Sertifika altyapısını yapılandırma

Uygulama hedefi: Configuration Manager (güncel dalı)

Önemli

Sürüm 2203'den itibaren bu şirket kaynak erişimi özelliği artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.

Configuration Manager'de sertifika altyapısını yapılandırmayı öğrenin. Başlamadan önce Sertifika profilleri için önkoşullar bölümünde listelenen önkoşulları denetleyin.

Altyapınızı SCEP veya PFX sertifikaları için yapılandırmak için bu adımları kullanın.

1. Adım - Ağ Cihazı Kayıt Hizmeti ve Bağımlılıklarını Yükleme ve Yapılandırma (yalnızca SCEP sertifikaları için)

Active Directory Sertifika Hizmetleri (AD CS) için Ağ Cihazı Kayıt Hizmeti rol hizmetini yükleyip yapılandırmanız, sertifika şablonlarındaki güvenlik izinlerini değiştirmeniz, ortak anahtar altyapısı (PKI) istemci kimlik doğrulama sertifikası dağıtmanız ve Internet Information Services (IIS) varsayılan URL boyutu sınırını artırmak için kayıt defterini düzenlemeniz gerekir. Gerekirse, sertifika veren sertifika yetkilisini (CA) özel geçerlilik süresine izin verecek şekilde de yapılandırmanız gerekir.

Önemli

Configuration Manager Ağ Cihazı Kayıt Hizmeti ile çalışacak şekilde yapılandırmadan önce Ağ Cihazı Kayıt Hizmeti'nin yüklemesini ve yapılandırmasını doğrulayın. Bu bağımlılıklar düzgün çalışmıyorsa, Configuration Manager kullanarak sertifika kaydı sorunlarını gidermekte zorluk çekersiniz.

Ağ Cihazı Kayıt Hizmeti'ni ve bağımlılıklarını yüklemek ve yapılandırmak için

1. R2 Windows Server 2012 çalıştıran bir sunucuda, Active Directory Sertifika Hizmetleri sunucu rolü için Ağ Cihazı Kayıt Hizmeti rol hizmetini yükleyin ve yapılandırın. Daha fazla bilgi için bkz. Ağ Cihazı Kayıt Hizmeti Kılavuzu.

2. Ağ Cihazı Kayıt Hizmeti'nin kullandığı sertifika şablonlarının güvenlik izinlerini denetleyin ve gerekirse değiştirin:

   • Configuration Manager konsolunu çalıştıran hesap için: Okuma izni.

     Sertifika Profili Oluşturma Sihirbazı'nı çalıştırdığınızda bir SCEP ayarları profili oluştururken kullanmak istediğiniz sertifika şablonunu seçmek için bu izin gereklidir. Sertifika şablonu seçmek, sihirbazdaki bazı ayarların otomatik olarak doldurulması anlamına gelir, dolayısıyla yapılandırmanız daha azdır ve Ağ Cihazı Kayıt Hizmeti'nin kullandığı sertifika şablonlarıyla uyumlu olmayan ayarları seçme riski daha düşüktür.

   • Ağ Cihazı Kayıt Hizmeti uygulama havuzunun kullandığı SCEP Hizmeti hesabı için: Okuma ve Kaydetme izinleri.

     Bu gereksinim Configuration Manager özel değildir, ancak Ağ Cihazı Kayıt Hizmeti'ni yapılandırmanın bir parçasıdır. Daha fazla bilgi için bkz. Ağ Cihazı Kayıt Hizmeti Kılavuzu.

   İpucu

   Ağ Cihazı Kayıt Hizmeti'nin hangi sertifika şablonlarını kullandığını belirlemek için, Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucuda aşağıdaki kayıt defteri anahtarını görüntüleyin: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Not

   Bunlar çoğu ortam için uygun olacak varsayılan güvenlik izinleridir. Ancak alternatif bir güvenlik yapılandırması kullanabilirsiniz. Daha fazla bilgi için bkz . Sertifika profilleri için sertifika şablonu izinlerini planlama.

3. Bu sunucuya istemci kimlik doğrulamasını destekleyen bir PKI sertifikası dağıtın. Bilgisayarınızda kullanabileceğiniz uygun bir sertifika zaten yüklü olabilir veya bu amaçla özel olarak bir sertifika dağıtmanız (veya tercih etmek) gerekebilir. Bu sertifikanın gereksinimleri hakkında daha fazla bilgi için, Configuration Manager için PKI sertifika gereksinimleri bölümündeki Sunucular için PKI Sertifikaları bölümündeki Ağ Cihazı Kayıt Hizmeti rol hizmetiyle Configuration Manager İlke Modülünü çalıştıran Sunucular ayrıntılarına bakın.

