Пример пошагового развертывания PKI-сертификатов для System Center Configuration Manager: центр сертификации Windows Server 2008Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 certification authority

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

В этом примере с пошаговыми инструкциями развертывания с использованием центра сертификации Windows Server 2008 описываются процедуры создания и развертывания сертификатов инфраструктуры открытых ключей (PKI), необходимых для работы System Center Configuration Manager.This step-by-step example deployment, which uses a Windows Server 2008 certification authority (CA), has procedures that show you how to create and deploy the public key infrastructure (PKI) certificates that System Center Configuration Manager uses. Здесь используется центр сертификации предприятия (ЦС) и шаблоны сертификатов.These procedures use an enterprise certification authority (CA) and certificate templates. Эти действия можно выполнять только в тестовой сети в качестве эксперимента.The steps are appropriate for a test network only, as a proof of concept.

Так как единого метода развертывания требуемых сертификатов не существует, необходимо ознакомиться с документацией по развертыванию конкретной инфраструктуры открытых ключей и изучить необходимые процедуры и рекомендуемые способы развертывания сертификатов для рабочей среды.Because there is no single method of deployment for the required certificates, consult your particular PKI deployment documentation for the required procedures and best practices to deploy the required certificates for a production environment. Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к PKI-сертификатам для System Center Configuration Manager.For more about the certificate requirements, see PKI certificate requirements for System Center Configuration Manager.

Dica

Инструкции, представленные в этом разделе, можно адаптировать к операционным системам, которые не указаны в разделе "Требования к тестовой сети".You can adapt the instructions in this topic for operating systems that are not documented in the Test Network Requirements section. Однако если используется центр сертификации в Windows Server 2012, версия шаблона сертификата не запрашивается.However, if you are running the issuing CA on Windows Server 2012, you are not prompted for the certificate template version. Вместо этого укажите эти данные на вкладке Совместимость свойств шаблона:Instead, specify this on the Compatibility tab of the template properties:

  • Центр сертификации: Windows Server 2003Certification Authority: Windows Server 2003
    • Получатель сертификата: Windows XP / Server 2003Certificate recipient: Windows XP / Server 2003

В этом разделеIn this section

В следующих разделах приведены примеры пошаговых инструкций по созданию и развертыванию следующих сертификатов, которые можно использовать с System Center Configuration Manager:The following sections include example step-by-step instructions to create and deploy the following certificates that can be used with System Center Configuration Manager:

Требования к тестовой сетиTest network requirements

Обзор сертификатовOverview of the certificates

Развертывание сертификата веб-сервера для систем сайта с запущенными службами IISDeploy the web server certificate for site systems that run IIS

Развертывание сертификата службы для облачных точек распространенияDeploy the service certificate for cloud-based distribution points

Развертывание сертификата клиента для компьютеров WindowsDeploy the client certificate for Windows computers

Развертывание сертификата клиента для точек распространенияDeploy the client certificate for distribution points

Развертывание сертификата регистрации для мобильных устройствDeploy the enrollment certificate for mobile devices

Развертывание сертификатов для AMTDeploy the certificates for AMT

Развертывание сертификата клиента для компьютеров MacDeploy the client Certificate for Mac computers

Требования к тестовой сети Test network requirements

Для выполнения пошаговых инструкций необходимо учесть следующие требования.The step-by-step instructions have the following requirements:

  • В тестовой сети должны быть запущены доменные службы Active Directory с ОС Windows Server 2008, и она должна быть установлена как один домен и один лес.The test network is running Active Directory Domain Services with Windows Server 2008, and it is installed as a single domain, single forest.

  • Необходим рядовой сервер, на котором запущена ОС Windows Server 2008 Enterprise Edition и установлена роль служб сертификатов Active Directory. Этот сервер должен быть настроен в качестве корневого центра сертификации (ЦС) предприятия.You have a member server running Windows Server 2008 Enterprise Edition, which has the Active Directory Certificate Services role installed on it, and it is set up as an enterprise root certification authority (CA).

  • Необходим один компьютер с ОС Windows Server 2008 (выпуск Standard или Enterprise Edition, R2 или более поздние выпуски), назначенный в качестве рядового сервера, на котором установлены службы IIS.You have one computer that has Windows Server 2008 (Standard Edition or Enterprise Edition, R2 or later) installed on it, that computer is designated as a member server, and Internet Information Services (IIS) is installed on it. Этот компьютер будет сервером системы сайта System Center Configuration Manager, настроенным с полным доменным именем в интрасети для поддержки подключений клиентов в интрасети и полным доменным именем в Интернете, если требуется поддержка для мобильных устройств, зарегистрированных с помощью System Center Configuration Manager, и клиентов в Интернете.This computer will be the System Center Configuration Manager site system server that you will configure with an intranet fully qualified domain name (FQDN) to support client connections on the intranet and an Internet FQDN if you must support mobile devices that are enrolled by System Center Configuration Manager and clients on the Internet.

  • В сети должен быть один клиент Windows Vista с последним пакетом обновления. Этому компьютеру должно быть присвоено имя, содержащее символы ASCII, и он должен быть присоединен к домену.You have one Windows Vista client that has the latest service pack installed, and this computer is set up with a computer name that comprises ASCII characters and is joined to the domain. Этот компьютер будет клиентским компьютером System Center Configuration Manager.This computer will be a System Center Configuration Manager client computer.

  • Должна быть возможность войти в систему с использованием учетной записи администратора корневого домена или администратора домена предприятия и использовать эту учетную запись во всех процедурах описываемого примера развертывания.You can sign in with a root domain administrator account or an enterprise domain administrator account and use this account for all procedures in this example deployment.

Обзор сертификатов Overview of the certificates

В таблице ниже перечислены типы PKI-сертификатов, которые могут потребоваться для System Center Configuration Manager, и описаны способы их использования.The following table lists the types of PKI certificates that might be required for System Center Configuration Manager and describes how they are used.

Требования к сертификатуCertificate Requirement Описание сертификатаCertificate Description
Сертификат веб-сервера для систем сайта, в которых запущены службы IISWeb server certificate for site systems that run IIS Этот сертификат используется для шифрования данных и удостоверяет подлинность сервера при обращении клиентов.This certificate is used to encrypt data and authenticate the server to clients. Он должен быть установлен как внешний из System Center Configuration Manager на серверах системы сайта, на которых выполняются службы IIS и для которых в System Center Configuration Manager настроено использование протокола HTTPS.It must be installed externally from System Center Configuration Manager on site systems servers that run Internet Information Services (IIS) and that are set up in System Center Configuration Manager to use HTTPS.

Инструкции по настройке и установке этого сертификата см. в подразделе Развертывание сертификата веб-сервера для систем сайта с запущенными службами IIS этого раздела.For the steps to set up and install this certificate, see Deploy the web server certificate for site systems that run IIS in this topic.
Сертификат службы для подключения клиентов к облачным точкам распространенияService certificate for clients to connect to cloud-based distribution points Инструкции по настройке и установке этого сертификата см. в подразделе Развертывание сертификата службы для облачных точек распространения этого раздела.For the steps to configure and install this certificate, see Deploy the service certificate for cloud-based distribution points in this topic.

Внимание . Этот сертификат используется вместе с сертификатом управления Microsoft Azure.Important: This certificate is used in conjunction with the Windows Azure management certificate. Дополнительные сведения о сертификате управления см. в подразделах Создание сертификата управления и Добавление сертификата управления в подписку Windows Azure в разделе Windows Azure Platform библиотеки MSDN.For more about the management certificate, see How to Create a Management Certificate and How to Add a Management Certificate to a Windows Azure Subscription in the Windows Azure Platform section of the MSDN Library.
Сертификат клиента для компьютеров WindowsClient certificate for Windows computers Этот сертификат используется для проверки подлинности клиентских компьютеров System Center Configuration Manager при обращении к системам сайта, настроенным для использования протокола HTTPS.This certificate is used to authenticate System Center Configuration Manager client computers to site systems that are set up to use HTTPS. Его также можно использовать для мониторинга рабочего состояния точек управления и точек миграции состояния, настроенных для подключений по протоколу HTTPS.It can also be used for management points and state migration points to monitor their operational status when they are set up to use HTTPS. Он должен быть установлен как внешний из System Center Configuration Manager на компьютерах.It must be installed externally from System Center Configuration Manager on computers.

