Этот пример с пошаговыми инструкциями описывает процедуры создания и развертывания сертификатов инфраструктуры открытого ключа (PKI), необходимых Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий для внешнего управления и AMT. Дополнительные сведения о внешнем управлении в Configuration Manager см. в разделе Обзор внешнего управления.

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

В описанных в данном примере процедурах используются службы сертификатов (Microsoft) из выпуска Windows Server 2003 Enterprise Edition, центр сертификации предприятия и шаблоны сертификатов. Эти действия можно выполнять только в тестовой сети в качестве эксперимента.

Поскольку не существует единого метода развертывания требуемых сертификатов, необходимо ознакомиться с документацией по развертыванию конкретной инфраструктуры открытого ключа и изучить необходимые процедуры и рекомендуемые способы развертывания сертификатов для рабочей среды. Дополнительные сведения о требованиях к сертификатам для AMT и внешнего управления см. в разделе Требования к сертификатам для внешнего управления.

Важно!
Для подготовки AMT в Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий требуются службы сертификатов (Майкрософт) с центром сертификации предприятия и шаблонами сертификатов. Дополнительные сведения о требованиях к развертыванию и использовании сертификатов см. в разделе О сертификатах, необходимых для внешнего управления.

Содержание раздела

Требования к тестовой сети

Этот пример потребует выполнения следующих условий.

  • В тестовой сети должны быть запущены доменные службы Active Directory с ОС Windows Server 2003, и служба Active Directory она должна быть установлена как один домен и один лес.

  • В сети должен быть контроллер домена, на котором запущена ОС Windows Server 2003 Enterprise Edition с пакетом обновления 2 (SP1) и установлены следующие элементы:

    • службы IIS;

    • службы сертификатов, установленные в качестве корневого центра сертификации предприятия.

      Примечание
      Службы IIS должны быть установлены до установки службы сертификатов, и должна быть настроена подача заявок через Интернет.
  • В сети должен быть один компьютер с ОС Windows Server 2003 (Standard Edition или Enterprise Edition) с пакетом обновления 1 (SP1), назначенный рядовым сервером.

  • Должна быть возможность войти в систему с использованием учетной записи администратора корневого домена или администратора домена предприятия и использовать эту учетную запись во всех процедурах описываемого примера развертывания.

Общие сведения

Чтобы иметь возможность внешнего управления компьютерами с помощью Configuration Manager 2007, должны быть подготовлены и установлены сертификаты PKI. В этом примере приведены шаги по развертыванию сертификатов, необходимых для подготовки компьютеров к использованию AMT, чтобы осуществлять внешнее управление этими компьютерами. Дополнительные сведения о настройке для внешнего управления см. в разделе Настройка внешнего управления.

В следующей таблице перечислены сертификаты PKI, необходимые для внешнего управления AMT-компьютерами с описанием способа их использования на сайте Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии.

Требования к сертификату Описание сертификата

Сертификат обеспечения AMT

Этот сертификат служит для подготовки AMT-компьютеров к внешнему управлению с помощью Configuration Manager 2007 с пакетом обновления 1 (SP1).

Дополнительные сведения о подготовке к работе с использованием AMT см. в разделе Об обеспечении AMT для внешнего управления.

Сертификат веб-сервера

Этот сертификат запрашивается сервером основного сайта от имени AMT-компьютеров, после чего устанавливается в микропрограммы AMT этих компьютеров.

После установки этого сертификата он подтверждает подлинность компьютеров, основанных на AMT, для сервера системы сайта внешней точки обслуживания и для компьютеров, работающих под управлением консоли внешнего управления, а также шифрует весь обмен данными между ними с использованием протокола TLS.

Сертификат проверки подлинности клиента

Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). При необходимости внешнего управления компьютерами, основанными на AMT, использующими проводное или беспроводное подключение с проверкой подлинности 802.1X, может потребоваться использование сертификата проверки подлинности клиента (необходимо для проверки подлинности EAP-TLS и может использоваться дополнительно для методов проверки подлинности EAP-TTLS/MSCHAPv2 и PEAPv0/EAP-MSCHAPv2). Этот сертификат запрашивается сервером основного сайта от имени AMT-компьютеров, после чего устанавливается в микропрограммы AMT этих компьютеров.

После установки этого сертификата он используется для проверки подлинности компьютера, основанного на AMT, для сервера RADIUS, что позволяет выполнить проверку подлинности и предоставить доступ к сети.

Дополнительные сведения о сертификатах см. в разделе Требования к сертификатам для внешнего управления.

Выполните действия в данном примере, чтобы достичь следующих целей.

