Dela via


Stegvis exempeldistribution av PKI-certifikat för Configuration Manager: Windows Server 2008-certifikatutfärdare

Gäller för: Konfigurationshanteraren (current branch)

Den här stegvisa exempeldistributionen, som använder en Certifikatutfärdare för Windows Server 2008 (CA), innehåller procedurer som visar hur du skapar och distribuerar PKI-certifikat (Public Key Infrastructure) som Configuration Manager använder. De här procedurerna använder en utfärdare av företagscertifikat (CA) och certifikatmallar. Stegen är lämpliga endast för ett testnätverk, som ett konceptbevis.

Eftersom det inte finns någon enskild distributionsmetod för de certifikat som krävs kan du läsa din specifika PKI-distributionsdokumentation för de procedurer och metodtips som krävs för att distribuera de certifikat som krävs för en produktionsmiljö. Mer information om certifikatkraven finns i PKI-certifikatkrav för Configuration Manager.

Tips

Du kan anpassa anvisningarna i det här avsnittet för operativsystem som inte finns dokumenterade i avsnittet Krav för testnätverk. Men om du kör den utfärdande certifikatutfärdare på Windows Server 2012 uppmanas du inte att ange certifikatmallversionen. Ange i stället detta på fliken Kompatibilitet för mallegenskaperna:

  • Certifikatutfärdare: Windows Server 2003
    • Certifikatmottagare: Windows XP/Server 2003

Testa nätverkskrav

De stegvisa anvisningarna har följande krav:

  • Testnätverket körs Active Directory Domain Services med Windows Server 2008 och installeras som en enda domän, en enda skog.

  • Du har en medlemsserver som kör Windows Server 2008 Enterprise Edition, som har Active Directory Certificate Services-rollen installerad, och den har konfigurerats som en företagsrotcertifikatutfärdare (CA).

  • Du har en dator som har Windows Server 2008 (Standard Edition eller Enterprise Edition, R2 eller senare) installerad på den, den datorn är avsedd som medlemsserver och Internet Information Services (IIS) är installerad på den. Den här datorn är den Configuration Manager platssystemserver som du konfigurerar med ett fullständigt domännamn för intranätet (FQDN) för att stödja klientanslutningar på intranätet och ett fullständigt internet-FQDN om du måste ha stöd för mobila enheter som har registrerats av Configuration Manager och klienter på Internet.

  • Du har en Windows Vista-klient som har det senaste Service Pack installerat, och den här datorn är konfigurerad med ett datornamn som består av ASCII-tecken och är ansluten till domänen. Den här datorn är en Configuration Manager klientdator.

  • Du kan logga in med ett rotdomänadministratörskonto eller ett företagsdomänadministratörskonto och använda det här kontot för alla procedurer i den här exempeldistributionen.

Översikt över certifikaten

I följande tabell visas de typer av PKI-certifikat som kan krävas för Configuration Manager och beskriver hur de används.

Certifikatkrav Certifikatbeskrivning
Webbservercertifikat för platssystem som kör IIS Det här certifikatet används för att kryptera data och autentisera servern till klienter. Den måste installeras externt från Configuration Manager på platssystemservrar som kör IIS (Internet Information Services) och som har konfigurerats i Configuration Manager för att använda HTTPS.

Anvisningar för hur du konfigurerar och installerar det här certifikatet finns i Distribuera webbservercertifikatet för platssystem som kör IIS i det här avsnittet.
Tjänstcertifikat för klienter som ska ansluta till molnbaserade distributionsplatser Anvisningar för hur du konfigurerar och installerar det här certifikatet finns i Distribuera tjänstcertifikatet för molnbaserade distributionsplatser i det här avsnittet.

Viktigt: Det här certifikatet används tillsammans med Windows Azure-hanteringscertifikatet. Mer information om hanteringscertifikatet finns i How to Create a Management Certificate and How to Add a Management Certificate to a Windows Azure Subscription (Så här skapar du ett hanteringscertifikat och hur du lägger till ett hanteringscertifikat i en Windows Azure-prenumeration).
Klientcertifikat för Windows-datorer Det här certifikatet används för att autentisera Configuration Manager klientdatorer till platssystem som är konfigurerade att använda HTTPS. Den kan också användas för hanteringsplatser och tillståndsmigreringsplatser för att övervaka deras driftstatus när de har konfigurerats för att använda HTTPS. Den måste installeras externt från Configuration Manager på datorer.

Anvisningar för hur du konfigurerar och installerar det här certifikatet finns i Distribuera klientcertifikatet för Windows-datorer i det här avsnittet.
Klientcertifikat för distributionsplatser Det här certifikatet har två syften:

Certifikatet används för att autentisera distributionsplatsen till en HTTPS-aktiverad hanteringsplats innan distributionsplatsen skickar statusmeddelanden.

När alternativet Aktivera PXE-stöd för klienters distributionsplats har valts skickas certifikatet till datorer som PXE startar så att de kan ansluta till en HTTPS-aktiverad hanteringsplats under distributionen av operativsystemet.