Инструкции по настройке и установке этого сертификата см. в подразделе Развертывание сертификата клиента для компьютеров Windows этого раздела.For the steps to set up and install this certificate, see Deploy the client certificate for Windows computers in this topic.
Сертификат клиента для точек распространенияClient certificate for distribution points Этот сертификат используется в следующих двух целях.This certificate has two purposes:

Сертификат используется для проверки подлинности точки распространения при обращении к точке управления с поддержкой протокола HTTPS до отправки точкой распространения сообщений о состоянии.The certificate is used to authenticate the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.

Если для точки распространения выбран параметр Включить поддержку PXE для клиентов , сертификат отправляется на компьютеры, выполняющие загрузку PXE, поэтому они могут подключаться к точке управления с поддержкой протокола HTTPS во время развертывания операционной системы.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers that PXE boot so that they can connect to a HTTPS-enabled management point during the deployment of the operating system.

Инструкции по настройке и установке этого сертификата см. в подразделе Развертывание сертификата клиента для точек распространения этого раздела.For the steps to set up and install this certificate, see Deploy the client certificate for distribution points in this topic.
Сертификат регистрации для мобильных устройствEnrollment certificate for mobile devices Этот сертификат используется для проверки подлинности клиентов мобильных устройств System Center Configuration Manager при обращении к системам сайта, настроенным для использования протокола HTTPS.This certificate is used to authenticate System Center Configuration Manager mobile device clients to site systems that are set up to use HTTPS. Его необходимо установить в процессе регистрации мобильных устройств в System Center Configuration Manager. Настроенный шаблон сертификата выбирается в качестве параметра клиента мобильного устройства.It must be installed as part of mobile device enrollment in System Center Configuration Manager, and you choose the configured certificate template as a mobile device client setting.

Инструкции по настройке этого сертификата см. в подразделе Развертывание сертификата регистрации для мобильных устройств этого раздела.For the steps to set up this certificate, see Deploy the enrollment certificate for mobile devices in this topic.
Сертификаты для Intel AMTCertificates for Intel AMT С использованием аппаратного контроллера управления для компьютеров на основе Intel AMT связаны три сертификата:Three certificates relate to out-of-band management for Intel AMT-based computers:
  • сертификат подготовки AMT;An Active Management Technology (AMT) provisioning certificate
  • сертификат веб-сервера AMT;An AMT web server certificate
  • сертификат проверки подлинности клиента для проводных или беспроводных сетей 802.1X (необязательный).Optionally, a client authentication certificate for 802.1X wired or wireless networks
Сертификат подготовки AMT должен быть установлен вне System Center Configuration Manager на компьютере точки управления аппаратного контроллера управления. Выбор этого сертификата осуществляется в свойствах точки обслуживания аппаратного контроллера управления.The AMT provisioning certificate must be installed externally from System Center Configuration Manager on the out-of-band service point computer, and then you choose the installed certificate in the out-of-band service point properties. Сертификат веб-сервера AMT и сертификат проверки подлинности клиента устанавливаются во время подготовки и управления AMT. Выбор настроенных шаблонов сертификатов осуществляется в свойствах компонента аппаратного контроллера управления.The AMT web server certificate and the client authentication certificate are installed during AMT provisioning and management, and you choose the configured certificate templates in the out-of-band management component properties.

Инструкции по настройке этих сертификатов см. в подразделе Развертывание сертификатов для AMT в этом разделе.For the steps to set up these certificates, see Deploy the certificates for AMT in this topic.
Сертификат клиента для компьютеров MacClient certificate for Mac computers Вы можете запросить установить этот сертификат от компьютера Mac во время использования регистрации System Center Configuration Manager и выбрать настроенный шаблон сертификата в качестве параметра клиента мобильного устройства.You can request and install this certificate from a Mac computer when you use System Center Configuration Manager enrollment and choose the configured certificate template as a mobile device client setting.

Инструкции по настройке этого сертификата см. в подразделе Развертывание сертификата клиента для компьютеров Mac этого раздела.For the steps to set up this certificate, see Deploy the client certificate for Mac computers in this topic.

Развертывание сертификата веб-сервера для систем сайта с запущенными службами IIS Deploy the web server certificate for site systems that run IIS

Процесс развертывания сертификата включает следующие процедуры.This certificate deployment has the following procedures:

  • Создание и выдача шаблона сертификата веб-сервера в центре сертификацииCreate and issue the web server certificate template on the certification authority

  • Запрос сертификата веб-сервераRequest the web server certificate

  • Настройка служб IIS для использования сертификата веб-сервераConfigure IIS to use the web server certificate

Создание и выдача шаблона сертификата веб-сервера в центре сертификации Create and issue the web server certificate template on the certification authority

Эта процедура используется для создания шаблона сертификата для систем сайта System Center Configuration Manager, который затем добавляется в центр сертификации.This procedure creates a certificate template for System Center Configuration Manager site systems and adds it to the certification authority.

Создание и выдача шаблона сертификата веб-сервера в центре сертификацииTo create and issue the web server certificate template on the certification authority
  1. Создайте группу безопасности с именем Серверы IIS ConfigMgr, содержащую рядовые серверы для установки систем сайта System Center Configuration Manager, на которых будут выполняться службы IIS.Create a security group named ConfigMgr IIS Servers that has the member servers to install System Center Configuration Manager site systems that will run IIS.

  2. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates and then choose Manage to load the Certificate Templates console.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат веб-сервера Configuration Manager, для создания веб-сертификатов, которые будут использоваться на системах сайта Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Web Server Certificate, to generate the web certificates that will be used on Configuration Manager site systems.

  6. Откройте вкладку Имя субъекта и убедитесь в том, что выбран параметр Предоставляется в запросе.Choose the Subject Name tab, and make sure that Supply in the request is selected.

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Нажмите кнопку Добавить, в текстовом поле введите IIS-серверы Configuration Manager и нажмите кнопку ОК.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  9. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Чтение.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close the Certificate Templates Console.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный новый шаблон Сертификат веб-сервера Configuration Manager и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Web Server Certificate, and then choose OK.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.If you do not need to create and issue more certificates, close Certification Authority.

Запрос сертификата веб-сервера Request the web server certificate

Эта процедура используется для задания значений полных доменных имен в интрасети и Интернете, которые будут настроены в свойствах сервера системы сайта, и последующей установки сертификата веб-сервера на рядовом сервере, где запущены службы IIS.This procedure lets you specify the intranet and Internet FQDN values that will be set up in the site system server properties and then installs the web server certificate on to the member server that runs IIS.

Запрос сертификата веб-сервераTo request the web server certificate
  1. Перезапустите рядовой сервер, на котором запущены службы IIS, чтобы убедиться в том, что компьютер имеет доступ к созданному шаблону с помощью настроенных разрешений Чтение и Регистрация.Restart the member server that runs IIS to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите mmc.exe.Choose Start, choose Run, and then type mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. В диалоговом окне Добавление и удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК.In the Add or Remove Snap-ins dialog box, choose OK.

  7. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. На странице Перед началом работы нажмите кнопку Далее.On the Before You Begin page, choose Next.

  10. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. На странице Запрос сертификатов выберите вариант Сертификат веб-сервера Configuration Manager в списке доступных сертификатов, а затем щелкните Требуется больше данных для регистрации этого сертификата. Щелкните здесь для настройки параметров.On the Request Certificates page, identify the ConfigMgr Web Server Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. Click here to configure settings.

  12. В диалоговом окне Свойства сертификата на вкладке Субъект оставьте значение параметра Имя субъекта без изменений.In the Certificate Properties dialog box, in the Subject tab, do not make any changes to Subject name. Это значит, что поле Значение в разделе Имя субъекта должно остаться пустым.This means that the Value box for the Subject name section remains blank. В разделе Альтернативное имя в раскрывающемся списке Тип выберите пункт DNS.Instead, from the Alternative name section, choose the Type drop-down list, and then choose DNS.

  13. В поле Значение укажите значения полных доменных имен, которые будут заданы в свойствах системы сайта System Center Configuration Manager, а затем нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства сертификата.In the Value box, specify the FQDN values that you will specify in the System Center Configuration Manager site system properties, and then choose OK to close the Certificate Properties dialog box.

