Этот пример развертывания с пошаговыми инструкциями, использующий центр сертификации Windows Server 2008, описывает процедуры создания и развертывания сертификатов инфраструктуры открытого ключа (PKI), необходимых для работы Configuration Manager 2007 в основном режиме. Основной режим обеспечивает самый высокий уровень безопасности для сайта Configuration Manager 2007 и является обязательным для интернет-управления клиентами. Дополнительные сведения об основном режиме в Configuration Manager см. в разделе Преимущества использования основного режима.

Процедуры в данном примере ссылаются на решение PKI корпорации Майкрософт, использующее центр сертификации предприятия и шаблоны сертификатов. Эти действия можно выполнять только в тестовой сети в качестве эксперимента.

Поскольку не существует единого метода развертывания требуемых сертификатов, необходимо ознакомиться с документацией по развертыванию конкретной инфраструктуры открытого ключа и изучить необходимые процедуры и рекомендуемые способы развертывания сертификатов для рабочей среды. Дополнительные сведения о возможных методах развертывания см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме.

Примечание
Использование решения PKI корпорации Майкрософт рекомендуется для поддержки Configuration Manager 2007, но не является обязательным. Configuration Manager 2007 использует стандартные сертификаты инфраструктуры открытого ключа (PKI), поддерживая версию 3 для формата сертификатов x.509. Если существующее развертывание PKI может создавать, развертывать и управлять сертификатами, которые необходимы в Configuration Manager 2007 для основного режима, то можно использовать существующую инфраструктуру PKI. Подробные сведения о развертывании см. в документации PKI.

Содержание раздела

Этот пример содержит следующие разделы, в которых описано создание и развертывание основных сертификатов, необходимых для работы сайта Configuration Manager 2007 в основном режиме для подключений в интрасети.

Требования к тестовой сети

Общие сведения

Развертывание сертификата для подписи сервера сайта

Развертывание сертификата веб-сервера

Развертывание сертификата клиента

Требования к тестовой сети

Этот пример потребует выполнения следующих условий.

  • В тестовой сети должны быть запущены доменные службы Active Directory с ОС Windows Server 2008, и она должна быть установлена как один домен и один лес.

  • Необходим контроллер домена, на котором используется ОС Windows Server 2008 Enterprise Edition и установлена роль служб сертификатов Active Directory. Данный контроллер домена должен быть настроен в качестве корневого центра сертификации (ЦС) предприятия.

  • В сети должен быть один компьютер с ОС Windows Server 2008 (Standard Edition или Enterprise Edition), назначенный рядовым сервером, на котором установлены службы IIS.

  • В сети должен быть один клиент Windows Vista с последним пакетом обновления. Этому компьютеру должно быть присвоено имя, содержащее символы ASCII, и данный компьютер должен быть присоединен к домену.

  • Должна быть возможность войти в систему с использованием учетной записи администратора корневого домена или администратора домена предприятия и использовать эту учетную запись во всех процедурах описываемого примера развертывания.

Общие сведения

Перед настройкой Configuration Manager 2007 для работы в основном режиме должны быть установлены сертификаты PKI. В данном примере не описывается установка и настройка Configuration Manager 2007, но дано описание обеспечения компьютеров сертификатами, необходимыми для работы Configuration Manager 2007 в основном режиме.

В следующей таблице приведены три типа необходимых сертификатов PKI с описанием способа их использования на сайте Configuration Manager 2007, работающем в основном режиме.

Требования к сертификату Описание сертификата

сертификат для подписи сервера сайта;

Этот сертификат устанавливается на сервер, который будет сервером сайта Configuration Manager 2007. Используется для подписи политик клиентов.

Сертификат веб-сервера

Этот сертификат устанавливается на серверы, которые будут системами сайта Configuration Manager 2007, выполняющими такие роли, как точка управления и точка распространения. Используется для шифрования данных и удостоверяет подлинность сервера при обращении клиентов.

Сертификат клиента

Этот сертификат устанавливается на компьютеры, которые будут клиентами Configuration Manager 2007, и на точку управления. Используется для проверки подлинности клиента при обращении к системам сайта, а в точке управления этот сертификат используется для наблюдения за рабочим состоянием сервера.