  • Создать группу безопасности Windows для использования совместно с шаблонами сертификатов.

  • Запросить, установить и подготовить сертификат обеспечения AMT.

  • Подготовить сертификаты веб-сервера путем настройки шаблона сертификата в выдающем сертификаты ЦС.

  • Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Подготовьте сертификаты проверки подлинности клиента для использования с проверкой подлинности клиента 802.1X путем настройки шаблона сертификата в ЦС, выдающем сертификаты.

Создание групп безопасности Windows для серверов системы сайта

Чтобы создать группы безопасности Windows для серверов системы сайта, воспользуйтесь описанной ниже процедурой. Эти группы безопасности будут использоваться для контроля за тем, что только нужные серверы могут использовать два шаблона сертификата, необходимые для обеспечения AMT.

Создание групп безопасности Windows для серверов системы сайта

  1. На контроллере домена нажмите кнопку Пуск и выберите Программы, Администрирование, Пользователи и компьютеры Active Directory.

  2. Щелкните правой кнопкой мыши домен, выберите команду Создать, а затем выберите Группа.

  3. В диалоговом окне Новый объект — группа введите в поле Имя группы Серверы основного сайта Configuration Manager и нажмите кнопку ОК.

  4. В диалоговом окне Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши созданную группу и выберите Свойства.

  5. Откройте вкладку Члены группы и нажмите кнопку Добавить для выбора рядового сервера.

  6. Нажмите кнопку ОК, а затем снова нажмите кнопку ОК для закрытия диалогового окна свойств группы.

  7. Повторите шаги со 2 по 6, назвав новую группу Внешние точки обслуживания Configuration Manager.

  8. Перезапустите рядовой сервер (если он запущен), чтобы он смог принять новых членов группы.

    Примечание
    В тестовой среде имеется только один сервер, который можно добавить. Он будет использоваться как в качестве сервера основного сайта, так и в качестве внешней точки обслуживания. Однако в рабочей среде, скорее всего, будет несколько основных сайтов, поддерживающих внешнее управление, и внешняя точка обслуживания будет устанавливаться на сервер, отличный от сервера сайта. Поэтому рекомендуется назначить разрешения двум группам, а затем включить все серверы основного сайта в одну группу, а все системы сайта внешних точек обслуживания — в другую группу. Создание групп безопасности для таких серверов позволяет назначать разрешения таким образом, что только эти серверы смогут запрашивать данные сертификаты.

Запрос, установка и подготовка сертификата обеспечения AMT

Этот шаг включает следующие процедуры.

Сертификат обеспечения следует запрашивать из внутреннего центра сертификации только в том случае, если AMT-компьютеры настроены с использованием отпечатка сертификата внутреннего корневого центра сертификации. Дополнительные сведения о выборе между внешним и внутренним центрами сертификации см. в разделе О сертификатах, необходимых для внешнего управления. Для получения справки по поиску отпечатка внутреннего корневого сертификата обратитесь к разделу Обнаружение отпечатка внутреннего корневого сертификата для обеспечения AMT.

Запрос и установка сертификата обеспечения AMT из внешнего центра сертификации

Важно!
В случае наличия альтернативных инструкций, предоставленных компанией, выдавшей сертификат обеспечения AMT, следует вместо описанной ниже процедуры использовать эти альтернативные инструкции. Это особенно важно, если выдающая сертификат компания не может обеспечить поддержку идентификатора объекта обеспечения AMT и должна использовать вместо этого атрибут подразделения (OU) сертификата Intel(R) Client Setup Certificate. Подробные указания для выбранного внешнего центра сертификации также приведены на веб сайте Intel vPro Expert Center: Microsoft vPro Manageability Web site (http://go.microsoft.com/fwlink/?LinkId=132001).

Запрос и установка сертификата обеспечения AMT из внешнего центра сертификации

  1. На контроллере домена, на котором запущена консоль Windows Server 2003, нажмите кнопку Пуск, выберите пункт Программы, а затем Администрирование и Центр сертификации.

  2. Разверните имя своего центра сертификации и щелкните Шаблоны сертификатов.

  3. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  4. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата обеспечения AMT, например Обеспечение AMT Configuration Manager.

  6. Перейдите на вкладку Обработка запроса и выберите параметр Разрешить экспортировать закрытый ключ.

  7. Перейдите на вкладку Расширения, убедитесь, что выбран параметр Политики применения, и нажмите кнопку Редактировать.

  8. В диалоговом окне Изменение расширения политик применения нажмите кнопку Добавить.