    Примеры:Examples:

    • Если система сайта будет принимать подключения клиентов только из интрасети, а полное доменное имя сервера системы сайта в интрасети — server1.internal.contoso.com, введите server1.internal.contoso.com, а затем нажмите кнопку Добавить.If the site system will only accept client connections from the intranet, and the intranet FQDN of the site system server is server1.internal.contoso.com, enter server1.internal.contoso.com, and then choose Add.

    • Если система сайта будет принимать подключения клиентов из интрасети и Интернета, а полное доменное имя сервера системы сайта в интрасети — server1.internal.contoso.com и полное доменное имя сервера системы сайта в Интернете — server.contoso.com, выполните следующие действия.If the site system will accept client connections from the intranet and the Internet, and the intranet FQDN of the site system server is server1.internal.contoso.com and the Internet FQDN of the site system server is server.contoso.com:

      1. Введите server1.internal.contoso.com, а затем нажмите кнопку Добавить.Enter server1.internal.contoso.com, and then choose Add.

      2. Введите server1.contoso.com, а затем нажмите кнопку Добавить.Enter server.contoso.com, and then choose Add.

      Nota

      Указывать полные доменные имена для System Center Configuration Manager можно в любом порядке.You can specify the FQDNs for System Center Configuration Manager in any order. Но необходимо проверить, что все устройства, которые будут использовать сертификат, например мобильные устройства и прокси-серверы в Интернете, могут использовать альтернативное имя субъекта (SAN) сертификата и несколько значений имени SAN.However, check that all devices that will use the certificate, such as mobile devices and proxy web servers, can use a certificate subject alternative name (SAN) and multiple values in the SAN. Если устройства обеспечивают ограниченную поддержку значений SAN в сертификатах, может потребоваться изменить последовательность полных доменных имен или использовать значение "Субъект".If devices have limited support for SAN values in certificates, you might have to change the order of the FQDNs or use the Subject value instead.

  14. На странице Запрос сертификатов выберите вариант Сертификат веб-сервера ConfigMgr из списка доступных сертификатов и нажмите кнопку Регистрация.On the Request Certificates page, choose ConfigMgr Web Server Certificate from the list of available certificates, and then choose Enroll.

  15. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификата и нажмите кнопку Готово.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  16. Закройте окно Сертификаты (локальный компьютер).Close Certificates (Local Computer).

Настройка служб IIS для использования сертификата веб-сервера Configure IIS to use the web server certificate

Эта процедура используется для привязки установленного сертификата к веб-сайту по умолчаниюслужб IIS.This procedure binds the installed certificate to the IIS Default Web Site.

Настройка служб IIS для использования сертификата веб-сервераTo set up IIS to use the web server certificate
  1. На рядовом сервере с установленными службами IIS нажмите кнопку Пуск, выберите пункт Программы, затем выберите Администрирование, а затем — Диспетчер служб IIS.On the member server that has IIS installed, choose Start, choose Programs, choose Administrative Tools, and then choose Internet Information Services (IIS) Manager.

  2. Разверните узел Сайты, щелкните правой кнопкой мыши элемент Веб-сайт по умолчанию и выберите пункт Изменить привязки.Expand Sites, right-click Default Web Site, and then choose Edit Bindings.

  3. Выберите запись https и нажмите Изменить.Choose the https entry, and then choose Edit.

  4. В диалоговом окне Изменение привязки сайта выберите сертификат, запрошенный с помощью шаблона "Сертификат веб-сервера Configuration Manager", и нажмите кнопку ОК.In the Edit Site Binding dialog box, select the certificate that you requested by using the ConfigMgr Web Server Certificates template, and then choose OK.

    Nota

    Если вы сомневаетесь, какой именно сертификат следует использовать, выберите один из них и щелкните Просмотр.If you are not sure which is the correct certificate, choose one, and then choose View. С помощью этой функции можно сравнить сведения о выбранном сертификате с отображаемыми на странице "Оснастка диспетчера сертификатов".This lets you compare the selected certificate details to the certificates in the Certificates snap-in. Например, на странице "Оснастка диспетчера сертификатов" отображается шаблон сертификата, с помощью которого был запрошен сертификат.For example, the Certificates snap-in shows the certificate template that was used to request the certificate. Таким образом можно сравнить отпечаток сертификата, запрошенного с помощью шаблона "Сертификат веб-сервера Configuration Manager", с отпечатком сертификата, выбранного в диалоговом окне Изменение привязки сайта.You can then compare the certificate thumbprint of the certificate that was requested by using the ConfigMgr Web Server Certificates template to the certificate thumbprint of the certificate currently selected in the Edit Site Binding dialog box.

  5. Нажмите кнопку ОК в диалоговом окне Изменение привязки сайта, а затем нажмите кнопку Закрыть.Choose OK in the Edit Site Binding dialog box, and then choose Close.

  6. Закройте Диспетчер служб IIS.Close Internet Information Services (IIS) Manager.

    Теперь у рядового сервера есть сертификат веб-сервера System Center Configuration Manager.The member server is now set up with a System Center Configuration Manager web server certificate.

Importante

При установке сервера системы сайта System Center Configuration Manager на этом компьютере убедитесь в том, что в свойствах системы сайта указаны те же полные доменные имена, которые использовались при запросе сертификата.When you install the System Center Configuration Manager site system server on this computer, make sure that you specify the same FQDNs in the site system properties as you specified when you requested the certificate.

Развертывание сертификата службы для облачных точек распространения Deploy the service certificate for cloud-based distribution points

Процесс развертывания сертификата включает следующие процедуры.This certificate deployment has the following procedures:

Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификации Create and issue a custom web server certificate template on the certification authority

В этой процедуре создается пользовательский шаблон сертификата, основанный на шаблоне сертификата веб-сервера.This procedure creates a custom certificate template that is based on the web server certificate template. Сертификат предназначен для облачных точек распространения System Center Configuration Manager, и закрытый ключ должен быть экспортируемым.The certificate is for System Center Configuration Manager cloud-based distribution points and the private key must be exportable. После создания шаблона сертификата он добавляется в центр сертификации.After the certificate template is created, it is added to the certification authority.

Nota

В этой процедуре используется шаблон сертификата, который отличается от шаблона сертификатов веб-сервера, созданного для систем сайта со службами IIS.This procedure uses a different certificate template from the web server certificate template that you created for site systems that run IIS. Хотя оба сертификата требуют наличия возможности проверки подлинности серверов, сертификат для облачных точек распространения требует вводить определенное пользователем значение для имени субъекта, а закрытый ключ необходимо экспортировать.Although both certificates require server authentication capability, the certificate for cloud-based distribution points requires you to enter a custom-defined value for the Subject Name and the private key must be exported. По соображениям безопасности настройку сертификатов для разрешения экспорта закрытого ключа рекомендуется выполнять только в случае необходимости.As a security best practice, do not set up certificate templates so that the private key can be exported unless this configuration is required. Для облачной точки распространения требуется эта настройка, так как сертификат следует импортировать в качестве файла, а не выбирать в хранилище сертификатов.The cloud-based distribution point requires this configuration because you must import the certificate as a file, rather than choose it from the certificate store.

При создании шаблона для этого сертификата можно ограничить компьютеры, имеющие возможность запрашивать сертификат, закрытый ключ которого можно экспортировать.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. В рабочей сети в этот сертификат можно внести указанные ниже изменения.On a production network, you might also consider adding the following changes for this certificate:

  • В целях обеспечения дополнительной безопасности требовать утверждения для установки сертификата.Require approval to install the certificate for additional security.
    • Увеличить срок действия сертификата.Increase the certificate validity period. Так как каждый раз перед окончанием срока действия сертификат необходимо экспортировать и импортировать, увеличение срока действия сертификата сокращает частоту выполнения этой процедуры.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. Но увеличение срока действия также приводит к снижению уровня безопасности сертификата, так как злоумышленник получает больше времени на расшифровку закрытого ключа и кражу сертификата.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Использовать пользовательское значение для альтернативного имени субъекта (SAN) сертификата, чтобы отличать этот сертификат от стандартных сертификатов веб-серверов, используемых в IIS.Use a custom value in the certificate Subject Alternative Name (SAN) to help identify this certificate from standard web server certificates that you use with IIS.
Создание и выдача пользовательского шаблона сертификата веб-сервера в центре сертификацииTo create and issue the custom web server certificate template on the certification authority
  1. Создайте группу безопасности с именем Серверы сайта ConfigMgr, содержащую рядовые серверы для установки серверов первичного сайта System Center Configuration Manager, которые будут управлять облачными точками распространения.Create a security group named ConfigMgr Site Servers that has the member servers to install System Center Configuration Manager primary site servers that will manage cloud-based distribution points.

