锦州建设银行网站,哪个软件可以做网站,百度百度百度一下,外链推广软件Configuration Manager 纯模式所需的 PKI 证书的分步部署示例#xff1a;Windows Server 2008 证书颁发机构此分步示例部署使用 Windows Server 2008 证书颁发机构 (CA)#xff0c;提供一些过程以指导您完成创建和部署 Configuration Manager 2007 在纯模式下操作所需的公钥基… Configuration Manager 纯模式所需的 PKI 证书的分步部署示例Windows Server 2008 证书颁发机构 此分步示例部署使用 Windows Server 2008 证书颁发机构 (CA)提供一些过程以指导您完成创建和部署 Configuration Manager 2007 在纯模式下操作所需的公钥基础结构 (PKI) 证书的过程。纯模式为 Configuration Manager 2007 站点提供最高级别的安全性是基于 Internet 的客户端管理必需的。有关 Configuration Manager 纯模式的详细信息请参阅使用纯模式的优势。 本示例中的过程以 Microsoft PKI 解决方案作为参考使用企业证书颁发机构 (CA) 和证书模板。这些步骤仅适用于网络测试作为对概念的验证。 由于部署所需的证书不止有一种方法您将需要参考特定 PKI 部署文档获取为特定生产环境部署所需证书必需的过程和最佳方案。有关可能的部署方法的详细信息请参阅部署纯模式所需的 PKI 证书。 建议使用 Microsoft PKI 解决方案来支持 Configuration Manager 2007但不要求使用。Configuration Manager 2007 使用标准的 PKI 证书支持 x.509 证书格式版本 3。如果现有的 PKI 部署能够创建、部署和管理 Configuration Manager 2007 纯模式所需的证书您可以使用现有的 PKI 基础结构。请参阅 PKI 文档获取有关部署的详细信息。 本示例包含下列章节涵盖创建和部署 Configuration Manager 2007 站点在 Intranet 连接的纯模式下操作所需的基本证书 测试网络要求 概述 部署站点服务器签名证书 部署 Web 服务器证书 部署客户端证书测试网络要求 本示例具有下列要求 测试网络运行 Windows Server 2008 的 Active Directory 域服务并且是作为单个域、单个林安装的。具有运行 Windows Server 2008 Enterprise Edition 的域控制器它上面安装了 Active Directory 证书服务角色并配置为企业根证书颁发机构 (CA)。具有一台安装了 Windows Server 2008Standard Edition 或 Enterprise Edition并指定为成员服务器的计算机并在该计算机上安装了 Internet Information Services (IIS)。具有一个安装了最新 Service Pack 的 Windows Vista 客户端并且此计算机配置了由 ASCII 字符组成的计算机名称并加入到域。您可以使用根域管理员帐户或企业域管理员帐户登录然后使用此帐户来完成本示例部署中的所有过程。概述 在将 Configuration Manager 2007 配置为在纯模式下操作之前必须先安装 PKI 证书。本示例不包括安装和配置 Configuration Manager 2007 的内容但是提供有关使用计算机在 Configuration Manager 2007 纯模式下操作所需的证书对这些计算机进行设置的步骤。 下表列出了所需的三种 PKI 证书类型并描述在纯模式 Configuration Manager 2007 站点中如何使用这些证书 站点服务器签名证书 此证书安装在将成为 Configuration Manager 2007 站点服务器的服务器上。它用于对客户端策略签名。 Web 服务器证书 此证书安装在将成为 Configuration Manager 2007 站点系统的服务器上角色为管理点和分发点等。它用于对数据进行加密以及对客户端验证服务器。 客户端证书 此证书安装在将成为 Configuration Manager 2007 客户端的计算机以及管理点上。它用于向站点系统验证客户端在管理点上则用于监视服务器的操作状态。有关证书的详细信息请参阅纯模式的证书要求。 按照本示例中的步骤实现下列目标 使用 Configuration Manager 2007 站点服务器签名证书设置成员服务器以便它可以在纯模式下作为 Configuration Manager 2007 站点服务器运行。 使用 Web 服务器证书设置成员服务器以便它可以在纯模式下作为 Configuration Manager 2007 站点系统服务器运行该站点系统服务器可以运行下列任何 Configuration Manager 站点系统角色管理点、分发点、软件更新点和状态迁移点。