如何設定原則模組以便在 Configuration Manager 中使用新用戶端憑證
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
執行 Configuration Manager 原則模組和網路裝置註冊服務角色服務的伺服器,會使用用戶端憑證對 System Center 2012 Configuration Manager 中的憑證登錄點站台系統伺服器驗證原則模組。 通常用戶端驗證憑證有效期間為一年。 在憑證到期之前更新憑證、更新新憑證的登錄,然後重新啟動執行網路裝置註冊服務的 Web 伺服器。
.jpeg "System_CAPS_note") 注意事項 |
|---|
如果憑證已到期,"ERROR("Failed to send http request <thumbprint>.Error 12037" 會出現在執行網路裝置註冊服務的伺服器上的 NDESPlugin.log 檔案中。錯誤訊息中的 <thumbprint> 會以到期憑證的憑證指紋取代。 |
若要更新憑證:
如果您已經以手動的方式要求此用戶端憑證,請手動要求新憑證。 如果您需要協助部署此憑證,您可以使用為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位主題中的部署發佈點的用戶端憑證指示,但是有一項例外:請勿在憑證範本內容的 [要求處理] 索引標籤上選取 [允許匯出私密金鑰] 核取方塊。
如果您已使用群組原則註冊自動部署此用戶端憑證,則預設設定會在原始憑證到期之前自動要求新憑證。
在將新憑證部署在執行網路裝置服務及 Configuration Manager 原則模組的伺服器上之後,使用下列程序將伺服器設定為使用新憑證。
將原則模組設定為使用新用戶端憑證
-
在執行網路裝置註冊服務及 Configuration Manager 原則模組的伺服器上,開啟登錄編輯程式並且以下列登錄機碼將舊憑證指紋替換為新憑證指紋:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint。
.jpeg "System_CAPS_tip")
提示若要識別新憑證的指紋,請使用憑證嵌入式管理單元找出電腦存放區中的憑證。 然後以滑鼠右鍵按一下憑證,依序按一下 [內容]、[檢視憑證]、[詳細資料] 索引標籤,然後捲動並選取 [指紋]。 您接著會看見此憑證之憑證指紋的十六進位字元字串,並且能夠加以複製。
-
使用下列其中一種方法重新啟動 Web 伺服器的服務:
從 Internet Information Services (IIS) 管理員:瀏覽至樹狀結構中的 Web 伺服器節點。 在 [動作] 窗格中,按一下 [重新啟動]。
從命令列:輸入 iisreset /restart 並按 Enter。
如需詳細資訊,請參閱 TechNet 上 Windows Server 文件庫中的 Start or Stop the Web Server (IIS 8) (啟動或停止 Web 伺服器 (IIS 8))。
您可以在執行網路裝置註冊服務的伺服器上,藉由檢查 NDESPlugin.log 檔案中的下列項目,確認原則模組是否使用新憑證:INFO("NDES thumbprint is <thumbprint>.", wszBuffer);