  2. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат облачной точки распространения ConfigMgr, для создания сертификата веб-сервера для облачных точек распространения.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Cloud-Based Distribution Point Certificate, to generate the web server certificate for cloud-based distribution points.

  6. Перейдите на вкладку Обработка запроса и выберите параметр Разрешить экспортировать закрытый ключ.Choose the Request Handling tab, and then choose Allow private key to be exported.

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из группы безопасности Администраторы предприятия.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  8. Нажмите кнопку Добавить, в текстовом поле введите Серверы сайта Configuration Manager и нажмите кнопку ОК.Choose Add, enter ConfigMgr Site Servers in the text box, and then choose OK.

  9. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать .Select the Enroll permission for this group, and do not clear the Read permission.

  10. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close Certificate Templates Console.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон Сертификат облачной точки распространения ConfigMgr и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Cloud-Based Distribution Point Certificate, and then choose OK.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.If you do not have to create and issue more certificates, close Certification Authority.

Запрос пользовательского сертификата веб-сервера Request the custom web server certificate

В этой процедуре производится запрос и установка пользовательского сертификата веб-сервера на рядовой сервер, на котором будет работать сервер сайта.This procedure requests and then installs the custom web server certificate on the member server that will run the site server.

Запрос настраиваемого сертификата веб-сервераTo request the custom web server certificate
  1. Перезапустите рядовой сервер после создания и настройки группы безопасности Серверы сайта ConfigMgr, чтобы убедиться в том, что компьютер может получать доступ к шаблону сертификата, созданному с помощью настроенных разрешений на чтение и регистрацию.Restart the member server after you create and configure the ConfigMgr Site Servers security group to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите mmc.exe.Choose Start, choose Run, and then enter mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. В диалоговом окне Добавление и удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК.In the Add or Remove Snap-ins dialog box, choose OK.

  7. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. На странице Перед началом работы нажмите кнопку Далее.On the Before You Begin page, choose Next.

  10. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. На странице Запрос сертификатов выберите вариант Сертификат облачной точки распространения Configuration Manager в списке доступных сертификатов, а затем щелкните Требуется больше данных для регистрации этого сертификата. Щелкните здесь для настройки параметров.On the Request Certificates page, identify the ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. choose here to configure settings.

  12. В диалоговом окне Свойства сертификата на вкладке Субъект в поле Имя субъекта выберите Общее имя в качестве значения параметра Тип.In the Certificate Properties dialog box, in the Subject tab, for the Subject name, choose Common name as the Type.

  13. В поле Значение укажите любое имя службы и имя вашего домена с помощью формата полных доменных имен.In the Value box, specify your choice of service name and your domain name by using an FQDN format. Например: clouddp1.contoso.com.For example: clouddp1.contoso.com.

    Nota

    Имя службы должно быть уникальным в пределах пространства имен.Make the service name unique in your namespace. Вы будете использовать DNS для создания псевдонима (записи CNAME), чтобы сопоставить это имя службы с автоматически генерируемым идентификатором (GUID) и IP-адресом в Windows Azure.You will use DNS to create an alias (CNAME record) to map this service name to an automatically generated identifier (GUID) and an IP address from Windows Azure.

  14. Нажмите кнопку Добавить, а затем кнопку ОК, чтобы закрыть диалоговое окно Свойства сертификата.Choose Add, and then choose OK to close the Certificate Properties dialog box.

  15. На странице Запрос сертификатов в списке доступных сертификатов выберите вариант Сертификат облачной точки распространения ConfigMgr и нажмите кнопку Регистрация.On the Request Certificates page, choose ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  16. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификата и нажмите кнопку Готово.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  17. Закройте окно Сертификаты (локальный компьютер).Close Certificates (Local Computer).

Экспорт пользовательского сертификата веб-сервера для облачных точек распространения Export the custom web server certificate for cloud-based distribution points

Ниже описана процедура экспорта настраиваемого сертификата веб-сервера в файл для последующего импорта во время создания облачной точки распространения.This procedure exports the custom web server certificate to a file, so that it can be imported when you create the cloud-based distribution point.

Экспорт пользовательского сертификата веб-сервера для облачных точек распространенияTo export the custom web server certificate for cloud-based distribution points
  1. В консоли Сертификаты (локальный компьютер) щелкните только что установленный сертификат правой кнопкой мыши, выберите пункт Все задачи, а затем — Экспорт.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. В мастере экспорта сертификатов нажмите кнопку Далее.In the Certificates Export Wizard, choose Next.

  3. На странице Экспорт закрытого ключа выберите пункт Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Nota

    Если эта функция недоступна, сертификат был создан без функции экспорта закрытого ключа.If this option is not available, the certificate has been created without the option to export the private key. В этом случае нельзя экспортировать сертификат в требуемом формате.In this scenario, you cannot export the certificate in the required format. Потребуется настроить шаблон сертификата, разрешив экспорт закрытого ключа, а затем повторить запрос сертификата.You must set up the certificate template so that the private key can be exported, and then request the certificate again.

  4. На странице Формат экспортируемого файла убедитесь в том, что выбран вариант Файл обмена личной информацией — PKCS #12 (.PFX).On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с его закрытым ключом и нажмите кнопку Далее.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. На странице Имя экспортируемого файла укажите имя файла, который необходимо экспортировать, и нажмите кнопку Далее.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. Чтобы закрыть окно мастера, на странице Мастер экспорта сертификатов нажмите кнопку Готово, а затем в диалоговом окне подтверждения — кнопку ОК.To close the wizard, choose Finish in the Certificate Export Wizard page, and then choose OK in the confirmation dialog box.

  8. Закройте окно Сертификаты (локальный компьютер).Close Certificates (Local Computer).

  9. Сохраните файл в безопасном месте и убедитесь в том, что к нему можно получить доступ из консоли System Center Configuration Manager.Store the file securely and ensure that you can access it from the System Center Configuration Manager console.

    Сертификат готов к импортированию во время создания облачной точки распространения.The certificate is now ready to be imported when you create a cloud-based distribution point.

Развертывание сертификата клиента для компьютеров Windows Deploy the client certificate for Windows computers

Процесс развертывания сертификата включает следующие процедуры.This certificate deployment has the following procedures:

  • Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификацииCreate and issue the Workstation Authentication certificate template on the certification authority

  • Настройка автоматической регистрации шаблона сертификата проверки подлинности рабочей станции при помощи групповой политикиConfigure autoenrollment of the Workstation Authentication template by using Group Policy

  • Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на компьютерахAutomatically enroll the Workstation Authentication certificate and verify its installation on computers

Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации Create and issue the Workstation Authentication certificate template on the certification authority

Эта процедура используется для создания шаблона сертификата для клиентских компьютеров System Center Configuration Manager, который затем добавляется в центр сертификации.This procedure creates a certificate template for System Center Configuration Manager client computers and adds it to the certification authority.

Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификацииTo create and issue the Workstation Authentication certificate template on the certification authority
  1. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат клиента Configuration Manager, для создания сертификатов клиентов, которые будут использоваться на клиентских компьютерах Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Certificate, to generate the client certificates that will be used on Configuration Manager client computers.

  5. Откройте вкладку Безопасность, выберите группу Компьютеры домена и включите дополнительные разрешения Чтение и Авторегистрация.Choose the Security tab, select the Domain Computers group, and then select the additional permissions of Read and Autoenroll. Не снимайте флажок в пункте Регистрация.Do not clear Enroll.

  6. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close Certificate Templates Console.

  7. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  8. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон Сертификат клиента Configuration Manager и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Certificate, and then choose OK.

  9. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.If you do not need to create and issue more certificates, close Certification Authority.

