Развертывание сертификатов промежуточного центра сертификации на компьютерах Configuration Manager
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Промежуточный центр сертификации (ЦС) — это ЦС, который находится в иерархии подчинения инфраструктуры открытого ключа (PKI) на один или несколько уровней ниже корневого ЦС и, как правило, выдает сертификаты другим ЦС в иерархии. Другим типом подчиненного ЦС является ЦС, выдающий сертификаты. Для успешного осуществления связи в основном режиме в пределах сайта Configuration Manager 2007 сертификаты PKI, используемые для проверки подлинности, шифрования и подписывания, должны образовывать непрерывную цепь к доверенному корневому центру. Построение цепи сертификатов — собственный процесс операционной системы Microsoft Windows, предполагающий сбор всех подчиненных ЦС вплоть до корневого ЦС и проверку каждого сертификата в этом пути. Если один из сертификатов в цепи не может быть найден или оказывается недействительным (например, с истекшим сроком действия), вся цепь считается недействительной и попытка связи в Configuration Manager 2007 завершится неудачей.
Компьютеры под управлением Windows и некоторые устройств автоматически настроены на использование некоторых известных сторонних промежуточных ЦС. Тем не менее, при использовании стороннего решения PKI рекомендуется устанавливать сертификаты компьютеров и сервера вместе с цепью сертификатов промежуточных ЦС. Промежуточные ЦС могут загружаться динамически в процессе построения цепи сертификатов, если выданный сертификат содержит URL-адреса промежуточных ЦС в поле "Доступ к сведениям о центрах сертификации (AIA)", использующие сертификат приложения разрешают это делать и клиенты имеют доступ по сети к промежуточным ЦС.
В основном режиме Configuration Manager 2007 клиенты могут по необходимости динамически загружать сертификаты для промежуточных ЦС, если они еще не присутствуют в хранилище локального компьютера. При этом системы сайта Configuration Manager 2007 сертификаты промежуточных ЦС в динамическом режиме не загружают.
При использовании подчиненных ЦС предприятия Microsoft устанавливать сертификаты промежуточных ЦС на системах сайта не требуется, поскольку они автоматически реплицируются по всему лесу с помощью доменных служб Active Directory. Тем не менее, при использовании стороннего решения PKI необходимо убедиться, что вместе с сертификатом сервера устанавливается цепь сертификатов.
Варианты развертывания с установкой сертификатов промежуточных ЦС для требующих таких сертификатов компьютеров Configuration Manager 2007 см. в документации по конкретному решению PKI.
См. также
Основные понятия
Требования к сертификатам для работы в основном режиме
Другие ресурсы
Развертывание сертификатов PKI, необходимых для работы в основном режиме
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.