Промежуточный центр сертификации (ЦС) — это ЦС, который находится в иерархии подчинения инфраструктуры открытого ключа (PKI) на один или несколько уровней ниже корневого ЦС и, как правило, выдает сертификаты другим ЦС в иерархии. Другим типом подчиненного ЦС является ЦС, выдающий сертификаты. Для успешного осуществления связи в основном режиме в пределах сайта Configuration Manager 2007 сертификаты PKI, используемые для проверки подлинности, шифрования и подписывания, должны образовывать непрерывную цепь к доверенному корневому центру. Построение цепи сертификатов — собственный процесс операционной системы Microsoft Windows, предполагающий сбор всех подчиненных ЦС вплоть до корневого ЦС и проверку каждого сертификата в этом пути. Если один из сертификатов в цепи не может быть найден или оказывается недействительным (например, с истекшим сроком действия), вся цепь считается недействительной и попытка связи в Configuration Manager 2007 завершится неудачей.
Компьютеры под управлением Windows и некоторые устройств автоматически настроены на использование некоторых известных сторонних промежуточных ЦС. Тем не менее, при использовании стороннего решения PKI рекомендуется устанавливать сертификаты компьютеров и сервера вместе с цепью сертификатов промежуточных ЦС. Промежуточные ЦС могут загружаться динамически в процессе построения цепи сертификатов, если выданный сертификат содержит URL-адреса промежуточных ЦС в поле "Доступ к сведениям о центрах сертификации (AIA)", использующие сертификат приложения разрешают это делать и клиенты имеют доступ по сети к промежуточным ЦС.
В основном режиме Configuration Manager 2007 клиенты могут по необходимости динамически загружать сертификаты для промежуточных ЦС, если они еще не присутствуют в хранилище локального компьютера. При этом системы сайта Configuration Manager 2007 сертификаты промежуточных ЦС в динамическом режиме не загружают.
При использовании подчиненных ЦС предприятия Microsoft устанавливать сертификаты промежуточных ЦС на системах сайта не требуется, поскольку они автоматически реплицируются по всему лесу с помощью доменных служб Active Directory. Тем не менее, при использовании стороннего решения PKI необходимо убедиться, что вместе с сертификатом сервера устанавливается цепь сертификатов.
Варианты развертывания с установкой сертификатов промежуточных ЦС для требующих таких сертификатов компьютеров Configuration Manager 2007 см. в документации по конкретному решению PKI.