  9. В диалоговом окне Добавление политики применения нажмите кнопку Создать.

  10. В диалоговом окне Новая политика применения введите в поле Имя Обеспечение AMT, а затем в поле Идентификатор объекта введите следующий номер: 2.16.840.1.113741.1.2.3.

  11. Нажмите кнопку ОК, а затем в окне Добавление политики применения еще раз нажмите кнопку ОК.

  12. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.

  13. В диалоговом окне Свойства нового шаблона в описании Политики применения должны отображаться следующие сведения: Проверка подлинности сервера и Обеспечение AMT.

  14. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  15. Нажмите кнопку Добавить, введите в текстовое поле Внешние точки обслуживания Configuration Manager и нажмите кнопку ОК.

  16. Выберите для этой группы следующие разрешения Разрешить: Читать и Регистрация.

  17. Нажмите кнопку ОК и закройте консоль администратора шаблонов сертификатов, certtmpl – [Шаблоны сертификатов].

  18. В Центре сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  19. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Обеспечение AMT Configuration Manager и нажмите кнопку ОК.

    Примечание
    Если не удается выполнить шаг 18 или 19, убедитесь, что используется Windows Server 2003 Enterprise Edition. Хотя можно настроить шаблоны с помощью Windows Server Standard Edition и служб сертификатов, развернуть сертификаты, используя измененные шаблоны сертификатов, можно только в Windows Server 2003 Enterprise Edition.

  20. Не закрывайте Центр сертификации.

  21. На рядовом сервере запустите Internet Explorer и подключитесь к службе веб-регистрации по адресу http://<сервер>/certsrv, где <сервер> — это имя или IP-адрес центра сертификации предприятия.

  22. На странице Добро пожаловать выберите пункт Запрос сертификата.

  23. На странице Запрос сертификата выберите пункт Расширенный запрос сертификата.

  24. На странице Расширенный запрос сертификата выберите пункт Создание и отправка запроса в этот центр сертификации.

  25. На странице Расширенный запрос сертификата укажите следующие данные.

    1. Выберите в поле Шаблон сертификата значение Обеспечение AMT Configuration Manager.

      Примечание
      Если этот шаблон сертификата не отображается, проверьте, был ли перезапущен рядовой сервер (если он был запущен) после того, как в предыдущей процедуре была настроена группа безопасности.
    2. В поле Имя введите полное доменное имя внешней точки обслуживания.

    3. В поле Электронная почта введите контактный адрес электронной почты компании.

    4. В поле Компания введите наименование компании.

    5. В поле Отдел введите название отдела компании.

    6. В поле Город введите город, в котором расположена компания.

    7. В поле Область введите область, в которой находится компания (полностью или сокращенно).

    8. В поле Страна или регион введите код страны и региона компании.

    9. В разделе Параметры ключа выберите Сохранить сертификат в хранилище сертификатов на локальном компьютере.

    10. В разделе Дополнительные параметры выберите PKC10, затем Сохранить запрос в файл, после чего введите полный путь и имя автономного файла запроса сертификата, например C:\certreq_amt_<имя_сервера>.txt, где <имя_сервера> — это имя узла, на котором размещена внешняя точка обслуживания.

    11. Введите в поле Понятное имя любое имя, например Сертификат обеспечения AMT Configuration Manager для <полное доменное имя>, где <полное доменное имя> — это полное имя внешней точки обслуживания.

  26. Нажмите кнопку Сохранить.

  27. При появлении диалогового окна Потенциальная ошибка сценария нажмите кнопку Да.

  28. При появлении диалогового окна Подача заявок на сертификаты нажмите кнопку Да.

  29. Нажмите кнопку ОК, чтобы подтвердить, что запрос сохранен в файл.

  30. Закройте Internet Explorer.

  31. Отправьте файл во внешний центр сертификации, воспользовавшись инструкциями этого центра.

  32. При получении от ЦС сертификата обеспечения AMT он, вероятнее всего, будет иметь формат сообщения электронной почты. Скопируйте текст и вставьте его в "Блокнот", сохранив файл с расширением P7B. Убедитесь, что файл доступен рядовому серверу.

  33. На рядовом сервере в меню Пуск выберите пункт Выполнить, введите команду MMC в диалоговом окне Выполнить и нажмите кнопку ОК.

  34. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  35. В диалоговом окне Добавление или удаление оснасток нажмите кнопку Добавить.

  36. В разделе Доступные оснастки выберите пункт Сертификаты и нажмите кнопку Добавить.

  37. В диалоговом окне Оснастка диспетчера сертификатов щелкните Учетная запись компьютера и нажмите кнопку Далее.