   İpucu

   Bu sertifikayı dağıtırken yardıma ihtiyacınız varsa, sertifika gereksinimleri tek bir özel durumla aynı olduğundan, Dağıtım Noktaları için İstemci Sertifikasını Dağıtma yönergelerini kullanabilirsiniz:

   • Sertifika şablonunun özelliklerinin İstek İşleme sekmesinde Özel anahtarın dışarı aktarılmasına izin ver onay kutusunu seçmeyin.

     Bu sertifikayı özel anahtarla dışarı aktarmanız gerekmez çünkü yerel Bilgisayar deposuna göz atabilir ve Configuration Manager İlke Modülünü yapılandırırken sertifikayı seçebilirsiniz.

4. İstemci kimlik doğrulama sertifikasının zincirlediğini kök sertifikayı bulun. Ardından, bu kök CA sertifikasını bir sertifika (.cer) dosyasına aktarın. Bu dosyayı, daha sonra sertifika kayıt noktası için site sistemi sunucusunu yükleyip yapılandırırken güvenli bir şekilde erişebileceğiniz güvenli bir konuma kaydedin.

5. Aynı sunucuda, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters aşağıdaki kayıt defteri anahtarı DWORD değerlerini ayarlayarak IIS varsayılan URL boyutu sınırını artırmak için kayıt defteri düzenleyicisini kullanın:

   • MaxFieldLength anahtarını 65534 olarak ayarlayın.

   • MaxRequestBytes anahtarını 16777216 olarak ayarlayın.

     Daha fazla bilgi için windows için kayıt defteri ayarlarını Http.sys 820129 Microsoft Desteği makalesine bakın.

6. Aynı sunucuda, Internet Information Services (IIS) Yöneticisi'nde /certsrv/mscep uygulamasının istek filtreleme ayarlarını değiştirin ve sunucuyu yeniden başlatın. İstek Filtreleme Ayarlarını Düzenle iletişim kutusunda İstek Sınırları ayarları aşağıdaki gibi olmalıdır:

   • İzin verilen en fazla içerik uzunluğu (Bayt): 30000000

   • En fazla URL uzunluğu (Bayt): 65534

   • En fazla sorgu dizesi (Bayt): 65534

     Bu ayarlar ve bunları yapılandırma hakkında daha fazla bilgi için bkz. IIS İstek Sınırları.

7. Kullanmakta olduğunuz sertifika şablonundan daha düşük geçerlilik süresine sahip bir sertifika istemek istiyorsanız: Bu yapılandırma, kuruluş CA'sı için varsayılan olarak devre dışıdır. Kurumsal CA'da bu seçeneği etkinleştirmek için Certutil komut satırı aracını kullanın ve ardından aşağıdaki komutları kullanarak sertifika hizmetini durdurup yeniden başlatın:

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      Daha fazla bilgi için bkz . Sertifika hizmetleri araçları ve ayarları.

8. Örnek olarak aşağıdaki bağlantıyı kullanarak Ağ Cihazı Kayıt Hizmeti'nin çalıştığını doğrulayın: https://server.contoso.com/certsrv/mscep/mscep.dll. Yerleşik Ağ Cihazı Kayıt Hizmeti web sayfasını görmeniz gerekir. Bu web sayfası hizmetin ne olduğunu açıklar ve ağ cihazlarının sertifika isteklerini göndermek için URL'yi kullandığını açıklar.

   Ağ Cihazı Kayıt Hizmeti ve bağımlılıkları yapılandırıldığına göre, sertifika kayıt noktasını yüklemeye ve yapılandırmaya hazırsınız.

2. Adım: Sertifika kayıt noktasını yükleyin ve yapılandırın.

Configuration Manager hiyerarşisinde en az bir sertifika kayıt noktası yükleyip yapılandırmanız gerekir ve bu site sistemi rolünü merkezi yönetim sitesine veya birincil siteye yükleyebilirsiniz.

Önemli

Sertifika kayıt noktasını yüklemeden önce, sertifika kayıt noktası için işletim sistemi gereksinimleri ve bağımlılıkları için Configuration Manager için desteklenen yapılandırmalar konusunun Site Sistem Gereksinimleri bölümüne bakın.

Sertifika kayıt noktasını yüklemek ve yapılandırmak için

1. Configuration Manager konsolunda Yönetim'e tıklayın.

2. Yönetim çalışma alanında Site Yapılandırması'nı genişletin, Sunucular ve Site Sistemi Rolleri'ne tıklayın ve sertifika kayıt noktası için kullanmak istediğiniz sunucuyu seçin.

