Сервер сайта Configuration Manager 2007 использует сертификат для подписи сервера сайта в основном режиме для подписывания политик, загруженных клиентами с точки управления. Для проверки подписи клиентам нужна копия этого сертификата. После получения клиентом сертификата он сохраняется в реестре клиента и используется в тех случаях, когда с точки управления отправляются новые политики.

Примечание
Сертификат для подписи сервера сайта не хранится в хранилище сертификатов у клиентов, а сохраняется в защищенной области реестра.

Для развертывания сертификата для подписи сервера сайта на клиентских компьютерах существует три способа.

Рекомендуется для развертывания сертификата для подписи сервера сайта на клиентских компьютерах использовать доменные службы Active Directory, поскольку этот способ не требует дополнительного администрирования, а сертификат сохраняется в защищенном месте независимо от Configuration Manager 2007. Однако, для применения этого способа необходимо выполнить следующие условия.

Если клиенты не могут получить копию сертификата для подписи сервера сайта из доменных служб Active Directory, попробуйте выполнить его развертывание на этих клиентах при помощи программы установки клиента CCMSetup.exe, используя msi-параметр клиента SMSSIGNCERT с указанием пути и имени файла экспортируемого сертификата. Недостатком этого способа является то, что при этом требуется увеличение затрат на администрирование, которое может повторяться, когда сертификат для подписи сервера сайта меняется или возобновляется. Дополнительные сведения о параметрах CCMSetup см. в разделе О свойствах установки клиента Configuration Manager. Сведения о том, как экспортировать сертификат см. в разделе Экспорт сертификата для подписи сервера сайта для установки клиента Configuration Manager.

Если копия сертификата для подписи сервера сайта еще не установлена на клиентах Configuration Manager 2007, когда они подключаются к своей точке управления, и они не могут найти ее в доменных службах Active Directory, точка управления автоматически загрузит ее и клиенты смогут проверить подписанные политики.

Из этих трех решений автоматическое развертывание через точку управления – наименее безопасное, к нему не следует прибегать, если вы не уверены в безопасности точки управления. Например, точка управления, находящаяся в демилитаризованной зоне, предназначенная для приема подключений из Интернета для интернет-управления клиентами, считается менее надежной, чем точка управления, находящаяся в интрасети и принимающая подключения только от клиентов интрасети. Однако, автоматическое развертывание копии сертификата для подписи сервера сайта через точку управления может оказаться подходящим решением, если точка управления принимает только подключения от клиентов интрасети, и необходимо избежать затрат на ручное развертывание.

Выберите способ развертывания который, наилучшим образом удовлетворяет бизнес-требованиям. Чтобы определить, каким способом лучше разворачивать на клиентах копию сертификата для подписи сервера сайта, воспользуйтесь следующими рекомендациями.

Используйте доменные службы Active Directory для автоматического развертывания копии сертификата для подписи сервера сайта, когда выполнены все следующие условия.

Выполните развертывание копии сертификата для подписи сервера сайта вручную, если выполняется одно из следующих условий.

Выполните автоматическое развертывание копии сертификата для подписи сервера сайта с использованием точки управления, если выполнены все следующие условия.

См. также