  38. Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

  39. В диалоговом окне Добавление изолированной оснастки нажмите кнопку Закрыть.

  40. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  41. В консоли разверните узел Сертификаты (локальный компьютер).

  42. Разверните узел Личный, а затем щелкните правой кнопкой мыши элемент Сертификаты.

  43. Щелкните пункт Все задачи, а затем выберите команду Импортировать.

  44. На странице Мастер импорта сертификатов нажмите кнопку Далее.

  45. На странице Импортируемый файл нажмите кнопку Обзор, выберите сохраненный файл с расширением P7B и нажмите кнопку Далее.

  46. На странице Поместить все сертификаты в следующее хранилище нажмите кнопку Далее, а затем кнопку Готово.

  47. Нажмите клавишу F5, чтобы обновить содержимое окна. В нем должен появиться сертификат обеспечения.

  48. Не закрывайте окно Сертификаты (локальный компьютер).

Сертификат обеспечения AMT из внешнего ЦС установлен, и его можно готовить к использованию компонентом внешнего управления.

Запрос и установка сертификата обеспечения AMT из внутреннего центра сертификации

Запрос и установка сертификата обеспечения AMT из внутреннего центра сертификации

  1. На контроллере домена, на котором запущена консоль Windows Server 2003, нажмите кнопку Пуск, выберите пункт Программы, а затем Администрирование и Центр сертификации.

  2. Разверните имя своего центра сертификации и щелкните Шаблоны сертификатов.

  3. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите пункт Управление для загрузки консоли управления Шаблоны сертификатов.

  4. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата обеспечения AMT, например Обеспечение AMT Configuration Manager.

  6. Перейдите на вкладку Обработка запроса и выберите параметр Разрешить экспортировать закрытый ключ.

  7. Откройте вкладку Имя субъекта, выберите пункт Строится на основе данных Active Directory, а затем выберите Обычное имя.

  8. Перейдите на вкладку Расширения, убедитесь, что выбран параметр Политики применения, и нажмите кнопку Редактировать.

  9. В диалоговом окне Изменение расширения политик применения нажмите кнопку Добавить.

  10. В диалоговом окне Добавление политики применения нажмите кнопку Создать.

  11. В диалоговом окне Новая политика применения введите в поле Имя Обеспечение AMT, а затем в поле Идентификатор объекта введите следующий номер: 2.16.840.1.113741.1.2.3.

  12. Нажмите кнопку ОК, а затем в окне Добавление политики применения еще раз нажмите кнопку ОК.

  13. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.

  14. В диалоговом окне Свойства нового шаблона в описании Политики применения должны отображаться следующие сведения: Проверка подлинности сервера и Обеспечение AMT.

  15. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  16. Нажмите кнопку Добавить, введите в текстовое поле Внешние точки обслуживания Configuration Manager и нажмите кнопку ОК.

  17. Выберите для этой группы следующие разрешения Разрешить: Читать и Регистрация.

  18. Нажмите кнопку ОК и закройте консоль администратора Шаблоны сертификатов, certtmpl – [Шаблоны сертификатов].

  19. В Центре сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  20. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Обеспечение AMT Configuration Manager и нажмите кнопку ОК.

    Примечание
    Если не удается выполнить шаг 19 или 20, убедитесь, что используется Windows Server 2003 Enterprise Edition. Хотя можно настроить шаблоны с помощью Windows Server Standard Edition и служб сертификатов, развернуть сертификаты, используя измененные шаблоны сертификатов, можно только в Windows Server 2003 Enterprise Edition.

  21. Не закрывайте Центр сертификации.

  22. На рядовом сервере нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  23. В диалоговом окне Добавление или удаление оснастки нажмите кнопку Добавить, выберите пункт Сертификаты и нажмите кнопку Добавить.

  24. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  25. Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

  26. В диалоговом окне Добавление изолированной оснастки нажмите кнопку Закрыть.

  27. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.

  28. В консоли, где сейчас отображается Сертификаты (локальный компьютер), разверните узел Сертификаты (локальный компьютер), а затем щелкните Личные.

  29. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  30. На странице Мастер запроса сертификатов нажмите кнопку Далее.

  31. На странице Тип сертификатов из списка отображаемых сертификатов выберите Обеспечение AMT Configuration Manager и нажмите кнопку Далее.

    Примечание
    Если этот шаблон сертификата не отображается, проверьте, был ли перезапущен рядовой сервер (если он был запущен) после того, как в предыдущей процедуре была настроена группа безопасности.

