Tanúsítványprofilok használatának előfeltételei a System Center Configuration ManagerbenPrerequisites for certificate profiles in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A System Center Configuration Managerben tanúsítványprofilok vannak külső függőségei és a függőségek a termékben.Certificate profiles in System Center Configuration Manager have external dependencies and dependencies in the product.

A Configuration Manager alkalmazáson kívüli függőségekDependencies External to Configuration Manager

FüggőségDependency További információMore information
Az Active Directory tanúsítványszolgáltatást (AD CS) futtató vállalati kiállító hitelesítésszolgáltató.An enterprise issuing certification authority (CA) that is running Active Directory Certificate Services (AD CS).

A tanúsítványok visszavonásához a hierarchia tetején található helykiszolgáló számítógépfiókjának Tanúsítványok kiállítása és kezelése jogosultsága szükséges a Configuration Managerben tanúsítványprofilok által használt minden egyes tanúsítványsablonra vonatkozóan.To revoke certificates the computer account of the site server at the top of the hierarchy requires Issue and Manage Certificates rights for each certificate template used by a certificate profile in Configuration Manager. Másik lehetőségként megadhatja a Tanúsítványkezelő engedélyt az engedélyek biztosításához a hitelesítésszolgáltató által használt összes tanúsítványsablonhozAlternatively, grant Certificate Manager permissions to grant permissions on all certificate templates used by that CA

A tanúsítványkérelmek vezetői jóváhagyása támogatott.Manager approval for certificate requests is supported. Azonban a tanúsítványok kiállításához használt tanúsítványsablonok be kell állítani a a kérelem fogja tartalmazni a tanúsítvány tulajdonosát, a System Center Configuration Manager automatikusan tudja szolgáltatni ezt az értéket.However, the certificate templates that are used to issue certificates must be configured for Supply in the request for the certificate subject so that System Center Configuration Manager can automatically supply this value.
Az Active Directory tanúsítványszolgáltatások részletes ismertetését a Windows Server dokumentációjában tekintheti meg.For more information about Active Directory Certificate Services, see your Windows Server documentation.

A Windows Server 2012: Active Directory tanúsítványszolgáltatások áttekintéseFor Windows Server 2012: Active Directory Certificate Services Overview

A Windows Server 2008: A Windows Server 2008 Active Directory tanúsítványszolgáltatásokFor Windows Server 2008: Active Directory Certificate Services in Windows Server 2008
A PowerShell-parancsfájl segítségével ellenőrizheti, és ha szükséges, a hálózati eszközök tanúsítványigénylési szolgáltatás (NDES) szerepkör-szolgáltatás és a Configuration Manager Tanúsítványregisztrációs pont előfeltételeinek telepítése.Use the PowerShell script to verify, and if needed, install the prerequisites for the Network Device Enrollment Service (NDES) role service and the Configuration Manager Certificate Registration Point.

Az utasításfájl, readme_crp.txt, ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64 található.The instruction file, readme_crp.txt, is located in ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64.

A PowerShell parancsfájl teszt – NDES-CRP-Prereqs.ps1 utasításokat ugyanabban a könyvtárban van.The PowerShell script, Test-NDES-CRP-Prereqs.ps1, is in the same directory as the instructions.

A PowerShell parancsfájl helyben kell futtatni az NDES-kiszolgálón.The PowerShell script must be run locally on the NDES server.
A hálózati eszközök tanúsítványigénylési szolgáltatás (NDES) szerepkör-szolgáltatást az Active Directory tanúsítványszolgáltatások, a Windows Server 2012 R2 rendszeren futó.The Network Device Enrollment Service (NDES) role service for Active Directory Certificate Services, running on Windows Server 2012 R2.

Továbbá:In addition:

A TCP 443-as (HTTPS) vagy TCP 80-as (HTTP) porttól eltérő számú portok nem támogatottak az ügyfél és a Hálózati eszközök tanúsítványigénylési szolgáltatás közötti kommunikációban.Port numbers other than TCP 443 (for HTTPS) or TCP 80 (for HTTP) are not supported for the communication between the client and the Network Device Enrollment Service.