Дополнительные сведения о сертификатах см. в разделе Требования к сертификатам для работы в основном режиме.

Выполните действия в данном примере, чтобы достичь следующих целей.

  • Обеспечьте рядовой сервер сертификатом для подписи сервера сайта Configuration Manager 2007, чтобы он смог работать в качестве сервера сайта Configuration Manager 2007 в основном режиме.

  • Обеспечьте рядовой сервер сертификатом веб-сервера, чтобы он смог работать в качестве сервера системы сайта Configuration Manager 2007 в основном режиме, который может исполнять любую из перечисленных ролей системы сайта Configuration Manager: точка управления, точка распространения, точка обновления программного обеспечения и точка миграции состояния.

  • Обеспечьте рабочую станцию и рядовой сервер сертификатом клиента, чтобы рабочая станция могла работать в качестве клиента Configuration Manager 2007 в основном режиме, а точка управления могла передавать данные о ее состоянии на сервер сайта.

Развертывание сертификата для подписи сервера сайта

Этот шаг включает четыре процедуры:

Создание и выдача шаблона сертификата для подписи сервера сайта в центре сертификации

Создание и выдача шаблона сертификата для подписи сервера сайта

  1. На контроллере домена, на котором запущена консоль Windows Server 2008, нажмите кнопку Пуск, выберите пункт Программы, затем Администрирование, затем Центр сертификации.

  2. Разверните имя вашего центра сертификации и щелкните Шаблоны сертификатов.

  3. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите пункт Управление для загрузки Консоли шаблонов сертификатов.

  4. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Компьютер, и нажмите кнопку Скопировать шаблон.

  5. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    Важно!
    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  6. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для подписи сервера сайта, например Сертификат для подписи сервера сайта ConfigMgr.

  7. Откройте вкладку Требования выдачи и выберите пункт Одобрение диспетчера сертификатов ЦС.

  8. Откройте вкладку Имя субъекта и нажмите кнопку Предоставляется в запросе.

  9. Перейдите на вкладку Расширения, убедитесь, что выбран параметр Политики применения, и нажмите кнопку Редактировать.

  10. В диалоговом окне Изменение расширения политик применения выберите пункт Проверка подлинности клиента и, удерживая клавишу Shift, выберите пункт Проверка подлинности сервера и нажмите кнопку Удалить.

  11. В диалоговом окне Изменение расширения политик применения нажмите кнопку Добавить.

  12. В диалоговом окне Добавление политики применения выберите Подписывание документа как единственную политику применения, а затем нажмите кнопку ОК.

  13. В диалоговом окне Свойства нового шаблона в поле описания политик применения должно отображаться: Подписывание документа.

  14. Нажмите кнопку ОК, затем нажмите ОК в окне Свойства нового шаблона и закройте Консоль шаблонов сертификатов.

  15. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  16. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат для подписи сервера сайта ConfigMgr и нажмите кнопку ОК.

    Примечание
    Если не удается выполнить шаг 15 или 16, убедитесь, что используется Windows Server 2008 Enterprise Edition. Хотя можно настроить шаблоны сертификатов при помощи Windows Server Standard Edition и служб сертификации Active Directory, развернуть сертификаты, используя измененные шаблоны сертификатов, можно только в Windows Server 2008 Enterprise Edition.

  17. Не закрывайте консоль центра сертификации.

Запрос сертификата для подписи сервера сайта для сервера, на котором будет запущен сервер сайта Configuration Manager 2007

Запрос сертификата для подписи сервера сайта

  1. Создайте на рядовом сервере папку, в которой будут храниться файлы сертификата.

  2. Откройте "Блокнот" или другой редактор текстовых файлов. Скопируйте и вставьте в этот файл следующий текст:

      Скопировать код 
    [NewRequest] Тема = "CN=The site code of this site server is: <код_сайта>" MachineKeySet = True [RequestAttributes] CertificateTemplate = ConfigMgrSiteServerSigningCertificate

  3. Замените текст <site-code> на код своего сайта. К примеру, если код вашего сайта "A01", эта строка должна выглядеть следующим образом: Subject = "CN=The site code of this site server is A01".

