В следующем контрольном списке приведены шаги, необходимые для развертывания требований к инфраструктуре открытого ключа (PKI), прежде чем сайт Configuration Manager 2007 сможет работать в основном режиме.

Шаг Ссылка

Подтвердите, что PKI поддерживает различные сертификаты, необходимые для Configuration Manager 2007.

Требования к сертификатам для работы в основном режиме

Убедитесь, что следующие компьютеры на сайте Configuration Manager 2007 имеют доверенные корневые центры сертификации в общих и промежуточных центрах сертификации, по мере необходимости:

  • сервер сайта;

  • точки управления (точка управления по умолчанию, прокси-точка управления, интернет-точка управления, точки управления балансировкой сетевой нагрузки);

  • точки распространения;

  • точки обновления программного обеспечения;

  • точки миграции состояния.

  • все клиентские компьютеры и мобильные устройства клиентов.

Примечание
Точки распространения, настроенные без использования параметра Разрешить клиентам передачу содержимого с этой точки распространения с использованием протоколов BITS, HTTP и HTTPS, а также точки распространения филиала не используют службы IIS, поэтому им не требуются сертификаты. Эти системы сайта используют для передачи данных протокол SMB, и их нельзя защитить путем взаимодействия в основном режиме.

Развертывание доверенного корневого центра сертификации на компьютерах Configuration Manager

Развертывание сертификатов промежуточного центра сертификации на компьютерах Configuration Manager

Если требуется использовать список отзыва сертификатов (CRL), опубликуйте его там, где его смогут обнаружить все компьютеры.

Проверка отзыва сертификата включена по умолчанию для клиентов Configuration Manager, но ее можно отключить. Дополнительные сведения см. в разделе Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим).

Проверка отзыва сертификата включена по умолчанию в IIS и ее нельзя отключить в Configuration Manager. Убедитесь, что системы сайта в основном режиме могут подключаться к точке распространения CRL, внесенной в список в их сертификате системы сайта.

Примечание
Дополнительные сведения о точках распространения CRL (CDP) см. в следующих сведениях инфраструктуры открытого ключа Windows о настройке CDP и расширениях для доступа к сведениям о центрах сертификации: http://go.microsoft.com/fwlink/?LinkId=103608.

Разверните на сервере сайта сертификат для подписи сервера сайта и определите, как клиенты будут его получать.

Развертывание сертификата для подписи сервера сайта на сервере сайта

Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим)

Разверните сертификаты веб-сервера на следующих системах сайта и затем настройте IIS с помощью сертификата:

  • точки управления (точка управления по умолчанию, прокси-точка управления, интернет-точка управления, точки управления балансировкой сетевой нагрузки);

  • точки распространения;

  • точки обновления программного обеспечения;

  • точки миграции состояния.

Развертывание сертификатов веб-сервера на серверах системы сайта

Не обязательный, но рекомендуемый шаг: на системах сайта с развернутыми сертификатами веб-сервера создайте или измените список доверия сертификатов (CTL) в IIS, так чтобы он содержал корневые центры сертификации, используемые клиентами.

Определение необходимости настройки IIS для списка доверия сертификатов (основной режим)

Разверните сертификаты клиентов на клиентах и точках управления.

Развертывание сертификатов клиентского компьютера на клиентах и точках управления

Если имеются мобильные устройства клиентов, разверните сертификаты устройств клиентов.

Развертывание сертификатов на клиентах мобильных устройств

Если используется средство развертывания операционной системы, выполните следующие задачи.

  1. Экспортировать сертификаты корневого центра сертификации, которые будут использоваться клиентами операционной системы во время процесса развертывания, так чтобы их можно было импортировать на консоль Configuration Management как параметр сайта.

  2. Подготовить и экспортировать один или более сертификатов клиентов в файл PKCS 12, так чтобы их можно было включить в развертывание операционной системы.

Подготовка сертификатов корневого центра сертификации для клиентов развертывания операционной системы

Задание сертификатов корневого центра сертификации для клиентов развертывания операционной системы

Экспорт сертификатов для развертывания операционной системы

См. также