В данном разделе описывается развертывание и использование сертификатов инфраструктуры открытого ключа (PKI) Configuration Manager 2007 SP1 и более поздних версий, которые используются во внешнем управлении. В разделе охватываются следующие области:

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

Список требований к сертификатам см. в разделе Требования к сертификатам для внешнего управления.

Примеры развертывания с пошаговыми инструкциями см. в разделах

Требования к центру сертификации для внешнего управления

Требования к развертыванию сертификатов для обеспечения AMT включают использование автоматического утверждения сертификатов, чтобы сервер сайта мог запрашивать и сразу же получать сертификат для каждого компьютера, основанного на AMT, который он обеспечивает. Для защиты автоматического утверждения используются средства безопасности, которые обеспечивают возможность запроса сертификатов только доверенными компьютерами. Использование шаблонов сертификатов для центра сертификации предприятия Microsoft обеспечивает данный уровень защиты, так как шаблоны сертификатов включают элементы управления уровнем доступа. Хотя все запросы сертификатов можно автоматически утверждать, используя отдельный центр сертификации Microsoft, данное решение не обеспечивает элементы управления безопасностью и не поддерживается в Configuration Manager 2007 SP1 и более поздних версий при внешнем управлении.

Центр сертификации предприятия Майкрософт поддерживает следующие версии шаблонов сертификатов:

  • Версия 1 была реализована в ОС Windows Server 2000 и поддерживается всеми серверными версиями операционных систем Windows Server 2003 и Windows Server 2008.

  • Версия 2 была реализована в ОС Windows Server 2003 и поддерживается Enterprise Edition и Datacenter Edition операционных систем Windows Server 2003 и Windows Server 2008. Шаблоны версии 2 не поддерживаются в Standard Edition операционных систем Windows Server 2003 и Windows Server 2008.

  • Версия 3 была реализована в ОС Windows Server 2008 и поддерживается версиями Enterprise Edition и Datacenter Edition операционной системы Windows Server 2008. Однако эти шаблоны сертификатов создают сертификаты, не совместимые с Configuration Manager, и они не должны использоваться при внешнем управлении или при работе в основном режиме.

Различные версии шаблонов в консоли управления шаблонами сертификатов можно просмотреть в столбце Минимально поддерживаемые ЦС авторизации: шаблоны версии 1 указываются в разделе Windows 2000, версии 2 – Windows Server 2003, Enterprise Edition, а версии 3 – Windows Server 2008.

Шаблоны сертификатов версии 1 позволяют настраивать разрешения безопасности, которые определяют пользователей с правом на чтение, использование и управление шаблонами. Однако для изменения любых других свойств шаблона сертификата, например, его имени, назначения и его периода действия, необходимо использовать шаблоны версий 2 или 3.

Настройка шаблонов сертификатов для внешнего управления рекомендуется и может быть обязательной, чтобы развернуть сертификат обеспечения. Этот процесс описывается в следующих разделах. Использование специального шаблона сертификата для всех сертификатов, используемых внешним управлением, оптимально с точки зрения безопасности. Любая настройка шаблонов требует, чтобы центр сертификации работал под управлением операционной системы Windows Server Enterprise Edition.

Версии шаблонов сертификатов и сертификат обеспечения

Сертификат обеспечения, который устанавливается на каждом сайте для внешнего управления компьютерами, основанными на AMT, часто требует определенного идентификатора объекта (OID), который отсутствует в шаблонах сертификатов по умолчанию, а также поддержки проверки подлинности сервера (идентификатор объекта 1.3.6.1.5.5.7.3.1). Это означает, что необходимо изменить существующий шаблон сертификата, чтобы включить настраиваемый идентификатор объекта. Для этого следует использовать шаблон сертификата версии 2, так как программа Configuration Manager не поддерживает сертификаты, созданные с использованием шаблона версии 3. Шаблон версии 2 не поддерживается в версиях Standard Edition операционных систем Windows Server 2003 и Windows Server 2008.