使用客户端证书设置工作站和成员服务器以便工作站可以作为 Configuration Manager 2007 纯模式客户端运行以及管理点可以向站点服务器报告其状态。 部署站点服务器签名证书 此步骤有四个过程 在证书颁发机构创建和颁发站点服务器签名证书模板为将运行 Configuration Manager 2007 站点服务器的服务器申请站点服务器签名证书在证书颁发机构批准站点服务器签名证书在将运行 Configuration Manager 2007 站点服务器的服务器上安装站点服务器签名证书在证书颁发机构创建和颁发站点服务器签名证书模板 创建和颁发站点服务器签名证书模板 在运行 Windows Server 2008 控制台的域控制器上依次单击“开始”、“程序”、“管理工具”和“证书颁发机构”。 展开证书颁发机构 (CA) 的名称然后单击“证书模板”。 右键单击“证书模板”然后单击“管理”以加载证书模板管理控制台。 在结果窗格中右键单击在“模板显示名称”列中显示“计算机”的条目然后单击“复制模板”。 在“复制模板”对话框中确保已选择“Windows 2003 ServerEnterprise Edition”然后单击“确定”。 不要选择“Windows 2008 ServerEnterprise Edition”。 在“新模板的属性”对话框的“常规”选项卡上为站点服务器签名证书模板输入模板名称如 ConfigMgr 站点服务器签名证书。 单击“颁发要求”选项卡并选择“CA 证书管理程序批准”。 单击“使用者名称”选项卡然后单击“在请求中提供”。 单击“扩展”选项卡确保选择“应用程序策略”然后单击“编辑”。 在“编辑应用程序策略扩展”对话框中选择“客户端身份验证”按 Shift 并选择“服务器身份验证”然后单击“删除”。 在“编辑应用程序策略扩展”对话框中单击“添加”。 在“添加应用程序策略”对话框中选择“文档签名”作为唯一的应用程序策略然后单击“确定”。 在“新模板的属性”对话框中现在应看到作为应用程序策略的描述列出的以下项文档签名。 单击“确定”单击“确定”以关闭“新模板的属性”然后关闭证书模板控制台。 在证书颁发机构控制台中右键单击“证书模板”单击“新建”然后单击“要颁发的证书模板”。 在“启用证书模板”对话框中选择刚创建的新模板“ConfigMgr 站点服务器签名证书”然后单击“确定”。 如果不能完成步骤 15 或 16请检查您是否正在使用 Windows Server 2008 Enterprise Edition。虽然可以使用 Windows Server Standard Edition 和 Active Directory 证书服务配置证书模板但是除非使用 Windows Server 2008 Enterprise Edition 否则不能使用修改的证书模板部署证书。 不要关闭证书颁发机构控制台。为将运行 Configuration Manager 2007 站点服务器的服务器申请站点服务器签名证书 申请站点服务器签名证书 在成员服务器上创建一个文件夹以包含您的证书文件。 打开记事本或类似的自选文本文件。将下列文本复制并粘贴到文件中 复制代码 [NewRequest]Subject “CNThe site code of this site server is site-code”MachineKeySet True[RequestAttributes]CertificateTemplate ConfigMgrSiteServerSigningCertificate 将文本 site-code 替换为您自己的站点代码。例如如果您的站点代码是 A01该行将变成Subject “CN此站点服务器的站点代码为 A01”。 站点代码和模板名称区分大小写。确保您指定的站点代码与在 Configuration Manager 控制台中显示的完全一样以及您指定的站点服务器签名证书模板与在证书模板属性中作为“模板名称”不是“模板显示名称”显示的完全一样。 使用名称 sitesigning.inf 保存文件并将其保存到您创建的证书文件夹中。 在您创建的证书文件夹中打开命令窗口键入下列命令然后按 Enter certreq –new sitesigning.inf sitesigning.req 键入下列命令然后按 Enter certreq –submit sitesigning.req sitesigning.cer 系统将提示您在“选择证书颁发机构”对话框中选择颁发 CA。选择 CA然后单击“确定”。颁发证书时您将看到 RequestId编号 显示其中 编号 是指颁发 CA 获得的下一顺序证书申请。记下此号码。 不要关闭命令提示符。在证书颁发机构批准站点服务器签名证书 批准站点服务器签名证书 在域控制器上的“证书颁发机构”中单击“挂起的申请”。 在结果窗格中您将看到申请的证书以及随最后的 Certreq 命令显示的申请 ID。 右键单击申请的证书单击“所有任务”然后单击“颁发”。 不要关闭证书颁发机构控制台。