为与本地 MDM 的受信任通信设置证书
适用于: Configuration Manager(current branch)
Configuration Manager本地移动设备管理 (MDM) 要求配置站点系统角色,以便与托管设备进行受信任的通信。 需要两种类型的证书:
承载所需站点系统角色的服务器上的 IIS 中的 Web 服务器证书 。 如果一台服务器托管多个站点系统角色,则只需为该服务器提供一个证书。 如果每个角色位于单独的服务器上,则每个服务器都需要单独的证书。
颁发 Web 服务器证书的证书颁发机构 (CA) 受信任的 根 证书。 在需要连接到站点系统角色的所有设备上安装此根证书。
对于已加入域的设备,如果使用 Active Directory 证书服务,它可以在所有设备上自动安装这些证书。 对于未加入域的设备,请通过某种其他方式安装受信任的根证书。
对于批量注册的设备,可以在注册包中包含证书。 对于用户注册的设备,需要通过电子邮件、Web 下载或其他方法添加证书。
如果使用公共和全局受信任的证书提供程序颁发服务器证书,则可以避免在每台设备上手动安装受信任的根证书。 大多数设备原生信任这些公共机构。 此方法是用户注册设备的有用替代方法,而不是通过其他方式安装证书。
重要
可通过多种方式为设备和本地 MDM 的站点系统服务器之间的受信任通信设置证书。 本文中的信息是一种执行此操作的方法的示例。 此方法需要具有证书颁发机构和证书颁发机构 Web 注册角色的 Active Directory 证书服务。 有关详细信息,请参阅 Active Directory 证书服务。
发布 CRL
默认情况下,ACTIVE Directory 证书颁发机构 (CA) 使用基于 LDAP 的证书吊销列表 (CRL) 。 它允许对已加入域的设备连接到 CRL。 若要允许未加入域的设备信任从 CA 颁发的证书,请添加基于 HTTP 的 CRL。
在为站点运行证书颁发机构的服务器上,转到“ 开始 ”菜单,选择“ 管理工具”,然后选择“ 证书颁发机构”。
在证书颁发机构控制台中,右键单击“ CertificateAuthority”,然后选择“ 属性”。
在 CertificateAuthority 属性中,切换到“ 扩展 ”选项卡。确保 选择扩展 设置为 CRL 分发点 (CDP) 。
选择
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl。 然后选择以下选项:包含在 CRL 中。 客户端使用此来查找 Delta CRL 位置。
包含在已颁发证书的 CDP 扩展中。
包含在已颁发 CRL 的 IDP 扩展中
切换到“ 退出模块 ”选项卡。选择 “属性”,然后选择“ 允许将证书发布到文件系统”。 你将看到重启 Active Directory 证书服务的通知。
右键单击“ 吊销的证书”,选择“ 所有任务”,然后选择“ 发布”。
在“发布 CRL”窗口中,选择“ 仅限增量 CRL”,然后选择“ 确定” 以关闭该窗口。
创建证书模板
CA 使用 Web 服务器证书模板为托管站点系统角色的服务器颁发证书。 这些服务器将是用于站点系统角色与已注册设备之间的受信任通信的 SSL 终结点。
创建名为 ConfigMgr MDM 服务器的域安全组。 将站点系统服务器的计算机帐户添加到组中。
在证书颁发机构控制台中,右键单击“ 证书模板”,然后选择“ 管理”。 此操作加载证书模板控制台。
在结果窗格中,右键单击“模板显示名称”列中显示 Web 服务器的条目,然后选择“复制模板”。
在“复制模板”窗口中,选择“Windows 2003 Server”、“Enterprise Edition”或“Windows 2008 Server”、“Enterprise Edition”,然后选择“确定”。
提示
Configuration Manager支持 Windows 2008 服务器证书模板(也称为 V3 或加密:下一代 (CNG) 证书)。 有关详细信息,请参阅 CNG v3 证书概述。
如果 CA 在 Windows Server 2012 或更高版本上运行,则此窗口不显示证书模板版本的选项。 复制模板后,请在模板属性的“ 兼容性 ”选项卡上选择版本。
在 “新模板的属性”窗口的 “ 常规 ”选项卡上,输入模板名称。 CA 使用此名称生成将在Configuration Manager站点系统上使用的 Web 证书。 例如,键入 ConfigMgr MDM Web 服务器。