Настройка автоматической регистрации шаблона сертификата проверки подлинности рабочей станции при помощи групповой политики Configure autoenrollment of the Workstation Authentication template by using Group Policy

Эта процедура используется для настройки групповой политики для автоматической регистрации сертификата клиента на компьютерах.This procedure sets up Group Policy to autoenroll the client certificate on computers.

Настройка автоматической регистрации шаблона проверки подлинности рабочей станции с помощью групповой политикиTo set up autoenrollment of the Workstation Authentication template by using Group Policy
  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Управление групповой политикой.On the domain controller, choose Start, choose Administrative Tools, and then choose Group Policy Management.

  2. Перейдите к своему домену, щелкните его правой кнопкой мыши и выберите пункт Создать объект групповой политики в этом домене и связать его.Go to your domain, right-click the domain, and then choose Create a GPO in this domain, and Link it here.

    Nota

    На этом шаге рекомендуется создать новую групповую политику с пользовательской настройкой вместо редактирования политики домена по умолчанию, установленной вместе с доменными службами Active Directory.This step uses the best practice of creating a new Group Policy for custom settings rather than editing the Default Domain Policy that is installed with Active Directory Domain Services. Назначение этой групповой политики на уровне домена позволит применить ее ко всем компьютерам домена.When you assign this Group Policy at the domain level, you will apply it to all computers in the domain. В рабочей среде можно ограничить автоматическую регистрацию таким образом, чтобы она действовала только для выбранных компьютеров.In a production environment, you can restrict the autoenrollment so that it enrolls on only selected computers. Можно назначить групповую политику на уровне подразделения или ограничить действие групповой политики домена так, чтобы она применялась только к компьютерам в определенной группе безопасности.You can assign the Group Policy at an organizational unit level, or you can filter the domain Group Policy with a security group so that it applies only to the computers in the group. При ограничении автоматической регистрации не забудьте включить в группу сервер, выполняющий роль точки управления.If you restrict autoenrollment, remember to include the server that is set up as the management point.

  3. В диалоговом окне Новый объект групповой политики введите имя новой групповой политики, например Сертификаты авторегистрации, и нажмите кнопку ОК.In the New GPO dialog box, enter a name, like Autoenroll Certificates, for the new Group Policy, and then choose OK.

  4. В области результатов на вкладке Связанные объекты групповой политики щелкните правой кнопкой мыши новую групповую политику и выберите команду Изменить.In the results pane, on the Linked Group Policy Objects tab, right-click the new Group Policy, and then choose Edit.

  5. В диалоговом окне Редактор управления групповыми политиками разверните узел Политики в разделе Конфигурация компьютера, а затем выберите Параметры Windows / Параметры безопасности / Политики открытого ключа.In the Group Policy Management Editor, expand Policies under Computer Configuration, and then go to Windows Settings / Security Settings / Public Key Policies.

  6. Щелкните правой кнопкой мыши тип объекта Клиент служб сертификации: автоматическая регистрация и выберите пункт Свойства.Right-click the object type named Certificate Services Client - Auto-enrollment, and then choose Properties.

  7. В раскрывающемся списке Модель конфигурации выберите пункт Включена, выберите Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты, затем Обновлять сертификаты, использующие шаблоны сертификатов и нажмите кнопку ОК.From the Configuration Model drop-down list, choose Enabled, choose Renew expired certificates, update pending certificates, remove revoked certificates, choose Update certificates that use certificate templates, and then choose OK.

  8. Закройте окно Управление групповой политикой.Close Group Policy Management.

Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на компьютерах Automatically enroll the Workstation Authentication certificate and verify its installation on computers

Эта процедура используется для установки сертификата клиента на компьютерах и проверки установки.This procedure installs the client certificate on computers and verifies the installation.

Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на клиентском компьютереTo automatically enroll the Workstation Authentication certificate and verify its installation on the client computer
  1. Перезагрузите компьютер рабочей станции и подождите несколько минут перед входом в систему.Restart the workstation computer, and wait a few minutes before you sign in.

    Nota

    Перезагрузка компьютера является самым надежным методом обеспечения успешной автоматической регистрации сертификата.Restarting a computer is the most reliable method of ensuring success with certificate autoenrollment.

  2. Войдите в систему с использованием учетной записи, которая имеет права администратора.Sign in with an account that has administrative privileges.

  3. В поле поиска введите mmc.exe и нажмите клавишу ВВОД.In the search box, enter mmc.exe., and then press Enter.

  4. В пустой консоли управления щелкните Файл, а затем выберите команду Добавить или удалить оснастку.In the empty management console, choose File, and then choose Add/Remove Snap-in.

  5. В диалоговом окне Добавление и удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  6. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  7. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  8. В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК.In the Add or Remove Snap-ins dialog box, choose OK.

  9. В консоли разверните узел Сертификаты (локальный компьютер), затем узел Личные и выберите Сертификаты.In the console, expand Certificates (Local Computer), expand Personal, and then choose Certificates.

  10. В области результатов убедитесь в том, что для сертификата в столбце Назначение указано Проверка подлинности клиента, а в столбце Шаблон сертификатаСертификат клиента Configuration Manager.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column, and that ConfigMgr Client Certificate is in the Certificate Template column.

  11. Закройте окно Сертификаты (локальный компьютер).Close Certificates (Local Computer).

  12. Повторите шаги с 1 по 11 для рядового сервера, чтобы убедиться в том, что сервер, который будет настроен в качестве точки управления, имеет сертификат клиента.Repeat steps 1 through 11 for the member server to verify that the server that will be set up as the management point also has a client certificate.

    Теперь у компьютера есть сертификат клиента System Center Configuration Manager.The computer is now set up with a System Center Configuration Manager client certificate.

Развертывание сертификата клиента для точек распространения Deploy the client certificate for distribution points

Nota

Этот сертификат может быть также использован для носителей, не использующих среду PXE, поскольку требования к сертификатам одни и те же.This certificate can also be used for media images that do not use PXE boot, because the certificate requirements are the same.

Процесс развертывания сертификата включает следующие процедуры.This certificate deployment has the following procedures:

  • Создание и выдача пользовательского шаблона сертификата проверки подлинности рабочей станции в центре сертификацииCreate and issue a custom Workstation Authentication certificate template on the certification authority

  • Запрос пользовательского сертификата проверки подлинности рабочей станцииRequest the custom Workstation Authentication certificate

  • Экспорт сертификата клиента для точек распространенияExport the client certificate for distribution points

Создание и выдача пользовательского шаблона сертификата проверки подлинности рабочей станции в центре сертификации Create and issue a custom Workstation Authentication certificate template on the certification authority

Эта процедура используется для создания пользовательского шаблона сертификата для точек распространения System Center Configuration Manager, разрешающего экспорт закрытого ключа, и для добавления шаблона сертификата в центр сертификации.This procedure creates a custom certificate template for System Center Configuration Manager distribution points so that the private key can be exported and adds the certificate template to the certification authority.

Nota

В этой процедуре используется шаблон сертификата, который отличается от шаблона сертификата, созданного для клиентских компьютеров.This procedure uses a different certificate template from the certificate template that you created for client computers. Хотя оба сертификата требуют возможности проверки подлинности клиента, сертификат для точек распространения требует экспорта закрытого ключа.Although both certificates require client authentication capability, the certificate for distribution points requires that the private key is exported. По соображениям безопасности настройку шаблонов сертификатов для разрешения экспорта закрытого ключа рекомендуется выполнять только в случае необходимости.As a security best practice, do not set up certificate templates so the private key can be exported unless this configuration is required. Эта настройка требуется для точки распространения, так как сертификат следует импортировать в качестве файла, а не выбирать в хранилище сертификатов.The distribution point requires this configuration because you must import the certificate as a file rather than choose it from the certificate store.