3. Giriş sekmesinin Sunucu grubunda Site Sistemi Rolleri Ekle'ye tıklayın.

4. Genel sayfasında, site sisteminin genel ayarlarını belirtin ve İleri'ye tıklayın.

5. Proxy sayfasında İleri'ye tıklayın. Sertifika kayıt noktası İnternet proxy ayarlarını kullanmaz.

6. Sistem Rolü Seçimi sayfasında, kullanılabilir roller listesinden Sertifika kayıt noktası'nı seçin ve ardından İleri'ye tıklayın.

7. Sertifika Kayıt Modu sayfasında, bu sertifika kayıt noktasının SCEP sertifika isteklerini işleme veya PFX sertifika isteklerini işleme olmasını isteyip istemediğinizi seçin. Sertifika kayıt noktası her iki tür isteği de işleyemez, ancak her iki sertifika türüyle de çalışıyorsanız birden çok sertifika kayıt noktası oluşturabilirsiniz.

   PFX sertifikalarını işliyorsanız, Microsoft veya Güvenen bir sertifika yetkilisi seçmeniz gerekir.

8. Sertifika Kayıt Noktası Ayarları sayfası, sertifika türüne göre değişir:

   • SCEP sertifika isteklerini işle'yi seçtiyseniz aşağıdakileri yapılandırın:

     • Sertifika kayıt noktası için web sitesi adı, HTTPS bağlantı noktası numarası ve Sanal uygulama adı. Bu alanlar otomatik olarak varsayılan değerlerle doldurulur.
     • Ağ Cihazı Kayıt Hizmeti ve kök CA sertifikası URL'si - Ekle'ye tıklayın, ardından URL ve Kök CA Sertifikası Ekle iletişim kutusunda aşağıdakileri belirtin:
       • Ağ Cihazı Kayıt Hizmeti URL'si: URL'yi şu biçimde belirtin: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Örneğin, Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucunuzun FQDN'sinin server1.contoso.com ise yazın https://server1.contoso.com/certsrv/mscep/mscep.dll.
       • Kök CA Sertifikası: 1. Adım: Ağ Cihazı Kayıt Hizmeti'ni ve bağımlılıklarını yükleyip yapılandırarak oluşturduğunuz ve kaydettiğiniz sertifika (.cer) dosyasına gidin ve dosyayı seçin. Bu kök CA sertifikası, sertifika kayıt noktasının Configuration Manager İlke Modülü tarafından kullanılacak istemci kimlik doğrulama sertifikasını doğrulamasını sağlar.

   • PFX sertifika isteklerini işle'yi seçtiyseniz, seçili sertifika yetkilisi için bağlantı ayrıntılarını ve kimlik bilgilerini yapılandırabilirsiniz.

     • Sertifika yetkilisi olarak Microsoft kullanmak için Ekle'ye tıklayın, ardından Sertifika Yetkilisi ve Hesap Ekle iletişim kutusunda aşağıdakileri belirtin:

       • Sertifika Yetkilisi Sunucu Adı - Sertifika yetkilisi sunucunuzun adını girin.

       • Sertifika Yetkilisi Hesabı - Sertifika yetkilisindeki şablonlara kaydolma izinlerine sahip hesabı seçmek veya oluşturmak için Ayarla'ya tıklayın.

       • Sertifika Kayıt Noktası Bağlantı Hesabı - Sertifika kayıt noktasını Configuration Manager veritabanına bağlayan hesabı seçin veya oluşturun. Alternatif olarak, sertifika kayıt noktasını barındıran bilgisayarın yerel bilgisayar hesabını kullanabilirsiniz.

       • Active Directory Sertifika Yayımlama Hesabı - Bir hesap seçin veya Active Directory'deki kullanıcı nesnelerine sertifika yayımlamak için kullanılacak yeni bir hesap oluşturun.

       • Ağ Cihazı Kaydı ve kök CA sertifikasının URL'sinde aşağıdakileri belirtin ve ardından Tamam'a tıklayın:

     • Sertifika yetkilisi olarak Entrust kullanmak için şunları belirtin:

       • MDM web hizmeti URL'si

       • URL'nin kullanıcı adı ve parola kimlik bilgileri.

         Entrust web hizmeti URL'sini tanımlamak için MDM API'sini kullanırken, aşağıdaki örnekte gösterildiği gibi API'nin en az 9 sürümünü kullandığınızdan emin olun:

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         API'nin önceki sürümleri Entrust'ı desteklemez.

9. İleri'ye tıklayın ve sihirbazı tamamlayın.

10. Yüklemenin bitmesine izin vermek için birkaç dakika bekleyin ve ardından aşağıdaki yöntemlerden herhangi birini kullanarak sertifika kayıt noktasının başarıyla yüklendiğini doğrulayın:

    • İzleme çalışma alanında Sistem Durumu'nu genişletin, Bileşen Durumu'na tıklayın ve SMS_CERTIFICATE_REGISTRATION_POINT bileşeninden durum iletilerini arayın.

