Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Det här detaljerade distributionsexemplet – där vi använder en certifikatsutfärdare i Windows Server 2008 – innehåller procedurer som hjälper dig att skapa och distribuera de PKI-certifikat (public key infrastructure) som Microsoft System Center 2012 Configuration Manager utnyttjar. I dessa procedurer används en utfärdare av företagscertifikat och certifikatmallar. Metoderna lämpar sig enbart för testnätverk, för att visa att det fungerar.

Eftersom det inte finns bara en distributionsmetod för de certifikat som krävs, måste du läsa dokumentationen till just din PKI-distribution och se vad du måste göra och vilket som är det bästa sättet att distribuera de certifikat som behövs i produktionsmiljön. Mer information om certifikatkraven finns i PKI-certifikatkrav för Configuration Manager.

System_CAPS_tipTips

Anvisningarna i den här artikeln är enkla att anpassa till andra operativsystem än de som dokumenteras i avsnittet Krav på testnätverket. Men om du kör certifikatutfärdaren på Windows Server 2012, ombeds du inte att ange certifikatmallsversionen. Den anger du i stället på fliken Kompatibilitet i mallegenskaperna på följande sätt:

  • Certifikatutfärdare: Windows Server 2003

  • Certifikatmottagare: Windows XP/Server 2003

I det här avsnittet

De följande avsnitten innehåller detaljerade anvisningar om hur du skapar och distribuerar de följande certifikaten som går att använda med System Center 2012 Configuration Manager:

Krav på testnätverket

Översikt av certifikaten

Distribuera webbservercertifikatet för platssystem som kör IIS

Distribuera tjänstcertifikatet för molnbaserade distributionsplatser

Distribuera klientcertifikatet för Windows-datorer

Distribuera klientcertifikatet för distributionsplatser

Distribuera registreringscertifikatet för mobila enheter

Distribuera certifikaten för AMT

Distribuera klientcertifikatet för Mac-datorer

Krav på testnätverket

De detaljerade anvisningarna är förknippade med de följande kraven:

  • Testnätverket kör Active Directory Domain Services med Windows Server 2008, och det är installerat som en enda domän och en enda skog.

  • Du har en medlemsserver med Windows Server 2008 Enterprise Edition, där rollen Active Directory Certificate Services är installerad, och den är konfigurerad som företagets rotcertifikatutfärdare.

  • Du har en dator med Windows Server 2008 (Standard Edition eller Enterprise Edition) som är utsedd till medlemsserver, och Internet Information Services (IIS) är installerad på den. Denna dator är den Configuration Manager-platssystemsserver som du ska konfigurera med ett fullständigt bestämt domännamn i intranätet (till stöd för klientanslutningar i intranätet) och ett fullständigt bestämt domännamn på internet om du måste stödja mobila enheter som registreras av Configuration Manager och klienter på internet.

  • Du har en Windows Vista-klient med det senaste service packet installerat, och denna dator är konfigurerad med ett datornamn som består av ASCII-tecken och är ansluten till en domän. Denna dator måste vara en Configuration Manager-klientdator.

  • Du kan logga in med ett rotdomänadministratörskonto eller ett företagsdomänadministratörskonto och använda det för alla procedurer i den här exempeldistributionen.

Översikt av certifikaten

Följande tabell innehåller de typer av PKI-certifikat som kan krävas för System Center 2012 Configuration Manager och beskriver hur de används.

Certifikatkrav

Beskrivning av certifikatet

Webbservercertifikat för platssystem som kör IIS

Det här certifikatet används för att kryptera data och autentisera servern för klienter. Det måste installeras externt från Configuration Manager på platssystemsservrar som kör IIS och som är konfigurerade att använda HTTPS i Configuration Manager.

För System Center 2012 Configuration Manager SP1 och senare: Detta certifikat kan även krävas på hanteringsplatser när klientmeddelandetrafiken återgår till att använda HTTPS.

Anvisningar om hur du konfigurerar och installerar det här certifikatet finns i Distribuera webbservercertifikatet för platssystem som kör IIS i den här artikeln.

Tjänstcertifikat för klienter som ansluter till molnbaserade distributionsplatser

För System Center 2012 Configuration Manager SP1 och senare:

Det här certifikatet används för att kryptera data och autentisera den molnbaserade distributionsplatstjänsten för klienter. Det måste begäras, installeras och exporteras externt från Configuration Manager så att det går att importera när du skapar en molnbaserad distributionsplats.

Anvisningar om hur du konfigurerar och installerar det här certifikatet finns i Distribuera tjänstcertifikatet för molnbaserade distributionsplatser i den här artikeln.

System_CAPS_noteInformation

Detta certifikat används tillsammans med Windows Azure-hanteringscertifikatet. Mer information om hanteringscertifikatet finns i Create and Upload a Management Certificate for Azure (Skapa och ladda upp ett hanteringscertifikatför Azure) och How to Add a Management Certificate to a Windows Azure Subscription (Lägga till ett hanteringscertifikat till en Windows Azure-prenumeration) i plattformsavsnittet för Windows Azure i MSDN Library.

Klientcertifikat för Windows-datorer

Detta certifikat används för att autentisera Configuration Manager-klientdatorer för platssystem som är konfigurerade att använda HTTPS. Det går även att använda för hanteringsplatser och tillståndsmigreringsplatser för att övervaka deras operativa status när de är konfigurerade att använda HTTPS. Det måste installeras utanför Configuration Manager på datorer.

Anvisningar om hur du konfigurerar och installerar det här certifikatet finns i Distribuera klientcertifikatet för Windows-datorer i den här artikeln.

Klientcertifikat för distributionsplatser

Certifikatet har två syften:

  • Certifikatet används för att autentisera distributionsplatsen för en HTTPS-aktiverad hanteringsplats innan distributionsplatsen skickar statusmeddelanden.

  • När distributionsplatsalternativet Aktivera PXE-stöd för klienter är valt, skickas certifikatet till datorer som startas med PXE så att de kan ansluta till en HTTPS-aktiverad hanteringsplats då operativsystemet distribueras.

Anvisningar om hur du konfigurerar och installerar det här certifikatet finns i Distribuera klientcertifikatet för distributionsplatser i den här artikeln.

Registreringscertifikat för mobila enheter

Detta certifikat används för att autentisera mobila Configuration Manager-klientenheter för platssystem som är konfigurerade att använda HTTPS. Det måste installeras då den mobila enheten registreras i Configuration Manager, och du väljer den konfigurerade certifikatmallen som en inställning för mobila klientenheter.

Anvisningar om hur du konfigurerar det här certifikatet finns i Distribuera registreringscertifikatet för mobila enheter i den här artikeln.

Certifikat för Intel AMT

Det finns tre certifikat som gäller out-of-band-hantering av Intel AMT-baserade datorer: ett AMT-etableringscertifikat, ett AMT-webbservercertifikat och eventuellt ett klientautentiseringscertifikat för kabelbundna eller trådlösa 802.1X-nätverk.

