Этот пример развертывания с пошаговыми инструкциями, использующий центр сертификации Windows Server 2008, описывает процедуры создания и развертывания сертификатов инфраструктуры открытого ключа (PKI), необходимых Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий для внешнего управления и AMT. Дополнительные сведения о внешнем управлении в Configuration Manager см. в разделе Обзор внешнего управления.

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

В описанных в данном примере процедурах используются службы сертификатов Active Directory из выпуска Windows Server 2008 Enterprise Edition, центр сертификации предприятия и шаблоны сертификатов. Эти действия можно выполнять только в тестовой сети в качестве эксперимента.

Поскольку не существует единого метода развертывания требуемых сертификатов, необходимо ознакомиться с документацией по развертыванию конкретной инфраструктуры открытого ключа и изучить необходимые процедуры и рекомендуемые способы развертывания сертификатов для рабочей среды. Дополнительные сведения о требованиях к сертификатам для AMT и внешнего управления см. в разделе Требования к сертификатам для внешнего управления.

Важно!
Для обеспечения AMT в Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версиях требуются службы сертификации Active Directory (Майкрософт) с центром сертификации предприятия и шаблонами сертификатов. Дополнительные сведения о требованиях к развертыванию и использовании сертификатов см. в разделе О сертификатах, необходимых для внешнего управления.

Содержание раздела

Требования к тестовой сети

Этот пример потребует выполнения следующих условий.

  • В тестовой сети должны быть запущены доменные службы Active Directory с ОС Windows Server 2008, и она должна быть установлена как один домен и один лес.

  • Необходим контроллер домена, работающий под управлением ОС Windows Server 2008 Enterprise Edition с установленной ролью сервера службы сертификации Active Directory, установленной в качестве корневого центра сертификации предприятия.

  • В сети должен быть один компьютер с ОС Windows Server 2008 (Standard Edition или Enterprise Edition) назначенный рядовым сервером.

  • Должна быть возможность войти в систему с использованием учетной записи администратора корневого домена или администратора домена предприятия и использовать эту учетную запись во всех процедурах описываемого примера развертывания.

Общие сведения

Чтобы иметь возможность внешнего управления компьютерами при помощи Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий, должны быть подготовлены и установлены сертификаты PKI. В этом примере приведены шаги по развертыванию сертификатов, необходимых для подготовки компьютеров к использованию AMT, чтобы осуществлять внешнее управление этими компьютерами. Дополнительные сведения о настройке Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий для внешнего управления см. в разделе Настройка внешнего управления.

В следующей таблице перечислены сертификаты PKI, необходимые для внешнего управления AMT-компьютерами с описанием способа их использования в пределах сайта Configuration Manager 2007.

Требования к сертификату Описание сертификата

Сертификат обеспечения AMT

Этот сертификат служит для подготовки AMT-компьютеров к внешнему управлению при помощи Configuration Manager 2007 с пакетом обновления 1 (SP1).

Дополнительные сведения о подготовке к работе с использованием AMT см. в разделе Об обеспечении AMT для внешнего управления.

Сертификат веб-сервера

Этот сертификат запрашивается сервером основного сайта от имени AMT-компьютеров, после чего устанавливается в микропрограммы AMT этих компьютеров.

После установки этого сертификата он подтверждает подлинность компьютеров, основанных на AMT, для сервера системы сайта внешней точки обслуживания и для компьютеров, работающих под управлением консоли внешнего управления, а также шифрует весь обмен данными между ними с использованием протокола TLS.

Сертификат проверки подлинности клиента

Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). При необходимости внешнего управления компьютерами, основанными на AMT, использующими проводное или беспроводное подключение с проверкой подлинности 802.1X, может потребоваться использование сертификата проверки подлинности клиента (необходимо для проверки подлинности EAP-TLS и может использоваться дополнительно для методов проверки подлинности EAP-TTLS/MSCHAPv2 и PEAPv0/EAP-MSCHAPv2). Этот сертификат запрашивается сервером основного сайта от имени AMT-компьютеров, после чего устанавливается в микропрограммы AMT этих компьютеров.