  32. На странице Понятное имя сертификата и описание введите понятное имя и описание (необязательно), позволяющие отличить этот сертификат от других, и нажмите кнопку Далее.

  33. На странице Завершение мастера запросов сертификатов нажмите кнопку Готово.

  34. Должно появиться диалоговое окно Мастер запросов сертификатов, уведомляющее о том, что запрос сертификата выполнен успешно. Нажмите кнопку ОК.

  35. В окне должен появиться сертификат обеспечения.

  36. Не закрывайте окно Сертификаты (локальный компьютер).

Сертификат обеспечения AMT из внутреннего ЦС установлен, и его можно готовить к использованию компонентом внешнего управления.

Подготовка сертификата обеспечения AMT для компонента внешнего управления

Подготовка сертификата обеспечения AMT для компонента внешнего управления

  1. В окне Сертификаты (локальный компьютер), открытом на рядовом сервере, щелкните правой кнопкой мыши сертификат обеспечения, выберите пункт Все задачи, а затем команду Экспорт.

  2. В окне мастера экспорта сертификатов нажмите кнопку Далее.

  3. На странице Экспорт закрытого ключа выберите пункт Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

  4. На странице Формат экспортируемого файла убедитесь, что выбран вариант Файл обмена личной информацией - PKCS #12 (.PFX), а затем выберите параметр Если возможно, включать в путь сертификата все сертификаты.

  5. На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с его закрытым ключом и нажмите кнопку Далее.

  6. На странице Имя экспортируемого файла нажмите кнопку Далее, укажите путь и имя файла, который необходимо экспортировать, и снова нажмите кнопку Далее.

  7. На странице Завершение мастера экспорта сертификатов нажмите кнопку Готово, а затем в диалоговом окне Мастер экспорта сертификатов нажмите кнопку ОК.

  8. Сохраните файл в безопасном месте и убедитесь, что к нему можно получить доступ из консоли Configuration Manager.

Теперь сертификат обеспечения AMT готов к настройке для компонента внешнего управления. Дополнительные сведения см. в разделе Настройка обеспечения AMT.

Подготовка сертификатов веб-сервера для AMT-компьютеров

Для подготовки сертификатов веб-сервера для AMT-компьютеров воспользуйтесь следующей процедурой.

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

  1. На контроллере домена, на котором запущена консоль управления Центр сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления Шаблоны сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и нажмите кнопку Скопировать шаблон.

  3. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания веб-сертификатов, которые будут использоваться на AMT-компьютерах для внешнего управления, например Сертификат веб-сервера AMT Configuration Manager.

  4. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  5. Нажмите кнопку Добавить, введите в текстовое поле Серверы основного сайта Configuration Manager и нажмите кнопку ОК.

  6. Выберите для этой группы следующие разрешения Разрешить: Читать, Регистрация и Авторегистрация.

  7. Нажмите кнопку ОК и закройте консоль управления Шаблоны сертификатов, certtmpl – [Шаблоны сертификатов].

  8. В консоли управления Центр сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  9. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат веб-сервера AMT Configuration Manager и нажмите кнопку ОК.

  10. Закройте окно Центр сертификации.

Шаблон сертификата веб-сервера AMT готов к обеспечению AMT-компьютеров сертификатами веб-сервера.

Подготовка сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT, с проверкой подлинности 802.1X

Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Если сертификаты клиентов будут использоваться в проводных или беспроводных сетях с проверкой подлинности 802.1X, используйте приведенную ниже процедуру для подготовки сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT.

Создание и выдача шаблона сертификата проверки подлинности клиента в центре сертификации

  1. На контроллере домена, на котором запущена консоль управления Центр сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления Шаблоны сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.

  3. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания сертификатов клиентов, которые будут использоваться на AMT-компьютерах для внешнего управления, например Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager.

  4. Откройте вкладку Имя субъекта и нажмите кнопку Предоставляется в запросе.

  5. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  6. Нажмите кнопку Добавить, введите в текстовое поле Серверы основного сайта Configuration Manager и нажмите кнопку ОК.

  7. Выберите для этой группы следующие разрешения Разрешить: Читать и Регистрация.

  8. Нажмите кнопку ОК и закройте консоль управления Шаблоны сертификатов, certtmpl – [Шаблоны сертификатов].

  9. В консоли управления Центр сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  10. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager и нажмите кнопку ОК.

  11. Закройте окно Центр сертификации.

Шаблон проверки подлинности клиента готов для выдачи сертификатов компьютерам, основанным на AMT, для использования при проверке подлинности клиентов 802.1X.

См. также