    Важно!
    В коде сайта и в имени шаблона учитывается регистр. Обязательно укажите код сайта в точности так, как он отображается в консоли Configuration Manager, а шаблон сертификата для подписи сервера сайта — так, как он отображается в поле Имя шаблона (а не Отображаемое имя шаблона) в свойствах шаблонов сертификатов.

  4. Сохраните файл под именем "sitesigning.inf" в созданной ранее папке сертификатов.

  5. Откройте окно командной строки в созданной ранее папке сертификатов, введите указанную следующую команду и нажмите клавишу ВВОД:

    certreq –new sitesigning.inf sitesigning.req

  6. Введите следующую команду и нажмите клавишу ВВОД:

    certreq –submit sitesigning.req sitesigning.cer

  7. Откроется диалоговое окно Выбор центра сертификации, в котором необходимо указать ЦС, выдавший сертификат. Выберите центр сертификации и нажмите кнопку ОК. После выдачи сертификата отобразится RequestId: <номер>, где <номер> — порядковый номер последующего запроса сертификата в ЦС, выдавшем сертификат. Запишите этот номер.

  8. Не закрывайте окно командной строки.

Одобрение сертификата для подписи сервера сайта в центре сертификации

Одобрение сертификата для подписи сервера сайта

  1. В контроллере домена в Центре сертификации щелкните Запросы в ожидании.

  2. В области результатов отобразится запрошенный сертификат с идентификатором запроса (RequestID), указанным при последнем вводе команды "Certreq".

  3. Щелкните правой кнопкой мыши запрошенный сертификат, выберите пункт Все задачи, а затем пункт Выдать.

  4. Не закрывайте консоль центра сертификации.

Установка сертификата для подписи сервера сайта на сервер, на котором будет запущен сервер сайта Configuration Manager 2007

Получение и установка сертификата для подписи сервера сайта

  1. Откройте окно командной строки на рядовом сервере, введите следующую команду и нажмите клавишу ВВОД:

    certreq –retrieve <номер> sitesigning.cer

    Например, если ранее отображался номер 12, введите следующую команду: certreq –retrieve 12 sitesigning.cer

  2. Откроется диалоговое окно Выбор центра сертификации, в котором необходимо указать ЦС, выдавший сертификат. Выберите центр сертификации и нажмите кнопку ОК. Нажмите кнопку ОК, чтобы заменить существующий файл.

  3. Введите следующую команду и нажмите клавишу ВВОД:

    certreq –accept sitesigning.cer

Рядовой сервер обеспечен сертификатом для подписи сервера сайта Configuration Manager 2007.

Развертывание сертификата веб-сервера

Этот шаг включает четыре процедуры:

Создание группы безопасности Windows для серверов системы сайта (точка управления, точка распространения, точка обновления программного обеспечения, точка миграции состояния)

Создание группы безопасности Windows для сервера системы сайта

  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, затем Пользователи и компьютеры Active Directory.

  2. Щелкните правой кнопкой мыши домен, выберите команду Создать, а затем выберите Группа.

  3. В диалоговом окне Новый объект — группа введите в поле Имя группы IIS-серверы ConfigMgr и нажмите кнопку ОК.

  4. В диалоговом окне Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши созданную группу и выберите Свойства.

  5. Откройте вкладку Члены группы и нажмите кнопку Добавить для выбора рядового сервера.

    Примечание
    В данном примере тестовой среды в списке есть только один сервер. В реальной среде предприятия может существовать несколько разных серверов, на которых размещены системы сайта Configuration Manager 2007, требующие наличие сертификата, например точка управления сайта и точки распространения. Поэтому рекомендуется назначить разрешения группе и добавить системы сайта, требующие сертификат такого же типа. Создание группы безопасности для таких серверов позволяет назначать разрешения таким образом, что только эти серверы смогут использовать эти сертификаты.

  6. Нажмите кнопку ОК, а затем снова нажмите кнопку ОК для закрытия диалогового окна свойств группы.

  7. Перезапустите рядовой сервер (если он запущен), чтобы он смог принять новых членов группы.

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

  1. На контроллере домена, на котором уже запущена консоль центра сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли Шаблоны сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и нажмите кнопку Скопировать шаблон.