После установки этого сертификата он используется для проверки подлинности компьютера, основанного на AMT, для сервера RADIUS, что позволяет выполнить проверку подлинности и предоставить доступ к сети.

Дополнительные сведения о сертификатах см. в разделе Требования к сертификатам для внешнего управления.

Выполните действия в данном примере, чтобы достичь следующих целей.

  • Создать группу безопасности Windows для использования совместно с шаблонами сертификатов.

  • Запросить, установить и подготовить сертификат обеспечения AMT.

  • Подготовить сертификаты веб-сервера путем настройки шаблона сертификата в выдающем сертификаты ЦС.

  • Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Подготовьте сертификаты проверки подлинности клиента для использования с проверкой подлинности клиента 802.1X путем настройки шаблона сертификата в ЦС, выдающем сертификаты.

Создание групп безопасности Windows для серверов системы сайта

Чтобы создать группы безопасности Windows для серверов системы сайта, воспользуйтесь описанной ниже процедурой. Эти группы безопасности будут использоваться для контроля за тем, что только нужные серверы могут использовать два шаблона сертификата, необходимые для обеспечения AMT.

Создание групп безопасности Windows для серверов системы сайта

  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем Пользователи и компьютеры Active Directory.

  2. Щелкните правой кнопкой мыши домен, выберите команду Создать, а затем выберите Группа.

  3. В диалоговом окне Новый объект — группа введите в поле Имя группы Серверы основного сайта Configuration Manager и нажмите кнопку ОК.

  4. В диалоговом окне Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши созданную группу и выберите Свойства.

  5. Откройте вкладку Члены группы и нажмите кнопку Добавить для выбора рядового сервера.

  6. Нажмите кнопку ОК, а затем снова нажмите кнопку ОК для закрытия диалогового окна свойств группы.

  7. Повторите шаги со 2 по 6, назвав новую группу Внешние точки обслуживания Configuration Manager.

  8. Перезапустите рядовой сервер (если он запущен), чтобы он смог принять новых членов группы.

    Примечание
    В тестовой среде имеется только один сервер, который можно добавить. Он будет использоваться как в качестве сервера основного сайта, так и в качестве внешней точки обслуживания. Однако в рабочей среде, скорее всего, будет несколько основных сайтов, поддерживающих внешнее управление, и внешняя точка обслуживания будет устанавливаться на сервер, отличный от сервера сайта. Поэтому рекомендуется назначить разрешения двум группам, а затем включить все серверы основного сайта в одну группу, а все системы сайта внешних точек обслуживания — в другую группу. Создание групп безопасности для таких серверов позволяет назначать разрешения таким образом, что только эти серверы смогут запрашивать данные сертификаты.

Запрос, установка и подготовка сертификата обеспечения AMT

Этот шаг включает следующие процедуры.

Сертификат обеспечения следует запрашивать из внутреннего центра сертификации только в том случае, если AMT-компьютеры настроены с использованием отпечатка сертификата внутреннего корневого центра сертификации. Дополнительные сведения о выборе между внешним и внутренним центрами сертификации см. в разделе О сертификатах, необходимых для внешнего управления. Для получения справки по поиску отпечатка внутреннего корневого сертификата обратитесь к разделу Обнаружение отпечатка внутреннего корневого сертификата для обеспечения AMT.

Запрос и установка сертификата обеспечения AMT из внешнего центра сертификации

Следуйте указаниям компании, выдающей сертификат обеспечения AMT (это часто требует запроса сертификата на общедоступном веб-сайте компании). Подробные указания для выбранного внешнего центра сертификации также приведены на веб сайте Intel vPro Expert Center: Microsoft vPro Manageability Web site (http://go.microsoft.com/fwlink/?LinkId=132001).