A Hálózati eszközök tanúsítványigénylési szolgáltatást futtató kiszolgáló nem lehet azonos a kiállító hitelesítésszolgáltató kiszolgálójával.The server that is running the Network Device Enrollment Service must be on a different server from the issuing CA.
A System Center Configuration Manager kommunikál a hálózati eszközök tanúsítványigénylési szolgáltatását a Windows Server 2012 R2 hozhat létre és ellenőrzi az egyszerű tanúsítványigénylési protokoll (SCEP) kapcsolódó kérelmeket.System Center Configuration Manager communicates with the Network Device Enrollment Service in Windows Server 2012 R2 to generate and verify Simple Certificate Enrollment Protocol (SCEP) requests.

Ha a felhasználók vagy eszközök, amelyek az internetről, például a Microsoft Intune által kezelt mobil eszközök számára fog tanúsítványokat kiállítani az eszközök hozzáférhetnek az internetről a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón kell lennie.If you will issue certificates to users or devices that connect from the Internet, such as mobile devices that are managed by Microsoft Intune, those devices must be able to access the server that runs the Network Device Enrollment Service from the Internet. Telepítse a kiszolgálót például szegélyhálózatban (más néven: DMZ, „demilitarizált zóna”).For example, install the server in a perimeter network (also known as a DMZ, demilitarized zone, and screened subnet).

Ha a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló és a kiállító hitelesítésszolgáltató között tűzfal van, a tűzfalon be kell állítani a két kiszolgáló közötti kommunikációs forgalom (DCOM) átengedését.If you have a firewall between the server that is running the Network Device Enrollment Service and the issuing CA, you must configure the firewall to allow the communication traffic (DCOM) between the two servers. Ez a tűzfallal kapcsolatos követelmény is vonatkozik a System Center Configuration Manager helykiszolgáló és a kiállító hitelesítésszolgáltató fut, hogy a System Center Configuration Manager vissza tudja vonni a tanúsítványokat.This firewall requirement also applies to the server running the System Center Configuration Manager site server and the issuing CA, so that System Center Configuration Manager can revoke certificates.

Ha a hálózati eszközök tanúsítványigénylési szolgáltatása SSL megkövetelése van konfigurálva, biztonsági szempontból ajánlott, győződjön meg arról, hogy a kapcsolódó eszközök hozzáférhet a visszavont tanúsítványok listáját (CRL) a tanúsítvány érvényesítéséhez.If the Network Device Enrollment Service is configured to require SSL, a security best practice is to make sure that connecting devices can access the certificate revocation list (CRL) to validate the server certificate.

További információ a Windows Server 2012 R2 Hálózati eszközök tanúsítványigénylési szolgáltatásáról: Irányelvmodul használata a Hálózati eszközök tanúsítványigénylési szolgáltatásával.For more information about the Network Device Enrollment Service in Windows Server 2012 R2, see Using a Policy Module with the Network Device Enrollment Service.
Ha a kiállító hitelesítésszolgáltató Windows Server 2008 R2 rendszeren fut, ehhez a kiszolgálóhoz gyorsjavítást kell telepíteni az egyszerű tanúsítványigénylési protokoll (SCEP) megújítási kérelmeinek kezeléséhez.If the issuing CA runs Windows Server 2008 R2, this server requires a hotfix for SCEP renewal requests. Ha a gyorsjavítás még nincs telepítve a kiállító hitelesítésszolgáltató számítógépen, telepítse a gyorsjavítást.If the hotfix is not already installed on the issuing CA computer, install the hotfix. További információkért lásd: a cikk 2483564: SCEP-tanúsítvány megújítási kérelme sikertelen a Windows Server 2008 R2, ha a tanúsítvány felügyelt hálózati eszközök Tanúsítványigénylési a Microsoft Tudásbázis.For more information, see article 2483564: Renewal request for an SCEP certificate fails in Windows Server 2008 R2 if the certificate is managed by using NDES in the Microsoft Knowledge Base.
PKI ügyfél-hitelesítési tanúsítvány és exportált legfelső szintű hitelesítésszolgáltatói tanúsítvány.A PKI client authentication certificate and exported root CA certificate. Ez a tanúsítvány hitelesíti a futtató kiszolgálón a hálózati eszközök tanúsítványigénylési szolgáltatását a System Center Configuration Manager.This certificate authenticates the server that is running the Network Device Enrollment Service to System Center Configuration Manager.