При создании шаблона для этого сертификата можно ограничить компьютеры, имеющие возможность запрашивать сертификат, закрытый ключ которого можно экспортировать.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. В этом примере развертывания это будет группа безопасности, созданная ранее для серверов системы сайта System Center Configuration Manager с запущенными службами IIS.In our example deployment, this will be the security group that you previously created for System Center Configuration Manager site system servers that run IIS. В рабочей сети, распространяющей роли систем сайта IIS, рекомендуется создать новую группу безопасности для серверов с точками распространения, чтобы ограничить использование сертификата только этими серверами систем сайта.On a production network that distributes the IIS site system roles, consider creating a new security group for the servers that run distribution points so that you can restrict the certificate to just these site system servers. Кроме того, в этот сертификат можно внести следующие изменения.You might also consider adding the following modifications for this certificate:

  • В целях обеспечения дополнительной безопасности требовать утверждения для установки сертификата.Require approval to install the certificate for additional security.
    • Увеличить срок действия сертификата.Increase the certificate validity period. Так как каждый раз перед окончанием срока действия сертификат необходимо экспортировать и импортировать, увеличение срока действия сертификата сокращает частоту выполнения этой процедуры.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. Но увеличение срока действия также приводит к снижению уровня безопасности сертификата, так как злоумышленник получает больше времени на расшифровку закрытого ключа и кражу сертификата.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Использовать настраиваемое значение в полях "Субъект" или "Альтернативное имя субъекта", чтобы отличать этот сертификат от стандартных сертификатов клиента.Use a custom value in the certificate Subject field or Subject Alternative Name (SAN) to help identify this certificate from standard client certificates. Это может быть особенного полезно в случае использования одного сертификата для нескольких точек распространения.This can be particularly helpful if you will use the same certificate for multiple distribution points.
Создание и выдача настраиваемого шаблона сертификата проверки подлинности рабочей станции в центре сертификацииTo create and issue the custom Workstation Authentication certificate template on the certification authority
  1. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат точки распространения клиента ConfigMgr, для создания сертификата проверки подлинности клиента для точек распространения.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Distribution Point Certificate, to generate the client authentication certificate for distribution points.

  5. Перейдите на вкладку Обработка запроса и выберите параметр Разрешить экспортировать закрытый ключ.Choose the Request Handling tab, and then choose Allow private key to be exported.

  6. Откройте вкладку Безопасность и удалите разрешение Регистрация из группы безопасности Администраторы предприятия.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  7. Нажмите кнопку Добавить, в текстовом поле введите IIS-серверы Configuration Manager и нажмите кнопку ОК.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  8. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать .Select the Enroll permission for this group, and do not clear the Read permission.

  9. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close Certificate Templates Console.

  10. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  11. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон Сертификат точки распространения клиента ConfigMgr и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Distribution Point Certificate, and then choose OK.

  12. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.If you do not have to create and issue more certificates, close Certification Authority.

Запрос пользовательского сертификата проверки подлинности рабочей станции Request the custom Workstation Authentication certificate

Эта процедура используется для запроса пользовательского сертификата клиента и его установки на рядовом сервере с запущенными службами IIS, который будет настроен в качестве точки распространения.This procedure requests and then installs the custom client certificate on to the member server that runs IIS and that will be set up as a distribution point.

Запрос настраиваемого сертификата проверки подлинности рабочей станцииTo request the custom Workstation Authentication certificate
  1. Нажмите кнопку Пуск, выберите пункт Выполнить и введите mmc.exe.Choose Start, choose Run, and then enter mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.In the empty console, choose File, and then choose Add/Remove Snap-in.

  2. В диалоговом окне Добавление и удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  3. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  4. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  5. В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК.In the Add or Remove Snap-ins dialog box, choose OK.

  6. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.In the console, expand Certificates (Local Computer), and then choose Personal.

  7. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  8. На странице Перед началом работы нажмите кнопку Далее.On the Before You Begin page, choose Next.

  9. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.If you see the Select Certificate Enrollment Policy page, choose Next.

  10. На странице Запрос сертификатов в списке доступных сертификатов выберите вариант Сертификат точки распространения клиента ConfigMgr и нажмите кнопку Регистрация.On the Request Certificates page, choose ConfigMgr Client Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  11. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификата и нажмите кнопку Готово.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  12. В области результатов убедитесь в том, что для сертификата в столбце Назначение указано Проверка подлинности клиента, а в столбце Шаблон сертификатаСертификат точки распространения клиента Configuration Manager.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column and that ConfigMgr Client Distribution Point Certificate is in the Certificate Template column.

  13. Не закрывайте окно Сертификаты (локальный компьютер).Do not close Certificates (Local Computer).

Экспорт сертификата клиента для точек распространения Export the client certificate for distribution points

Ниже описана процедура экспорта пользовательского сертификата проверки подлинности рабочей станции в файл для последующего импорта в свойства точки распространения.This procedure exports the custom Workstation Authentication certificate to a file so that it can be imported in the distribution point properties.

Экспорт сертификат клиента для точек распространенияTo export the client certificate for distribution points
  1. В консоли Сертификаты (локальный компьютер) щелкните только что установленный сертификат правой кнопкой мыши, выберите пункт Все задачи, а затем — Экспорт.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. В мастере экспорта сертификатов нажмите кнопку Далее.In the Certificates Export Wizard, choose Next.

  3. На странице Экспорт закрытого ключа выберите пункт Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Nota

    Если эта функция недоступна, сертификат был создан без функции экспорта закрытого ключа.If this option is not available, the certificate has been created without the option to export the private key. В этом случае нельзя экспортировать сертификат в требуемом формате.In this scenario, you cannot export the certificate in the required format. Потребуется настроить шаблон сертификата, разрешив экспорт закрытого ключа, а затем повторить запрос сертификата.You must set up the certificate template so that the private key can be exported and then request the certificate again.

  4. На странице Формат экспортируемого файла убедитесь в том, что выбран вариант Файл обмена личной информацией — PKCS #12 (.PFX).On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с его закрытым ключом и нажмите кнопку Далее.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. На странице Имя экспортируемого файла укажите имя файла, который необходимо экспортировать, и нажмите кнопку Далее.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. Чтобы закрыть окно мастера, на странице Мастер экспорта сертификатов нажмите кнопку Готово, а затем в диалоговом окне подтверждения — кнопку ОК.To close the wizard, choose Finish on the Certificate Export Wizard page, and choose OK in the confirmation dialog box.

  8. Закройте окно Сертификаты (локальный компьютер).Close Certificates (Local Computer).

  9. Сохраните файл в безопасном месте и убедитесь в том, что к нему можно получить доступ из консоли System Center Configuration Manager.Store the file securely and ensure that you can access it from the System Center Configuration Manager console.

    Теперь сертификат готов к импорту для настройки точки распространения.The certificate is now ready to be imported when you set up the distribution point.

Dica

Вы можете использовать тот же файл сертификата при настройке образов носителей для развертывания ОС, не использующих загрузку PXE, и для которых последовательность задач для установки образа должна подключаться к точке управления, требующей HTTPS-подключения клиентов.You can use the same certificate file when you set up media images for an operating system deployment that does not use PXE boot, and the task sequence to install the image must contact a management point that requires HTTPS client connections.

Развертывание сертификата регистрации для мобильных устройств Deploy the enrollment certificate for mobile devices

Развертывание этого сертификата включает одну процедуру по созданию и выдаче шаблона сертификата регистрации в центре сертификации.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Создание и выдача шаблона сертификата регистрации в центре сертификацииCreate and issue the enrollment certificate template on the certification authority

Эта процедура используется для создания шаблона сертификата регистрации для мобильных устройств System Center Configuration Manager, который затем добавляется в центр сертификации.This procedure creates an enrollment certificate template for System Center Configuration Manager mobile devices and adds it to the certification authority.

Создание и выдача шаблона сертификата регистрации в центре сертификацииTo create and issue the enrollment certificate template on the certification authority
  1. Создайте группу безопасности, содержащую пользователей, которые будут регистрировать мобильные устройства в System Center Configuration Manager.Create a security group that has users who will enroll mobile devices in System Center Configuration Manager.

  2. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль управления "Шаблоны сертификатов".On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверенный сеанс, и нажмите кнопку Скопировать шаблон.In the results pane, right-click the entry that has Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат регистрации мобильного устройства Configuration Manager, чтобы создать сертификаты регистрации для мобильных устройств, управляемых с помощью System Center Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mobile Device Enrollment Certificate, to generate the enrollment certificates for the mobile devices to be managed by System Center Configuration Manager.

