瞭解自我簽署憑證需求
上次修改主題的時間: 2009-05-27
本節將概要說明需要安裝自我簽署憑證的行動裝置。如果您的組織使用公用憑證授權單位 (CA),根憑證可能已經安裝在您的行動裝置上。安裝憑證是很重要的工作。只有必須在行動裝置上安裝自我簽署憑證的使用者才需要本節中的說明。安裝憑證時,請確認沒有正在執行 Communicator Mobile。如果您不這麼做,可能需要重新啟動裝置,才能使用憑證。
憑證的角色
憑證可對 Office Communicator Mobile 所連線的 Office Communications Server 2007 R2 加以驗證,以維護網路的安全。為了執行驗證,Office Communicator Mobile 必須在裝置上安裝屬於伺服器憑證的根憑證。如果您的組織使用公用憑證授權單位,根憑證可能已經安裝在使用者的行動裝置上。
根據預設,Windows Mobile 裝置隨附各種憑證。如需目前 Windows Mobile 6 裝置隨附的憑證清單,請參閱 Microsoft 網站 Windows Mobile 5.0 和 Windows Mobile 6 的憑證 (英文)。繼續作業之前,請確認行動裝置上尚未安裝屬於伺服器憑證的根憑證。
憑證工具
以下內容會介紹一些用來在 Windows Mobile 裝置上安裝根憑證的工具及原則,並說明各種安裝程序。在您安裝憑證之前,應該先熟悉用來在 Windows Mobile 裝置上安裝憑證的一些工具及原則。
SPAddCert
利用 SPAddCert 公用程式,您可以在具有「未限制應用程式安全性」原則的 Windows Mobile 裝置上加入根憑證,但是無法用來安裝中繼 CA 憑證。
如果行動服務業者曾經對裝置設限,當您嘗試執行 SPAddCert 時,會出現下列錯誤訊息:「裝置目前受到保護,無法將憑證加到主要儲存區。如需支援,請洽裝置管理員。」
只有經由行動服務業者簽署和散發的 SPAddCert 版本,才能在受限制的裝置上執行。如需詳細資料或要下載 SPAddCert 公用程式,請參閱 Microsoft 知識庫文件 841060<如何新增根目錄憑證至 Windows Mobile 2003 Smartphone 和 Windows Mobile 2002 Smartphone>,網址為 https://go.microsoft.com/fwlink/?LinkId=126908。
SPAddCert 資訊
- 為了使未簽署的應用程式 (例如 SPAddCert) 能在裝置上順利執行,裝置上的 Unsigned Applications 原則 (4102) 必須設定為 1;預設值為 0。如果原則的設定不正確,SPAddCert 將無法順利執行。
- 您可以手動編輯登錄來修改此原則設定。這麼做也可能讓其他未簽署的應用程式得以執行,而導致安全性風險。
- 如果要在登錄中修改此原則設定,請移至登錄機碼 HKEY\LOCAL_MACHINE\Security\Policies\Policies\。在 00001006 (4102) 底下,將值變更為 1。必要時請建立一個新的 DWORD 值。
Certinst 和 Grant Manager 原則
Certinst 是 Pocket PC 裝置的內建公用程式,可以在選取憑證時安裝憑證。您可以使用 Certinst 安裝根憑證或中繼 CA 憑證。Grant Manager 原則是 Windows Mobile 裝置上的安全性原則,可以在安裝新應用程式或憑證時,指定您對裝置資源的存取層級。例如,您的帳號必須是 Pocket PC 上的管理員角色,才能在裝置上使用內建的 Certinst 公用程式安裝憑證。當 Grant Manager 原則的值設定為 USER_AUTH (16) 時,就會將管理員角色授與您的帳號。
Certinst 和 Grant Manager 資訊
- 為了讓 Certinst 順利執行,裝置上的 Grant Manager 原則 (4119) 必須設定為 16,以識別 USER_AUTH 角色。依照預設,此原則是設定為 128 (OPERATOR_TPS 角色)。如果原則的設定不正確,Certinst 就無法順利執行。
您可以手動編輯登錄或裝置佈建檔案,來加入 USER_AUTH 角色。不過,這麼做您會將 USER_AUTH 安全性角色的權限提升到系統管理員權限,這可能會有安全性風險。
如果要在登錄中修改此原則設定,請移至登錄機碼 HKEY\LOCAL_MACHINE\Security\Policies\Policies\。在 ‘00001017’ (4119) 底下,將數值變更為 16。 - 如果您的裝置上沒有內建的登錄編輯器可修改 Grant Manager 原則,則可以使用網路上其中一種免費的登錄編輯器。