Anvisningar för hur du konfigurerar och installerar det här certifikatet finns i Distribuera klientcertifikatet för distributionsplatser i det här avsnittet.
Registreringscertifikat för mobila enheter Det här certifikatet används för att autentisera Configuration Manager mobila enhetsklienter till platssystem som är konfigurerade för att använda HTTPS. Den måste installeras som en del av registreringen av mobila enheter i Configuration Manager och du väljer den konfigurerade certifikatmallen som en klientinställning för mobila enheter.

Anvisningar för hur du konfigurerar det här certifikatet finns i Distribuera registreringscertifikatet för mobila enheter i det här avsnittet.
Klientcertifikat för Mac-datorer Du kan begära och installera det här certifikatet från en Mac-dator när du använder Configuration Manager registrering och välja den konfigurerade certifikatmallen som en klientinställning för mobila enheter.

Anvisningar för hur du konfigurerar det här certifikatet finns i Distribuera klientcertifikatet för Mac-datorer i det här avsnittet.

Distribuera webbservercertifikatet för platssystem som kör IIS

Den här certifikatdistributionen har följande procedurer:

  • Skapa och utfärda certifikatmallen för webbservern på certifikatutfärdare

  • Begära webbservercertifikatet

  • Konfigurera IIS för att använda webbservercertifikatet

Skapa och utfärda certifikatmallen för webbservern på certifikatutfärdare

Den här proceduren skapar en certifikatmall för Configuration Manager platssystem och lägger till den i certifikatutfärdare.

Skapa och utfärda certifikatmallen för webbservern på certifikatutfärdare
  1. Skapa en säkerhetsgrupp med namnet ConfigMgr IIS-servrar som har medlemsservrar för att installera Configuration Manager platssystem som ska köra IIS.

  2. På den medlemsserver där Certificate Services är installerat högerklickar du på Certifikatmallar i konsolen Certifikatutfärdare och väljer sedan Hantera för att läsa in konsolen Certifikatmallar .

  3. I resultatfönstret högerklickar du på posten med webbservern i kolumnen Mallvisningsnamn och väljer sedan Duplicera mall.

  4. I dialogrutan Duplicera mall kontrollerar du att Windows 2003 Server, Enterprise Edition är markerat och väljer sedan OK.

    Viktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. I dialogrutan Egenskaper för ny mall på fliken Allmänt anger du ett mallnamn, till exempel ConfigMgr Web Server Certificate, för att generera webbcertifikat som ska användas på Configuration Manager platssystem.

  6. Välj fliken Ämnesnamn och kontrollera att Ange i begäran har valts.

  7. Välj fliken Säkerhet och ta sedan bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer .

  8. Välj Lägg till, ange ConfigMgr IIS-servrar i textrutan och välj sedan OK.

  9. Välj behörigheten Registrera för den här gruppen och avmarkera inte läsbehörigheten .

  10. Välj OK och stäng sedan konsolen Certifikatmallar.

  11. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  12. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du nyss skapade, ConfigMgr Web Server Certificate och väljer sedan OK.

  13. Om du inte behöver skapa och utfärda fler certifikat stänger du Certifikatutfärdare.

Begära webbservercertifikatet

Med den här proceduren kan du ange de FQDN-värden för intranät och Internet som ska konfigureras i platssystemserveregenskaperna och sedan installera webbservercertifikatet på den medlemsserver som kör IIS.

Så här begär du webbservercertifikatet
  1. Starta om medlemsservern som kör IIS för att säkerställa att datorn kan komma åt certifikatmallen som du skapade med hjälp av de läs - och registreringsbehörigheter som du har konfigurerat.

  2. Välj Start, välj Kör och skriv sedan mmc.exe. I den tomma konsolen väljer du Arkiv och sedan Lägg till/ta bort snapin-modul.

  3. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du Certifikat i listan över tillgängliga snapin-moduler och väljer sedan Lägg till.

  4. I dialogrutan Snapin-modul för certifikat väljer du Datorkonto och sedan Nästa.

  5. I dialogrutan Välj dator kontrollerar du att Lokal dator: (datorn som konsolen körs på) är markerad och väljer sedan Slutför.

  6. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du OK.

  7. Expandera Certifikat (lokal dator) i konsolen och välj sedan Personlig.

  8. Högerklicka på Certifikat, välj Alla aktiviteter och välj sedan Begär nytt certifikat.

  9. På sidan Innan du börjar väljer du Nästa.

  10. Om du ser sidan Välj princip för certifikatregistrering väljer du Nästa.

  11. På sidan Begär certifikat identifierar du webbservercertifikatet ConfigMgr från listan över tillgängliga certifikat och väljer sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.

  12. Gör inga ändringar i Ämnesnamn på fliken Ämne i dialogrutan Certifikategenskaper. Det innebär att rutan Värde för avsnittet Ämnesnamn förblir tom. I stället väljer du listrutan Typ i avsnittet Alternativt namn och väljer sedan DNS.

  13. I rutan Värde anger du de FQDN-värden som du ska ange i egenskaperna för Configuration Manager platssystem och väljer sedan OK för att stänga dialogrutan Certifikategenskaper.