  3. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    Важно!
    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания веб-сертификатов, которые будут использоваться на системах сайта Configuration Manager, например Сертификат для подписи веб-сервера ConfigMgr.

  5. Откройте вкладку Имя субъекта, выберите пункт Строится на основе данных Active Directory, а затем выберите в поле Формат имени субъекта один из следующих параметров.

    • Общее имя: применяется в тех случаях, когда для систем сайта в Configuration Manager используются полные доменные имена (необходимо для интернет-управления клиентами и рекомендуется для клиентов в интрасети).

    • Полное различающееся имя: применяется в тех случаях, когда в Configuration Manager не используются полные доменные имена.

  6. Снимите флажок Имя участника-пользователя (UPN).

  7. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  8. Нажмите кнопку Добавить, введите в поле ввода IIS-серверы ConfigMgr и нажмите кнопку ОК.

  9. Установите разрешение Регистрация для этой группы, но не снимайте разрешение Читать.

  10. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  11. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  12. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат веб-сервера ConfigMgr и нажмите кнопку ОК.

  13. Не закрывайте консоль центра сертификации.

Запрос сертификата веб-сервера

Запрос сертификата веб-сервера

  1. Перезапустите рядовой сервер, чтобы убедиться, что он имеет доступ к шаблону сертификата с настроенным разрешением.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  3. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  5. Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

  6. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  7. В консоли разверните узел Сертификаты (локальный компьютер) и выберите Личные.

  8. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  9. На странице Перед началом работы нажмите кнопку Далее.

  10. При отображении страницы Выбор политики регистрации сертификатов нажмите кнопку Далее.

  11. На странице Запрос сертификатов выберите вариант Сертификат веб-сервера ConfigMgr из списка отображаемых сертификатов и нажмите кнопку Регистрация.

  12. Откроется страница Результаты установки сертификатов. Дождитесь окончания установки сертификатов и нажмите кнопку Готово.

  13. Закройте окно Сертификаты (локальный компьютер).

Настройка IIS для использования сертификата веб-сервера

Настройка IIS для использования сертификата веб-сервера

  1. На рядовом сервере нажмите кнопку Пуск, выберите пункт Программы, затем выберите Администрирование, а затем — Диспетчер служб IIS.

  2. Разверните Сайты, щелкните правой кнопкой мыши Веб-сайт по умолчанию и выберите пункт Изменить привязки.

  3. Выберите запись https и нажмите Редактировать.

  4. В диалоговом окне Изменение привязки сайта выберите сертификат, запрошенный при помощи шаблона "Сертификат веб-сервера ConfigMgr", и нажмите кнопку ОК.

    Примечание
    Если вы сомневаетесь, какой именно сертификат следует использовать, выберите один из них и щелкните Просмотр. С помощью этой функции можно сравнить сведения, указанные в выбранном сертификате, с отображаемыми на странице "Оснастка диспетчера сертификатов". Например, на странице "Оснастка диспетчера сертификатов" отображается шаблон сертификата, при помощи которого был запрошен сертификат. Таким образом, можно сравнить отпечаток сертификата, запрошенного при помощи шаблона "Сертификат веб-сервера ConfigMgr", с отпечатком сертификата, выбранного в диалоговом окне Изменение привязки сайта.

  5. Нажмите кнопку ОК в диалоговом окне Изменение привязки сайта, затем нажмите кнопку Закрыть.

  6. Закройте Диспетчер служб IIS.

Рядовой сервер обеспечен сертификатом веб-сервера Configuration Manager 2007.

Примечание
Если этот сервер будет настроен для обновлений программного обеспечения, необходимо выполнить дополнительную настройку служб IIS после установки служб WSUS. Дополнительные сведения см. в разделе Настройка веб-сайта WSUS на использование протокола SSL.

Развертывание сертификата клиента

Этот шаг включает три процедуры:

Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации

Создание и выдача шаблона сертификата проверки подлинности рабочей станции в центре сертификации

  1. На контроллере домена, на котором уже запущена консоль центра сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Проверка подлинности рабочей станции, и нажмите кнопку Скопировать шаблон.

