Предварительные требования для профилей сертификатов в Configuration Manager
Относится к Configuration Manager (Current Branch)
Профили сертификатов в Configuration Manager имеют внешние зависимости и зависимости в продукте.
Важно!
Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.
Зависимости от внешних Configuration Manager
Зависимости | Дополнительная информация |
---|---|
Корпоративный центр сертификации ( ЦС), который выполняет службы сертификатов Active Directory (AD CS). Для отзыва сертификатов учетной записи компьютера сервера сайта в верхней части иерархии требуются права выдачи сертификатов и управления ими для каждого шаблона сертификата, используемого профилем сертификата в Configuration Manager. Кроме того, предоставьте разрешения диспетчера сертификатов для предоставления разрешений для всех шаблонов сертификатов, используемых этим ЦС. Поддерживается утверждение диспетчером для запросов сертификатов. Однако шаблоны сертификатов, которые используются для выдачи сертификатов, должны быть настроены для параметра Supply в запросе для субъекта сертификата, чтобы Configuration Manager могли автоматически предоставлять это значение. |
Дополнительные сведения о службах сертификатов Active Directory см. в статье Обзор служб сертификатов Active Directory. |
Используйте сценарий PowerShell, чтобы проверить и при необходимости установить необходимые компоненты для службы ролей службы регистрации сетевых устройств (NDES) и точки регистрации сертификатов Configuration Manager. |
Файл инструкций, readme_crp.txt, находится в папке ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. Скрипт PowerShell, Test-NDES-CRP-Prereqs.ps1, находится в том же каталоге, что и инструкции. Сценарий PowerShell должен выполняться локально на сервере NDES. |
Служба роли службы регистрации сетевых устройств (NDES) для служб сертификатов Active Directory, запущенная на Windows Server 2012 R2. Кроме того: Номера портов, отличные от TCP 443 (для HTTPS) или TCP 80 (для HTTP), не поддерживаются для обмена данными между клиентом и службой регистрации сетевых устройств. Сервер, на котором выполняется служба регистрации сетевых устройств, должен находиться на сервере, отличном от выдающего ЦС. |
Configuration Manager взаимодействует со службой регистрации сетевых устройств в Windows Server 2012 R2 для создания и проверки запросов scEP. Если вы будете выдавать сертификаты пользователям или устройствам, подключающимся из Интернета, например мобильным устройствам, управляемым Microsoft Intune, эти устройства должны иметь доступ к серверу, на котором запущена служба регистрации сетевых устройств, из Интернета. Например, установите сервер в сети периметра (также известной как dmz, демилитаризованная зона и экранированная подсеть). При наличии брандмауэра между сервером, на котором запущена служба регистрации сетевых устройств, и выдавающим ЦС, необходимо настроить брандмауэр, чтобы разрешить трафик связи (DCOM) между двумя серверами. Это требование брандмауэра также применяется к серверу, на котором запущен сервер сайта Configuration Manager и выдающий ЦС, чтобы Configuration Manager могли отозвать сертификаты. Если служба регистрации сетевых устройств настроена так, чтобы требовать ssl, рекомендуется убедиться, что подключенные устройства могут получить доступ к списку отзыва сертификатов (CRL) для проверки сертификата сервера. Дополнительные сведения о службе регистрации сетевых устройств см. в разделе Использование модуля политики со службой регистрации сетевых устройств. |
Сертификат проверки подлинности клиента PKI и экспортируемый корневой сертификат ЦС. | Этот сертификат проверяет подлинность сервера, на котором запущена служба регистрации сетевых устройств, чтобы Configuration Manager. Дополнительные сведения см. в статье Требования к PKI-сертификатам для Configuration Manager. |
Поддерживаемые операционные системы устройств. | Профили сертификатов можно развертывать на устройствах под управлением Windows 8.1, Windows RT 8.1 и Windows 10. |
зависимости Configuration Manager
Зависимости | Дополнительная информация |
---|---|
Роль системы сайта точки регистрации сертификатов | Прежде чем использовать профили сертификатов, необходимо установить роль системы сайта точки регистрации сертификатов. Эта роль взаимодействует с базой данных Configuration Manager, сервером сайта Configuration Manager и модулем политики Configuration Manager. Дополнительные сведения о требованиях к системе для этой роли системы сайта и месте установки роли в иерархии см. в разделе Требования к системе сайтастатьи Поддерживаемые конфигурации для Configuration Manager. Точка регистрации сертификатов не должна быть установлена на том же сервере, где работает служба регистрации сетевых устройств. |
Configuration Manager модуль политики, установленный на сервере, на котором выполняется служба роли службы регистрации сетевых устройств для служб сертификатов Active Directory | Чтобы развернуть профили сертификатов, необходимо установить модуль политики Configuration Manager. Этот модуль политики можно найти на установочном носителе Configuration Manager. |
Данные обнаружения | Значения субъекта сертификата и альтернативного имени субъекта предоставляются Configuration Manager и извлекаются из сведений, собранных при обнаружении: Для сертификатов пользователей: обнаружение пользователей Active Directory Для сертификатов компьютеров: обнаружение систем Active Directory и обнаружение сети |
Специальные разрешения безопасности для управления профилями сертификатов | Для управления параметрами доступа к ресурсам компании необходимы следующие разрешения безопасности, такие как профили сертификатов, профили Wi-Fi и профили VPN: Для просмотра оповещений и отчетов для профилей сертификатов и управления ими: создание, удаление, изменение, изменение отчета, чтение и выполнение отчета для объекта Alerts . Для создания профилей сертификатов и управления ими выполните следующие действия: создание политики, изменение отчета, чтение и запуск отчета для объекта профиля сертификата . Для управления развертываниями Wi-Fi, сертификатов и профилей VPN: развертывание политик конфигурации, изменение оповещения о состоянии клиента, чтение и чтение ресурса для объекта Collection . Для управления всеми политиками конфигурации: создание, удаление, изменение, чтение и установка области безопасности для объекта Политики конфигурации . Для выполнения запросов, связанных с профилями сертификатов: разрешение на чтение для объекта Query . Чтобы просмотреть сведения о профилях сертификатов в консоли Configuration Manager: разрешение на чтение для объекта Site. Чтобы просмотреть сообщения о состоянии для профилей сертификатов: разрешение на чтение для объекта Status Messages . Чтобы создать и изменить профиль сертификата доверенного ЦС, выполните следующие действия: создание политики, изменение отчета, чтение и запуск отчета для объекта профиль сертификата доверенного ЦС . Для создания профилей VPN и управления ими выполните следующие действия: создание политики, изменение отчета, чтение и запуск отчета для объекта профиля VPN . Для создания профилей Wi-Fi и управления ими: создание политики, изменение отчета, чтение и запуск отчета для объекта Профиля Wi-Fi . Роль безопасности Диспетчера доступа к ресурсам компании включает эти разрешения, необходимые для управления профилями сертификатов в Configuration Manager. Дополнительные сведения см. в разделе Настройка ролевого администрирования статьи Настройка безопасности . |