Configuration Manager'da sertifika profilleri için önkoşullar
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager'deki sertifika profillerinin üründe dış bağımlılıkları ve bağımlılıkları vardır.
Önemli
Sürüm 2203'den itibaren bu şirket kaynak erişimi özelliği artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.
Configuration Manager Dış Bağımlılıklar
| Bağımlılık | Daha fazla bilgi |
|---|---|
| Active Directory Sertifika Hizmetleri (AD CS) çalıştıran bir kuruluş sertifika yetkilisi (CA). Sertifikaları iptal etmek için, hiyerarşinin en üstündeki site sunucusunun bilgisayar hesabı, Configuration Manager bir sertifika profili tarafından kullanılan her sertifika şablonu için Sertifika Verme ve Yönetme hakları gerektirir. Alternatif olarak, sertifika yetkilisi tarafından kullanılan tüm sertifika şablonlarında izin vermek için Sertifika Yöneticisi izinleri verin Sertifika istekleri için yönetici onayı desteklenir. Ancak, sertifika vermek için kullanılan sertifika şablonlarının sertifika konusu için istekte Tedarik için yapılandırılması gerekir, böylece Configuration Manager bu değeri otomatik olarak sağlayabilir. |
Active Directory Sertifika Hizmetleri hakkında daha fazla bilgi için bkz. Active Directory Sertifika Hizmetlerine Genel Bakış. |
| Doğrulamak için PowerShell betiğini kullanın ve gerekirse Ağ Cihazı Kayıt Hizmeti (NDES) rol hizmeti ve Configuration Manager Sertifika Kayıt Noktası için önkoşulları yükleyin. |
readme_crp.txt yönerge dosyası ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64 konumunda bulunur. Test-NDES-CRP-Prereqs.ps1 PowerShell betiği, yönergelerle aynı dizindedir. PowerShell betiği NDES sunucusunda yerel olarak çalıştırılmalıdır. |
| Windows Server 2012 R2 üzerinde çalışan Active Directory Sertifika Hizmetleri için Ağ Cihazı Kayıt Hizmeti (NDES) rol hizmeti. Ayrıca: İstemci ile Ağ Cihazı Kayıt Hizmeti arasındaki iletişim için TCP 443 (HTTPS için) veya TCP 80 (HTTP için) dışındaki bağlantı noktası numaraları desteklenmez. Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucu, veren CA'dan farklı bir sunucuda olmalıdır. |
Configuration Manager, Basit Sertifika Kayıt Protokolü (SCEP) isteklerini oluşturmak ve doğrulamak için Windows Server 2012 R2'deki Ağ Cihazı Kayıt Hizmeti ile iletişim kurar. Microsoft Intune tarafından yönetilen mobil cihazlar gibi İnternet'ten bağlanan kullanıcılara veya cihazlara sertifikalar verecekseniz, bu cihazların İnternet'ten Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucuya erişebilmesi gerekir. Örneğin, sunucuyu bir çevre ağına (DMZ, arındırılmış bölge ve ekranlı alt ağ olarak da bilinir) yükleyin. Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucu ile veren CA arasında bir güvenlik duvarınız varsa, güvenlik duvarını iki sunucu arasındaki iletişim trafiğine (DCOM) izin verecek şekilde yapılandırmanız gerekir. Bu güvenlik duvarı gereksinimi, Configuration Manager sertifikaları iptal edebilmesi için Configuration Manager site sunucusunu ve veren CA'yı çalıştıran sunucu için de geçerlidir. Ağ Cihazı Kayıt Hizmeti SSL gerektirecek şekilde yapılandırılmışsa, bağlanan cihazların sunucu sertifikasını doğrulamak için sertifika iptal listesine (CRL) erişebildiğinden emin olmak en iyi güvenlik yöntemidir. Ağ Cihazı Kayıt Hizmeti hakkında daha fazla bilgi için bkz. Ağ Cihazı Kayıt Hizmeti ile İlke Modülü Kullanma. |