在将运行 Configuration Manager 2007 站点服务器的服务器上安装站点服务器签名证书 检索并安装站点服务器签名证书 在成员服务器的命令窗口中键入下列命令然后按 Enter certreq –retrieve 编号 sitesigning.cer 例如如果先前显示的申请编号是 12请键入certreq –retrieve 12 sitesigning.cer 系统将提示您在“选择证书颁发机构”对话框中选择颁发 CA。选择 CA然后单击“确定”。 键入下列命令然后按 Enter certreq –accept sitesigning.cer成员服务器现在设置了 Configuration Manager 2007 站点服务器签名证书。部署 Web 服务器证书 此步骤有四个过程 为站点系统服务器创建 Windows 安全组在证书颁发机构创建和颁发 Web 服务器证书模板申请 Web 服务器证书将 IIS 配置为使用 Web 服务器证书为站点系统服务器管理点、分发点、软件更新点和状态迁移点创建 Windows 安全组 为站点系统服务器创建 Windows 安全组 在域控制器上依次单击“开始”、“管理工具”然后单击“Active Directory 用户和计算机”。 右键单击该域单击“新建”然后单击“组”。 在“新建对象 – 组”对话框中输入 ConfigMgr IIS 服务器作为“组名称”然后单击“确定”。 在“Active Directory 用户和计算机”中右键单击刚创建的组然后单击“属性”。 单击“成员”选项卡然后单击“添加”并选择成员服务器。 在我们的测试环境中只添加一台服务器。但是在生产环境中可能有各种服务器将宿主需要证书的 Configuration Manager 2007 站点系统如站点的管理点和分发点。因此对组分配权限然后添加需要相同证书类型的站点系统是一种很好的方案。为这些服务器创建安全组使您能够分配权限从而仅这些服务器可以使用这些证书。 单击“确定”然后再次单击“确定”以关闭组属性对话框。 重新启动成员服务器如果正在运行以便它可以选择新的组成员身份。在证书颁发机构创建和颁发 Web 服务器证书模板 在证书颁发机构创建和颁发 Web 服务器证书模板 在域控制器上在运行证书颁发机构控制台的同时右键单击“证书模板”并单击“管理”以加载证书模板控制台。 在结果窗格中右键单击在“模板显示名称”列中显示“Web 服务器”的条目然后单击“复制模板”。 在“复制模板”对话框中确保已选择“Windows 2003 ServerEnterprise Edition”然后单击“确定”。 不要选择“Windows 2008 ServerEnterprise Edition”。 在“新模板的属性”对话框的“常规”选项卡上输入模板名称以生成将在 Configuration Manager 站点系统中使用的 Web 证书如ConfigMgr Web 服务器证书。 单击“使用者名称”选项卡单击“用 Active Directory 中的信息生成”然后为“使用者名称格式”选择下列其中一项 公用名如果您将对 Configuration Manager 中的站点系统使用完全限定的域名则选择此选项对基于 Internet 的客户端管理要求使用对 Intranet 中的客户端建议使用。完全可分辨名称如果不会在 Configuration Manager 中使用完全限定的域名则选择此选项。 清除选项“用户主体名称 (UPN)”。 单击“安全”选项卡并从安全组“域管理员”和“企业管理员”中删除“注册”权限。 单击“添加”在文本框中输入 ConfigMgr IIS 服务器然后单击“确定”。 为此组选择“注册”权限并且不要清除“读取”权限。 单击“确定”然后关闭证书模板控制台。 在证书颁发机构控制台中右键单击“证书模板”单击“新建”然后单击“要颁发的证书模板”。 在“启用证书模板”对话框中选择刚创建的新模板“ConfigMgr Web 服务器证书”然后单击“确定”。 不要关闭证书颁发机构控制台。申请 Web 服务器证书 申请 Web 服务器证书 重新启动成员服务器确保它可以使用配置的权限访问证书模板。 依次单击“开始”、“运行”然后输入 mmc.exe。在空白控制台中单击“文件”然后单击“添加/删除管理单元”。 在“添加/删除管理单元”对话框中从“可用的管理单元”列表中选择“证书”然后单击“添加”。 在“证书管理单元”对话框中选择“计算机帐户”然后单击“下一步”。 在“选择计算机”对话框中确保选择“本地计算机运行此控制台的计算机”选项然后单击“完成”。 在“添加/删除管理单元”对话框中单击“确定”。 在控制台中展开“证书本地计算机”然后单击“个人”。 右键单击“证书”单击“所有任务”然后单击“申请新证书”。 在“开始之前”页面上单击“下一步”。 在“申请证书”页面上从显示的证书列表中选择“ConfigMgr Web 服务器证书”然后单击“注册”。 在“证书安装结果”页面中等待证书安装完成然后单击“完成”。 关闭“证书本地计算机”。