Network Device Enrollment Service in the properties for the certificate registration point.

A házirendmodul telepítéseTo install the Policy Module
  1. A hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón jelentkezzen be tartományi rendszergazdaként, és a következő fájlokat másolja a < configmgrtelepítési adathordozó>\SMSSETUP\POLICYMODULE\X64 mappából a System Center Configuration Manager telepítési adathordozón egy ideiglenes mappába:On the server that runs the Network Device Enrollment Service, log on as a domain administrator and copy the following files from the <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 folder on the System Center Configuration Manager installation media to a temporary folder:

    • PolicyModule.msiPolicyModule.msi

    • PolicyModuleSetup.exePolicyModuleSetup.exe

    Emellett ha a telepítési adathordozón egy LanguagePack mappa is található, másolja azt is, a tartalmával együtt.In addition, if you have a LanguagePack folder on the installation media, copy this folder and its contents.

  2. Az ideiglenes mappából futtassa a PolicyModuleSetup.exe a System Center Configuration Manager házirend moduljának telepítője varázsló elindításához.From the temporary folder, run PolicyModuleSetup.exe to start the System Center Configuration Manager Policy Module Setup wizard.

  3. A varázsló kezdőlapján kattintson a Tovább gombra, fogadja el a licencfeltételeket, majd kattintson ismét a Tovább gombra.On the initial page of the wizard, click Next, accept the license terms, and then click Next.

  4. A Telepítési mappa lapon fogadja el a házirendmodul alapértelmezett telepítési mappáját, vagy adjon meg egy másik mappát, majd kattintson a Tovább gombra.On the Installation Folder page, accept the default installation folder for the policy module or specify an alternative folder, and then click Next.

  5. A Tanúsítványregisztrációs pont lapon a helyrendszer-kiszolgáló teljes tartományneve és a tanúsítványregisztrációs pont tulajdonságai között megadott virtuális alkalmazásnév használatával adja meg a tanúsítványregisztrációs pont URL-jét.On the Certificate Registration Point page, specify the URL of the certificate registration point by using the FQDN of the site system server and the virtual application name that is specified in the properties for the certificate registration point. Az alapértelmezett virtuális alkalmazásnév: CMCertificateRegistration.The default virtual application name is CMCertificateRegistration. Ha a helyrendszer-kiszolgáló Tartományneve server1.contoso.com, és az alapértelmezett virtuális alkalmazásnevet használta, adja meg például https://server1.contoso.com/CMCertificateRegistration.For example, if the site system server has an FQDN of server1.contoso.com and you used the default virtual application name, specify https://server1.contoso.com/CMCertificateRegistration.

  6. Fogadja el az alapértelmezett 443-as portot, vagy ha a tanúsítványregisztrációs pont másik portot használ, adja meg annak a számát, majd kattintson a Tovább gombra.Accept the default port of 443 or specify the alternative port number that the certificate registration point is using, and then click Next.

  7. Az a házirend modul ügyfél-tanúsítványalapon keresse meg és adja meg a központilag telepített ügyfél-hitelesítési tanúsítvány 1. lépés: Telepítse és konfigurálja a hálózati eszközök tanúsítványigénylési szolgáltatásának és függőségeinek, és kattintson a következő.On the Client Certificate for the Policy Modulepage, browse to and specify the client authentication certificate that you deployed in Step 1: Install and configure the Network Device Enrollment Service and dependencies, and then click Next.

  8. Az a Tanúsítványregisztrációs pont tanúsítványa kattintson Tallózás jelölje be az exportált tanúsítványfájlt a legfelső szintű hitelesítésszolgáltató, amely megkeresett és mentett végén 2. lépés: Telepítse és konfigurálja a tanúsítványregisztrációs pont.On the Certificate Registration Point Certificate page, click Browse to select the exported certificate file for the root CA that you located and saved at the end of Step 2: Install and configure the certificate registration point.

    Megjegyzés

    Ha korábban nem mentette a tanúsítványfájlt, a következő útvonalon találhatja meg a helykiszolgálón: <ConfigMgr Telepítési Útvonala>\inboxes\certmgr.box.If you did not previously save this certificate file, it is located in the <ConfigMgr Installation Path>\inboxes\certmgr.box on the site server computer.

  9. Kattintson a Tovább gombra, és fejezze be a varázslót.Click Next and complete the wizard.

    Ha el szeretné távolítani a System Center Configuration Manager házirend modulját, programok és szolgáltatások a Vezérlőpulton.If you want to uninstall the System Center Configuration Manager Policy Module, use Programs and Features in Control Panel.

Most, hogy befejezte a konfigurációs lépésekkel, készen áll tanúsítványokat telepítsen felhasználók és eszközök létrehozása és a tanúsítványprofilok központi telepítése.Now that you have completed the configuration steps, you are ready to deploy certificates to users and devices by creating and deploying certificate profiles. További információk tanúsítványprofilok létrehozásáról: Tanúsítványprofilok létrehozása a System Center Configuration Managerben.For more information about how to create certificate profiles, see How to create certificate profiles in System Center Configuration Manager.