AMT-etableringscertifikatet måste installeras utanför Configuration Manager på out-of-band-tjänstplatsdatorn, och sedan väljer du det installerade certifikatet i out-of-band-tjänstplatsens egenskaper. AMT-webbservercertifikatet och klientautentiseringscertifikatet installeras under etablering och hantering av AMT, och du väljer de konfigurerade certifikatmallarna i out-of-band-hanteringskomponentens egenskaper.

Anvisningar om hur du konfigurerar de här certifikaten finns i Distribuera certifikaten för AMT i den här artikeln.

Klientcertifikat för Mac-datorer

För System Center 2012 Configuration Manager SP1 och senare:

Detta certifikat används för att autentisera Configuration Manager Mac-klienter inför hanteringsplatser och distributionsplatser som har konfigurerats för att använda HTTPS.

Du kan begära och installera detta certifikat från en Mac när du använder Configuration Manager-registrering och väljer den konfigurerade certifikatmallen som en inställning för mobila klientenheter.

Anvisningar om hur du konfigurerar det här certifikatet finns i Distribuera klientcertifikatet för Mac-datorer i den här artikeln.

Distribuera webbservercertifikatet för platssystem som kör IIS

Den här certifikatdistributionen sker i följande steg:

  • Skapa och utfärda webbservercertifikatmallen på certifikatutfärdaren

  • Begära webbservercertifikatet

  • Konfigurera IIS att använda webbservercertifikatet

Skapa och utfärda webbservercertifikatmallen på certifikatutfärdaren

Genom den här proceduren skapas en certifikatmall för Configuration Manager-platssystem, och det läggs till på certifikatutfärdaren.

Skapa och utfärda webbservercertifikatmallen på certifikatutfärdaren

  1. Skapa en säkerhetsgrupp som heter IIS-servrar för ConfigMgr och som innehåller de medlemsservrar som ska installeras på System Center 2012 Configuration Manager-platssystem som kör IIS.

  2. På den medlemsserver där certifikattjänster är installerat går du till certifikatutfärdarkonsolen, högerklickar på Certifikatmallar och klickar sedan på Hantera för att läsa in konsolen Certifikatmallar.

  3. Gå till resultatfönstret och högerklicka på posten som visar Webbserver i kolumnen Mallens visningsnamn och klicka sedan på Kopiera mallen.

  4. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition är valt och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. Ange namnet på mallen på fliken Allmänt i dialogrutan Egenskaper för Ny mall. Då genereras webbcertifikaten som ska användas på Configuration Manager-platssystem, t.ex. Webbservercertifikat för ConfigMgr.

  6. Klicka på fliken Ämnesnamn och se till att Anges i begäran har valts.

  7. Klicka på fliken Säkerhet och ta bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer.

  8. Klicka på Lägg till, skriv IIS-servrar för ConfigMgr i textrutan och klicka sedan på OK.

  9. Välj behörigheten Registrera för gruppen och ta inte bort behörigheten Läsa.

  10. Klicka på OK och stäng konsolen Certifikatmallar.

  11. I certifikatutfärdarkonsolen högerklickar du på Certifikatmallar, klickar på Ny och klickar sedan på Certifikatmall som ska utfärdas.

  12. Välj den mall som du just har skapat i dialogrutan Aktivera certifikatmallar, Webbservercertifikat för ConfigMgr, och klicka sedan på OK.

  13. Om du inte behöver skapa eller utfärda fler certifikat stänger du Certifikatutfärdare.

Begära webbservercertifikatet

Om du gör på det här sättet kan du ange fullständigt bestämda domännamn både för intranätet och för internet som konfigureras i platssystemsserverns egenskaper. Webbservercertifikatet installeras sedan på den medlemsserver som kör IIS.

Begära webbservercertifikatet

  1. Starta om medlemsservern som kör IIS för att se till att datorn kan komma åt certifikatmallen som du skapade genom att använda behörigheterna Läsa och Registrera som du konfigurerade.

  2. Klicka på Start, Kör och skriv mmc.exe. Klicka på Arkiv i den tomma konsolen och klicka sedan på Lägg till/ta bort snapin-moduler.

  3. I dialogrutan Lägg till/ta bort snapin-modul väljer du Certifikat i listan över Tillgängliga snapin-moduler och klickar sedan på Lägg till.

  4. I dialogrutan Snapin-modulen Certifikat väljer du Datorkonto och klickar sedan på Nästa.

  5. I dialogrutan Välj dator kontrollerar du att Lokal dator: (den dator den här konsolen körs på) har valts och klickar sedan på Slutför.

  6. I dialogrutan Lägg till/ta bort snapin-moduler klickar du på OK.

  7. Expandera Certifikat (lokal dator) i konsolen och klicka sedan på Personligt.

  8. Högerklicka på Certifikat, klicka på Alla aktiviteter och sedan på Begär nytt certifikat.

  9. Klicka på Nästa på sidan Innan du börjar.

  10. Om sidan Välj princip för certifikatregistrering visas, klickar du på Nästa.

  11. Leta reda på Webbservercertifikat för ConfigMgr i listan med certifikaten som visas på sidan Begära certifikat och klicka sedan på Det krävs mer information för att du ska kunna registrera för det här certifikatet. Konfigurera inställningarna genom att klicka här.

  12. Ändra inte något i Ämnesnamn på fliken Ämne i dialogrutan Certifikategenskaper. Detta innebär att rutan Värde för avsnittet Ämnesnamn ska vara tom. Klicka i stället i listrutan Typ i avsnittet Alternativt namn och välj DNS.

  13. I rutan Värde anger du de FQDN-värden som du ska ange i egenskaper för platssystem för Configuration Manager och klickar sedan på OK för att stänga dialogrutan Certifikategenskaper.

    Exempel:

    • Om platssystemet bara ska ta emot klientanslutningar från intranätet och platssystemsserverns fullständigt bestämda domännamn på internet är server1.internal.contoso.com: Skriv server1.internal.contoso.com och klicka sedan på Lägg till.

    • Om platssystemet ska ta emot klientanslutningar från intranätet och från internet, och platssystemsserverns fullständigt bestämda domännamn i intranätet är server1.internal.contoso.com och server.contoso.com på internet:

      1. Skriv server1.internal.contoso.com och klicka sedan på Lägg till.

      2. Skriv server.contoso.com och klicka sedan på Lägg till.

      System_CAPS_noteInformation

      Det spelar ingen roll i vilken ordning du anger de fullständigt bestämda domännamnen för Configuration Manager. Men kontrollera att alla enheter som ska använda certifikatet, t.ex. mobila enheter och proxywebbservrar, kan använda ett certifikat-SAN och flera värden i SAN. Om några enheter har begränsat stöd för SAN-värden i certifikat, kanske du kan behöva ändra ordningen på de fullständigt bestämda domännamnen eller använda värdet Ämne i stället.

  14. Välj Webbservercertifikat för ConfigMgr i listan med certifikaten som visas på sidan Begära certifikat och klicka sedan på Registrera.