  3. Убедитесь, что в диалоговом окне Скопировать шаблон выбран параметр Windows 2003 Server, Enterprise Edition, и нажмите кнопку ОК.

    Важно!
    Не выбирайте параметр Windows 2008 Server, Enterprise Edition.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания сертификатов клиентов, которые будут использоваться на клиентских компьютерах Configuration Manager, например Сертификат клиента ConfigMgr.

  5. Откройте вкладку Безопасность, выберите группу Компьютеры домена и включите дополнительные разрешения Читать и Авторегистрация. Не снимайте флажок в пункте Регистрация.

  6. Нажмите кнопку ОК и закройте Консоль шаблонов сертификатов.

  7. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите Выдаваемый шаблон сертификата.

  8. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат клиента ConfigMgr и нажмите кнопку ОК.

  9. Закройте консоль центра сертификации.

Настройка автоматической регистрации шаблона сертификата проверки подлинности рабочей станции при помощи групповой политики

Настройка автоматической регистрации шаблона сертификата проверки подлинности рабочей станции при помощи групповой политики

  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Управление групповой политикой.

  2. Перейдите к своему домену, щелкните его правой кнопкой мыши и выберите Создать объект GPO в этом домене и связать его.

    Примечание
    На этом шаге рекомендуется создать новую групповую политику с пользовательской настройкой вместо редактирования политики домена по умолчанию, установленной вместе с доменными службами Active Directory. Назначение этой групповой политики на уровне домена позволит применить ее ко всем компьютерам домена. Впрочем, в среде предприятия можно ограничить автоматическую регистрацию таким образом, чтобы она действовала только для указанных компьютеров. Для этого можно назначить групповую политику на уровне подразделения организации или ограничить действие групповой политики домена так, чтобы она применялась только к компьютерам определенной группы безопасности. При ограничении автоматической регистрации не забудьте включить в группу сервер, выполняющий роль точки управления.

  3. В диалоговом окне Создание объекта групповой политики введите имя новой групповой политики, например Сертификаты авторегистрации, и нажмите кнопку ОК.

  4. В области результатов на вкладке Связанные объекты групповой политики щелкните правой кнопкой мыши новую групповую политику и выберите команду Редактировать.

  5. В окне Редактор управления групповыми политиками разверните Политики в разделе Конфигурация компьютера, затем выберите Параметры Windows / Параметры безопасности / Политики открытого ключа.

  6. Щелкните правой кнопкой мыши тип Клиент служб сертификации: автоматическая подача заявок, затем выберите Свойства.

  7. В раскрывающемся списке Модель конфигурации выберите пункт Включена, выберите Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты, затем Обновлять сертификаты, использующие шаблоны сертификатов и нажмите кнопку ОК.

  8. Закройте окно Управление групповой политикой.

Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на компьютерах

Автоматическая регистрация сертификата проверки подлинности рабочей станции и проверка его установки на клиентском компьютере

  1. Перезагрузите компьютер рабочей станции и подождите несколько минут перед входом в систему.

    Примечание
    Перезагрузка компьютера является самым надежным методом обеспечения успешной автоматической регистрации сертификата.

  2. Войдите в систему с использованием учетной записи, которая имеет привилегии администратора.

  3. В окне поиска введите mmc.exe. и нажмите клавишу ВВОД.

  4. В пустой консоли управления щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  5. В диалоговом окне Добавление или удаление оснасток выберите Сертификаты из списка Доступные оснастки и нажмите кнопку Добавить.

  6. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  7. Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

  8. В диалоговом окне Добавление или удаление оснасток нажмите кнопку ОК.

  9. В консоли разверните узел Сертификаты (локальный компьютер), затем узел Личные и выберите Сертификаты.

  10. В области результатов убедитесь, что у отображаемого сертификата в столбце Назначение указано Проверка подлинности клиента, а в столбце Шаблон сертификатаСертификат клиента ConfigMgr.

  11. Закройте окно Сертификаты (локальный компьютер).

  12. Повторите шаги с 1 по 11 для рядового сервера, чтобы убедиться, что сервер, который будет настроен для работы в качестве точки управления, имеет сертификат клиента.

Рабочая станция и рядовой сервер обеспечены сертификатами клиента Configuration Manager 2007.

См. также