További információ: PKI certificate requirements for System Center Configuration Manager(A System Center Configuration Manager PKI-tanúsítványának követelményei).For more information, see PKI certificate requirements for System Center Configuration Manager.
Eszközök támogatott operációs rendszerei.Supported device operating systems. A tanúsítványprofilok központi telepítését iOS, Windows 8.1, Windows RT 8.1, Windows 10 és Android operációs rendszerrel működő eszközökön végezheti el.You can deploy certificate profiles to devices that run iOS, Windows 8.1, Windows RT 8.1, Windows 10, and Android operating systems.

A Configuration Manager függőségeiConfiguration Manager Dependencies

FüggőségDependency További információMore information
Tanúsítványregisztrációs pont helyrendszerszerepkörCertificate registration point site system role A tanúsítványprofilok használatához előbb telepítenie kell a tanúsítványregisztrációs pont helyrendszerszerepkörét.Before you can use certificate profiles, you must install the certificate registration point site system role. Ez a szerepkör kommunikál a System Center Configuration Manager-adatbázis, a System Center Configuration Manager helykiszolgáló és a System Center Configuration Manager házirend modulját.This role communicates with the System Center Configuration Manager database, the System Center Configuration Manager site server, and the System Center Configuration Manager Policy Module.

A helyrendszer-szerepkör és a szerepkör telepítése a hierarchiában lévő where rendszerkövetelményeivel kapcsolatos további információkért lásd: a helyrendszer követelményei szakasz a a System Center támogatott konfigurációk A Configuration Manager cikk.For more information about system requirements for this site system role and where to install the role in the hierarchy, see the Site System Requirements section in the Supported configurations for System Center Configuration Manager article.

A tanúsítványregisztrációs pont nem telepítenie kell a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálón.The certificate registration point must not be installed on the same server that runs the Network Device Enrollment Service.
System Center Configuration Manager házirend modulját a hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatás az Active Directory tanúsítványszolgáltatás számára futtató kiszolgálón telepítettSystem Center Configuration Manager Policy Module that is installed on the server that is running the Network Device Enrollment Service role service for Active Directory Certificate Services Tanúsítványprofilok központi telepítéséhez, telepítenie kell a System Center Configuration Manager házirend modulját.To deploy certificate profiles, you must install the System Center Configuration Manager Policy Module. A házirendmodul a System Center Configuration Manager telepítési adathordozóján található.You can find this policy module on the System Center Configuration Manager installation media.
Felderítési adatokDiscovery data A tanúsítvány tulajdonosára és alternatív nevére vonatkozó értékeket a System Center Configuration Manager által biztosított, és a felderítési folyamat során gyűjtött információkból lekérése:Values for the certificate subject and the subject alternative name are supplied by System Center Configuration Manager and retrieved from information that is collected from discovery:

Felhasználói tanúsítványok esetében: Active Directory-felhasználófelderítésFor user certificates: Active Directory User Discovery