    Exempel:

    • Om platssystemet endast accepterar klientanslutningar från intranätet och intranätets FQDN för platssystemservern är server1.internal.contoso.com anger du server1.internal.contoso.com och väljer sedan Lägg till.

    • Om platssystemet accepterar klientanslutningar från intranätet och Internet och intranätets FQDN för platssystemservern är server1.internal.contoso.com och internet-FQDN för platssystemservern är server.contoso.com:

      1. Ange server1.internal.contoso.com och välj sedan Lägg till.

      2. Ange server.contoso.com och välj sedan Lägg till.

      Obs!

      Du kan ange FQDN för Configuration Manager i valfri ordning. Kontrollera dock att alla enheter som ska använda certifikatet, till exempel mobila enheter och proxywebbservrar, kan använda ett alternativt certifikatmottagarenamn (SAN) och flera värden i SAN. Om enheterna har begränsat stöd för SAN-värden i certifikat kan du behöva ändra ordningen på FQDN:erna eller använda värdet Ämne i stället.

  14. På sidan Begär certifikat väljer du ConfigMgr Web Server Certificate i listan över tillgängliga certifikat och väljer sedan Registrera.

  15. På sidan Resultat för certifikatinstallation väntar du tills certifikatet har installerats och väljer sedan Slutför.

  16. Stäng certifikat (lokal dator).

Konfigurera IIS för att använda webbservercertifikatet

Den här proceduren binder det installerade certifikatet till IIS-standardwebbplatsen.

Så här konfigurerar du IIS för att använda webbservercertifikatet
  1. På medlemsservern där IIS är installerat väljer du Starta, Program, Administrationsverktyg och sedan IIS-hanteraren (Internet Information Services).

  2. Expandera Webbplatser, högerklicka på Standardwebbplats och välj sedan Redigera bindningar.

  3. Välj posten https och välj sedan Redigera.

  4. I dialogrutan Redigera webbplatsbindning väljer du det certifikat som du begärde med hjälp av mallen ConfigMgr Web Server Certificates och väljer sedan OK.

    Obs!

    Om du inte är säker på vilket som är rätt certifikat väljer du ett och väljer sedan Visa. På så sätt kan du jämföra den valda certifikatinformationen med certifikaten i snapin-modulen Certifikat. Snapin-modulen Certifikat visar till exempel certifikatmallen som användes för att begära certifikatet. Du kan sedan jämföra certifikatets tumavtryck för certifikatet som begärdes med hjälp av mallen ConfigMgr Web Server Certificates (Webbservercertifikat för ConfigMgr) med certifikatets tumavtryck för det certifikat som för närvarande är markerat i dialogrutan Redigera webbplatsbindning .

  5. Välj OK i dialogrutan Redigera webbplatsbindning och välj sedan Stäng.

  6. Stäng IIS-hanteraren (Internet Information Services).

    Medlemsservern har nu konfigurerats med ett Configuration Manager webbservercertifikat.

Viktigt

När du installerar den Configuration Manager platssystemservern på den här datorn kontrollerar du att du anger samma FQDN i platssystemegenskaperna som du angav när du begärde certifikatet.

Distribuera tjänstcertifikatet för molnbaserade distributionsplatser

Den här certifikatdistributionen har följande procedurer:

Skapa och utfärda en anpassad webbservercertifikatmall på certifikatutfärdare

Den här proceduren skapar en anpassad certifikatmall som baseras på webbservercertifikatmallen. Certifikatet gäller för Configuration Manager molnbaserade distributionsplatser och den privata nyckeln måste kunna exporteras. När certifikatmallen har skapats läggs den till i certifikatutfärdare.

Obs!

Den här proceduren använder en annan certifikatmall än den webbservercertifikatmall som du skapade för platssystem som kör IIS. Även om båda certifikaten kräver funktioner för serverautentisering kräver certifikatet för molnbaserade distributionsplatser att du anger ett anpassat definierat värde för ämnesnamnet och att den privata nyckeln måste exporteras. Vi rekommenderar att du inte konfigurerar certifikatmallar så att den privata nyckeln kan exporteras om inte den här konfigurationen krävs. Den molnbaserade distributionsplatsen kräver den här konfigurationen eftersom du måste importera certifikatet som en fil i stället för att välja det från certifikatarkivet.

När du skapar en ny certifikatmall för det här certifikatet kan du begränsa de datorer som kan begära ett certifikat vars privata nyckel kan exporteras. I ett produktionsnätverk kan du också överväga att lägga till följande ändringar för det här certifikatet:

  • Kräv godkännande för att installera certifikatet för ytterligare säkerhet.
    • Öka certifikatets giltighetsperiod. Eftersom du måste exportera och importera certifikatet varje gång innan det upphör att gälla, minskar en ökning av giltighetsperioden hur ofta du måste upprepa den här proceduren. Men en ökning av giltighetsperioden minskar också säkerheten för certifikatet eftersom det ger mer tid för en angripare att dekryptera den privata nyckeln och stjäla certifikatet.
    • Använd ett anpassat värde i certifikatmottagarens alternativa namn (SAN) för att identifiera certifikatet från standardwebbservercertifikat som du använder med IIS.
Skapa och utfärda den anpassade webbservercertifikatmallen på certifikatutfärdare
  1. Skapa en säkerhetsgrupp med namnet ConfigMgr-platsservrar som har medlemsservrarna för att installera Configuration Manager primära platsservrar som ska hantera molnbaserade distributionsplatser.