切换到“ 使用者名称 ”选项卡,然后选择“ 从 Active Directory 信息生成”。 对于使用者名称格式,请指定 DNS 名称。 如果选择了 “用户主体名称” (UPN) ,请禁用备用使用者名称的选项。
切换到“ 安全性 ”选项卡。
从“域管理员”和“企业管理员”安全组中删除“注册”权限。
选择“ 添加”,然后输入安全组的名称。 例如 ,ConfigMgr MDM 服务器。 选择 “确定” 关闭窗口。
为此组选择 “注册” 权限。 不要删除 “读取 ”权限。
选择“ 确定” 以保存更改,并关闭“证书模板”控制台。
在证书颁发机构控制台中,右键单击“ 证书模板”,选择“ 新建”,然后选择“ 要颁发的证书模板”。
在 “启用证书模板” 窗口中,选择新模板。 例如 ,ConfigMgr MDM Web 服务器。 然后选择“ 确定 ”以保存并关闭窗口。
请求证书
此过程介绍如何为 IIS 请求 Web 服务器证书。 对托管本地 MDM 角色之一的每个站点系统服务器执行此过程。
在托管其中一个角色的站点系统服务器上,以管理员身份打开命令提示符。 输入
mmc以打开空Microsoft管理控制台。在控制台窗口中,转到“ 文件 ”菜单,然后选择“ 添加/删除管理单元”。
从可用管理单元列表中选择 “证书 ”,然后选择“ 添加”。
在“证书”管理单元窗口中,选择“ 计算机帐户”。 选择“ 下一步”,然后选择“ 完成 ”以管理本地计算机。
选择 “确定” 退出“添加或删除管理单元”窗口。
展开 “本地计算机) (证书 ”,然后选择“ 个人 ”存储。 转到 “操作 ”菜单,选择“ 所有任务”,然后选择“ 请求新证书”。 此操作与 Active Directory 证书服务通信,以使用之前创建的模板创建新证书。
在“证书注册”向导的“开始前”页上,选择“ 下一步”。
在“选择证书注册策略”页上,选择“ Active Directory 注册策略”,然后选择“ 下一步”。
(ConfigMgr MDM Web Server) 选择 Web 服务器 证书模板,然后选择 “注册”。
请求证书后,选择“ 完成”。
每个服务器都需要唯一的 Web 服务器证书。 对托管所需站点系统角色之一的每个服务器重复此过程。 如果一台服务器托管所有站点系统角色,则只需请求一个 Web 服务器证书。
绑定证书
下一步是将新证书绑定到 Web 服务器。 对于托管 注册点 和 注册代理点 站点系统角色的每个服务器,请遵循此过程。 如果一台服务器托管所有站点系统角色,则只需执行此过程一次。
注意
不必为分发点和设备管理点站点系统角色执行此过程。 在注册期间,他们会自动收到所需的证书。
在托管注册点或注册代理点的服务器上,转到 “开始 ”菜单,选择“ 管理工具”,然后选择 “IIS 管理器”。
在“连接”列表中,选择“ 默认网站”,然后选择“ 编辑绑定”。
在“网站绑定”窗口中,选择“ https”,然后选择“ 编辑”。
在“编辑站点绑定”窗口中,为 SSL 证书选择新注册的 证书。 选择 “确定” 进行保存,然后选择“ 关闭”。
在 IIS 管理器控制台的“连接”列表中,选择 Web 服务器。 在右侧的“操作”面板中,选择“ 重启”。 此操作将重启 Web 服务器服务。
导出受信任的根证书
Active Directory 证书服务会在所有已加入域的设备上自动从 CA 安装所需的证书。 若要获取未加入域的设备与站点系统角色通信所需的证书,请从绑定到 Web 服务器的证书中导出证书。
在 IIS 管理器中,选择 “默认网站”。 在右侧的“操作”面板中,选择“ 绑定”。
在“网站绑定”窗口中,选择“ https”,然后选择“ 编辑”。
选择 Web 服务器证书,然后选择“ 查看”。
在 Web 服务器证书的属性中,切换到“ 证书路径 ”选项卡。选择证书路径的根目录,然后选择“ 查看证书”。
在根证书的属性中,切换到“ 详细信息 ”选项卡,然后选择“ 复制到文件”。
在“证书导出向导”的“欢迎”页上,选择“ 下一步”。
选择 DER 编码的二进制 X.509 (。CER) 作为格式,然后选择“ 下一步”。
输入路径和文件名以标识此受信任的根证书。 对于文件名,请单击“ 浏览...”,选择保存证书文件的位置,命名文件,然后选择“ 下一步”。
查看设置,然后选择“ 完成 ”,将证书导出到文件。
根据证书颁发机构的设计,可能需要导出其他从属 CA 根证书。 重复此过程以导出 Web 服务器证书的证书路径中的其他证书。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