設定與內部部署 MDM 的信任通訊憑證

  • 發行項

適用於:Configuration Manager (目前的分支)

Configuration Manager內部部署行動裝置管理 (MDM) 需要您設定月臺系統角色,以便與受控裝置進行信任的通訊。 您需要兩種類型的憑證:

  • IIS 中裝載必要月臺系統角色之伺服器上的 Web 服務器 證書。 如果一部伺服器裝載多個月臺系統角色,則該伺服器只需要一個憑證。 如果每個角色都位於不同的伺服器上,則每部伺服器都需要個別的憑證。

  • 發行 Web 服務器證書之憑證授權單位單位的 受信任根憑證 (CA) 。 在需要連線到月臺系統角色的所有裝置上安裝此根憑證。

針對已加入網域的裝置,如果您使用 Active Directory 憑證服務,它可以在所有裝置上自動安裝這些憑證。 對於未加入網域的裝置,請以其他方式安裝受信任的根憑證。

針對大量註冊的裝置,您可以在註冊套件中包含憑證。 針對使用者註冊的裝置,您必須透過電子郵件、Web 下載或其他方法來新增憑證。

如果您使用公用和全域信任的憑證提供者來發行伺服器憑證,您可以避免必須在每個裝置上手動安裝受信任的根憑證。 大部分的裝置原本就信任這些公用機關。 此方法是使用者註冊裝置的實用替代方案,而不是透過其他方式安裝憑證。

重要事項

有許多方式可設定裝置與內部部署 MDM 之月臺系統伺服器之間信任通訊的憑證。 本文中的資訊是其中一種方式的範例。 此方法需要具有憑證授權單位單位和憑證授權單位單位 Web 註冊角色的 Active Directory 憑證服務。 如需詳細資訊,請參閱 Active Directory 憑證服務

發佈 CRL

根據預設,Active Directory 憑證授權單位單位 (CA) 會使用 LDAP 型憑證撤銷清單 (CRL) 。 它允許連線到已加入網域之裝置的 CRL。 若要允許未加入網域的裝置信任從 CA 簽發的憑證,請新增以 HTTP 為基礎的 CRL。

  1. 在執行您網站憑證授權單位單位的伺服器上,移至 [ 開始 ] 功能表,選取 [ 系統管理工具],然後選擇 [ 憑證授權單位單位]

  2. 在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [CertificateAuthority],然後選取 [ 屬性]

  3. 在 CertificateAuthority 屬性中,切換至 [ 延伸模組] 索引卷 標。請確定 [選取延伸 模組] 已設定為 CRL 發佈點 (CDP)

  4. 選取 http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl 。 然後選取下列選項:

    • 包含在 CRL 中。 用戶端會使用此選項來尋找 Delta CRL 位置。

    • 包含在已發行憑證的 CDP 擴充功能中。

    • 包含在所發行 CRL 的 IDP 擴充功能中

  5. 切換至 [ 結束模組] 索引卷 標。選取 [屬性],然後選取 [ 允許將憑證發佈至檔案系統]。 您會看到重新開機 Active Directory 憑證服務的通知。

  6. 以滑鼠右鍵按一下 [撤銷憑證],選取 [ 所有工作],然後選擇 [ 發佈]

  7. 在 [發佈 CRL] 視窗中,選取 [ 僅限 Delta CRL],然後選取 [ 確定 ] 以關閉視窗。

建立憑證範本

CA 會使用 Web 服務器憑證範本,為裝載月臺系統角色的伺服器簽發憑證。 這些伺服器將是月臺系統角色與已註冊裝置之間信任通訊的 SSL 端點。

  1. 建立名為 ConfigMgr MDM 伺服器的網域安全性群組。 將月臺系統伺服器的電腦帳戶新增至群組。

  2. 在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],然後選擇 [ 管理]。 此動作會載入憑證範本主控台。

  3. 在結果窗格中,以滑鼠右鍵按一下 [範本顯示名稱] 資料行中顯示Web 服務器的專案,然後選取 [複製範本]

  4. 在 [複製範本] 視窗中,選取[Windows 2003 Server]、[Enterprise Edition] 或 [Windows 2008 伺服器],Enterprise Edition],然後選取 [確定]

    提示

    Configuration Manager支援 Windows 2008 Server 憑證範本,也稱為 V3 或密碼編譯:新一代 (CNG) 憑證。 如需詳細資訊,請參閱 CNG v3 憑證概觀

    如果您的 CA 在 Windows Server 2012 或更新版本上執行,則此視窗不會顯示憑證範本版本的選項。 複製範本之後,請在範本屬性的 [ 相容性 ] 索引標籤上選取版本。

  5. 在 [ 新增範本的屬性 ] 視窗的 [一 ] 索引標籤上,輸入範本名稱。 CA 會使用此名稱來產生將用於Configuration Manager月臺系統上的 Web 憑證。 例如,輸入 ConfigMgr MDM 網頁伺服器

  6. 切換至 [ 主體名稱] 索引標籤,然後 選取 [從 Active Directory 資訊建置]。 針對主體名稱格式,指定 DNS 名稱。 如果選取 了 UPN (使用者主體名稱) ,請停用替代主體名稱的選項。