  2. Högerklicka på Certifikatmallar på medlemsservern som kör certifikatutfärdarkonsolen och välj sedan Hantera för att läsa in hanteringskonsolen för certifikatmallar.

  3. I resultatfönstret högerklickar du på posten med webbservern i kolumnen Mallvisningsnamn och väljer sedan Duplicera mall.

  4. I dialogrutan Duplicera mall kontrollerar du att Windows 2003 Server, Enterprise Edition är markerat och väljer sedan OK.

    Viktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. I dialogrutan Egenskaper för ny mall på fliken Allmänt anger du ett mallnamn, till exempel ConfigMgr Cloud-Based distributionsplatscertifikat, för att generera webbservercertifikatet för molnbaserade distributionsplatser.

  6. Välj fliken Hantering av begäranden och välj sedan Tillåt att privat nyckel exporteras.

  7. Välj fliken Säkerhet och ta sedan bort behörigheten Registrera från säkerhetsgruppen Företagsadministratörer .

  8. Välj Lägg till, ange ConfigMgr-platsservrar i textrutan och välj sedan OK.

  9. Välj behörigheten Registrera för den här gruppen och avmarkera inte läsbehörigheten .

  10. Välj fliken Kryptografi och se till att Minsta nyckelstorlek har angetts till 2048.

  11. Välj OK och stäng sedan certifikatmallkonsolen.

  12. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  13. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du nyss skapade, ConfigMgr Cloud-Based distributionsplatscertifikat och väljer sedan OK.

  14. Om du inte behöver skapa och utfärda fler certifikat stänger du Certifikatutfärdare.

Begära det anpassade webbservercertifikatet

Den här proceduren begär och installerar sedan det anpassade webbservercertifikatet på den medlemsserver som ska köra platsservern.

Så här begär du det anpassade webbservercertifikatet
  1. Starta om medlemsservern när du har skapat och konfigurerat säkerhetsgruppen ConfigMgr-platsservrar för att säkerställa att datorn kan komma åt certifikatmallen som du skapade med hjälp av de läs - och registreringsbehörigheter som du har konfigurerat.

  2. Välj Starta, välj Kör och ange sedan mmc.exe. I den tomma konsolen väljer du Arkiv och sedan Lägg till/ta bort snapin-modul.

  3. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du Certifikat i listan över tillgängliga snapin-moduler och väljer sedan Lägg till.

  4. I dialogrutan Snapin-modul för certifikat väljer du Datorkonto och sedan Nästa.

  5. I dialogrutan Välj dator kontrollerar du att Lokal dator: (datorn som konsolen körs på) är markerad och väljer sedan Slutför.

  6. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du OK.

  7. Expandera Certifikat (lokal dator) i konsolen och välj sedan Personlig.

  8. Högerklicka på Certifikat, välj Alla aktiviteter och välj sedan Begär nytt certifikat.

  9. På sidan Innan du börjar väljer du Nästa.

  10. Om du ser sidan Välj princip för certifikatregistrering väljer du Nästa.

  11. På sidan Begär certifikat identifierar du ConfigMgr-Cloud-Based distributionsplatscertifikat från listan över tillgängliga certifikat och väljer sedan Mer information krävs för att registrera för det här certifikatet. Välj här om du vill konfigurera inställningarna.

  12. I dialogrutan Certifikategenskaper går du till fliken Ämne och väljer Eget namn som Typ för Ämnesnamn.

  13. I rutan Värde anger du ditt val av tjänstnamn och ditt domännamn med hjälp av ett FQDN-format. Till exempel: clouddp1.contoso.com.

    Obs!

    Gör tjänstnamnet unikt i ditt namnområde. Du använder DNS för att skapa ett alias (CNAME-post) för att mappa tjänstnamnet till en automatiskt genererad identifierare (GUID) och en IP-adress från Windows Azure.

  14. Välj Lägg till och välj sedan OK för att stänga dialogrutan Certifikategenskaper .

  15. På sidan Begär certifikat väljer du ConfigMgr Cloud-Based distributionsplatscertifikat i listan över tillgängliga certifikat och väljer sedan Registrera.

  16. På sidan Resultat för certifikatinstallation väntar du tills certifikatet har installerats och väljer sedan Slutför.

  17. Stäng certifikat (lokal dator).

Exportera det anpassade webbservercertifikatet för molnbaserade distributionsplatser

Den här proceduren exporterar det anpassade webbservercertifikatet till en fil så att det kan importeras när du skapar den molnbaserade distributionsplatsen.