  6. Перейдите на вкладку Имя субъекта, убедитесь в том, что установлен флажок Строится на основе данных Active Directory, выберите Общее имя для параметра Формат имени субъекта: и снимите флажок Имя субъекта-пользователя (UPN) для параметра Включить эту информацию в альтернативное имя субъекта.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, select Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Перейдите на вкладку Безопасность, выберите группу безопасности, содержащую пользователей, которым требуется зарегистрировать мобильные устройства, и выберите дополнительное разрешение Регистрация.Choose the Security tab, choose the security group that has users who have mobile devices to enroll, and then choose the additional permission of Enroll. Не снимайте флажок Чтение.Do not clear Read.

  8. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close Certificate Templates Console.

  9. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  10. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон Сертификат регистрации мобильного устройства Configuration Manager и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mobile Device Enrollment Certificate, and then choose OK.

  11. Если создавать и выдавать сертификаты больше не требуется, закройте консоль центра сертификации.If you do not need to create and issue more certificates, close the Certification Authority console.

    Теперь шаблон сертификата регистрации мобильного устройства можно будет выбрать при настройке профиля регистрации мобильного устройства в параметрах клиента.The mobile device enrollment certificate template is now ready to be selected when you set up a mobile device enrollment profile in the client settings.

Развертывание сертификатов для AMT Deploy the certificates for AMT

Процесс развертывания сертификата включает следующие процедуры.This certificate deployment has the following procedures:

  • Создание, выдача и установка сертификата подготовки AMTCreate, issue, and install the AMT provisioning certificate

  • Создание и выдача сертификата веб-сервера для компьютеров на базе технологии AMTCreate and issue the web server certificate for AMT-based computers

  • Создание и выдача сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT, с проверкой подлинности 802.1XCreate and issue the client authentication certificates for 802.1X AMT-based computers

Создание, выдача и установка сертификата подготовки AMT Create, issue, and install the AMT provisioning certificate

Сертификат подготовки следует создавать с помощью внутреннего центра сертификации, если компьютеры на основе AMT настроены с использованием отпечатка сертификата внутреннего корневого ЦС.Create the provisioning certificate with your internal CA when the AMT-based computers are set up with the certificate thumbprint of your internal root CA. Если это условие не соблюдается и требуется использовать внешний ЦС, используйте инструкции организации, предоставившей сертификат подготовки AMT. Как правило, для этого потребуется запросить сертификат на общедоступном веб-сайте этой организации.When this is not the case and you must use an external certification authority, use the instructions from the company that issued the AMT provisioning certificate, which will often involve requesting the certificate from the company's public web site. Подробные указания для выбранного внешнего ЦС также приведены на веб-сайте Intel vPro Expert Center: Microsoft vPro Manageability.You might also find detailed instructions for your chosen external CA on the Intel vPro Expert Center: Microsoft vPro Manageability web site.

Importante

Внешние центры сертификации могут не поддерживать идентификатор объекта обеспечения Intel AMT.External CAs might not support the Intel AMT provisioning object identifier. В таком случае укажите атрибут подразделения Intel(R) Client Setup Certificate.When this is the case, supply the Intel(R) Client Setup Certificate OU attribute.

Если сертификат подготовки AMT запрашивается из внешнего ЦС, установите его в личном хранилище сертификатов на рядовом сервере, на котором будет размещаться точка обслуживания аппаратного контроллера управления.When you request an AMT provisioning certificate from an external CA, install the certificate into the Computer Personal certificate store on the member server that will host the out-of-band service point.

Запрос и выдача сертификата инициализации AMTTo request and issue the AMT provisioning certificate
  1. Создайте группу безопасности, содержащую учетные записи компьютеров для серверов системы сайта, на которых будет выполняться точка обслуживания внешнего контроллера управления.Create a security group that has the computer accounts of site system servers that will run the out-of-band service point.

  2. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя, например Подготовка AMT Configuration Manager, для шаблона сертификата подготовки AMT.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT Provisioning, for the AMT provisioning certificate template.

  6. Откройте вкладку Имя субъекта, выберите пункт Строится на основе данных Active Directory, а затем выберите Обычное имя.Choose the Subject Name tab, choose Build from this Active Directory information, and then choose Common name.

  7. Перейдите на вкладку Расширения, убедитесь в том, что выбран параметр Политики применения, и нажмите кнопку Изменить.Choose the Extensions tab, make sure that Application Policies is selected, and then choose Edit.

  8. В диалоговом окне Изменение расширения политик применения нажмите кнопку Добавить.In the Edit Application Policies Extension dialog box, choose Add.

  9. В диалоговом окне Добавление политики применения нажмите кнопку Создать.In the Add Application Policy dialog box, choose New.

  10. В диалоговом окне Новая политика применения введите в поле Имя Подготовка AMT, а затем в поле Идентификатор объекта введите следующий номер: 2.16.840.1.113741.1.2.3.In the New Application Policy dialog box, enter AMT Provisioning in the Name field, and then enter the following number for the Object identifier: 2.16.840.1.113741.1.2.3.

  11. Нажмите кнопку ОК, а затем в диалоговом окне Добавление политики применения еще раз нажмите кнопку ОК.Choose OK, and then choose OK in the Add Application Policy dialog box.

  12. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.Choose OK in the Edit Application Policies Extension dialog box.

  13. В диалоговом окне Свойства нового шаблона в описании Политики применения должны отображаться следующие сведения: Проверка подлинности сервера и Подготовка AMT.In the Properties of New Template dialog box, the following is listed as the Application Policies description: Server Authentication and AMT Provisioning.

  14. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  15. Нажмите кнопку Добавить, введите имя группы безопасности, содержащей учетную запись компьютера для роли системы сайта "Точка обслуживания внешнего контроллера управления", а затем нажмите кнопку ОК.Choose Add, enter the name of a security group that has the computer account for the out-of-band service point site system role, and then choose OK.

  16. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Чтение.Choose the Enroll permission for this group, and do not clear the Read permission..

  17. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close the Certificate Templates console.

  18. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.In Certification Authority, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  19. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон Подготовка AMT Configuration Manager и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT Provisioning, and then choose OK.

    Nota

    Если не удается выполнить шаг 18 или 19, убедитесь, что используется Windows Server 2008 Enterprise Edition.If you cannot complete steps 18 or 19, check that you are using the Enterprise Edition of Windows Server 2008. Хотя можно настроить шаблоны с помощью Windows Server Standard Edition и служб сертификации, развернуть сертификаты, используя измененные шаблоны сертификатов, можно только в Windows Server 2008 Enterprise Edition.Although you can set up templates with Windows Server Standard Edition and Certificate Services, you cannot deploy certificates by using modified certificate templates unless you are using the Enterprise Edition of Windows Server 2008.

  20. Не закрывайте Центр сертификации.Do not close Certification Authority.

    Теперь сертификат подготовки AMT, выданный внутренним ЦС, готов к установке на компьютер точки обслуживания аппаратного контроллера управления.The AMT provisioning certificate from your internal CA is now ready to be installed on the out-of-band service point computer.

Установка сертификата инициализации AMTTo install the AMT provisioning certificate
  1. Перезапустите рядовой сервер со службами IIS, чтобы убедиться в том, что он может получить доступ к шаблону сертификата с настроенным разрешением.Restart the member server that runs IIS to ensure that it can access the certificate template with the configured permission.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите mmc.exe.Choose Start, choose Run, and then enter mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. В диалоговом окне Добавление и удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. В диалоговом окне Выбор компьютера выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК.In the Add or Remove Snap-ins dialog box, choose OK.

  7. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. На странице Перед началом работы нажмите кнопку Далее.On the Before You Begin page, choose Next.

  10. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. На странице Запрос сертификатов в списке доступных сертификатов выберите Подготовка AMT и нажмите кнопку Регистрация.On the Request Certificates page, select AMT Provisioning from the list of available certificates, and then choose Enroll.

  12. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификата и нажмите кнопку Готово.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  13. Закройте окно Сертификаты (локальный компьютер).Close Certificates (Local Computer).

    Сертификат подготовки AMT из внутреннего ЦС установлен. Теперь его можно выбрать в свойствах точки обслуживания аппаратного контроллера управления.The AMT provisioning certificate from your internal CA is now installed and is ready to be selected in the out-of-band service point properties.