  7. 切換至 [ 安全性] 索引 標籤。

    1. 網域管理員和企業系統管理員安全性群組移除註冊許可權。

    2. 選取 [新增],然後輸入安全性群組的名稱。 例如, ConfigMgr MDM 伺服器。 選取 [確定 ] 以關閉視窗。

    3. 選取此群組的 [註冊 ] 許可權。 請勿移除 取許可權。

  8. 選取 [確定 ] 以儲存您的變更,然後關閉 [憑證範本] 主控台。

  9. 在 [憑證授權單位單位] 主控台中,以滑鼠右鍵按一下 [ 憑證範本],選取 [ 新增],然後選擇 [要發出的憑證範本]

  10. 在 [ 啟用憑證範本 ] 視窗中,選取新的範本。 例如, ConfigMgr MDM 網頁伺服器。 然後選取 [確定] 以儲存並關閉視窗。

要求憑證

此程式描述如何要求 IIS 的 Web 服務器證書。 針對裝載內部部署 MDM 其中一個角色的每部月臺系統伺服器執行此程式。

  1. 在裝載其中一個角色的月臺系統伺服器上,以系統管理員身分開啟命令提示字元。 輸入 mmc 以開啟空白Microsoft管理主控台。

  2. 在主控台視窗中,移至 [ 檔案] 功能表,然後選取 [ 新增/移除嵌入式管理單元]

    1. 從可用的嵌入式管理單元清單中選擇 [ 憑證 ],然後選取 [ 新增]

    2. 在 [憑證] 嵌入式管理單元視窗中,選擇 [ 電腦帳戶]。 選取 [下一步],然後選取 [ 完成 ] 以管理本機電腦。

    3. 選取 [確定] 結束 [新增或移除嵌入式管理單元] 視窗。

  3. 展開 [本機電腦 (憑證) ],然後選取 [個人 ] 存放區。 移至 [ 動作] 功能表,選取 [ 所有工作],然後選擇 [ 要求新憑證]。 此動作會與 Active Directory 憑證服務通訊,以使用您先前建立的範本建立新的憑證。

    1. 在 [憑證註冊精靈] 的 [開始之前] 頁面上,選取 [ 下一步]

    2. 在 [選取憑證註冊原則] 頁面上,選取 [ Active Directory 註冊原則],然後選取 [ 下一步]

    3. (ConfigMgr MDM Web Server) 選取您的 Web 服務器憑證範本,然後選取 [ 註冊]

    4. 要求憑證之後,選取 [ 完成]

每部伺服器都需要唯一的 Web 服務器證書。 針對裝載其中一個必要月臺系統角色的每部伺服器重複此程式。 如果一部伺服器裝載所有月臺系統角色,您只需要要求一個 Web 服務器證書。

系結憑證

下一個步驟是將新的憑證系結至 Web 服務器。 針對裝載 註冊點註冊 Proxy 點 月臺系統角色的每部伺服器,請遵循此程式。 如果一部伺服器裝載所有月臺系統角色,您只需要執行此程式一次。

注意事項

您不需要針對發佈點和裝置管理點月臺系統角色執行此程式。 他們會在註冊期間自動收到必要的憑證。

  1. 在裝載註冊點或註冊 Proxy 點的伺服器上,移至 [ 開始 ] 功能表,選取 [ 系統管理工具],然後選擇 [IIS 管理員]

  2. 在 [連線] 清單中,選取 [預設網站],然後選取 [ 編輯系結]

    1. 在 [網站系結] 視窗中,選取 [HTTPs],然後選取 [ 編輯]

    2. 在 [編輯網站系結] 視窗中,選取新註冊的 SSL 憑證憑證。 選取 [確定 ] 以儲存,然後選取 [ 關閉]

  3. 在 IIS 管理員主控台的 [連線] 清單中,選取網頁伺服器。 在右側的 [動作] 面板中,選取 [ 重新開機]。 此動作會重新開機 Web 服務器服務。

匯出受信任的根憑證

Active Directory 憑證服務會自動在所有已加入網域的裝置上,從 CA 安裝必要的憑證。 若要取得未加入網域的裝置與月臺系統角色通訊所需的憑證,請從系結至網頁伺服器的憑證匯出憑證。

  1. 在 [IIS 管理員] 中,選取 [預設網站]。 在右側的 [動作] 面板中,選取 [ 系結]

  2. 在 [網站系結] 視窗中,選取 [HTTPs],然後選取 [ 編輯]

  3. 選取 Web 服務器證書,然後選取 [ 檢視]

  4. 在 Web 服務器證書的內容中,切換至 [ 認證路徑] 索引卷 標。選取認證路徑的根目錄,然後選 取 [檢視憑證]

  5. 在根憑證的內容中,切換至 [詳細資料] 引標籤,然後選取 [ 複製到檔案]

  6. 在 [憑證匯出精靈] 的 [歡迎使用] 頁面上,選取 [ 下一步]

  7. 取 DER 編碼的二進位 X.509 (。CER) 格式,然後選取 [ 下一步]

  8. 輸入路徑和檔案名以識別此受信任的根憑證。 針對檔案名,按一下 [ 流覽...],選擇儲存憑證檔案的位置、為檔案命名,然後選取 [ 下一步]

  9. 檢閱設定,然後選取 [完成] 將憑證匯出至檔案。

根據您的憑證授權單位單位設計,您可能需要匯出其他次級 CA 根憑證。 重複此程式,以匯出 Web 服務器證書認證路徑中的其他憑證。

下一步

設定裝置註冊