A számítógép-tanúsítványok: Active Directory-Rendszerfelderítés és hálózatfelderítésFor computer certificates: Active Directory System Discovery and Network Discovery
A tanúsítványprofilok kezeléséhez használt konkrét biztonsági engedélyekSpecific security permissions to manage certificate profiles A következő biztonsági engedélyekkel kell rendelkeznie ahhoz, hogy kezelni tudja a vállalat erőforrásainak hozzáférési beállításait, így a tanúsítványprofilokat, a WIFI-profilokat és a VPN-profilokat:You must have the following security permissions to manage company resource access settings, such as certificate profiles, Wi-Fi profiles, and VPN profiles:

Megtekintéséhez, és riasztásokat és jelentéseket a tanúsítványprofilok kezeléséhez: Hozzon létre, törlése, módosítása, jelentés módosítása, olvasási, és jelentés futtatása az a riasztások objektum.To view and manage alerts and reports for certificate profiles: Create, Delete, Modify, Modify Report, Read, and Run Report for the Alerts object.

Hozzon létre, és a tanúsítványprofilok kezeléséhez: Szerzői házirend, jelentés módosítása, olvasási, és jelentés futtatása a a Tanúsítványprofil objektum.To create and manage certificate profiles: Author Policy, Modify Report, Read, and Run Report for the Certificate Profile object.

Wi-Fi, tanúsítvány- és VPN-profilok központi telepítésének kezeléséhez: Konfigurációs házirendek központi telepítése, ügyfélállapot-riasztás módosítása, olvasási, és erőforrás olvasása a a gyűjteményobjektum.To manage Wi-Fi, certificate and VPN profile deployments: Deploy Configuration Policies, Modify Client Status Alert, Read, and Read Resource for the Collection object.

Az összes konfigurálási házirend kezeléséhez: Hozzon létre, törlése, módosítása, olvasási, és biztonsági hatókör megadása a a konfigurációs házirend objektum.To manage all configuration policies: Create, Delete, Modify, Read, and Set Security Scope for the Configuration Policy object.

A tanúsítványprofilokhoz kapcsolódó lekérdezések futtatása: Olvasási engedély a lekérdezés objektum.To run queries related to certificate profiles: Read permission for the Query object.

Tanúsítványprofilok adatainak megtekintéséhez a System Center Configuration Manager-konzolon: Olvasási engedély a hely objektum.To view certificate profiles information in the System Center Configuration Manager console: Read permission for the Site object.

A tanúsítványprofilokra vonatkozó állapotüzenetek megtekintéséhez: Olvasási engedély a állapotüzenetek objektum.To view status messages for certificate profiles: Read permission for the Status Messages object.

Hozzon létre, és módosítsa a megbízható Hitelesítésszolgáltatói tanúsítvány profilja: Szerzői házirend, jelentés módosítása, olvasási, és jelentés futtatása a a megbízható Hitelesítésszolgáltatói tanúsítvány profilja objektum.To create and modify the Trusted CA certificate profile: Author Policy, Modify Report, Read, and Run Report for the Trusted CA Certificate Profile object.

Hozzon létre, és a VPN-profilok kezeléséhez: Szerzői házirend, jelentés módosítása, olvasási, és jelentés futtatása a a VPN-profil objektum.To create and manage VPN profiles: Author Policy, Modify Report, Read, and Run Report for the VPN Profile object.

Hozzon létre és Wi-Fi profilok kezeléséhez: Szerzői házirend, jelentés módosítása, olvasási, és jelentés futtatása a a Wi-Fi profil objektum.To create and manage Wi-Fi profiles: Author Policy, Modify Report, Read, and Run Report for the Wi-Fi Profile object.

A Company Resource Access Manager biztonsági szerepkör tartalmazza azokat az engedélyeket, a System Center Configuration Managerben tanúsítványprofilok kezeléséhez szükségesek.The Company Resource Access Manager security role includes these permissions that are required to manage certificate profiles in System Center Configuration Manager. További információkért lásd: a szerepköralapú Adminisztráció konfigurálása szakasz a a biztonság konfigurálása a System Center Configuration Managerben cikk.For more information, see the Configure role-based administration section in the Configure security in System Center Configuration Manager article.