При использовании Configuration Manager 2007 для развертывания операционных систем в основном режиме необходимо предусмотреть сертификат инфраструктуры открытого ключа (PKI), если последовательности задач, фигурирующие в процессе развертывания операционной системы, обмениваются данными с точкой управления сайта, работающего в основном режиме. Без этого сертификата проверка подлинности клиентов точкой управления завершится неудачей, и операционная система развернута не будет.
Кроме того, для доверия точки управления к этому сертификату сайт должен иметь корневой центр сертификации для сертификата. Дополнительные сведения о настройке сайта с корневым центром сертификации см. в разделе Задание сертификатов корневого центра сертификации для клиентов развертывания операционной системы.
Сертификат, используемый при развертывании операционных систем, требует поддержки проверки подлинности клиентов, и не устанавливается на клиенте в процессе развертывания операционной системы. Он используется только временно для выполнения последовательностей задач. Для управления клиентом сайта в основном режиме после развертывания операционной системы необходимо отдельно снабдить клиент сертификатом клиента для основного режима. Дополнительные сведения о предоставлении клиенту сертификата клиента для основного режима см. в разделе Развертывание сертификатов клиентского компьютера на клиентах и точках управления.
Более подробные сведения обо всех сертификатах, используемых в сочетании с основным режимом Configuration Manager 2007, см. в разделе Требования к сертификатам для работы в основном режиме.
Сертификат развертывания операционной системы необходимо указывать на загрузочном носителе, если развертывание операционных систем инициируется с носителя, и настраивать точку обслуживания PXE на использование этого сертификата, если развертывание операционных систем инициируется с помощью протокола PXE. Для указания сертификата импортируйте файл стандарта сертификата открытого ключа (PKCS #12) и введите пароль, выбранный при создании файла. Файлы PKCS #12 имеют расширение PFX.
Указания по подготовке файла сертификата PKCS #12 см. в разделе Экспорт сертификатов для развертывания операционной системы.
Защита сертификата развертывания операционной системы от несанкционированного использования
Для защиты от несанкционированного доступа к сайту Configuration Manager с использованием этого сертификата при развертывании операционных систем с носителя необходимо устанавливать пароль. Также можно задать дату истечения срока действия носителя; после этой даты носитель станет недействительным.
Если при развертывании PKI используется список отзыва сертификатов (CRL), сертификат также может быть отозван администратором центра сертификации; это может быть еще одним способом защиты в случае, если станет известно о компрометации сертификата. Проверка отзыва сертификата на точке управления включена по умолчанию.
И в основном, и в смешанном режиме сайта можно также блокировать сертификаты клиентов, импортированные для развертывания операционной системы, если есть подозрения в компрометации сертификатов. Дополнительные сведения см. в разделах Определение необходимости блокировки клиентов Configuration Manager и Блокировка клиентов Configuration Manager.