Сертификат подписи сервера сайта в основном режиме сайта Configuration Manager 2007 подписывает политики, загружаемые на клиенты Configuration Manager, так что клиентам известно, что их политики происходят из доверенного источника. Для клиентов Configuration Manager требуется копия сертификата подписи сервера сайта, и они извлекают его из Active Directory или своей точки управления. Или же можно снабдить клиент сертификатом подписи сервера сайта во время установки с помощью параметра командной строки CCMSetup. Дополнительные сведения о развертывании сертификата подписи сервера сайта на клиентах см. в разделе Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим).

Configuration Manager проверяет срок действия сертификата подписи сервера сайта, прежде чем его использовать, и если обнаруживает, что срок действия истекает в течение 10 дней, он вызывает сообщение об изменении состояния с идентификатором 5112 с компонентом SMS_POLICY-PROVIDER. Это сообщение об изменении состояния будет повторяться ежедневно с указанием числа оставшихся дней до истечения срока.

При возобновлении или необходимости замены сертификата подписи сервера сайта, развернутого на сервере сайта Configuration Manager, необходимо настроить Configuration Manager для использования этого нового сертификата. Выбор нового сертификата подписи сервера сайта имеет некоторые следствия по отношению к следующим ситуациям:

Возобновление сертификата подписи сервера сайта или выпуск нового сертификата тем же корневым центром сертификации

Если сайт Configuration Manager настраивается для использования нового сертификата подписи сервера сайта, имеющего новую пару ключей (рекомендуется), все политики клиента заново подписываются сервером сайта. Когда клиенты загружают свои политики, подписанные новым сертификатом подписи сервера сайта, они не проверяют немедленно подпись, так как их копия сертификата подписи сервера сайта не соответствует сертификату, использованному для подписи политик. Если новый сертификат подписи сайта присоединяется к тому же доверенному корневому сертификату, что и предыдущий сертификат подписи сервера сайта, клиенты Configuration Manager автоматически загружают копию нового сертификата подписи сайта либо из доменных служб Active Directory, либо с точки управления. Затем они проверяют свою политику по новому сертификату подписи сервера сайта.

Примечание
Возобновляйте сертификат подписи сервера сайта во время спокойного периода, когда можно допустить прерывание работы сайта Configuration Manager наряду с увеличением сетевой активности и обработки на точке управления или контроллерах домена. Для выполнения повторной подписи политик сервером сайта с последующим извлечением клиентами нового сертификата может потребоваться длительное время.

Выпуск нового сертификата подписи сервера сайта другим корневым центром сертификации или после возобновления корневого сертификата

Если сайт Configuration Manager настроен для использования нового сертификата подписи сервера сайта, присоединенного к другому корневому сертификату (либо с использованием другого центра сертификации, либо с использованием того же центра сертификации, но с новым корневым сертификатом с новой парой ключей), клиенты не будут принимать новый сертификат подписи сервера сайта при получении политик, подписанных этим новым сертификатом. Такое поведение обеспечивает защиту безопасности относительно клиентов, принимающих новый сертификат подписи сервера сайта из скомпрометированной точки управления. В этом сценарии клиенты не будут пытаться загрузить новый сертификат подписи сервера сайта и отклонят загруженную политику, отправив ошибку на точку управления, чтобы предупредить администратора о неуспешной авторизации политики. В этом сценарии клиенты являются неуправляемыми и администратор должен принять меры к исправлению ситуации.

Если изменен корневой сертификат и требуется установить новый сертификат подписи сервера сайта, сначала необходимо удалить сохраненную в реестре копию текущего сертификата подписи сервера сайта на клиентах Configuration Manager, запустив сценарий на клиентах (например, запустив последовательность задач в Configuration Manager или с помощью групповой политики). Клиентская копия сертификата сервера сайта хранится в следующем разделе реестра для 32-разрядных операционных систем: HKLM\SOFTWARE\Microsoft\CCM\Security. Она хранится в следующем разделе реестра для 64-разрядных операционных систем: HKLM\SOFTWARE\Wow6432Node\Microsoft\CCM\Security.

Чтобы удалить клиентскую копию сертификата подписи сервера сайта при изменении корневой сертификации, найдите значение с именем AllowedRootCAHashCode (тип REG_SZ) и удалите связанные со значением данные, отображаемые в виде строки из шестнадцатеричных цифр.

Альтернативы редактированию реестра клиента следующие:

  • удалить и заново установить клиент;

  • заново установить клиент с использованием параметра командной строки CCMSetup для предоставления клиенту копии нового сертификата подписи сервера сайта.

См. также