Exportera det anpassade webbservercertifikatet för molnbaserade distributionsplatser
  1. I konsolen Certifikat (lokal dator) högerklickar du på certifikatet som du precis har installerat, väljer Alla uppgifter och väljer sedan Exportera.

  2. I guiden Exportera certifikat väljer du Nästa.

  3. På sidan Exportera privat nyckel väljer du Ja, exporterar den privata nyckeln och väljer sedan Nästa.

    Obs!

    Om det här alternativet inte är tillgängligt har certifikatet skapats utan alternativet att exportera den privata nyckeln. I det här scenariot kan du inte exportera certifikatet i det format som krävs. Du måste konfigurera certifikatmallen så att den privata nyckeln kan exporteras och sedan begära certifikatet igen.

  4. På sidan Exportera filformat kontrollerar du att Personal Information Exchange – PKCS #12 (. PFX) -alternativet har valts.

  5. På sidan Lösenord anger du ett starkt lösenord för att skydda det exporterade certifikatet med dess privata nyckel och väljer sedan Nästa.

  6. På sidan Fil som ska exporteras anger du namnet på den fil som du vill exportera och väljer sedan Nästa.

  7. Stäng guiden genom att välja Slutför på sidan Guiden Exportera certifikat och sedan välja OK i bekräftelsedialogrutan.

  8. Stäng certifikat (lokal dator).

  9. Lagra filen på ett säkert sätt och se till att du kan komma åt den från Configuration Manager-konsolen.

    Certifikatet är nu redo att importeras när du skapar en molnbaserad distributionsplats.

Distribuera klientcertifikatet för Windows-datorer

Den här certifikatdistributionen har följande procedurer:

  • Skapa och utfärda certifikatmallen för arbetsstationsautentisering på certifikatutfärdare

  • Konfigurera automatisk registrering av mallen för arbetsstationsautentisering med hjälp av grupprincip

  • Registrera certifikatet för autentisering av arbetsstation automatiskt och verifiera installationen på datorer

Skapa och utfärda certifikatmallen för arbetsstationsautentisering på certifikatutfärdare

Den här proceduren skapar en certifikatmall för Configuration Manager klientdatorer och lägger till den i certifikatutfärdare.

Skapa och utfärda certifikatmallen för autentisering av arbetsstation på certifikatutfärdare
  1. Högerklicka på Certifikatmallar på medlemsservern som kör certifikatutfärdarkonsolen och välj sedan Hantera för att läsa in hanteringskonsolen för certifikatmallar.

  2. I resultatfönstret högerklickar du på posten som har arbetsstationsautentisering i kolumnen Mallvisningsnamn och väljer sedan Duplicera mall.

  3. I dialogrutan Duplicera mall kontrollerar du att Windows 2003 Server, Enterprise Edition är markerat och väljer sedan OK.

    Viktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  4. I dialogrutan Egenskaper för ny mall på fliken Allmänt anger du ett mallnamn, till exempel ConfigMgr-klientcertifikat, för att generera de klientcertifikat som ska användas på Configuration Manager klientdatorer.

  5. Välj fliken Säkerhet , välj gruppen Domändatorer och välj sedan ytterligare behörigheter för Läs och Registrera automatiskt. Avmarkera inte Registrera.

  6. Välj OK och stäng sedan certifikatmallkonsolen.

  7. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  8. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du nyss skapade, ConfigMgr-klientcertifikat och väljer sedan OK.

  9. Om du inte behöver skapa och utfärda fler certifikat stänger du Certifikatutfärdare.

Konfigurera automatisk registrering av mallen för arbetsstationsautentisering med hjälp av grupprincip

Den här proceduren konfigurerar grupprincip för att automatiskt registrera klientcertifikatet på datorer.

Konfigurera automatisk registrering av mallen för autentisering av arbetsstation med hjälp av grupprincip
  1. På domänkontrollanten väljer du Start, Administrationsverktyg och sedan grupprincip Management.

  2. Gå till din domän, högerklicka på domänen och välj sedan Skapa ett grupprincipobjekt i den här domänen och länka det här.

    Obs!

    I det här steget används bästa praxis för att skapa en ny grupprincip för anpassade inställningar i stället för att redigera standarddomänprincipen som installeras med Active Directory Domain Services. När du tilldelar den här grupprincip på domännivå tillämpar du den på alla datorer i domänen. I en produktionsmiljö kan du begränsa automatisk registrering så att den registreras på endast valda datorer. Du kan tilldela grupprincip på organisationsenhetsnivå, eller så kan du filtrera domänen grupprincip med en säkerhetsgrupp så att den endast gäller för datorerna i gruppen. Om du begränsar automatisk registrering bör du komma ihåg att inkludera den server som har konfigurerats som hanteringsplats.

  3. I dialogrutan Nytt grupprincipobjekt anger du ett namn, till exempel Registrera certifikat automatiskt, för den nya grupprincip och väljer sedan OK.

  4. I resultatfönstret går du till fliken Länkade grupprincip objekt, högerklickar på den nya grupprincip och väljer sedan Redigera.