  15. På sidan Resultat av certifikatinstallation väntar du tills certifikatet har installerats. Klicka sedan på Slutför.

  16. Stäng Certifikat (lokal dator).

Konfigurera IIS att använda webbservercertifikatet

Den här proceduren binder det installerade certifikatet till IIS Standardwebbplats.

Konfigurera IIS att använda webbservercertifikatet

  1. Klicka på Start, klicka på Program, klicka på Administrationsverktyg och klicka sedan på IIS-hanteraren (Internet Information Services) på medlemsservern där IIS är installerad.

  2. Utöka Platser, högerklicka på Standardwebbplats och välj sedan Redigera bindningar.

  3. Klicka på https och sedan på Redigera.

  4. Välj det certifikat som du begärde genom att använda mallen Webbservercertifikat för ConfigMgr i dialogrutan Redigera bindning för webbplats och klicka sedan på OK.

    System_CAPS_noteInformation

    Om du inte är säker på vilket certifikat som är det rätta väljer du ett och klickar sedan på Visa. Det gör det möjligt att jämföra information om markerade certifikat med de certifikat som visas med snapin-modulen Certifikat. Till exempel visar snapin-modulen Certifikat den certifikatmall som användes för att begära certifikatet. Då kan du jämföra tumavtrycket för certifikatet som begärdes med mallen Webbservercertifikat för ConfigMgr med tumavtrycket för certifikatet som är valt i dialogrutan Redigera bindning för webbplats.

  5. Klicka på OK i dialogrutan Redigera bindning för webbplats och sedan på Stäng.

  6. Stäng IIS-hanteraren (Internet Information Services).

Medlemsservern är nu utrustad med ett Configuration Manager-webbservercertifikat.

System_CAPS_importantViktigt

När du installerar Configuration Manager-platssystemsservern på den här datorn, måste du se till att du anger samma fullständigt bestämda domännamn i platssystemets egenskaper som du angav när du begärde certifikatet.

Distribuera tjänstcertifikatet för molnbaserade distributionsplatser

System_CAPS_noteInformation

Tjänstcertifikatet för molnbaserade distributionsplatser gäller enbart Configuration Manager SP1 och senare.

Den här certifikatdistributionen sker i följande steg:

  • Skapa och utfärda en anpassad webbservercertifikatmall på certifikatutfärdaren 

  • Begära det anpassade webbservercertifikatet

  • Exportera det anpassade webbservercertifikatet för molnbaserade distributionsplatser

Skapa och utfärda en anpassad webbservercertifikatmall på certifikatutfärdaren

Den här proceduren skapar en anpassad certifikatmall som baseras på certifikatmallen Webbserver. Certifikatet är för molnbaserade distributionsplatser för Configuration Manager och den privata nyckeln måste gå att exportera. När certifikatmallen skapats läggs den till i certifikatutfärdaren.

System_CAPS_noteInformation

Den här proceduren använder en annan certifikatmall än den webbservercertifikatmall som du skapade för platssystem som kör IIS, eftersom även om båda certifikaten kräver kapacitet för serverautentisering, kräver certifikatet för molnbaserade distributionsplatser att du anger ett egendefinierat värde för Namn på certifikatmottagare, och den privata nyckeln måste exporteras. Som säkerhetsregel ska du inte konfigurera certifikatmallar så att den privata nyckeln kan exporteras om inte denna konfiguration krävs. Den molnbaserade distributionsplatsen kräver den här konfigurationen eftersom du måste importera certifikatet som en fil, istället för att välja den från certifikatlagret.

Genom att skapa en ny certifikatmall för det här certifikatet kan du begränsa vilka datorer som kräver ett certifikat som tillåter att den privata nyckeln exporteras. I ett produktionsnätverk kan du även överväga att lägga till följande ändring för det här certifikatet:

  • Kräv godkännande för att installera certifikatet för ytterligare säkerhet.

  • Öka certifikatets giltighetsperiod. Eftersom du måste exportera och importera certifikatet varje gång innan det går ut, behöver du inte upprepa den här proceduren lika ofta om du ökar giltighetsperioden. Men om du förlänger giltighetsperioden minskas certifikatets säkerhet, eftersom det ger en attackerare mer tid att dekryptera den privata nyckeln och stjäla certifikatet.

  • Använd ett anpassat värde i certifikatets alternativa namn på certifikatmottagare (SAN) som hjälp att identifiera det här certifikatet bland standardwebbservercertifikat som du använder med IIS.

Skapa och utfärda den anpassade webbservercertifikatmallen på certifikatutfärdaren

  1. Skapa en säkerhetsgrupp med namnet ConfigMgr-platsservrar som innehåller de medlemsservrar som ska installera primära Configuration Manager-platsservrar som ska hantera molnbaserade distributionsplatser.

  2. På den medlemsserver som kör certifikatutfärdarkonsolen högerklickar du på Certifikatmallar och klickar sedan på Hantera för att läsa in certifikatmallhanteringskonsolen.

  3. Gå till resultatfönstret och högerklicka på posten som visar Webbserver i kolumnen Mallens visningsnamn och klicka sedan på Kopiera mallen.

  4. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition är valt och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. I dialogrutan Egenskaper för ny mall går du till fliken Allmänt och anger ett mallnamn för att generera webbservercertifikatet för molnbaserade distributionsplatser, t.ex. Certifikat för molnbaserad distributionsplats för ConfigMgr.

  6. Klicka på fliken Hantering av begäranden och välj Tillåt att den privata nyckeln exporteras.

  7. Klicka på fliken Säkerhet och ta bort behörigheten Registrera från säkerhetsgruppen Företagsadministratörer.

  8. Klicka på Lägg till, ange ConfigMgr-platsservrar i textrutan och klicka sedan på OK.

  9. Välj behörigheten Registrera för gruppen och ta inte bort behörigheten Läsa.

  10. Klicka på OK och stäng Konsol för certifikatmallar.

  11. I certifikatutfärdarkonsolen högerklickar du på Certifikatmallar, klickar på Ny och klickar sedan på Certifikatmall som ska utfärdas.

  12. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du precis skapade, Certifikat för molnbaserad distributionsplats för ConfigMgr, och klickar sedan på OK.

  13. Om du inte behöver skapa eller utfärda fler certifikat stänger du Certifikatutfärdare.

Begära det anpassade webbservercertifikatet

Den här proceduren begär och installerar det anpassade webbservercertifikatet på den medlemsserver som ska köra platsservern.

Begära det anpassade webbservercertifikatet

  1. Starta om medlemsservern efter att du skapat och konfigurerat säkerhetsgruppen ConfigMgr-platsservrar för att vara säker på att datorn kan komma åt den certifikatmall du skapade med de Läsa- och Registrera-behörigheter du konfigurerade.

  2. Klicka på Start, Kör och skriv mmc.exe. Klicka på Arkiv i den tomma konsolen och klicka sedan på Lägg till/ta bort snapin-moduler.

  3. I dialogrutan Lägg till/ta bort snapin-modul väljer du Certifikat i listan över Tillgängliga snapin-moduler och klickar sedan på Lägg till.