Важно!
Внешние центры сертификации могут не поддерживать идентификатор объекта обеспечения Intel AMT. В таком случае используйте альтернативный способ указания атрибута OU сертификата Intel(R) Client Setup Certificate

Сертификат обеспечения AMT из внешнего центра сертификации должен быть установлен в личном хранилище сертификатов на рядовом сервере, на котором будет размещаться внешняя точка обслуживания. После завершения этой процедуры он готов к подготовке для компонента внешнего управления.

Запрос и установка сертификата обеспечения AMT из внутреннего центра сертификации

Запрос и установка сертификата обеспечения AMT из внутреннего центра сертификации

  1. На контроллере домена, на котором запущена консоль Windows Server 2008, нажмите кнопку Пуск, выберите пункт Программы, а затем выберите команду Центр сертификации.

  2. Разверните имя своего центра сертификации и щелкните Шаблоны сертификатов.

  3. Щелкните правой кнопкой мыши пункт Шаблоны сертификатов и выберите пункт Управление для загрузки консоли Шаблоны сертификатов.

  4. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и выберите команду Скопировать шаблон.

  5. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    Важно!
    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  6. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата обеспечения AMT, например Обеспечение AMT Configuration Manager.

  7. Перейдите на вкладку Обработка запроса и выберите параметр Разрешить экспортировать закрытый ключ.

  8. Откройте вкладку Имя субъекта, выберите пункт Строится на основе данных Active Directory, а затем выберите Обычное имя.

  9. Перейдите на вкладку Расширения, убедитесь, что выбран параметр Политики применения, и нажмите кнопку Редактировать.

  10. В диалоговом окне Изменение расширения политик применения нажмите кнопку Добавить.

  11. В диалоговом окне Добавление политики применения нажмите кнопку Создать.

  12. В диалоговом окне Новая политика применения введите в поле Имя Обеспечение AMT, а затем в поле Идентификатор объекта введите следующий номер: 2.16.840.1.113741.1.2.3.

  13. Нажмите кнопку ОК, а затем в окне Добавление политики применения еще раз нажмите кнопку ОК.

  14. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.

  15. В диалоговом окне Свойства нового шаблона в описании Политики применения должны отображаться следующие сведения: Проверка подлинности сервера и Обеспечение AMT.

  16. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  17. Нажмите кнопку Добавить, введите в текстовое поле Внешние точки обслуживания Configuration Manager и нажмите кнопку ОК.

  18. Выберите для этой группы следующие разрешения Разрешить: Читать и Регистрация.

  19. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.

  20. В Центре сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  21. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Обеспечение AMT Configuration Manager и нажмите кнопку ОК.

    Примечание
    Если не удается выполнить шаг 19 или 20, убедитесь, что используется Windows Server 2008 Enterprise Edition. Хотя можно настроить шаблоны при помощи Windows Server Standard Edition и служб сертификатов, развернуть сертификаты, используя измененные шаблоны сертификатов, можно только в Windows Server 2008 Enterprise Edition.

  22. Не закрывайте Центр сертификации.

  23. На рядовом сервере нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  24. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  25. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  26. Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

  27. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  28. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.

  29. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  30. На странице Перед началом работы нажмите кнопку Далее.

  31. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.

  32. На странице Запрос сертификатов из списка отображаемых сертификатов выберите Обеспечение AMT Configuration Manager и нажмите кнопку Регистрация.

    Примечание
    Если этот шаблон сертификата не отображается, проверьте, был ли перезапущен рядовой сервер (если он был запущен) после того, как в предыдущей процедуре была настроена группа безопасности.

  33. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификатов и нажмите кнопку Готово. В окне должен появиться сертификат обеспечения.

    Не закрывайте окно Сертификаты (локальный компьютер).

Сертификат обеспечения AMT из внутреннего ЦС установлен, и его можно готовить к использованию компонентом внешнего управления.