Создание и выдача сертификата веб-сервера для компьютеров на базе технологии AMTCreate and issue the web server certificate for AMT-based computers

Чтобы подготовить сертификаты веб-сервера для компьютеров, основанных на AMT, воспользуйтесь следующей процедурой.Use the following procedure to prepare the web server certificates for AMT-based computers.

Создание и выдача шаблона сертификата веб-сервераTo create and issue the web server certificate template
  1. Создайте пустую группу безопасности, которая будет содержать учетные записи компьютеров на основе AMT, создаваемые System Center Configuration Manager во время подготовки AMT.Create an empty security group that has the AMT computer accounts that System Center Configuration Manager creates during AMT provisioning.

  2. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат веб-сервера AMT Configuration Manager, для создания веб-сертификатов, которые будут использоваться на компьютерах на основе AMT для управления с помощью аппаратного контроллера управления.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT Web Server Certificate, to generate the web certificates that will be used for out-of-band management on AMT computers.

  6. Перейдите на вкладку Имя субъекта, установите флажок Строится на основе данных Active Directory, для параметра Формат имени субъекта выберите Общее имя, а затем для альтернативного имени субъекта снимите флажок Имя субъекта-пользователя (UPN).Choose the Subject Name tab, choose Build from this Active Directory information, choose Common name for the Subject name format, and then clear User principal name (UPN) for the alternative subject name.

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Нажмите кнопку Добавить и введите имя группы безопасности, созданной для подготовки AMT, после чего нажмите кнопку ОК.Choose Add, and enter the name of the security group that you created for AMT provisioning, and then choose OK.

  9. Установите для этой группы безопасности флажок Разрешить для следующих разрешений: Чтение и Регистрация.Choose the following Allow permissions for this security group: Read and Enroll.

  10. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close the Certificate Templates console.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон Сертификат веб-сервера AMT Configuration Manager и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT Web Server Certificate, and then choose OK.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.If you do not have to create and issue more certificates, close Certification Authority.

    Шаблон веб-сервера AMT готов для настройки компьютеров на основе AMT с сертификатами веб-сервера.The AMT Web server template is now ready to set up AMT-based computers with web server certificates. Выберите этот шаблон сертификата в свойствах компонента управления с помощью аппаратного контроллера управления.Choose this certificate template in the out-of-band management component properties.

Создание и выдача сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT, с проверкой подлинности 802.1XCreate and issue the client authentication certificates for 802.1X AMT-based computers

Если предполагается, что компьютеры, основанные на AMT, будут использовать клиентские сертификаты для проводных и беспроводных сетей с проверкой подлинности 802.1X, воспользуйтесь следующей процедурой.Use the following procedure if AMT-based computers will use client certificates for 802.1X authenticated wired or wireless networks.

Создание и выдача шаблона сертификата проверки подлинности клиента в центре сертификацииTo create and issue the client authentication certificate template on the CA
  1. На рядовом сервере с установленными службами сертификации в консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление, чтобы загрузить консоль Шаблоны сертификатов.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  3. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона, например Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager, для создания сертификатов клиентов, которые будут использоваться на компьютерах на основе AMT для управления с помощью аппаратного контроллера управления.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT 802.1X Client Authentication Certificate, to generate the client certificates that will be used for out-of-band management on AMT computers.

  4. Откройте вкладку Имя субъекта, выберите пункт Строится на основе данных Active Directory, а затем для параметра Формат имени субъекта выберите Общее имя.Choose the Subject Name tab, choose Build from this Active Directory information, and then choose Common name for the Subject name format. В поле "Альтернативное имя субъекта" снимите флажок DNS-имя, а затем выберите Имя субъекта-пользователя (UPN).Clear DNS name for the alternative subject name, and then choose User principal name (UPN).

  5. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  6. Нажмите кнопку Добавить и введите имя группы безопасности, которая будет указываться в свойствах компонента управления с помощью аппаратного контроллера управления и содержать учетные записи компьютеров на основе AMT, после чего нажмите кнопку ОК.Choose Add, enter the name of the security group that you will specify in the out-of-band management component properties to contain the computer accounts of the AMT-based computers, and then choose OK.

  7. Установите для этой группы безопасности флажок Разрешить для следующих разрешений: Читать и Регистрация.Select the following Allow permissions for this security group: Read and Enroll.

  8. Нажмите кнопку ОК и закройте консоль управления Шаблоны сертификатов, certtmpl — [Шаблоны сертификатов].Choose OK, and then close the Certificate Templates management console, certtmpl - [Certificate Templates].

  9. В консоли управления центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.In the Certification Authority management console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  10. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT 802.1X Client Authentication Certificate, and then choose OK.

  11. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.If you do not need to create and issue more certificates, close Certification Authority.

    Шаблон проверки подлинности клиента готов для выдачи сертификатов компьютерам, основанным на AMT, для использования при проверке подлинности клиентов 802.1X.The client authentication certificate template is now ready to issue certificates to AMT-based computers that can be used for 802.1X client authentication. Выберите этот шаблон сертификата в свойствах компонента управления с помощью аппаратного контроллера управления.Choose this certificate template in the out-of-band management component properties.

Развертывание сертификата клиента для компьютеров Mac Deploy the client certificate for Mac computers

Развертывание этого сертификата включает одну процедуру по созданию и выдаче шаблона сертификата регистрации в центре сертификации.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Создание и выдача шаблона сертификата для клиентов Mac в центре сертификации Create and issue a Mac client certificate template on the certification authority

Эта процедура используется для создания пользовательского шаблона сертификата для компьютеров Mac в System Center Configuration Manager и последующего добавления шаблона сертификата в центр сертификации.This procedure creates a custom certificate template for System Center Configuration Manager Mac computers and adds the certificate template to the certification authority.

Nota

В этой процедуре используется шаблон сертификата, отличный от шаблона сертификата, который вы могли создать для клиентских компьютеров Windows или точек распространения.This procedure uses a different certificate template from the certificate template that you might have created for Windows client computers or for distribution points.

При создании шаблона сертификата для данного сертификата вы можете ограничить круг пользователей, которые могут запрашивать сертификат, авторизованными пользователями.When you create a new certificate template for this certificate, you can restrict the certificate request to authorized users.

Создание и выдача шаблона сертификата для клиентов Mac в центре сертификацииTo create and issue the Mac client certificate template on the certification authority
  1. Создайте группу безопасности, содержащую учетные записи пользователей с административными правами, которые будут регистрировать сертификат на компьютере Mac с помощью System Center Configuration Manager.Create a security group that has user accounts for administrative users who will enroll the certificate on the Mac computer by using System Center Configuration Manager.

  2. На рядовом сервере с запущенной консолью центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверенный сеанс, и нажмите кнопку Скопировать шаблон.In the results pane, right-click the entry that displays Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. Убедитесь в том, что в диалоговом окне Скопировать шаблон выбран параметр Windows Server 2003, Enterprise Edition, и нажмите кнопку ОК.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Не выбирайте параметр Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона для создания сертификата Mac, например Сертификат клиента Mac ConfigMgr.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mac Client Certificate, to generate the Mac client certificate.

  6. Перейдите на вкладку Имя субъекта, убедитесь в том, что установлен флажок Строится на основе данных Active Directory, выберите Общее имя для параметра Формат имени субъекта: и снимите флажок Имя субъекта-пользователя (UPN) для параметра Включить эту информацию в альтернативное имя субъекта.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, choose Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Нажмите кнопку Добавить, укажите группу безопасности, созданную на первом шаге, а затем нажмите кнопку ОК.Choose Add, specify the security group that you created in step one, and then choose OK.

  9. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Чтение.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.Choose OK, and then close Certificate Templates Console.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. В диалоговом окне Включение шаблонов сертификатов выберите только что созданный шаблон Сертификат клиента Mac Configuration Manager и нажмите кнопку ОК.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mac Client Certificate, and then choose OK.

  13. Если создавать и выдавать сертификаты больше не требуется, закройте консоль Центр сертификации.If you do not have to create and issue more certificates, close Certification Authority.

    Шаблон сертификата клиента Mac готов к применению во время настройки параметров клиента для регистрации.The Mac client certificate template is now ready to be selected when you set up client settings for enrollment.