Программу Microsoft System Center Configuration Manager 2007 можно использовать для развертывания сертификатов на мобильных устройствах. Общие сценарии развертывания сертификатов на мобильных устройствах могут быть следующими:
- развертывание корневых сертификатов и всех
обязательных сертификатов промежуточных центров сертификации для
установки клиента мобильного устройства в основном режиме или
режиме проверки подлинности сервера;
- развертывание сертификатов клиента при
миграции со смешанного режима в основной;
- развертывание сертификатов для приложений
сторонних производителей;
- развертывание сертификата для подписи сервера
сайта Configuration Manager 2007.
Перед развертыванием сертификатов необходимо получить экспортированные сертификаты для корневого центра сертификации и промежуточных центров сертификации в файлах CER в формате X.509.
В программе Configuration Manager 2007 сертификаты можно развертывать с применением следующих методов:
- элемента конфигурации установки
сертификата;
- установки или обновление клиента мобильного
устройства.
Дополнительные сведения об установке сертификата на мобильные устройства см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме.
Развертывание сертификата с использованием элемента конфигурации установки сертификата
Сертификаты можно развернуть в программе Configuration Manager 2007, управляющей клиентами мобильных устройств, с помощью элемента конфигурации установки сертификата. Дополнительные сведения об использовании мастера элементов конфигурации см. в разделе Создание элементов конфигурации для мобильных устройств.
Хранилища сертификатов на мобильных устройствах
Ниже перечислены сертификаты, предусмотренные для устройств под управлением Windows Mobile.
- Корень – корневые сертификаты для мобильного
устройства. Корневые хранилища используются преимущественно для
проверки успешности привязки представленного сертификата к
надежному корневому центру. Такое хранилище не используется для
выполнения кода. Здесь хранится копия сертификата для подписи
сервера сайта.
- Сертификат издателя программного обеспечения
– этими сертификатами определяется уровень привилегий программ
сторонних производителей. Существует два типа сертификатов издателя
программного обеспечения:
- привилегированный – привилегированные
сертификаты с правами управления на мобильных устройствах и
неограниченным доступом к реестру;
- непривилегированный –
непривилегированные сертификаты с ограниченными правами на
мобильных устройствах и без доступа к реестру.
- привилегированный – привилегированные
сертификаты с правами управления на мобильных устройствах и
неограниченным доступом к реестру;
- Промежуточный – промежуточные сертификаты
позволяют проверить подлинность непрерывной цепи центров, ведущей к
корневому центру.
Развертывание сертификатов во время установки или обновления клиента мобильного устройства
В процессе установки или обновления клиента мобильного устройства Configuration Manager 2007 для развертывания сертификатов на мобильных устройствах используется программа запроса сертификата. Дополнительные сведения о сертификатах, необходимых для мобильных устройств в основном режиме см. в разделе О сертификатах основного режима для клиентов мобильных устройств.
Ниже перечислены необходимые условия для развертывания сертификатов во время установки или обновления клиента мобильного устройства.
- Если сертификаты являются обязательными и в
данный момент отсутствуют на мобильном устройстве, их можно
развернуть при установке клиента мобильного устройства. Добавьте
файл или файлы CER в папку развертывания клиента для управления
мобильными устройствами. Файлы сертификатов должны иметь двоичный
формат X.509 с шифрованием DER. Формат X.509 с шифрованием Base64
для мобильных устройств не поддерживается. Дополнительные сведения
см. в разделе Редактирование файла
DMCommonInstaller.ini для управления мобильным устройством или
Изменение файла
ClientSettings.ini для управления мобильным устройством.
- Надлежащим образом настроенный файл
DMCommonInstaller.ini или ClientSettings.ini. Задайте
ImportCerts=True в файле DMCommonInstaller.ini или
ClientSettings.ini. Дополнительные сведения см. в разделе Редактирование файла
DMCommonInstaller.ini для управления мобильным устройством или
Изменение файла
ClientSettings.ini для управления мобильным устройством.
Дополнительные сведения об установке или обновлении клиента для мобильных устройств см. в разделе Установка или обновление клиента управления мобильным устройством.
Значения сертификата в файлах DMCommonInstaller.ini и ClientSettings.ini
В файлах DMCommonInstaller.ini и ClientSettings.ini определяются значения для развертывания сертификатов, которые необходимо отредактировать для определенной среды. Значения для развертывания сертификатов на устройствах делятся на следующие категории:
- средство запроса сертификата,
- импорт сертификатов,
- продление сертификата для подписи сервера
сайта.
Значения средства запроса сертификата
Перечисленные ниже значения в файлах DMCommonInstaller.ini или ClientSettings.ini используются для определения запроса сертификата в процессе установки или обновления клиента. При необходимости запросить сертификаты, определите такие значения для развертывания сайта:
- CertEnrollAction=Enroll
- CertEnrollServer=certserver.contoso.com
- CertEnrollServerPort=80
Примечание Средство запроса сертификатов для мобильных устройств Configuration Manager 2007 поддерживает HTTPS. - CertRequestPage=/certsrv/certfnsh.asp
- CertDownloadPage=/certsrv/certnew.cer
-
CertChainDownloadPage=/certsrv/certnew.p7b
Если значение параметра CertEnrollAction равно Enroll, приложение для запроса сертификата (Enroll_ARM.exe, Enroll_WinCE5.0_x86.exe или Enroll_WinCE5.0_ARM.exe) проверит наличие действительного сертификата проверки подлинности клиента на мобильном устройстве в личном хранилище. Если сертификат проверки подлинности клиента не будет найден, пользователю мобильного устройства будет предложено пройти проверку подлинности, а из личного хранилища мобильного устройства будет отправлен запрос сертификата проверки подлинности клиента. Параметры процесса запроса сертификата определяются дополнительными значениями в файлах DMCommonInstaller.ini или ClientSettings.ini. Дополнительные сведения см. в разделе Редактирование файла DMCommonInstaller.ini для управления мобильным устройством или Изменение файла ClientSettings.ini для управления мобильным устройством.
Импорт значений сертификатов: ImportCerts
Если значение ImportCerts в файле DMCommonInstaller.ini или ClientSettings.ini задано равным TRUE, программа установки импортирует файлы сертификата (CER), расположенные в каталоге перемещения клиента, в корневое хранилище мобильного устройства. Если необходимые сертификаты уже находятся на мобильном устройстве, использовать этот параметр для настройки основного режима необязательно. Импортируемые сертификаты должны иметь двоичный формат X.509 с шифрованием DER. Сертификаты X.509 с шифрованием Base64 не поддерживаются.
Продление сертификатов для подписи сервера сайта
Значение EnableSSSCRenewal в файле DMCommonInstaller.ini или ClientSettings.ini позволяет определить, нужно ли загружать и устанавливать сертификат для подписи сервера сайта при появлении в наличии на сервере сайта нового сертификата. Если значение EnableSSCRenewal задано равным FALSE, администратору нужно будет вручную развернуть обновленный сертификат для подписи сервера сайта.
См. также
Основные понятия
О сертификатах основного режима для клиентов мобильных устройствРазвертывание сертификатов промежуточного центра сертификации на компьютерах Configuration Manager
Изменение файла ClientSettings.ini для управления мобильным устройством
Редактирование файла DMCommonInstaller.ini для управления мобильным устройством
Установка или обновление клиента управления мобильным устройством