  5. I grupprincip-hanteringsredigeraren expanderar du Principer under Datorkonfiguration och går sedan tillSäkerhetsinställningar för Windows-inställningar / / Principer för offentlig nyckel.

  6. Högerklicka på objekttypen Certificate Services Client – Automatisk registrering och välj sedan Egenskaper.

  7. Välj Aktiverad i listrutan Konfigurationsmodell, välj Förnya utgångna certifikat, uppdatera väntande certifikat, ta bort återkallade certifikat, välj Uppdatera certifikat som använder certifikatmallar och välj sedan OK.

  8. Stäng grupprincip Management.

Registrera certifikatet för autentisering av arbetsstation automatiskt och verifiera installationen på datorer

Den här proceduren installerar klientcertifikatet på datorer och verifierar installationen.

Registrera certifikatet för autentisering av arbetsstation automatiskt och verifiera installationen på klientdatorn
  1. Starta om arbetsstationsdatorn och vänta några minuter innan du loggar in.

    Obs!

    Att starta om en dator är den mest tillförlitliga metoden för att säkerställa att certifikatet registreras automatiskt.

  2. Logga in med ett konto som har administratörsbehörighet.

  3. I sökrutan anger dummc.exe., och trycker sedan på Retur.

  4. I den tomma hanteringskonsolen väljer du Arkiv och sedan Lägg till/ta bort snapin-modul.

  5. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du Certifikat i listan över tillgängliga snapin-moduler och väljer sedan Lägg till.

  6. I dialogrutan Snapin-modul för certifikat väljer du Datorkonto och sedan Nästa.

  7. I dialogrutan Välj dator kontrollerar du att Lokal dator: (datorn som konsolen körs på) är markerad och väljer sedan Slutför.

  8. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du OK.

  9. Expandera Certifikat (lokal dator) i konsolen, expandera Personligt och välj sedan Certifikat.

  10. I resultatfönstret bekräftar du att ett certifikat har klientautentisering i kolumnen Avsett syfte och att ConfigMgr-klientcertifikatet finns i kolumnen Certifikatmall .

  11. Stäng certifikat (lokal dator).

  12. Upprepa steg 1 till och med 11 för medlemsservern för att kontrollera att servern som ska konfigureras som hanteringsplats också har ett klientcertifikat.

    Datorn har nu konfigurerats med ett Configuration Manager klientcertifikat.

Distribuera klientcertifikatet för distributionsplatser

Obs!

Det här certifikatet kan också användas för medieavbildningar som inte använder PXE-start, eftersom certifikatkraven är desamma.

Den här certifikatdistributionen har följande procedurer:

  • Skapa och utfärda en anpassad certifikatmall för arbetsstationsautentisering på certifikatutfärdare

  • Begära certifikatet för anpassad arbetsstationsautentisering

  • Exportera klientcertifikatet för distributionsplatser

Skapa och utfärda en anpassad certifikatmall för arbetsstationsautentisering på certifikatutfärdare

Den här proceduren skapar en anpassad certifikatmall för Configuration Manager distributionsplatser så att den privata nyckeln kan exporteras och lägger till certifikatmallen till certifikatutfärdare.

Obs!

Den här proceduren använder en annan certifikatmall än den certifikatmall som du skapade för klientdatorer. Även om båda certifikaten kräver funktioner för klientautentisering kräver certifikatet för distributionsplatser att den privata nyckeln exporteras. Vi rekommenderar att du inte konfigurerar certifikatmallar så att den privata nyckeln kan exporteras om inte den här konfigurationen krävs. Distributionsplatsen kräver den här konfigurationen eftersom du måste importera certifikatet som en fil i stället för att välja det från certifikatarkivet.

När du skapar en ny certifikatmall för det här certifikatet kan du begränsa de datorer som kan begära ett certifikat vars privata nyckel kan exporteras. I vår exempeldistribution är detta den säkerhetsgrupp som du tidigare skapade för Configuration Manager platssystemservrar som kör IIS. I ett produktionsnätverk som distribuerar IIS-platssystemrollerna bör du överväga att skapa en ny säkerhetsgrupp för de servrar som kör distributionsplatser så att du kan begränsa certifikatet till bara dessa platssystemservrar. Du kan också överväga att lägga till följande ändringar för det här certifikatet:

  • Kräv godkännande för att installera certifikatet för ytterligare säkerhet.
    • Öka certifikatets giltighetsperiod. Eftersom du måste exportera och importera certifikatet varje gång innan det upphör att gälla, minskar en ökning av giltighetsperioden hur ofta du måste upprepa den här proceduren. Men en ökning av giltighetsperioden minskar också säkerheten för certifikatet eftersom det ger mer tid för en angripare att dekryptera den privata nyckeln och stjäla certifikatet.
    • Använd ett anpassat värde i certifikatets ämnesfält eller alternativt ämnesnamn (SAN) för att identifiera certifikatet från standardklientcertifikat. Detta kan vara särskilt användbart om du använder samma certifikat för flera distributionsplatser.
Skapa och utfärda den anpassade certifikatmallen för arbetsstationsautentisering på certifikatutfärdare
  1. Högerklicka på Certifikatmallar på medlemsservern som kör certifikatutfärdarkonsolen och välj sedan Hantera för att läsa in hanteringskonsolen för certifikatmallar.