Подготовка сертификата обеспечения AMT для компонента внешнего управления

Подготовка сертификата обеспечения AMT для компонента внешнего управления

  1. В окне Сертификаты (локальный компьютер), открытом на рядовом сервере, щелкните правой кнопкой мыши сертификат обеспечения, выберите пункт Все задачи, а затем команду Экспорт.

  2. В окне мастера экспорта сертификатов нажмите кнопку Далее.

  3. На странице Экспорт закрытого ключа выберите пункт Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

  4. На странице Формат экспортируемого файла убедитесь, что выбран вариант Файл обмена личной информацией - PKCS #12 (.PFX), а затем выберите параметр Если возможно, включать в путь сертификата все сертификаты.

  5. На странице Пароль укажите надежный пароль для защиты экспортированного сертификата с его закрытым ключом и нажмите кнопку Далее.

  6. На странице Имя экспортируемого файла укажите путь имя файла, который необходимо экспортировать, и нажмите кнопку Далее.

  7. На странице Завершение мастера экспорта сертификатов нажмите кнопку Готово, а затем в диалоговом окне Мастер экспорта сертификатов нажмите кнопку ОК.

  8. Сохраните файл в безопасном месте и убедитесь, что к нему можно получить доступ из консоли Configuration Manager.

Теперь сертификат обеспечения AMT готов к настройке для компонента внешнего управления. Дополнительные сведения см. в разделе Настройка обеспечения AMT.

Подготовка сертификатов веб-сервера для AMT-компьютеров

Для подготовки сертификатов веб-сервера для AMT-компьютеров воспользуйтесь следующей процедурой.

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

  1. На контроллере домена, на котором запущен Центр сертификации, щелкните правой кнопкой мыши пункт Шаблоны сертификатов, а затем выберите команду Управление, чтобы загрузить консоль Шаблоны сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и нажмите кнопку Скопировать шаблон.

  3. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    Важно!
    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания веб-сертификатов, которые будут использоваться на AMT-компьютерах для внешнего управления, например Сертификат веб-сервера AMT Configuration Manager.

  5. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  6. Нажмите кнопку Добавить, введите в текстовое поле Серверы основного сайта Configuration Manager и нажмите кнопку ОК.

  7. Выберите для этой группы следующие разрешения Разрешить: Читать, Регистрация и Авторегистрация.

  8. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.

  9. В консоли Центр сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  10. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат веб-сервера AMT Configuration Manager и нажмите кнопку ОК.

  11. Закройте окно Центр сертификации.

Шаблон веб-сервера AMT готов к обеспечению AMT-компьютеров сертификатами веб-сервера.

Подготовка сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT, с проверкой подлинности 802.1X

Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Если сертификаты клиентов будут использоваться в проводных или беспроводных сетях с проверкой подлинности 802.1X, используйте приведенную ниже процедуру для подготовки сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT.

Создание и выдача шаблона сертификата проверки подлинности клиента в центре сертификации

  1. На контроллере домена, на котором запущена консоль управления Центр сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления Шаблоны сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.

    Важно!
    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  3. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания сертификатов клиентов, которые будут использоваться на AMT-компьютерах для внешнего управления, например Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager.

  4. Откройте вкладку Имя субъекта и нажмите кнопку Предоставляется в запросе. Нажмите кнопку ОКв диалоговом окне предупреждения при выборе этого параметра.

  5. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  6. Нажмите кнопку Добавить, введите в текстовое поле Серверы основного сайта Configuration Manager и нажмите кнопку ОК.

  7. Выберите для этой группы следующие разрешения Разрешить: Читать и Регистрация.

  8. Нажмите кнопку ОК и закройте консоль управления Шаблоны сертификатов, certtmpl – [Шаблоны сертификатов].

  9. В консоли управления Центр сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  10. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат проверки подлинности клиента AMT 802.1X Configuration Manager и нажмите кнопку ОК.

  11. Закройте окно Центр сертификации.

Шаблон проверки подлинности клиента готов для выдачи сертификатов компьютерам, основанным на AMT, для использования при проверке подлинности клиентов 802.1X.

См. также