将 IIS 配置为使用 Web 服务器证书 将 IIS 配置为使用 Web 服务器证书 在成员服务器上依次单击“开始”、“程序”、“管理工具”然后单击“Internet 信息服务 (IIS) 管理器”。 展开“站点”右键单击“默认网站”然后选择“编辑绑定”。 单击“https”条目然后单击“编辑”。 在“编辑站点绑定”对话框中使用“ConfigMgr Web 服务器证书”模板选择您申请的证书然后单击“确定”。 如果您不确定哪一个是正确的证书请选择一个证书然后单击“查看”。这允许您将所选证书详细信息与证书管理单元中显示的证书进行比较。例如证书管理单元显示用于申请证书的证书模板。然后您可以将使用“ConfigMgr Web 服务器证书”模板申请的证书的证书指纹与当前在“编辑网站绑定”对话框中选择的证书的证书指纹进行比较。 在“编辑网站绑定”对话框中单击“确定”然后单击“关闭”。 关闭 Internet Information Services (IIS) 管理器。成员服务器现在设置有 Configuration Manager 2007 Web 服务器证书。部署客户端证书 此步骤有三个过程 在证书颁发机构创建和颁发工作站身份验证证书模板使用组策略配置工作站身份验证模板的自动注册自动注册工作站身份验证证书并验证其在计算机上的安装在证书颁发机构创建和颁发工作站身份验证证书模板 在证书颁发机构创建和颁发工作站身份验证证书模板 在域控制器上在运行证书颁发机构控制台的同时右键单击“证书模板”并单击“管理”以加载证书模板管理控制台。 在结果窗格中右键单击在“模板显示名称”列中显示“工作站身份验证”的条目然后单击“复制模板”。 在“复制模板”对话框中确保已选择“Windows 2003 ServerEnterprise Edition”然后单击“确定”。 不要选择“Windows 2008 ServerEnterprise Edition”。 在“新模板的属性”对话框的“常规”选项卡上输入模板名称以生成将在 Configuration Manager 客户端计算机上使用的客户端证书如 ConfigMgr Web 客户端证书。 单击“安全”选项卡选择“域计算机”组然后选择其他权限“读取”和“自动注册”。不要清除“注册”。 单击“确定”然后关闭证书模板控制台。 在证书颁发机构控制台中右键单击“证书模板”单击“新建”然后单击“要颁发的证书模板”。 在“启用证书模板”对话框中选择刚创建的新模板“ConfigMgr 客户端证书”然后单击“确定”。 关闭证书颁发机构控制台。使用组策略配置工作站身份验证模板的自动注册 使用组策略配置工作站身份验证模板的自动注册 在域控制器上依次单击“开始”、“管理工具”然后单击“组策略管理”。 导航到您的域右键单击域然后选择“在这个域中创建 GPO 并在此处链接”。 此步骤使用为自定义设置创建新的组策略这一最佳方案而不是编辑随 Active Directory 域服务安装的默认域策略。通过在域级别分配此组策略您会将它应用到域中的所有计算机。但是在生产环境中您可以通过在组织单位级别分配组策略来限制自动注册以便它仅在选择的计算机上注册或者您也可以使用安全组筛选域组策略以便它仅应用于组中的计算机。如果限制自动注册请记住包括配置为管理点的服务器。 在“新建 GPO”对话框中为新的组策略输入名称如自动注册证书然后单击“确定”。 在结果窗格的“链接的组策略对象”选项卡上右键单击新的组策略然后单击“编辑”。 在组策略管理编辑器中展开“计算机配置”之下的“策略”然后导航到“Windows 设置/安全设置/公钥策略”。 右键单击名为“证书服务客户端 - 自动注册”的对象类型然单击“属性”。 从“配置型号”下拉列表中依次选择“已启用”、“续订过期证书、更新未决证书并删除吊销的证书”、“更新使用证书模板的证书”然后单击“确定”。 关闭“组策略管理”。自动注册工作站身份验证证书并验证其在计算机上的安装 自动注册工作站身份验证证书并验证其在客户端计算机上的安装 重新启动工作站计算机并等待几分钟再登录。 重新启动计算机是确保证书注册成功最可靠的方法。 使用具有管理特权的帐户登录。 在搜索框中键入 mmc.exe.然后按 Enter。 在空管理控制台中单击“文件”然后单击“添加/删除管理单元”。 在“添加/删除管理单元”对话框中从“可用的管理单元”列表中选择“证书”然后单击“添加”。 在“证书管理单元”对话框中选择“计算机帐户”然后单击“下一步”。 在“选择计算机”对话框中确保选择“本地计算机运行此控制台的计算机”选项然后单击“完成”。 在“添加/删除管理单元”对话框中单击“确定”。 在控制台中展开“证书本地计算机”展开“个人”然后单击“证书”。 在结果窗格中确认显示证书并且在“预期目的”列中显示“客户端身份验证”在“证书模板”列中显示“ConfigMgr 客户端证书”。 关闭“证书本地计算机”。 对成员服务器重复步骤 1 至 11以验证将被配置为管理点的服务器是否也具有客户端证书。工作站和成员服务器现在设置有 Configuration Manager 2007 客户端证书。 转载于:https://blog.51cto.com/mwt666/135184