  4. I dialogrutan Snapin-modulen Certifikat väljer du Datorkonto och klickar sedan på Nästa.

  5. I dialogrutan Välj dator kontrollerar du att Lokal dator: (den dator den här konsolen körs på) har valts och klickar sedan på Slutför.

  6. I dialogrutan Lägg till/ta bort snapin-moduler klickar du på OK.

  7. Expandera Certifikat (lokal dator) i konsolen och klicka sedan på Personligt.

  8. Högerklicka på Certifikat, klicka på Alla aktiviteter och sedan på Begär nytt certifikat.

  9. Klicka på Nästa på sidan Innan du börjar.

  10. Om sidan Välj princip för certifikatregistrering visas, klickar du på Nästa.

  11. På sidan Begära certifikat letar du upp Certifikat för molnbaserad distributionsplats för ConfigMgr i listan med certifikat. Klicka sedan på Det krävs mer information för att du ska kunna registrera för det här certifikatet. Konfigurera inställningarna genom att klicka här.

  12. I dialogrutan Certifikategenskaper går du till fliken Ämne. I Namn på certifikatmottagare väljer du Nätverksnamn som Typ.

  13. I rutan Värde anger du det du väljer som tjänstnamn och ditt domännamn med ett FQDN-format. Till exempel: clouddp1.contoso.com.

    System_CAPS_noteInformation

    Det spelar ingen roll vilket tjänstnamn du väljer så länge det är unikt inom din namnrymd. Du kommer att använda DNS för att skapa ett alias (CNAME-post) för att mappa det här tjänstnamnet till en automatiskt genererad identifierare (GUID) och en IP-adress från Windows Azure.

  14. Klicka på Lägg till och sedan på OK så att dialogrutan Certifikategenskaper stängs.

  15. På sidan Begära certifikat väljer du Certifikat för molnbaserad distributionsplats för ConfigMgr i listan med certifikat. Klicka sedan på Registrera.

  16. På sidan Resultat av certifikatinstallation väntar du tills certifikatet har installerats. Klicka sedan på Slutför.

  17. Stäng Certifikat (lokal dator).

Exportera det anpassade webbservercertifikatet för molnbaserade distributionsplatser

Den här proceduren exporterar det anpassade webbservercertifikatet till en fil, så att det kan importeras när du skapar den molnbaserade distributionsplatsen.

Exportera det anpassade webbservercertifikatet för molnbaserade distributionsplatser

  1. Högerklicka i konsolen Certifikat – lokal dator på det certifikat som du just har installerat, välj Alla uppgifter och klicka sedan på Exportera.

  2. Klicka på Nästa i guiden Export av certifikat.

  3. Välj Ja, exportera den privata nyckeln på sidan Exportera privat nyckel och klicka sedan på Nästa.

    System_CAPS_noteInformation

    Om detta alternativ inte är tillgängligt, har certifikatet skapats utan möjlighet att exportera den privata nyckeln. I så fall kan du inte exportera certifikatet i det format som krävs. Du måste ändra certifikatmallens konfiguration så att den privata nyckeln får exporteras och sedan begära certifikatet igen.

  4. Kontrollera att alternativet Personal Information Exchange - PKCS #12 (.PFX) är valt på sidan Filformat för export.

  5. Ange ett starkt lösenord för att skydda det exporterade certifikatet med dess privata nyckel på sidan Lösenord, och klicka sedan på Nästa.

  6. Ange namnet på filen som du vill exportera på sidan Fil som ska exporteras och klicka sedan på Nästa.

  7. Stäng guiden genom att klicka på Slutför i guiden Export av certifikat, och klicka på OK i den bekräftande dialogrutan.

  8. Stäng Certifikat (lokal dator).

  9. Lagra filen säkert och se till att du kommer åt den från Configuration Manager-konsolen.

Certifikatet är nu klart att importera när du skapar en molnbaserad distributionsplats.

Distribuera klientcertifikatet för Windows-datorer

Den här certifikatdistributionen sker i följande steg:

  • Skapa och utfärda en certifikatmall för autentisering av arbetsstation på certifikatutfärdaren

  • Konfigurera automatisk registrering av mallen för autentisering av arbetsstation med en grupprincip

  • Registrera certifikatet för autentisering av arbetsstation automatiskt och verifiera installationen på datorer

Skapa och utfärda en certifikatmall för autentisering av arbetsstation på certifikatutfärdaren

Den här proceduren skapar en certifikatmall för System Center 2012 Configuration Manager-klientdatorer och lägger till den i certifikatutfärdaren.

Skapa och utfärda certifikatmallen för autentisering av arbetsstation på certifikatutfärdaren

  1. På den medlemsserver som kör certifikatutfärdarkonsolen högerklickar du på Certifikatmallar och klickar sedan på Hantera för att läsa in certifikatmallhanteringskonsolen.

  2. Gå till resultatfönstret och högerklicka på posten som visar Autentisering av arbetsstation i kolumnen Mallens visningsnamn och klicka sedan på Kopiera mallen.

  3. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition är valt och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  4. I dialogrutan Egenskaper för ny mall går du till fliken Allmänt och anger ett mallnamn för att generera de klientcertifikat som ska användas på Configuration Manager-klientdatorer, t.ex. ConfigMgr-klientcertifikat.

  5. Klicka på fliken Säkerhet, välj gruppen Domändatorer och lägg till behörigheterna Läsa och Registrera automatiskt. Avmarkera inte Registrera.

  6. Klicka på OK och stäng Konsol för certifikatmallar.

  7. I certifikatutfärdarkonsolen högerklickar du på Certifikatmallar, klickar på Ny och klickar sedan på Certifikatmall som ska utfärdas.

  8. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du precis skapade, ConfigMgr-klientcertifikat, och klickar sedan på OK.

  9. Om du inte behöver skapa eller utfärda fler certifikat stänger du Certifikatutfärdare.

Konfigurera automatisk registrering av mallen för autentisering av arbetsstation med en grupprincip

Den här proceduren konfigurerar Grupprincip så att klientcertifikatet registreras automatiskt på datorer.

Konfigurera automatisk registrering av mallen för autentisering av arbetsstation med en grupprincip

  1. På domänkontrollanten klickar du på Start, på Administrationsverktyg och sedan på Grupprinciphantering.

  2. Gå till din domän, högerklicka på domänen och välj Skapa ett grupprincipobjekt i den här domänen och länka det till.

    System_CAPS_noteInformation

    Det här steget följer regelverket genom att skapa en ny grupprincip för anpassade inställningar, istället för att redigera den standarddomänprincip som installeras med Active Directory Domain Services. Genom att tilldela denna grupprincip på domännivå använder du den på alla datorer i domänen. Men i en produktionsmiljö kan du begränsa den automatiska registreringen så att den bara registrerar utvalda datorer genom att tilldela grupprincipen på organisationsenhetsnivå. Du kan också filtrera domänens grupprincip med en säkerhetsgrupp, så att den endast gäller för datorerna i gruppen. Om du begränsar automatisk registrering måste du komma ihåg att ta med den server som är konfigurerad som hanteringsplats.

  3. I dialogrutan Nytt grupprincipobjekt anger du ett namn för den nya grupprincipen, t.ex. Automatisk registrering av certifikat, och klickar på OK.

  4. I resultatfönstret går du till fliken Länkade grupprincipobjekt, högerklickar på den nya grupprincipen och klickar sedan på Redigera.

  5. I Redigeraren för grupprinciphantering expanderar du Principer under Datorkonfiguration och går till Windows-inställningar / Säkerhetsinställningar / Principer för offentliga nycklar.

  6. Högerklicka på objekttypen Certifikattjänstklienten - automatisk anmälan och klicka sedan på Egenskaper.

  7. I kombinationsrutan Konfigurationsmodell väljer du Aktiverad, Förnya certifikat som har upphört att gälla, uppdatera väntande certifikat och ta bort återkallade certifikat och Uppdatera certifikat som använder certifikatmallar. Sedan klickar du på OK.

  8. Stäng Grupprinciphantering.

Registrera certifikatet för autentisering av arbetsstation automatiskt och verifiera installationen på datorer

Den här proceduren installerar klientcertifikatet på datorer och verifierar installationen.

Registrera certifikatet för autentisering av arbetsstation automatiskt och verifiera installationen på klientdatorn

  1. Starta om arbetsstationen och vänta några minuter innan du loggar in.

    System_CAPS_noteInformation

    Att starta om datorn är det pålitligaste sättet att garantera att automatisk registrering av certifikat fungerar.

  2. Logga in med ett konto som har administratörsbehörighet.

  3. I sökrutan skriver du mmc.exe. och trycker sedan på Retur.

  4. I den tomma hanteringskonsolen klickar du på Fil och sedan på Lägg till/ta bort snapin-modul.

  5. I dialogrutan Lägg till/ta bort snapin-modul väljer du Certifikat i listan över Tillgängliga snapin-moduler och klickar sedan på Lägg till.

  6. I dialogrutan Snapin-modulen Certifikat väljer du Datorkonto och klickar sedan på Nästa.

  7. I dialogrutan Välj dator kontrollerar du att Lokal dator: (den dator den här konsolen körs på) har valts och klickar sedan på Slutför.

  8. I dialogrutan Lägg till/ta bort snapin-moduler klickar du på OK.

  9. I konsolen expanderar du Certifikat (lokal dator). Expandera Personliga och klicka sedan på Certifikat.

  10. I resultatfönstret bekräftar du att ett certifikat visas där Klientautentisering visas i kolumnen Avsett syfte och att ConfigMgr-klientcertifikat visas i kolumnen Certifikatmall.

  11. Stäng Certifikat (lokal dator).

  12. Upprepa steg 1 t.o.m. 11 för medlemsservern för att verifiera att det server som ska konfigureras som hanteringsplats också har ett klientcertifikat.

Datorn har nu etablerats med ett Configuration Manager-klientcertifikat.

Distribuera klientcertifikatet för distributionsplatser

System_CAPS_noteInformation

Det här certifikatet kan också användas för medieavbildningar som inte använder PXE-start, eftersom kraven på certifikaten är desamma.

Den här certifikatdistributionen sker i följande steg:

  • Skapa och utfärda en anpassad certifikatmall för autentisering av arbetsstation på certifikatutfärdaren

  • Begära det anpassade certifikatet för arbetsstationsautentisering

  • Exportera klientcertifikatet för distributionsplatser

Skapa och utfärda en anpassad certifikatmall för autentisering av arbetsstation på certifikatutfärdaren

Den här proceduren skapar en anpassad certifikatmall för Configuration Manager-distributionsplatser som tillåter att den privata nyckeln exporteras, och lägger till certifikatmallen i certifikatutfärdaren.

System_CAPS_noteInformation

Den här proceduren använder en annan certifikatmall än den certifikatmall som du skapade för klientdatorer, eftersom även om båda certifikaten kräver kapacitet för klientautentisering, kräver certifikatet för distributionsplatser att den privata nyckeln exporteras. Som säkerhetsregel ska du inte konfigurera certifikatmallar så att den privata nyckeln kan exporteras om inte denna konfiguration krävs. Distributionsplatsen kräver den här konfigurationen eftersom du måste importera certifikatet som en fil, istället för att välja den från certifikatlagret.

Genom att skapa en ny certifikatmall för det här certifikatet kan du begränsa vilka datorer som kräver ett certifikat som tillåter att den privata nyckeln exporteras. I vår exempeldistribution kommer detta att vara den säkerhetsgrupp du tidigare skapade för Configuration Manager-platssystemservrar som kör IIS. I ett produktionsnätverk som distribuerar IIS-platssystemrollerna bör du överväga att skapa en ny säkerhetsgrupp för de servrar som kör distributionsplatser, så att du kan begränsa certifikatet till bara dessa platssystemservrar. Du kan även överväga att lägga till följande ändringar för det här certifikatet:

  • Kräv godkännande för att installera certifikatet för ytterligare säkerhet.

  • Öka certifikatets giltighetsperiod. Eftersom du måste exportera och importera certifikatet varje gång innan det går ut, behöver du inte upprepa den här proceduren lika ofta om du ökar giltighetsperioden. Men om du förlänger giltighetsperioden minskas certifikatets säkerhet, eftersom det ger en attackerare mer tid att dekryptera den privata nyckeln och stjäla certifikatet.

  • Använd ett anpassat värde i certifikatets ämnesfält eller fält för alternativt namn på certifikatmottagare (SAN) som hjälp att identifiera det här certifikatet bland standardklientcertifikaten. Detta kan vara till speciellt stor hjälp om du ska använda samma certifikat för flera distributionsplatser.

Skapa och utfärda den anpassade certifikatmallen för autentisering av arbetsstation på certifikatutfärdaren

  1. På den medlemsserver som kör certifikatutfärdarkonsolen högerklickar du på Certifikatmallar och klickar sedan på Hantera för att läsa in certifikatmallhanteringskonsolen.

  2. Gå till resultatfönstret och högerklicka på posten som visar Autentisering av arbetsstation i kolumnen Mallens visningsnamn och klicka sedan på Kopiera mallen.

  3. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition är valt och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  4. Ange namnet på mallen på fliken Allmänt i dialogrutan Egenskaper för Ny mall. Då genereras klientautentiseringscertifikatet för distributionsplatser, t.ex. Certifikat för en ConfigMgr-klients distributionsplats.

  5. Klicka på fliken Hantering av begäranden och välj Tillåt att den privata nyckeln exporteras.

  6. Klicka på fliken Säkerhet och ta bort behörigheten Registrera från säkerhetsgruppen Företagsadministratörer.

  7. Klicka på Lägg till, skriv IIS-servrar för ConfigMgr i textrutan och klicka sedan på OK.

  8. Välj behörigheten Registrera för gruppen och ta inte bort behörigheten Läsa.

  9. Klicka på OK och stäng Konsol för certifikatmallar.

  10. I certifikatutfärdarkonsolen högerklickar du på Certifikatmallar, klickar på Ny och klickar sedan på Certifikatmall som ska utfärdas.

  11. Välj den mall som du just har skapat i dialogrutan Aktivera certifikatmallar, Certifikat för en ConfigMgr-klients distributionsplats, och klicka sedan på OK.

  12. Om du inte behöver skapa eller utfärda fler certifikat stänger du Certifikatutfärdare.

Begära det anpassade certifikatet för arbetsstationsautentisering

Med den här metoden begärs och installeras sedan det anpassade klientcertifikatet på medlemsservern som kör IIS och som ska konfigureras som distributionsplats.

Begära det anpassade certifikatet för arbetsstationsautentisering

  1. Klicka på Start, Kör och skriv mmc.exe. Klicka på Arkiv i den tomma konsolen och klicka sedan på Lägg till/ta bort snapin-moduler.

  2. I dialogrutan Lägg till/ta bort snapin-modul väljer du Certifikat i listan över Tillgängliga snapin-moduler och klickar sedan på Lägg till.

  3. I dialogrutan Snapin-modulen Certifikat väljer du Datorkonto och klickar sedan på Nästa.

  4. I dialogrutan Välj dator kontrollerar du att Lokal dator: (den dator den här konsolen körs på) har valts och klickar sedan på Slutför.

  5. I dialogrutan Lägg till/ta bort snapin-moduler klickar du på OK.

  6. Expandera Certifikat (lokal dator) i konsolen och klicka sedan på Personligt.

  7. Högerklicka på Certifikat, klicka på Alla aktiviteter och sedan på Begär nytt certifikat.

  8. Klicka på Nästa på sidan Innan du börjar.

  9. Om sidan Välj princip för certifikatregistrering visas, klickar du på Nästa.

  10. Välj Certifikat för en ConfigMgr-klients distributionsplats i listan med certifikaten som visas på sidan Begära certifikat och klicka sedan på Registrera.

  11. På sidan Resultat av certifikatinstallation väntar du tills certifikatet har installerats. Klicka sedan på Slutför.

  12. Bekräfta i resultatrutan att ett certifikat visas med texten Autentisera klient i kolumnen Avsett syfte, och att Certifikat för en ConfigMgr-klients distributionsplats visas i kolumnen Certifikatmall.

  13. Stäng inte Certifikat - lokal dator.

Exportera klientcertifikatet för distributionsplatser

Med den här metoden exporteras det anpassade certifikatet för arbetsstationsautentisering till en fil, så att det kan importeras i distributionsplatsens egenskaper.

Exportera klientcertifikatet för distributionsplatser

  1. Högerklicka i konsolen Certifikat – lokal dator på det certifikat som du just har installerat, välj Alla uppgifter och klicka sedan på Exportera.

  2. Klicka på Nästa i guiden Export av certifikat.

  3. Välj Ja, exportera den privata nyckeln på sidan Exportera privat nyckel och klicka sedan på Nästa.

    System_CAPS_noteInformation

    Om detta alternativ inte är tillgängligt, har certifikatet skapats utan möjlighet att exportera den privata nyckeln. I så fall kan du inte exportera certifikatet i det format som krävs. Du måste ändra certifikatmallens konfiguration så att den privata nyckeln får exporteras och sedan begära certifikatet igen.

  4. Kontrollera att alternativet Personal Information Exchange - PKCS #12 (.PFX) är valt på sidan Filformat för export.

  5. Ange ett starkt lösenord för att skydda det exporterade certifikatet med dess privata nyckel på sidan Lösenord, och klicka sedan på Nästa.

  6. Ange namnet på filen som du vill exportera på sidan Fil som ska exporteras och klicka sedan på Nästa.

  7. Stäng guiden genom att klicka på Slutför i guiden Export av certifikat, och klicka på OK i den bekräftande dialogrutan.

  8. Stäng Certifikat (lokal dator).

  9. Lagra filen säkert och se till att du kommer åt den från Configuration Manager-konsolen.

Certifikatet är nu klart att importera när du konfigurerar distributionsplatsen.

System_CAPS_tipTips

Du kan använda samma certifikatfil när du konfigurerar medieavbildningar för distribution av ett operativsystem som inte utnyttjar PXE-start, och aktivitetssekvensen för att installera avbildningen måste kontakta en hanteringsplats som kräver HTTPS-klientanslutningar.

Distribuera registreringscertifikatet för mobila enheter

Den här certifikatdistributionen har en enda procedur för att skapa och utfärda en registreringscertifikatsmall på certifikatutfärdaren.

Skapa och utfärda registreringscertifikatmallen på certifikatutfärdaren

Genom den här proceduren skapas en registreringscertifikatmall för mobila System Center 2012 Configuration Manager-enheter och läggs till på certifikatutfärdaren.

Skapa och utfärda registreringscertifikatmallen på certifikatutfärdaren

  1. Skapa en säkerhetsgrupp som innehåller användare som registrerar mobila enheter i System Center 2012 Configuration Manager.

  2. På den medlemsserver där Certifikattjänster är installerat går du till certifikatutfärdarkonsolen, högerklickar på Certifikatmallar och klickar sedan på Hantera för att läsa in hanteringskonsolen Certifikatmallar.

  3. I resultatfönstret högerklickar du på den post som visar Autentiserad session i kolumnen Mallens visningsnamn, och klickar sedan på Duplicera mall.

  4. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition är valt och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. Ange mallens namn på fliken Allmänt i dialogrutan Egenskaper för Ny mall. Då genereras registreringscertifikaten för de mobila enheterna som ska hanteras av Configuration Manager, t.ex. Registreringscertifikat för mobila enheter i ConfigMgr.

  6. Klicka på fliken Namn på certifikatmottagare, se till att Skapa utifrån följande Active Directory-information är markerat, välj Eget namn för Ämnesnamnets format och ta bort Användarens huvudnamn (UPN) från Ta med följande information i alternativt namn på certifikatmottagare.

  7. Klicka på fliken Säkerhet, markera säkerhetsgruppen som innehåller användare som har mobila enheter som ska registreras och välj den ytterligare behörigheten Registrera. Avmarkera inte Läsa.

  8. Klicka på OK och stäng Konsol för certifikatmallar.

  9. I certifikatutfärdarkonsolen högerklickar du på Certifikatmallar, klickar på Ny och klickar sedan på Certifikatmall som ska utfärdas.

  10. Välj den mall som du just har skapat i dialogrutan Aktivera certifikatmallar, Registreringscertifikat för mobila enheter i ConfigMgr, och klicka sedan på OK.

  11. Om du inte behöver skapa eller utfärda fler certifikat stänger du konsolen Certifikatutfärdare.

Mallen för registreringscertifikat för mobila enheter är nu klar att välja när du konfigurerar en profil för registrering av mobila enheter i klientinställningarna.

Distribuera certifikaten för AMT

Den här certifikatdistributionen sker i följande steg:

  • Skapa, utfärda och installera AMT-etableringscertifikatet

  • Skapa och utfärda webbservercertifikatet för AMT-baserade datorer

  • Skapa och utfärda certifikat för klientautentisering för 802.1X AMT-baserade datorer

Skapa, utfärda och installera AMT-etableringscertifikatet

Skapa etableringscertifikatet med din interna certifikatutfärdare om de AMT-baserade datorerna är konfigurerade med den interna rotcertifikatutfärdarens certifikattumavtryck. I annat fall – och om du måste använda en extern certifikatutfärdare – följer du anvisningarna från det företag som utfärdar AMT-etableringscertifikatet. Det brukar röra sig om att begära certifikatet från företagets offentliga webbplats. Du kanske även kan hitta detaljerade anvisningar för den externa certifikatutfärdare du har valt på Intel vPro Expert Center: Webbplatsen Microsoft vPro Manageability (https://go.microsoft.com/fwlink/?LinkId=132001).

System_CAPS_importantViktigt

Externa certifikatutfärdare kanske inte stödjer Intel AMT-etableringens objektidentifierare. I detta fall ska du använda en alternativ metod: ange organisationsenhetsattributet (OU) Intel(R) Client Setup Certificate.

När du begär ett AMT-etableringscertifikat från en extern certifikatutfärdare installerar du certifikatet i det personliga certifikatarkivet på medlemsservern där out of band-tjänstplatsen finns.

Begära och utfärda AMT-etableringscertifikatet

  1. Skapa en säkerhetsgrupp som innehåller datorkontona för platssystemsservrarna där out of band-tjänstplatsen finns.

  2. På den medlemsserver där certifikattjänster är installerat går du till certifikatutfärdarkonsolen, högerklickar på Certifikatmallar och klickar sedan på Hantera för att läsa in konsolen Certifikatmallar.

  3. Högerklicka på posten där det står Webbserver i kolumnen Mallens visningsnamn i resultatfönstret, och klicka sedan på Kopiera mallen.

  4. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition har valts och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. Ange namnet på mallen för AMT-etableringscertifikatet på fliken Allmänt i dialogrutan Egenskaper för Ny mall, t.ex. Certifikat för en AMT-etablering för ConfigMgr.

  6. Klicka på fliken Namn på certifikatmottagare, välj Skapa utifrån följande Active Directory-information och välj sedan Eget namn.

  7. Klicka på fliken Tillägg, se till att Användningsprinciper är markerat och klicka sedan på Redigera.

  8. Klicka på Lägg till i dialogrutan Redigera tillägg för användningsprinciper.

  9. Klicka på Ny i dialogrutan Lägg till användningsprincip.

  10. Skriv AMT-etablering i fältet Namn i dialogrutan Ny användningsprincip och skriv sedan följande sifferkombination i Objektidentifierare: 2.16.840.1.113741.1.2.3.

  11. Klicka på OK och sedan på OK i dialogrutan Lägg till användningsprincip.

  12. Klicka på OK i dialogrutan Redigera tillägg för användningsprinciper.

  13. Du bör nu se detta som beskrivning av Användningsprinciper i dialogrutan Egenskaper för ny mall: Serverautentisering och AMT-etablering.

  14. Klicka på fliken Säkerhet och ta bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer.

  15. Klicka på Lägg till, ange namnet på en säkerhetsgrupp där datorkontot för out of band-tjänstplatsens platssystemsroll ingår och klicka sedan på OK.

  16. Välj behörigheten Registrera för gruppen och ta inte bort behörigheten Läsa.

  17. Klicka på OK och stäng konsolen Certifikatmallar.

  18. Högerklicka på Certifikatmallar i Certifikatutfärdare, klicka på Ny och klicka sedan på Certifikatmall som ska utfärdas.

  19. Välj den mall som du just har skapat i dialogrutan Aktivera certifikatmallar, Certifikat för en AMT-etablering för ConfigMgr, och klicka sedan på OK.

    System_CAPS_noteInformation

    Om du inte kan slutföra steg 18 eller 19, kontrollera då att du använder Enterprise-versionen av Windows Server 2008. Även om det går att konfigurera mallar med Windows Server Standard Edition och Certifikattjänster, går det inte att distribuera certifikat med ändrade certifikatmallar om du inte använder Enterprise-versionen av Windows Server 2008.

  20. Stäng inte Certifikatutfärdare.

AMT-etableringscertifikatet från den interna certifikatutfärdaren är nu redo att installeras på out of band-tjänstplatsdatorn.

Installera AMT-etableringscertifikatet

  1. Starta om medlemsservern där IIS körs så att den kan komma åt certifikatmallen med den konfigurerade behörigheten.

  2. Klicka på Start, Kör och skriv mmc.exe. Klicka på Arkiv i den tomma konsolen och klicka sedan på Lägg till/ta bort snapin-moduler.

  3. I dialogrutan Lägg till/ta bort snapin-modul väljer du Certifikat i listan över Tillgängliga snapin-moduler och klickar sedan på Lägg till.

  4. I dialogrutan Snapin-modulen Certifikat väljer du Datorkonto och klickar sedan på Nästa.

  5. I dialogrutan Välj dator kontrollerar du att Lokal dator: (den dator den här konsolen körs på) har valts och klickar sedan på Slutför.

  6. I dialogrutan Lägg till/ta bort snapin-moduler klickar du på OK.

  7. Expandera Certifikat (lokal dator) i konsolen och klicka sedan på Personligt.

  8. Högerklicka på Certifikat, klicka på Alla aktiviteter och sedan på Begär nytt certifikat.

  9. Klicka på Nästa på sidan Innan du börjar.

  10. Om sidan Välj princip för certifikatregistrering visas, klickar du på Nästa.

  11. Välj AMT-etablering i listan med certifikaten som visas på sidan Begära certifikat och klicka sedan på Registrera.

  12. På sidan Resultat av certifikatinstallation väntar du tills certifikatet har installerats. Klicka sedan på Slutför.

  13. Stäng Certifikat (lokal dator).

AMT-etableringscertifikatet från den interna certifikatutfärdaren är nu installerat och klart att väljas i out of band-tjänstplatsens egenskaper.

Skapa och utfärda webbservercertifikatet för AMT-baserade datorer

Förbered webbservercertifikat för AMT-baserade datorer på följande sätt.

Skapa och utfärda webbservercertifikatmallen

  1. Skapa en tom säkerhetsgrupp som ska innehålla de AMT-datorkonton som System Center 2012 Configuration Manager skapar under AMT-etableringen.

  2. På den medlemsserver där certifikattjänster är installerat går du till certifikatutfärdarkonsolen, högerklickar på Certifikatmallar och klickar sedan på Hantera för att läsa in konsolen Certifikatmallar.

  3. Gå till resultatfönstret och högerklicka på posten som visar Webbserver i kolumnen Mallens visningsnamn och klicka sedan på Kopiera mallen.

  4. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition har valts och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. Ange namnet på mallen på fliken Allmänt i dialogrutan Egenskaper för Ny mall. Då genereras webbcertifikaten som ska användas för out of band-hantering på AMT-datorer, t.ex. AMT-webbservercertifikat för ConfigMgr.

  6. Klicka på fliken Namn på certifikatmottagare, klicka på Skapa utifrån följande Active Directory-information, välj Eget namn för Ämnesnamnets format och avmarkera Användarens huvudnamn (UPN) som alternativt huvudnamn.

  7. Klicka på fliken Säkerhet och ta bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer.

  8. Klicka på Lägg till och ange namnet på säkerhetsgruppen som du skapade för AMT-etablering. Klicka sedan på OK.

  9. Välj de följande Tillåt-behörigheterna för denna säkerhetsgrupp: Läsa och Registrera.

  10. Klicka på OK och stäng konsolen Certifikatmallar.

  11. Högerklicka på Certifikatmallar i konsolen Certifikatutfärdare, klicka på Ny och klicka sedan på Certifikatmall som ska utfärdas.

  12. Välj den mall som du just har skapat i dialogrutan Aktivera certifikatmallar, AMT-webbservercertifikat för ConfigMgr, och klicka sedan på OK.

  13. Om du inte behöver skapa eller utfärda fler certifikat stänger du Certifikatutfärdare.

AMT-webbservermallen är nu redo att etablera AMT-baserade datorer med webbservercertifikat. Välj den här certifikatmallen i out of band-hanteringskomponentens egenskaper.

Skapa och utfärda certifikat för klientautentisering för 802.1X AMT-baserade datorer

Gör på följande sätt om AMT-baserade datorer ska använda klientcertifikat för 802.1X-autentiserade trådbundna eller trådlösa nätverk.

Skapa och utfärda certifikatmallen för klientautentisering på certifikatutfärdaren

  1. På den medlemsserver där certifikattjänster är installerat går du till certifikatutfärdarkonsolen, högerklickar på Certifikatmallar och klickar sedan på Hantera för att läsa in konsolen Certifikatmallar.

  2. Gå till resultatfönstret och högerklicka på posten som visar Autentisering av arbetsstation i kolumnen Mallens visningsnamn och klicka sedan på Kopiera mallen.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  3. Ange namnet på mallen på fliken Allmänt i dialogrutan Egenskaper för Ny mall. Då genereras klientcertifikaten som ska användas för out of band-hantering på AMT-datorer, t.ex. AMT 802.1X-klientautentiseringscertifikat för ConfigMgr.

  4. Klicka på fliken Namn på certifikatmottagare, klicka på Skapa utifrån följande Active Directory-information och välj Eget namn som Ämnesnamnets format. Ta bort DNS-namn som alternativt ämnesnamn och markera sedan Användarens huvudnamn (UPN).

  5. Klicka på fliken Säkerhet och ta bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer.

  6. Klicka på Lägg till och ange namnet på säkerhetsgruppen som du vill ange i egenskaperna för out of band-hanteringskomponenten. Den kommer att innehålla de AMT-baserade datorernas datorkonton. Klicka sedan på OK.

  7. Välj de följande Tillåt-behörigheterna för denna säkerhetsgrupp: Läsa och Registrera.

  8. Klicka på OK och stäng sedan administrationskonsolen Certifikatmallar, certtmpl – [Certifikatmallar].

  9. Högerklicka på Certifikatmallar i administrationskonsolen Certifikatutfärdare, klicka på Ny och klicka sedan på Certifikatmall som ska utfärdas.

  10. Välj den mall som du just har skapat i dialogrutan Aktivera certifikatmallar, AMT 802.1X-klientautentiseringscertifikat för ConfigMgr, och klicka sedan på OK.

  11. Om du inte behöver skapa eller utfärda fler certifikat stänger du Certifikatutfärdare.

Certifikatmallen för klientautentisering är nu redo att utfärda certifikat till AMT-baserade datorer som kan användas för 802.1X-klientautentisering. Välj den här certifikatmallen i out of band-hanteringskomponentens egenskaper.

Distribuera klientcertifikatet för Mac-datorer

System_CAPS_noteInformation

Klientcertifikatet för Mac-datorer gäller enbart Configuration Manager SP1 och senare.

Den här certifikatdistributionen har en enda procedur för att skapa och utfärda en registreringscertifikatsmall på certifikatutfärdaren.

Skapa och utfärda en Mac-klientcertifikatmall på certifikatutfärdaren

Med den här proceduren skapas en anpassad certifikatmall för Macar som använder Configuration Manager och läggs till på certifikatutfärdaren.

System_CAPS_noteInformation

Den här proceduren utnyttjar en annan certifikatmall än den som du kan ha skapat för Windows-klientdatorer eller för distributionsplatser.

Genom att skapa en ny certifikatmall för detta certifikat, kan du begränsa certifikatbegäran till behöriga användare.

Skapa och utfärda certifikatmallen för Mac-klienter på certifikatutfärdaren

  1. Skapa en säkerhetsgrupp som innehåller användarkonton för administrativa användare som ska registrera certifikatet på Mac-datorn med Configuration Manager.

  2. På den medlemsserver som kör certifikatutfärdarkonsolen högerklickar du på Certifikatmallar och klickar sedan på Hantera för att läsa in certifikatmallhanteringskonsolen.

  3. I resultatfönstret högerklickar du på den post som visar Autentiserad session i kolumnen Mallens visningsnamn, och klickar sedan på Duplicera mall.

  4. I dialogrutan Kopiera mallen ser du till att Windows 2003 Server, Enterprise Edition är valt och klickar sedan på OK.

    System_CAPS_importantViktigt

    Välj inte Windows 2008 Server, Enterprise Edition.

  5. I dialogrutan Egenskaper för ny mall går du till fliken Allmänt och anger ett mallnamn för att generera Mac-klientcertifikatet, t.ex. ConfigMgr-Mac-klientcertifikat.

  6. Klicka på fliken Namn på certifikatmottagare, se till att Skapa utifrån följande Active Directory-information är markerat, välj Eget namn för Ämnesnamnets format och ta bort Användarens huvudnamn (UPN) från Ta med följande information i alternativt namn på certifikatmottagare.

  7. Klicka på fliken Säkerhet och ta bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer.

  8. Klicka på Lägg till, ange den säkerhetsgrupp du skapade i steg ett och klicka sedan på OK.

  9. Välj behörigheten Registrera för gruppen och ta inte bort behörigheten Läsa.

  10. Klicka på OK och stäng Konsol för certifikatmallar.

  11. I certifikatutfärdarkonsolen högerklickar du på Certifikatmallar, klickar på Ny och klickar sedan på Certifikatmall som ska utfärdas.

  12. I dialogrutan Aktivera certifikatmallar väljer du den nya mall som du precis skapade, ConfigMgr-Mac-klientcertifikat, och klickar sedan på OK.

  13. Om du inte behöver skapa eller utfärda fler certifikat stänger du Certifikatutfärdare.

Mac-klientcertifikatet är nu klart att väljas när du konfigurerar klientinställningar för registrering.