Однако если для сертификата обеспечения используется внешний центр сертификации и компания использует собственный метод запроса на сертификат (например, путем подключения к сайту веб-регистрации), нет необходимости использовать шаблон для сертификата обеспечения.

Если используется внешний центр сертификации, который требует отправки запроса с использованием файла запроса на сертификат, или если для получения сертификата обеспечения используется собственный внутренний центр сертификации, нельзя использовать шаблон сертификата версии 1, если сертификат содержит настраиваемый идентификатор объекта. Вместо него следует использовать шаблон версии 2, который допускает редактирование и включение настраиваемого идентификатора объекта. Пример развертывания для отправки запроса на сертификат на внешний центр сертификации, а также пример использования собственного внутреннего центра сертификации см. в разделе Пример с пошаговыми инструкциями развертывания сертификатов PKI, необходимых для AMT и внешнего управления: центр сертификации Windows Server 2003.

Версии шаблонов сертификатов и сертификаты для компьютеров, основанных на AMT

Каждый компьютер, основанный на AMT, требует сертификата, установленного в памяти контроллера управления, и этот сертификат требует только поддержки проверки подлинности сервера (идентификатор объекта 1.3.6.1.5.5.7.3.1). Данное требование соответствует шаблону версии 1 по умолчанию Веб-сервер. Таким образом, можно использовать шаблон "Веб-сервер", изменив только разрешения безопасности, чтобы сервер сайта мог считывать и регистрироваться с использованием данного шаблона.

Однако если создается копия шаблона "Веб-сервер", это повышает возможности управления используемым сертификатом, так как можно изменить его и описание, чтобы указать, что он используется для внешнего управления. Можно также изменить свойства сертификата, например, период действия и размер ключа. Так как шаблоны версии 2 допускают больше возможностей для управления, рекомендуется использовать для внешнего управления именно эти шаблоны. Использование данных шаблонов предполагает наличие операционной системы Windows Server версии Enterprise Edition.

Если требуется сертификат клиента для проводных и беспроводных сетей с проверкой подлинности 801.2X для Configuration Manager 2007 с пакетом обновления 2 (SP2), также требуется выпуск Enterprise Edition операционной системы Windows Server. Дополнительные сведения об этом сертификате см. в разделе The Optional Client Certificate for AMT-Based Computers in Configuration Manager 2007 SP2 Only.

Сертификат обеспечения AMT

Следующие разделы содержат информацию о том, можно ли использовать собственный внутренний центр сертификации или для запросов на сертификат обеспечения необходимо использовать внешний центр сертификации. Кроме того, в этих разделах описываются требования к имени получателя сертификата.

Выбор между внешним и внутренним центром сертификации

Программа Configuration Manager не может внешне управлять компьютерами, основанными на AMT, если они не подготовлены. По умолчанию компьютеры, основанные на АМТ, настраиваются производителем компьютера на использование внешних центров сертификации, например, VeriSign, Go Daddy, Comodo и Starfield. Если сертификат обеспечения приобретен у одного из внешних центров сертификации, и в программе Configuration Manager настроено использование этого сертификата обеспечения, компьютеры, основанные на АМТ, доверяют центру сертификации сертификата обеспечения, и подготовка выполняется успешно.

Если планируется, что сертификаты обеспечения будет предоставлять внутренний центр сертификации, необходимо соблюсти одно из следующих условий:

  • Поставщик компьютера предоставил образ настраиваемых микропрограмм, который включает отпечаток внутреннего корневого сертификата. Это рекомендуется из соображений безопасности для защиты от незаконных серверов обеспечения. Дополнительные сведения об использовании образа настраиваемых микропрограмм см. в разделе Определение необходимости в использовании образа настраиваемой микропрограммы от производителя компьютера.

  • Необходимо вручную добавить отпечаток внутреннего корневого сертификата на каждый компьютер, который должен готовиться к внешнему управлению в Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии. См. инструкции производителя компьютера, чтобы получить сведения о настройке параметра хэш-кода сертификата AMT с использованием значения отпечатка сертификата.

Дополнительную информацию о расположении отпечатка внутреннего корневого сертификата см. в разделе Обнаружение отпечатка внутреннего корневого сертификата для обеспечения AMT.

Требования к имени получателя сертификата

В ходе процесса обеспечения AMT программа Configuration Manager настраивает имя узла и DNS-суффикс в расширениях BIOS AMT с использованием полного доменного имени компьютера, основанного на AMT. Данное имя извлекается из базы данных Configuration Manager. Затем DNS-суффикс сравнивается с именем получателя в сертификате обеспечения. Имя получателя в сертификате обеспечения содержит полное доменное имя сервера системы сайта, настроенного на использование роли внешней точки обслуживания.

Если полное доменное имя компьютера, основанного на AMT, совместно использует то же пространство имен, что и полное доменное имя, указанное в сертификате обеспечения AMT, обеспечение AMT выполняется успешно. Если полное доменное имя компьютера, основанного на AMT, не использует совместно то же пространство имен, что и полное доменное имя, указанное в сертификате обеспечения AMT, обеспечение AMT не выполняется.

Ниже приводятся примеры того, когда компьютер, основанный на AMT, и внешняя точка обслуживания не используют совместно одно пространство имен:

  • Полное доменное имя компьютера, основанного на AMT, – computer1.contoso.com, а полное доменное имя внешней точки обслуживания — server1.contoso.com.

  • Полное доменное имя компьютера, основанного на AMT, – computer1.sales.contoso.com, а полное доменное имя внешней точки обслуживания — server1.contoso.com.

  • Полное доменное имя компьютера, основанного на AMT, – computer1.sales.contoso.com, а полное доменное имя внешней точки обслуживания — server1.marketing.contoso.com.

В предыдущем примере компьютер, основанный на AMT, и внешняя точка обслуживания совместно используют одно пространство имен contoso.com.

Ниже приводятся примеры того, когда компьютер, основанный на AMT, и внешняя точка обслуживания не используют совместно одно пространство имен:

  • Полное доменное имя компьютера, основанного на AMT, – computer1.contoso.com, а полное доменное имя внешней точки обслуживания — server1.northwindtraders.com.

  • Полное доменное имя компьютера, основанного на AMT, – computer1.northwindtraders.com, а полное доменное имя внешней точки обслуживания — server1.contoso.com.

В предыдущем примере компьютер, основанный на AMT, и внешняя точка обслуживания не используют совместно одно пространство имен. Следовательно, обеспечение AMT не будет выполняться, даже если оба компьютера принадлежат одному лесу Active Directory. Кроме этого, внешнее управление не поддерживает разъединенные пространства имен. Например, компьютер, основанный на AMT, с полным именем computer1.contoso.com, расположенный в домене Active Directory с именем na.corp.contoso.com, не может быть успешно подготовлен средствами внешнего управления.

Сертификат обеспечения устанавливается на сервере системы сайта внешней точки обслуживания, и полное доменное имя этого сервера должно указываться в имени получателя сертификата обеспечения. Если сертификат обеспечения предоставляется внутренним центром сертификации, полное доменное имя сервера системы сайта внешней точки обслуживания может быть автоматически настроено с использованием запроса на сертификат. Дополнительные сведения см. в разделе Пример с пошаговыми инструкциями развертывания сертификатов PKI, необходимых для AMT и внешнего управления: центр сертификации Windows Server 2003.

Важно!
Нельзя подготовить к работе компьютеры, основанные на AMT, если они не используют то же пространство имен, что и внешняя точка обслуживания. Это означает, что нельзя подготовить к работе компьютеры, основанные на AMT, которые относятся к другому лесу Active Directory, а леса с независимыми пространствами имен не смогут использовать внешнее управление, если только компьютеры, основанные на AMT, и внешняя точка обслуживания не относятся к одному дереву DNS. Разъединенные пространства имен в пределах одного дерева также не поддерживаются.

Продление сертификата обеспечения AMT

Так как истечение срока действия сертификата обеспечения AMT приводит к ошибке обеспечения, следует продлить сертификат обеспечения и настроить внешнее управление для нового сертификата, прежде чем истечет срок действия для исходного сертификата. Убедитесь, что запрос на новый сертификат отправляется задолго до истечения срока действия существующего сертификата, и это особенно важно, если сертификат обеспечения предоставляется внешним центром сертификации.

Чтобы проинформировать об истечении срока действия сертификата обеспечения AMT, программа Configuration Manager создает письменное сообщение об изменении состояния с идентификатором 7210, когда до истечения срока действия используемого сертификата обеспечения остается 40 или менее дней. Это сообщение об изменении состояния присылается ежедневно до тех пор, пока сертификат не будет заменен сертификатом со сроком действия, превышающим 40 дней, или пока до истечения срока действия не останется менее 15 дней. Если срок действия составляет менее 15 дней, создается сообщение об изменении состояния ошибки с идентификатором 7211, которое создается до тех пор, пока сертификат не будет заменен сертификатом со сроком действия, превышающим 15 дней.

Примечание
Для нового сертификата необходимо настроить свойства конфигурации компонента внешнего управления. Недостаточно просто установить новый сертификат в локальном хранилище сертификатов на компьютере системы сайта внешней точки обслуживания. Дополнительные сведения см. в разделе Настройка обеспечения AMT.

Дополнительные сведения об использовании сообщений об изменении состояния для отслеживания внешнего управления см. раздел Отслеживание внешнего управления.

Дополнительные сведения о конфигурации состояния сайта см. в разделе Настройка конфигурации состояния сайта.

Сертификат веб-сервера для компьютеров, основанных на AMT

Хотя обычно рабочие станции являются клиентами для веб-сайта на сервере, в случае с внешним управлением все наоборот. На компьютерах, основанных на AMT, в микропрограмме запускается компонент веб-сервера, и компьютеры, которые управляют ими (внешняя точка обслуживания и любой компьютер, на котором запущена консоль внешнего управления), работают как клиенты.

Сертификат, установленный в памяти AMT, требует поддержки проверки подлинности сервера, чтобы управляющие компьютеры могли выполнять проверку его подлинности и шифровать обмен данными между ними с помощью протокола TLS. Протокол TLS – это отраслевой стандартный протокол, тесно связанный с протоколом SSL 3.0, который помогает защититься от фальсификации сообщений, их перехвата и подделки. Дополнительные сведения о протоколе TLS см. по адресу http://go.microsoft.com/fwlink/?LinkId=108709.

При внешнем управлении не используется взаимная проверка подлинности PKI; хотя компьютер, основанный на AMT, проходит проверку подлинности для управляющего компьютера, на самом управляющем компьютере отсутствует соответствующий клиентский сертификат PKI. Вместо этого обмен данными защищается с использованием подключения по протоколу TLS и следующих учетных записей пользователей:

  • Учетные записи пользователей Windows, которые используют проверку подлинности Kerberos для запуска консоли внешнего управления.

  • Учетные записи обеспечения и обнаружения AMT, которые используют дайджест-проверку подлинности НТТР.

  • Учетная запись MEBx AMT, которая использует дайджест-проверку подлинности НТТР.

  • Учетные записи пользователей AMT, которые используют проверку подлинности Kerberos.

  • Учетная запись удаленного администратора, которая использует дайджест-проверку подлинности НТТР.

Возобновление сертификата веб-сервера для компьютеров, основанных на AMT

Сертификат веб-сервера с истекшим сроком действия, который не возобновлен для компьютеров, основанных на AMT, приводит к тому, что программа Configuration Manager не может удаленно управлять компьютером.

Configuration Manager отслеживает сертификаты, развернутые на компьютерах, основанных на AMT, и автоматически запрашивает новый сертификат, прежде чем заканчивается срок действия исходного сертификата. Это помогает обеспечить непрерывность и достаточный период отсрочки, если не удается сразу же связаться с центром сертификации, который выдает сертификаты.

При установке внешней точки обслуживания автоматически запускается задача поддержки внешнего управления, которая периодически проверяет оставшийся период действия сертификатов, выданных для компьютеров, основанных на AMT. Данная проверка выполняется каждые 7 дней, и новый сертификат запрашивается, когда период истечения срока действия составляет менее 42 дней включительно.

Если необходимо настроить эти параметры или запустить проверку на наличие сертификатов, для которых приближается дата истечения срока действия, см. раздел Настройка задач обслуживания для внешнего управления.

Примечание
Если внешняя точка обслуживания в Configuration Manager 2007 с пакетом обновления 2 (SP2) подключается к компьютеру, основанному на AMT, используя беспроводное сетевое подключение, обновление сертификата невозможно.

Дополнительный сертификат клиента для компьютеров, основанных на AMT, только в в Configuration Manager 2007 с пакетом обновления 2 (SP2)

Configuration Manager с пакетом обновления 2 (SP2) поддерживает внешнее управление в проводных и беспроводных сетях с проверкой подлинности 802.1X. В таких ситуациях для проверки подлинности на сервере RADIUS компьютеру, основанному на AMT, может потребоваться сертификат клиента. Если на сервере RADIUS настроена проверка подлинности EAP-TLS, сертификат клиента требуется всегда. Если на сервере RADIUS настроена проверка подлинности EAP-TTLS/MSCHAPv2 и PEAPv0/EAP-MSCHAPv2, необходимость сертификата клиента определяется в конфигурации сервера RADIUS.

Сервер сайта запрашивает сертификаты клиентов для компьютеров, основанных на AMT, в ходе процесса подготовки или при наличии на компьютере, основанном на AMT, действующего сертификата клиента и выполнении обновления контроллера управления с использованием проводного подключения. Можно указать один шаблон сертификата клиента, который будет использоваться при настройке поддержки проводных сетей с проверкой подлинности 801.2X, и до 8 различных шаблонов сертификата клиента, которые будут использоваться при настройке поддержки различных беспроводных сетей. Однако с точки зрения безопасности и упрощения администрирования рекомендуется использовать один и тот же шаблон сертификата, если нет веских причин для использования разных сертификатов клиента (например, различные размеры ключей и сроки действия или различные корневые центры сертификации). Этот дополнительный сертификат, также устанавливаемый в памяти AMT, требует только возможности проверки подлинности клиента (идентификатор объекта 1.3.6.1.5.5.7.3.2), чтобы обеспечить возможность проверки подлинности компьютера, основанного на AMT, на сервере RADIUS. После успешной проверки подлинности компьютер, основанный на AMT, может быть авторизован и настроен для доступа к сети. Этот сертификат никогда не используется для проверки подлинности компьютера в инфраструктуре Configuration Manager.

Если для одного компьютера, основанного на AMT, запрашивается более одного сертификата клиента, система AMT отслеживает каждый сертификат, обеспечивая использование нужного сертификата клиента для соответствующей конфигурации. Например, если указан второй профиль беспроводной сети и для него настроено использование шаблона сертификата, отличного от шаблона, указанного для первого профиля, сертификат, запрошенный и установленный для второго профиля беспроводной сети, никогда не будет использоваться при подключении компьютера, основанного на AMT, к беспроводной сети с использованием первого профиля.

В дополнение к возможности проверки подлинности клиента в шаблоне сертификата также должно быть указано Предоставляется в запросе, чтобы сервер сайта, запрашивающий сертификаты, мог предоставить полное имя каждого компьютера, основанного на AMT. Для настройки шаблона сертификата с возможностью проверки подлинности клиента и функцией предоставления в запросе необходимо использовать специально настроенный шаблон сертификата. Лучше всего для этой цели подходит шаблон сертификата Проверка подлинности рабочей станции, копию которого можно настроить в соответствии с конфигурацией получателя сертификата, а также изменить разрешения системы безопасности. Для настройки дубликата шаблона сертификата требуется выпуск Enterprise Edition операционной системы Windows Server. Дополнительные сведения с примером настройки шаблона сертификата для сертификатов дополнительной проверки подлинности клиента см. в примерах развертывания с пошаговыми инструкциями, упомянутых в начале этого раздела.

Возобновление сертификата клиента для компьютеров, основанных на AMT

Сертификат клиента с истекшим сроком действия, не обновленный для компьютеров, основанных на AMT, приведет к отсутствию возможности внешнего управления этим компьютером в Configuration Manager при использовании соответствующей проводной сети с проверкой подлинности 801.2X или беспроводных сетей.

Помимо отслеживания сертификатов веб-сервера, развертывание которых выполняется на компьютерах, основанных на AMT, Configuration Manager отслеживает все развертываемые им сертификаты клиентов и автоматически запрашивает новые сертификаты до истечения срока действия существующих. Дополнительные сведения об обновлении сертификатов для внешнего управления см. в описании обновления сертификатов веб-сервера для компьютеров, основанных на AMT, приведенном в предыдущем разделе.

Проверка списка отзыва сертификатов и отзыв сертификатов для сертификатов внешнего управления

В следующих разделах описывается отзыв сертификатов и проверка списка отзыва сертификатов для сертификата обеспечения внешней точки обслуживания и сертификата веб-сервера на компьютерах, основанных на AMT, а также дополнительного сертификата клиента на компьютерах, основанных на AMT, в Configuration Manager 2007 с пакетом обновления 2 (SP2).

Проверка списка отзыва сертификатов для сертификата обеспечения

Компьютеры, основанные на AMT, не поддерживают загрузку списка отзыва сертификатов для проверки того, не отозван ли сертификат обеспечения. Это значит, что компьютеры, основанные на AMT, будут по-прежнему принимать сертификат обеспечения, который был отозван выпускающим центром сертификации. Если известно, что сертификат обеспечения был отозван, удалите его из хранилища сертификатов на сервере системы сайта внешней точки обслуживания. Затем выполните развертывание нового сертификата обеспечения и настройте его в свойствах компонента внешнего управления. При отсутствии возможности незамедлительного развертывания действительного сертификата обеспечения AMT удалите роль внешних точек обслуживания, пока не появится сертификат для замены.

Проверка списка отзыва сертификатов для сертификата веб-сервера

Проверка списка отзыва сертификатов компьютерами Configuration Manager, которые подключаются к компьютерам, основанным на AMT (система сайта внешней точки обслуживания и любой компьютер, на котором запущена консоль внешнего управления), выполняется службой удаленного управления Windows (WinRM). Версии службы WinRM, которые устанавливаются с операционными системами, выпущенными ранее Windows Server 2008 R2 и Windows 7, не поддерживают проверку списка отзыва сертификатов. Версии службы WinRM, которые устанавливаются с Windows Server 2008 R2 и Windows 7, поддерживают проверку списка отзыва сертификатов. Также можно загрузить и установить более поздние версии службы WinRM с поддержкой проверки списка отзыва сертификатов для ранее выпущенных операционных систем.

Возможность проверки списка отзыва сертификатов в различных версиях службы WinRM приводит к следующим ситуациям.

  • Если проверка списка отзыва сертификатов не поддерживается системой сайта внешней точки обслуживания и каким-либо компьютером, на котором запущена консоль внешнего управления, эти компьютеры будут по-прежнему принимать отозванные сертификаты веб-сервера для компьютера, основанного на AMT.

  • Если проверка списка отзыва сертификатов поддерживается системой сайта внешней точки обслуживания и каким-либо компьютером, на котором запущена консоль внешнего управления, эти компьютеры не будут принимать отозванные сертификаты веб-сервера для компьютера, основанного на AMT. Кроме того, в качестве дополнительной меры защиты от недоверенных сертификатов, обмен данными внешнего управления будет невозможен в таких ситуациях при отсутствии доступа к списку отозванных сертификатов. (Например, если список не доступен в сети или если проблемы обмена данными по сети препятствуют доступу.)