  2. I resultatfönstret högerklickar du på posten som har arbetsstationsautentisering i kolumnen Mallvisningsnamn och väljer sedan Duplicera mall.

  3. I dialogrutan Duplicera mall kontrollerar du att Windows 2003 Server, Enterprise Edition är markerat och väljer sedan OK.

    Viktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  4. I dialogrutan Egenskaper för ny mall på fliken Allmänt anger du ett mallnamn, t.ex. ConfigMgr-klientdistributionsplatscertifikat, för att generera klientautentiseringscertifikatet för distributionsplatser.

  5. Välj fliken Hantering av begäranden och välj sedan Tillåt att privat nyckel exporteras.

  6. Välj fliken Säkerhet och ta sedan bort behörigheten Registrera från säkerhetsgruppen Företagsadministratörer .

  7. Välj Lägg till, ange ConfigMgr IIS-servrar i textrutan och välj sedan OK.

  8. Välj behörigheten Registrera för den här gruppen och avmarkera inte läsbehörigheten .

  9. Välj OK och stäng sedan certifikatmallkonsolen.

  10. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  11. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du nyss skapade, ConfigMgr-klientdistributionsplatscertifikat och väljer sedan OK.

  12. Om du inte behöver skapa och utfärda fler certifikat stänger du Certifikatutfärdare.

Begära certifikatet för anpassad arbetsstationsautentisering

Den här proceduren begär och installerar sedan det anpassade klientcertifikatet på den medlemsserver som kör IIS och som kommer att konfigureras som en distributionsplats.

Så här begär du certifikatet för anpassad arbetsstationsautentisering
  1. Välj Starta, välj Kör och ange sedan mmc.exe. I den tomma konsolen väljer du Arkiv och sedan Lägg till/ta bort snapin-modul.

  2. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du Certifikat i listan över tillgängliga snapin-moduler och väljer sedan Lägg till.

  3. I dialogrutan Snapin-modul för certifikat väljer du Datorkonto och sedan Nästa.

  4. I dialogrutan Välj dator kontrollerar du att Lokal dator: (datorn som konsolen körs på) är markerad och väljer sedan Slutför.

  5. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du OK.

  6. Expandera Certifikat (lokal dator) i konsolen och välj sedan Personlig.

  7. Högerklicka på Certifikat, välj Alla aktiviteter och välj sedan Begär nytt certifikat.

  8. På sidan Innan du börjar väljer du Nästa.

  9. Om du ser sidan Välj princip för certifikatregistrering väljer du Nästa.

  10. På sidan Begär certifikat väljer du ConfigMgr-klientdistributionsplatscertifikat i listan över tillgängliga certifikat och väljer sedan Registrera.

  11. På sidan Resultat för certifikatinstallation väntar du tills certifikatet har installerats och väljer sedan Slutför.

  12. I resultatfönstret bekräftar du att ett certifikat har klientautentisering i kolumnen Avsett syfte och att ConfigMgr-klientdistributionsplatscertifikatet finns i kolumnen Certifikatmall .

  13. Stäng inte Certifikat (lokal dator).

Exportera klientcertifikatet för distributionsplatser

Den här proceduren exporterar det anpassade certifikatet för arbetsstationsautentisering till en fil så att det kan importeras i distributionsplatsegenskaperna.

Exportera klientcertifikatet för distributionsplatser
  1. I konsolen Certifikat (lokal dator) högerklickar du på certifikatet som du precis har installerat, väljer Alla uppgifter och väljer sedan Exportera.

  2. I guiden Exportera certifikat väljer du Nästa.

  3. På sidan Exportera privat nyckel väljer du Ja, exporterar den privata nyckeln och väljer sedan Nästa.

    Obs!

    Om det här alternativet inte är tillgängligt har certifikatet skapats utan alternativet att exportera den privata nyckeln. I det här scenariot kan du inte exportera certifikatet i det format som krävs. Du måste konfigurera certifikatmallen så att den privata nyckeln kan exporteras och sedan begära certifikatet igen.

  4. På sidan Exportera filformat kontrollerar du att Personal Information Exchange – PKCS #12 (. PFX) -alternativet har valts.

  5. På sidan Lösenord anger du ett starkt lösenord för att skydda det exporterade certifikatet med dess privata nyckel och väljer sedan Nästa.

  6. På sidan Fil som ska exporteras anger du namnet på den fil som du vill exportera och väljer sedan Nästa.

  7. Stäng guiden genom att välja Slutför på sidan Exportera certifikat och välj OK i bekräftelsedialogrutan.

  8. Stäng certifikat (lokal dator).

  9. Lagra filen på ett säkert sätt och se till att du kan komma åt den från Configuration Manager-konsolen.

    Certifikatet är nu redo att importeras när du konfigurerar distributionsplatsen.

Tips

Du kan använda samma certifikatfil när du konfigurerar medieavbildningar för en operativsystemsdistribution som inte använder PXE-start, och aktivitetssekvensen för att installera avbildningen måste kontakta en hanteringsplats som kräver HTTPS-klientanslutningar.

Distribuera registreringscertifikatet för mobila enheter

Den här certifikatdistributionen har en enda procedur för att skapa och utfärda registreringscertifikatmallen på certifikatutfärdare.

Skapa och utfärda registreringscertifikatmallen på certifikatutfärdare

Den här proceduren skapar en registreringscertifikatmall för Configuration Manager mobila enheter och lägger till den i certifikatutfärdare.

Skapa och utfärda registreringscertifikatmallen på certifikatutfärdare
  1. Skapa en säkerhetsgrupp som har användare som ska registrera mobila enheter i Configuration Manager.

  2. Högerklicka på Certifikatmallar i certifikatutfärdarkonsolen på den medlemsserver som har Certificate Services installerat och välj sedan Hantera för att läsa in hanteringskonsolen för certifikatmallar.

  3. I resultatfönstret högerklickar du på posten som har autentiserad session i kolumnen Mallvisningsnamn och väljer sedan Duplicera mall.

  4. I dialogrutan Duplicera mall kontrollerar du att Windows 2003 Server, Enterprise Edition är markerat och väljer sedan OK.

    Viktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. I dialogrutan Egenskaper för ny mall på fliken Allmänt anger du ett mallnamn, till exempel ConfigMgr Mobile Device Enrollment Certificate, för att generera registreringscertifikaten för de mobila enheter som ska hanteras av Configuration Manager.

  6. Välj fliken Ämnesnamn , se till att Skapa från den här Active Directory-informationen har valts, välj Eget namn för formatet Ämnesnamn:och avmarkera sedan Användarens huvudnamn (UPN) från Inkludera den här informationen i alternativt ämnesnamn.

  7. Välj fliken Säkerhet , välj den säkerhetsgrupp som har användare som har mobila enheter att registrera och välj sedan ytterligare behörighet för Registrera. Avmarkera inte Läs.

  8. Välj OK och stäng sedan certifikatmallkonsolen.

  9. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  10. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du nyss skapade, ConfigMgr Mobile Device Enrollment Certificate och väljer sedan OK.

  11. Om du inte behöver skapa och utfärda fler certifikat stänger du konsolen Certifikatutfärdare.

    Certifikatmallen för registrering av mobila enheter är nu redo att väljas när du konfigurerar en profil för registrering av mobila enheter i klientinställningarna.

Distribuera klientcertifikatet för Mac-datorer

Den här certifikatdistributionen har en enda procedur för att skapa och utfärda registreringscertifikatmallen på certifikatutfärdare.

Skapa och utfärda en Mac-klientcertifikatmall på certifikatutfärdare

Den här proceduren skapar en anpassad certifikatmall för Configuration Manager Mac-datorer och lägger till certifikatmallen till certifikatutfärdare.

Obs!

Den här proceduren använder en annan certifikatmall än certifikatmallen som du kanske har skapat för Windows-klientdatorer eller distributionsplatser.

När du skapar en ny certifikatmall för det här certifikatet kan du begränsa certifikatbegäran till behöriga användare.

Skapa och utfärda Mac-klientcertifikatmallen på certifikatutfärdare
  1. Skapa en säkerhetsgrupp som har användarkonton för administrativa användare som registrerar certifikatet på Mac-datorn med hjälp av Configuration Manager.

  2. Högerklicka på Certifikatmallar på medlemsservern som kör certifikatutfärdarkonsolen och välj sedan Hantera för att läsa in hanteringskonsolen för certifikatmallar.

  3. I resultatfönstret högerklickar du på posten som visar Autentiserad session i kolumnen Mallvisningsnamn och väljer sedan Duplicera mall.

  4. I dialogrutan Duplicera mall kontrollerar du att Windows 2003 Server, Enterprise Edition är markerat och väljer sedan OK.

    Viktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. I dialogrutan Egenskaper för ny mall på fliken Allmänt anger du ett mallnamn, till exempel ConfigMgr Mac-klientcertifikat, för att generera Mac-klientcertifikatet.

  6. Välj fliken Ämnesnamn , se till att Skapa från den här Active Directory-informationen har valts, välj Eget namn för format för ämnesnamn: och avmarkera sedan Användarens huvudnamn (UPN) från Inkludera den här informationen i alternativt ämnesnamn.

  7. Välj fliken Säkerhet och ta sedan bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer .

  8. Välj Lägg till, ange säkerhetsgruppen som du skapade i steg ett och välj sedan OK.

  9. Välj behörigheten Registrera för den här gruppen och avmarkera inte läsbehörigheten .

  10. Välj OK och stäng sedan certifikatmallkonsolen.

  11. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  12. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du nyss skapade, ConfigMgr Mac-klientcertifikat och väljer sedan OK.

  13. Om du inte behöver skapa och utfärda fler certifikat stänger du Certifikatutfärdare.

    Mac-klientcertifikatmallen är nu redo att väljas när du konfigurerar klientinställningar för registrering.