    • Site sistemi sunucusunda ConfigMgr Yükleme Yolu>\Logs\crpsetup.log dosyasını ve ConfigMgr Yükleme Yolu\Logs\crpmsi.log dosyasını kullanın<.>< Başarılı bir yükleme 0 çıkış kodu döndürür.

    • Tarayıcı kullanarak sertifika kayıt noktasının URL'sine bağlanabildiğinizi doğrulayın. Örneğin, https://server1.contoso.com/CMCertificateRegistration. Uygulama adı için HTTP 404 açıklaması içeren bir Sunucu Hatası sayfası görmeniz gerekir.

11. Birincil site sunucusu bilgisayarındaki şu klasörde sertifika kayıt noktasının otomatik olarak oluşturduğu kök CA için dışarı aktarılan sertifika dosyasını bulun: <ConfigMgr Yükleme Yolu>\inboxes\certmgr.box. Bu dosyayı daha sonra Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucuya Configuration Manager İlke Modülü'ne yüklediğinizde güvenli bir şekilde erişebileceğiniz güvenli bir konuma kaydedin.

    İpucu

    Bu sertifika bu klasörde hemen kullanılamaz. Configuration Manager dosyayı bu konuma kopyalamadan önce bir süre (örneğin, yarım saat) beklemeniz gerekebilir.

3. Adım - Configuration Manager İlkesi Modülünü yükleyin (yalnızca SCEP sertifikaları için).

2. Adım: Sertifika kayıt noktasının özelliklerinde Ağ Cihazı Kayıt Hizmeti'nin URL'si olarak sertifika kayıt noktasını yükleme ve yapılandırma bölümünde belirttiğiniz her sunucuya Configuration Manager İlke Modülü'ünü yükleyip yapılandırmanız gerekir.

İlke Modülünü yüklemek için

1. Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucuda, etki alanı yöneticisi olarak oturum açın ve aşağıdaki dosyaları Configuration Manager yükleme medyasının <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 klasöründen geçici bir klasöre kopyalayın:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Ayrıca, yükleme medyasında bir LanguagePack klasörünüz varsa, bu klasörü ve içeriğini kopyalayın.

2. geçici klasörden PolicyModuleSetup.exe çalıştırarak Configuration Manager İlkesi Modülü Kurulum sihirbazını başlatın.

3. Sihirbazın ilk sayfasında İleri'ye tıklayın, lisans koşullarını kabul edin ve ardından İleri'ye tıklayın.

4. Yükleme Klasörü sayfasında, ilke modülü için varsayılan yükleme klasörünü kabul edin veya alternatif bir klasör belirtin ve ardından İleri'ye tıklayın.

5. Sertifika Kayıt Noktası sayfasında, site sistem sunucusunun FQDN'sini ve sertifika kayıt noktası özelliklerinde belirtilen sanal uygulama adını kullanarak sertifika kayıt noktasının URL'sini belirtin. Varsayılan sanal uygulama adı CMCertificateRegistration'dır. Örneğin, site sistem sunucusunda FQDN server1.contoso.com varsa ve varsayılan sanal uygulama adını kullandıysanız belirtin https://server1.contoso.com/CMCertificateRegistration.

6. Varsayılan 443 bağlantı noktasını kabul edin veya sertifika kayıt noktasının kullandığı alternatif bağlantı noktası numarasını belirtin ve İleri'ye tıklayın.

7. İlke Modülü için İstemci Sertifikasısayfasında, 1. Adım: Ağ Cihazı Kayıt Hizmeti'ni ve bağımlılıklarını yükleyip yapılandırın veardından İleri'ye tıklayın.

8. Sertifika Kayıt Noktası Sertifikası sayfasında, 2. Adım: Sertifika kayıt noktasını yükleme ve yapılandırma işleminin sonunda bulunan ve kaydettiğiniz kök CA'nın dışarı aktarılan sertifika dosyasını seçmek için Gözat'a tıklayın.

   Not

   Bu sertifika dosyasını daha önce kaydetmediyseniz, site sunucusu bilgisayarındaki <ConfigMgr Yükleme Yolu>\inboxes\certmgr.box içinde bulunur.

9. İleri'ye tıklayın ve sihirbazı tamamlayın.

   Configuration Manager İlkesi Modülünü kaldırmak istiyorsanız, Denetim Masası'deki Programlar ve Özellikler'i kullanın.

Yapılandırma adımlarını tamamladığınıza göre, sertifika profilleri oluşturup dağıtarak kullanıcılara ve cihazlara sertifika dağıtmaya hazırsınız. Sertifika profilleri oluşturma hakkında daha fazla bilgi için bkz. Sertifika profilleri oluşturma.