| PKI istemci kimlik doğrulama sertifikası ve dışarı aktarılan kök CA sertifikası. | Bu sertifika, Configuration Manager için Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucunun kimliğini doğrular. Daha fazla bilgi için bkz. Configuration Manager için PKI sertifika gereksinimleri. |
| Desteklenen cihaz işletim sistemleri. | Sertifika profillerini Windows 8.1, Windows RT 8.1 ve Windows 10 çalıştıran cihazlara dağıtabilirsiniz. |
Configuration Manager Bağımlılıkları
| Bağımlılık | Daha fazla bilgi |
|---|---|
| Sertifika kayıt noktası site sistemi rolü | Sertifika profillerini kullanabilmeniz için önce sertifika kayıt noktası site sistemi rolünü yüklemeniz gerekir. Bu rol Configuration Manager veritabanı, Configuration Manager site sunucusu ve Configuration Manager İlkesi Modülü ile iletişim kurar. Bu site sistem rolü için sistem gereksinimleri ve hiyerarşide rolün nereye yükleneceği hakkında daha fazla bilgi için, Configuration Manager için desteklenen yapılandırmalar makalesinin Site Sistem Gereksinimleri bölümüne bakın. Sertifika kayıt noktası, Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucuya yüklenmemelidir. |
| Active Directory Sertifika Hizmetleri için Ağ Cihazı Kayıt Hizmeti rol hizmetini çalıştıran sunucuda yüklü Configuration Manager İlke Modülü | Sertifika profillerini dağıtmak için Configuration Manager İlkesi Modülünü yüklemeniz gerekir. Bu ilke modülünü Configuration Manager yükleme medyası üzerinde bulabilirsiniz. |
| Bulma verileri | Sertifika konusu ve konu alternatif adı değerleri Configuration Manager tarafından sağlanır ve bulmadan toplanan bilgilerden alınır: Kullanıcı sertifikaları için: Active Directory Kullanıcı Bulma Bilgisayar sertifikaları için: Active Directory Sistem Bulma ve Ağ Bulma |
| Sertifika profillerini yönetmek için belirli güvenlik izinleri | Sertifika profilleri, Wi-Fi profilleri ve VPN profilleri gibi şirket kaynak erişim ayarlarını yönetmek için aşağıdaki güvenlik izinlerine sahip olmanız gerekir: Sertifika profillerinin uyarılarını ve raporlarını görüntülemek ve yönetmek için: Uyarılar nesnesi için Rapor Oluşturma, Silme, Değiştirme, Raporu Değiştirme, Okuma ve Çalıştırma. Sertifika profilleri oluşturmak ve yönetmek için: Sertifika Profili nesnesi için İlke Yaz, Raporu Değiştir, Oku ve Raporu Çalıştır. Wi-Fi, sertifika ve VPN profili dağıtımlarını yönetmek için: Koleksiyon nesnesi için Yapılandırma İlkeleri Dağıtma, İstemci Durum Uyarısını Değiştirme, Okuma ve Kaynak Okuma. Tüm yapılandırma ilkelerini yönetmek için: Yapılandırma İlkesi nesnesi için Güvenlik KapsamıOluşturma, Silme, Değiştirme, Okuma ve Ayarlama. Sertifika profilleriyle ilgili sorguları çalıştırmak için: Sorgu nesnesi için okuma izni. Configuration Manager konsolunda sertifika profilleri bilgilerini görüntülemek için: Site nesnesi için okuma izni. Sertifika profillerinin durum iletilerini görüntülemek için: Durum İletileri nesnesi için okuma izni. Güvenilen CA sertifika profilini oluşturmak ve değiştirmek için: Güvenilen CA Sertifika Profili nesnesi için İlke Yaz, Raporu Değiştir, Oku ve Raporu Çalıştır. VPN profillerini oluşturmak ve yönetmek için: VPN Profili nesnesi için İlke Yazma, Raporu Değiştirme, Okuma ve Çalıştırma Raporu. Wi-Fi profilleri oluşturmak ve yönetmek için: Wi-Fi Profili nesnesi için İlke Yaz, Raporu Değiştir, Oku ve Raporu Çalıştır. Şirket Kaynak Erişim Yöneticisi güvenlik rolü, Configuration Manager sertifika profillerini yönetmek için gereken bu izinleri içerir. Daha fazla bilgi için Güvenlik yapılandırma makalesinin Rol tabanlı yönetimi yapılandırma bölümüne bakın. |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin