Этот пример развертывания с пошаговыми инструкциями, использующий центр сертификации Windows Server 2003, описывает процедуры создания и развертывания сертификатов инфраструктуры открытого ключа (PKI), необходимых для работы Configuration Manager 2007 в основном режиме. Основной режим обеспечивает самый высокий уровень безопасности для сайта Configuration Manager 2007 и является обязательным для интернет-управления клиентами. Дополнительные сведения об основном режиме в Configuration Manager см. в разделе Преимущества использования основного режима.

Процедуры в данном примере ссылаются на решение PKI корпорации Майкрософт, использующее центр сертификации предприятия и шаблоны сертификатов. Эти действия можно выполнять только в тестовой сети в качестве эксперимента.

Поскольку не существует единого метода развертывания требуемых сертификатов, необходимо ознакомиться с документацией по развертыванию конкретной инфраструктуры открытого ключа и изучить необходимые процедуры и рекомендуемые способы развертывания сертификатов для рабочей среды. Дополнительные сведения о возможных методах развертывания см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме.

Примечание
Использование решения PKI корпорации Майкрософт рекомендуется для поддержки Configuration Manager 2007, но не является обязательным. Configuration Manager 2007 использует стандартные сертификаты инфраструктуры открытого ключа (PKI), поддерживая версию 3 для формата сертификатов x.509. Если существующее развертывание PKI может создавать, развертывать и управлять сертификатами, которые необходимы в Configuration Manager 2007 для основного режима, то можно использовать существующую инфраструктуру PKI. Подробные сведения о развертывании см. в документации PKI.

Содержание раздела

Этот пример содержит следующие разделы, в которых описано создание и развертывание основных сертификатов, необходимых для работы сайта Configuration Manager 2007 в основном режиме для подключений в интрасети.

Требования к тестовой сети

Общие сведения

Развертывание сертификата для подписи сервера сайта

Развертывание сертификата веб-сервера

Развертывание сертификата клиента

Требования к тестовой сети

Этот пример потребует выполнения следующих условий.

  • В тестовой сети должны быть запущены доменные службы Active Directory с ОС Windows Server 2003, и служба Active Directory она должна быть установлена как один домен и один лес.

  • В сети должен быть контроллер домена, на котором запущена ОС Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1) и установлены следующие элементы:

    • Консоль управления групповыми политиками

    • Службы IIS

    • Службы сертификатов, установленные в качестве корневого центра сертификации предприятия.

    Примечание
    Службы IIS должны быть установлены до установки службы сертификатов, и должна быть настроена веб-регистрация.
  • В сети должен быть один компьютер с ОС Windows Server 2003 (Standard Edition или Enterprise Edition) с пакетом обновления 1, назначенный рядовым сервером, на котором установлены службы IIS.

  • В сети должен быть один клиент Windows Professional XP с установленным на нем последним пакетом обновления, этому компьютеру должно быть присвоено имя, содержащее символы ASCII, и он должен быть присоединен к домену.

  • Должна быть возможность войти в систему с использованием учетной записи администратора корневого домена или администратора домена предприятия и использовать эту учетную запись во всех процедурах описываемого примера развертывания.

Примечание
Рекомендуется использовать консоль управления групповыми политиками для управления групповыми политиками в доменных службах Active Directory. Чтобы получить дополнительные сведения о консоли управления групповыми политиками и загрузить последнюю версию, посетите веб-страницу "Управление предприятием при помощи консоли управления групповыми политиками" (http://go.microsoft.com/fwlink/?LinkId=79386).

Общие сведения

Перед установкой Configuration Manager 2007 в основном режиме должны быть установлены сертификаты PKI . В данном примере не описывается установка и настройка Configuration Manager 2007, но дано описание обеспечения компьютеров сертификатами, необходимыми для работы Configuration Manager 2007 в основном режиме.

В следующей таблице приведены три типа необходимых сертификатов PKI с описанием способа их использования на сайте Configuration Manager 2007, работающем в основном режиме.

Требования к сертификату Описание сертификата

сертификат для подписи сервера сайта;

Этот сертификат устанавливается на сервер, который будет сервером сайта Configuration Manager 2007. Используется для подписи политик клиентов.

Сертификат веб-сервера

Этот сертификат устанавливается на серверы, которые будут системами сайта Configuration Manager 2007, выполняющими такие роли, как точка управления и точка распространения. Используется для шифрования данных и удостоверяет подлинность сервера при обращении клиентов.

Сертификат клиента

Этот сертификат устанавливается на компьютеры, которые будут клиентами Configuration Manager 2007, и в точке управления. Используется для удостоверения подлинности клиента при обращении к системам сайта, а в точке управления используется для наблюдения за работоспособностью сервера.

Дополнительные сведения о сертификатах см. в разделе Требования к сертификатам для работы в основном режиме.

Выполните действия в данном примере, чтобы достичь следующих целей.

  • Обеспечьте рядовой сервер сертификатом для подписи сервера сайта Configuration Manager 2007, чтобы он смог работать в качестве сервера сайта Configuration Manager 2007 в основном режиме.

  • Обеспечьте рядовой сервер сертификатом веб-сервера, чтобы он смог работать в качестве сервера системы сайта Configuration Manager 2007 в основном режиме, который может исполнять любую из перечисленных ролей системы сайта Configuration Manager: точка управления, точка распространения, точка обновления программного обеспечения и точка миграции состояния.

  • Обеспечьте рабочую станцию и рядовой сервер сертификатом клиента, чтобы рабочая станция могла работать в качестве клиента Configuration Manager 2007 в основном режиме, а точка управления могла передавать данные о ее состоянии на сервер сайта.

Развертывание сертификата для подписи сервера сайта

Этот шаг включает четыре процедуры:

Создание и выдача шаблона сертификата для подписи сервера сайта в центре сертификации

Создание и выдача шаблона сертификата для подписи сервера сайта

  1. На контроллере домена, на котором запущена консоль Windows Server 2003, нажмите кнопку Пуск, выберите пункт Программы, а затем Администрирование и Центр сертификации.

  2. Разверните имя вашего центра сертификации и щелкните Шаблоны сертификатов.

  3. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  4. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Компьютер, и нажмите кнопку Скопировать шаблон.

  5. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для подписи сервера сайта, например Сертификат для подписи сервера сайта ConfigMgr.

  6. Откройте вкладку Имя субъекта и нажмите кнопку Предоставляется в запросе.

  7. Перейдите на вкладку Расширения, убедитесь, что выбран параметр Политики применения, и нажмите кнопку Редактировать.

  8. В диалоговом окне Изменение расширения политик применения выберите пункт Проверка подлинности клиента и, удерживая клавишу Shift, выберите пункт Проверка подлинности сервера и нажмите кнопку Удалить.

  9. В диалоговом окне Изменение расширения политик применения нажмите кнопку Добавить.

  10. В диалоговом окне Добавление политики применения выберите Подписывание документа как единственную политику применения, а затем нажмите кнопку ОК.

  11. В диалоговом окне Свойства нового шаблона в поле описания политик приложения сейчас должно отображаться: Подписывание документа.

  12. Откройте вкладку Требование выдачи и выберите пункт Одобрение диспетчера сертификатов центра сертификации.

  13. Нажмите кнопку ОК и закройте консоль администрирования шаблонов сертификатов, certtmpl – [Шаблоны сертификатов].

  14. В Центре сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  15. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат для подписи сервера сайта ConfigMgr и нажмите кнопку ОК.

    Примечание
    Если не удается выполнить шаг 14 или 15, убедитесь, что используется Windows Server 2003 Enterprise Edition. Хотя можно настроить шаблоны при помощи Windows Server Standard Edition и служб сертификатов, развернуть сертификаты, используя измененные шаблоны сертификатов, можно только в Windows Server 2003 Enterprise Edition.

  16. Не закрывайте Центр сертификации.

Запрос сертификата для подписи сервера сайта для сервера, на котором будет запущен сервер сайта Configuration Manager 2007

Запрос сертификата для подписи сервера сайта

  1. На рядовом сервере запустите Internet Explorer и подключитесь к службе веб-регистрации по адресу http://<сервер>/certsrv, где <сервер> – это имя или IP-адрес центра сертификации предприятия.

  2. На странице Добро пожаловать выберите пункт Запрос сертификата.

  3. На странице Запрос сертификата выберите пункт Расширенный запрос сертификата.

  4. На странице Расширенный запрос сертификата выберите пункт Создание и отправка запроса в этот центр сертификации.

  5. На странице Расширенный запрос сертификата укажите следующие данные.

    • В разделе Шаблон сертификата выберите пункт Сертификат для подписи сервера сайта ConfigMgr для шаблона сертификата.

      Примечание
      Если этот шаблон сертификата не отображается, проверьте, был ли перезапущен рядовой сервер (если он был запущен) после того, как в предыдущей процедуре была настроена группа безопасности.
    • В разделе Идентификационные данные для автономного шаблона в поле Имя введите следующее: Код сайта для этого сервера сайта:  <xxx>, где <xxx> — это код сайта. Должна использоваться в точности такая строка на английском языке в том же регистре букв и без запятой или точки на конце. Код сайта должен быть указан в конце строки в том же регистре, как он отображается в консоли Configuration Manager. Очень важно использовать в точности эти слова, поскольку они формируют имя получателя сертификата, которое используется для идентификации сертификата для подписи сервера сайта.

    • В разделе Параметры ключа выберите Сохранить сертификат в хранилище сертификатов на локальном компьютере.

      Примечание
      Если этот параметр не отображается, возможно, было установлено исправление для KB 922706 для поддержки веб-регистрации в Windows Vista и Windows Server 2008. Это исправление исключит возможность хранения расширенных запросов сертификатов в хранилище компьютера, поэтому, если такая возможность отсутствует на страницах веб-регистрации, следует воспользоваться другим методом развертывания сертификата для подписи сервера сайта. Например, можно установить сертификат в хранилище пользователя, а затем экспортировать его и импортировать в хранилище компьютера или воспользоваться командной строкой служебной программы Certreq.exe для запроса сертификата. Метод с использованием программы Certreq.exe описывается в разделе Пример пошагового развертывания сертификатов PKI, необходимых для работы Configuration Manager в основном режиме: центр сертификации Windows Server 2008.
    • В разделе Расширенные параметры, введите свой вариант Понятного имени, например, Сертификат сервера сайта ConfigMgr.

  6. Нажмите кнопку Отправить.

  7. На странице Отложенные сертификаты можно увидеть, что запрос сертификата получен, но требуется администратор, чтобы его выдать. Запишите отображаемый Идентификатор запроса.

  8. Не закрывайте Internet Explorer.

Одобрение сертификата для подписи сервера сайта в центре сертификации

Одобрение сертификата для подписи сервера сайта

  1. В контроллере домена в Центре сертификации щелкните Запросы в ожидании.

  2. В области результатов будет отображаться запрошенный сертификат с идентификатором запроса, который был указан на странице веб-регистрации.

  3. Щелкните правой кнопкой мыши запрошенный сертификат, выберите пункт Все задачи, а затем пункт Выдать. Не закрывайте Центр сертификации.

Установка сертификата для подписи сервера сайта на сервер, на котором будет запущен сервер сайта Configuration Manager 2007

Установка сертификата для подписи сервера сайта

  1. На рядовом сервере на веб-странице Службы сертификатов Майкрософт нажмите кнопку Домашняя страница в верхнем правом углу для возврата к странице Добро пожаловать.

  2. На странице Добро пожаловать выберите пункт Просмотр состояния отложенных запросов на сертификат.

  3. На странице Просмотр состояния отложенных запросов на сертификат щелкните ссылку, подписанную понятным именем, которое было указано для сертификата для подписи сервера сайта, с датой и временем запроса в скобках.

  4. На веб-странице Выданный сертификат нажмите кнопку Установить этот сертификат.

  5. В окне предупреждения о возможном нарушении сценария нажмите кнопку Да.

  6. На последней странице должно быть сообщение о том, что новый сертификат успешно установлен.

  7. Закройте Internet Explorer.

Рядовой сервер обеспечен сертификатом для подписи сервера сайта Configuration Manager 2007.

Развертывание сертификата веб-сервера

Этот шаг включает четыре процедуры:

Создание группы безопасности Windows для серверов системы сайта (точка управления, точка распространения, точка обновления программного обеспечения, точка миграции состояния)

Создание группы безопасности Windows для сервера системы сайта

  1. На контроллере домена нажмите кнопку Пуск и выберите Программы, Администрирование, Пользователи и компьютеры Active Directory.

  2. Щелкните правой кнопкой мыши домен, выберите команду Создать, а затем выберите Группа.

  3. В диалоговом окне Новый объект – группа введите в поле Имя группы IIS-серверы ConfigMgr и нажмите кнопку ОК.

  4. В диалоговом окне Пользователи и компьютеры Active Directory, щелкните правой кнопкой мыши созданную группу и выберите команду Свойства.

  5. Откройте вкладку Члены группы и нажмите кнопку Добавить для выбора рядового сервера.

    Примечание
    В данном примере тестовой среды в списке есть только один сервер. В реальной среде предприятия может существовать несколько разных серверов, на которых размещены системы сайта Configuration Manager 2007, требующие наличие сертификата, например точка управления сайта и точки распространения. Поэтому рекомендуется назначить разрешения группе и добавить системы сайта, требующие сертификат такого же типа. Создание группы безопасности для таких серверов позволяет назначать разрешения таким образом, что только эти серверы смогут использовать эти сертификаты.

  6. Нажмите кнопку ОК, а затем снова нажмите кнопку ОК для закрытия диалогового окна свойств группы.

  7. Перезапустите рядовой сервер (если он запущен), чтобы он смог принять новых членов группы.

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

Создание и выдача шаблона сертификата веб-сервера в центре сертификации

  1. На контроллере домена, на котором уже запущена консоль управления Центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите пункт Управление для загрузки консоли управления шаблонами сертификатов.

  2. В области результатов щелкните правой кнопкой мыши строку, в которой в столбце Отображаемое имя шаблона указано Веб-сервер, и нажмите кнопку Скопировать шаблон.

  3. В диалоговом окне Свойства нового шаблона на вкладке Общие введите имя шаблона сертификата для создания веб-сертификатов, которые будут использоваться на системах сайта Configuration Manager, например Сертификат для подписи веб-сервера ConfigMgr.

  4. Откройте вкладку Имя получателя, выберите пункт Построить с использованием данных Active Directory, а затем выберите в поле Формат имени получателя один из следующих вариантов.

    • Общее имя: применяется в тех случаях, когда для систем сайта в Configuration Manager используются полные доменные имена (необходимо для интернет-управления клиентами и рекомендуется для клиентов в интрасети).

    • Полное различающееся имя: применяется в тех случаях, когда в Configuration Manager не используются полные доменные имена.

  5. Откройте вкладку Безопасность и удалите разрешение Регистрация из групп безопасности Администраторы домена и Администраторы предприятия.

  6. Нажмите кнопку Добавить, введите в поле ввода IIS-серверы ConfigMgr и нажмите кнопку ОК.

  7. Выберите для этой группы следующие разрешения Разрешить: Читать, Регистрация и Авторегистрация.

  8. Нажмите кнопку ОК и закройте консоль управления шаблонами сертификатов, certtmpl – [Шаблоны сертификатов].

  9. В консоли управления центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите команду Создать, а затем выберите пункт Выдаваемый шаблон сертификата.

  10. В диалоговом окне Включение шаблонов сертификатов выберите созданный ранее шаблон Сертификат веб-сервера ConfigMgr и нажмите кнопку ОК.

  11. Закройте окно Центр сертификации.

Запрос сертификата веб-сервера

Запрос сертификата веб-сервера

  1. Перезапустите рядовой сервер, чтобы убедиться, что он имеет доступ к шаблону сертификата с настроенным разрешением.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe. В пустой консоли щелкните Файл, а затем выберите команду Добавить/удалить оснастку.

  3. В диалоговом окне Добавление или удаление оснастки нажмите кнопку Добавить, выберите пункт Сертификаты и нажмите кнопку Добавить.

  4. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  5. Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

  6. В диалоговом окне Добавление изолированной оснастки нажмите кнопку Закрыть.

  7. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.

  8. В консоли, где сейчас отображается Сертификаты (локальный компьютер), разверните Сертификаты (локальный компьютер), а затем разверните Личные.

  9. Щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем Запросить новый сертификат.

  10. На странице Мастер запроса сертификатов нажмите кнопку Далее.

  11. На странице Типы сертификатов из списка отображаемых сертификатов выберите вариант Сертификат веб-сервера ConfigMgr и нажмите кнопку Далее.

  12. На странице Понятное имя сертификата и описание введите понятное имя и описание (необязательно), позволяющие отличить этот сертификат от других, и нажмите кнопку Далее.

  13. На странице Завершение мастера запросов сертификатов нажмите кнопку Готово.

  14. Должно появиться диалоговое окно Мастер запросов сертификатов, уведомляющее о том, что запрос сертификата выполнен успешно.

  15. Закройте окно Сертификаты (локальный компьютер).

Настройка IIS для использования сертификата веб-сервера

Настройка IIS для использования сертификата веб-сервера

  1. На рядовом сервере нажмите кнопку Пуск, выберите пункт Программы, а затем выберите Администрирование, а затем — Диспетчер служб IIS.

  2. Раскройте Веб-сайты, щелкните правой кнопкой мыши Веб-сайт по умолчанию и выберите пункт Свойства.

  3. Перейдите на вкладку Безопасность каталога, а затем выберите пункт Сертификат сервера.

  4. На странице Добро пожаловать в мастер настройки сертификата веб-сервера нажмите кнопку Далее.

  5. На странице Сертификат сервера выберите пункт Назначение существующего сертификата, а затем нажмите кнопку Далее.

  6. На странице Доступные сертификаты выберите сертификат веб-сервера, на который был подан запрос, определяя его по полю Назначение, которое имеет значение Проверка подлинности сервера и по присвоенному Понятному имени, а затем нажмите кнопку Далее.

  7. На странице Порт SSL примите значение по умолчанию – номер порта 443 и нажмите кнопку Далее.

  8. На странице Сводка сертификатов нажмите кнопку Далее.

  9. На странице Завершение работы мастера настройки сертификата веб-сервера нажмите кнопку Готово.

  10. Нажмите кнопку ОК для закрытия диалогового окна Свойства веб-сайта по умолчанию.

  11. Закройте Диспетчер служб IIS.

Рядовой сервер обеспечен сертификатом веб-сервера Configuration Manager 2007.

Примечание
Если этот сервер будет настроен для обновлений программного обеспечения, необходимо выполнить дополнительную настройку служб IIS после установки служб WSUS. Дополнительные сведения см. в разделе Настройка веб-сайта WSUS на использование протокола SSL.

Развертывание сертификата клиента

Этот шаг включает две процедуры:

Настройка авторегистрации шаблона компьютера с использованием групповой политики

Настройка авторегистрации шаблона компьютера с использованием групповой политики

  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Управление групповой политикой.

  2. Щелкните правой кнопкой мыши домен и выберите команду Создать здесь объект групповой политики и установить связь.

    Примечание
    На этом шаге рекомендуется создать новую групповую политику с пользовательской настройкой вместо редактирования политики домена по умолчанию, установленной вместе с доменными службами Active Directory. Назначение этой групповой политики на уровне домена позволит применить ее ко всем компьютерам домена. Однако, в среде предприятия можно ограничить авторегистрацию таким образом, что будут регистрироваться только выбранные компьютеры путем назначения групповой политики на уровне подразделения организации или путем фильтрации групповой политики домена при помощи группы безопасности, что позволит применять ее только к компьютерам этой группы. При ограничении автоматической регистрации не забудьте включить в группу сервер, выполняющий роль точки управления.

  3. В диалоговом окне Создание объекта групповой политики введите имя новой групповой политики, например Сертификаты авторегистрации, и нажмите кнопку ОК.

  4. В области результатов на вкладке Связанные объекты групповой политики щелкните правой кнопкой мыши новую групповую политику и выберите команду Редактировать.

  5. В окне Редактора объектов групповой политики, выберите Конфигурация компьютера / Параметры Windows / Параметры безопасности / Политики открытого ключа.

  6. Щелкните правой кнопкой мыши Параметры автоматического запроса сертификата, выберите команду Создать, а затем выберите Автоматический запрос сертификата.

  7. На странице Добро пожаловать в мастер настройки автоматического запроса сертификата нажмите кнопку Далее.

  8. На странице Шаблон сертификата выберите пункт Компьютер из списка доступных шаблонов сертификатов и нажмите кнопку Далее.

  9. На странице Завершение работы мастера настройки автоматических запросов сертификатов нажмите кнопку Готово.

  10. Закройте окно Управление групповой политикой.

Автоматическая регистрация сертификата компьютера и проверка его установки на компьютерах

Автоматическая регистрация сертификата компьютера и проверка его установки на компьютере клиента

  1. Перезагрузите компьютер рабочей станции и подождите несколько минут перед входом в систему.

    Примечание
    Перезагрузка компьютера является самым надежным методом обеспечения успешной автоматической регистрации сертификата.

  2. Войдите в систему с использованием учетной записи, которая имеет привилегии администратора.

  3. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду mmc.exe..

  4. В пустой консоли управления щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

  5. В диалоговом окне Добавление или удаление оснастки нажмите кнопку Добавить, выберите пункт Сертификаты и нажмите кнопку Добавить.

  6. В диалоговом окне Оснастка диспетчера сертификатов выберите пункт Учетная запись компьютера и нажмите кнопку Далее.

  7. Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

  8. В диалоговом окне Добавление изолированной оснастки нажмите кнопку Закрыть.

  9. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.

  10. В консоли, где сейчас отображается Сертификаты (локальный компьютер), разверните Сертификаты (локальный компьютер), а затем щелкните Личные.

  11. В области результатов убедитесь, что у отображаемого сертификата в поле Назначение указано значение Проверка подлинности клиента, а в поле Шаблон сертификата – значение Компьютер.

  12. Закройте окно Сертификаты (локальный компьютер).

  13. Повторите шаги с 1 по 12 для рядового сервера, чтобы убедиться, что сервер, который будет настроен для работы в качестве точки управления, имеет сертификат клиента.

Рабочая станция и рядовой сервер обеспечены сертификатами клиента Configuration Manager 2007.

См. также