Примечание
Как правило, компьютеры, которые не выполняют проверку списка отозванных сертификатов, работают под управлением операционных систем, выпущенных ранее Windows Server 2008 R2 и Windows 7.

Сертификат веб-сервера, выданный каждому компьютеру, основанному на AMT, в ходе подготовки, автоматически отзывается программой Configuration Manager в следующих сценариях:

  • Данные обеспечения удаляются с компьютера, на котором используется программа Configuration Manager. Сервер сайта отзывает сертификат по причине Заменено.

  • Компьютер обеспечивается, и программа Configuration Manager обнаруживает сертификат, ранее выданный тому же компьютеру, основанному на AMT. Это может произойти, если компьютер, основанный на AMT, локально настраивается на удаление конфигурации обеспечения в расширениях BIOS. Сервер сайта отзывает сертификат по причине Заменено и запрашивает новый сертификат.

  • Задача поддержки внешнего управления Проверить предоставленные сертификаты AMT-компьютера выполняется согласно настроенному расписанию. Если выясняется, что сертификат попадает в период истечения срока действия, для которого требуется обновление, сервер сайта отзывает сертификат по причине Заменено и запрашивает новый сертификат. Дополнительные сведения об этой задаче обслуживания см. в предыдущем разделе "Обновление сертификата веб-сервера для компьютеров, основанных на AMT".

  • Только для Configuration Manager 2007 с пакетом обновления 2 (SP2). Выполняется блокировка клиента Configuration Manager, подготовленного для AMT. Сервер сайта отзывает сертификат по причине Заменено. Дополнительные сведения о такой ситуации см. в разделе О блокировке клиентов и внешнем управлении.

Сертификат веб-сервера не отзывается при обновлении данных в контроллере управления.

Компьютер сервера основного сайта должен иметь разрешение Выдавать и управлять сертификатами в центре сертификации, который выдает сертификат.

Важно!
Обязательно сообщите администраторам PKI об обстоятельствах, в которых сертификаты веб-сервера автоматически отзываются программой Configuration Manager. Объясните, что данная операция является ожидаемым процессом при управлении сертификатами, и это не говорит о проблемах безопасности для компьютеров, основанных на AMT.

Проверка списка отзыва сертификатов для дополнительного сертификата клиента

Дополнительный сертификат клиента используется для проверки подлинности на сервере RADIUS и никогда не используется для проверки подлинности в инфраструктуре Configuration Manager. Это значит, что проверка списка отзыва сертификатов для этого сертификата клиента выполняется сервером RADIUS. Проверьте наличие поддержки проверки списка отзыва сертификатов и режим работы для компьютеров, основанных на AMT, в случае отзыва сертификатов клиента или отсутствия доступа к списку отзыва сертификатов, в документации по используемому решению RADIUS.

Примечание
Решения RADIUS, разработанные корпорацией Майкрософт, выполняют проверку списка отзыва сертификатов. Например, сервер политики сети в среде Windows Server 2008 выполняет проверку списка отзыва сертификатов для компьютеров, основанных на AMT, и отклоняет запросы подключения в том случае, если сертификат клиента отозван или не может быть проверен вследствие отсутствия доступа к списку отзыва сертификатов.

Сертификаты клиента, выданные каждому компьютеру, основанному на AMT, автоматически отзываются Configuration Manager в тех же ситуациях, что и сертификаты веб сервера, с указанием той же причины — Заменено. Кроме того, в зависимости от конфигурации, сертификат клиента (или несколько сертификатов клиента) может быть отозван при обновлении контроллера управления и наличии настроенного шаблона сертификата клиента в конфигурации Configuration Manager для проводной сети с проверкой подлинности 802.1X или для одного из профилей беспроводной сети.

Важно!
Обязательно сообщите администраторам PKI об обстоятельствах, в которых сертификаты клиента автоматически отзываются программой Configuration Manager. Объясните, что данная операция является ожидаемым процессом при управлении сертификатами, и это не говорит о проблемах безопасности для компьютеров, основанных на AMT.

См. также