Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Bir Windows Server 2008 sertifika yetkilisi (CA) kullanan bu adım adım örnek dağıtımı, Microsoft System Center 2012 Configuration Manager uygulamasını kullandığı ortak anahtar altyapısı (PKI) oluşturma ve dağıtma sürecinde size rehberlik eden yordamları içerir. Bu yordamlar, bir kuruluş sertifika yetkilisi (CA) ve sertifika şablonlarını kullanır. Adımlar, kanıt kavramı olarak, salt bir test ağı için uygundur.

Gereken sertifikaların dağıtımı için tek bir yöntem bulunmadığından, bir üretim ortamına yönelik gereken sertifikaları dağıtma konusunda gerekli yordamlar ve en iyi uygulamalar için kendi özel PKI dağıtım belgelerinize başvurmanız gerekir. Sertifika gereksinimleri hakkında daha fazla bilgi edinmek için Configuration Manager İçin PKI Sertifikası Gereksinimleri konusuna bakın.

System_CAPS_tipİpucu

Bu konuda yer alan talimatlar, Test Ağı Gereksinimleri bölümünde belgelenenler dışındaki işletim sistemleri için kolaylıkla uyarlanabilirler. Bununla birlikte, sertifika verme yetkilisini Windows Server 2012 üzerinde çalıştırıyorsanız, sertifika şablonu sürümü sizden istenir. Bunun yerine bunu, aşağıdaki gibi, şablon özelliklerinin Uyumluluk sekmesinde belirleyin:

  • Sertifika Yetkilisi: Windows Server 2003

  • Sertifika alıcısı: Windows XP / Server 2003

Bu Bölümde

Aşağıdaki bölümler, System Center 2012 Configuration Manager ile birlikte kullanılabilen aşağıdaki sertifikaları oluşturma ve dağıtmaya yönelik örnek adım adım talimatları içerir:

Test Ağı Gereksinimleri

Sertifikalara Genel Bakış

IIS çalıştıran Site Sistemleri için Web Sunucusu Sertifikasını Dağıtma

Bulut Tabanlı Dağıtım Noktaları için Hizmet Sertifikası Dağıtma

Windows Bilgisayarlara İstemci Sertifikasını Dağıtma

Dağıtım Noktaları İçin İstemci Sertifikası Dağıtma

Mobil Aygıtlar için Kayıt Sertifikasını Dağıtma

AMT için Sertifikaları Dağıtma

Mac Bilgisayarlara İstemci Sertifikasını Dağıtma

Test Ağı Gereksinimleri

Adım adım talimatlar aşağıdaki gereksinimlere sahiptir:

  • Test ağı, Windows Server 2008 ile Active Directory Etki Alanı Hizmetleri çalıştırır ve tek bir etki alanı, tek bir orman olarak yüklenmiştir.

  • Onu bir Active Directory Sertifika Hizmetleri rolüne yüklemiş olan Windows Server 2008 Enterprise Edition çalıştıran bir üye sunucunuz olabilir ve kuruluş kök sertifika yetkilisi (CA) olarak yapılandırılır.

  • Üzerinde Windows Server 2008 (Standard Edition veya Enterprise Edition) yüklü ve üye sunucu olarak tasarlanmış bir bilgisayarınız var ve Internet Information Services (IIS) üzerinde yüklü. Bu bilgisayar, intranet FQDN (intranet üzerindeki istemci bağlantılarını desteklemek için) ve Configuration Manager uygulaması tarafından kaydı yapılan mobil aygıtları ve İnternet üzerindeki istemcileri desteklemek istiyorsanız, bir İnternet FQDN ile birlikte yapılandıracağınız Configuration Manager site sistem sunucusu olacaktır.

  • En son hizmet paketinin yüklü olduğu bir Windows Vista istemciniz var ve bu bilgisayar, ASCII karakterlerden oluşan bir bilgisayar adıyla yapılandırılmış ve etki alanına dahil edilmiş. Bu bilgisayar bir Configuration Manager istemci bilgisayarı olacaktır.

  • Kök etki alanı yönetici hesabıyla veya kuruluş etki alanı yönetici hesabıyla oturum açabilir ve bu hesabı bu örnek dağıtımındaki tüm yordamlar için kullanabilirsiniz.

Sertifikalara Genel Bakış

Aşağıdaki tabloda System Center 2012 Configuration Manager için gerekebilecek PKI sertifikası türleri sıralanır ve bunların nasıl kullanıldığı açıklanır.

Sertifika Gereksinimi

Sertifika Açıklaması

IIS çalıştıran site sistemleri için Web sunucusu sertifikası

Bu sertifika, verileri şifrelemek ve sunucuların istemcilere yetki doğrulamasını yapmak için kullanılır. IIS çalıştıran ve Configuration Manager uygulamasında HTTPS kullanmak üzere yapılandırılmış site sistemleri sunucularında Configuration Manager uygulamasından harici olarak yüklenmelidir.

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için: Bu sertifika aynı zamanda istemci bildirim trafiği HTTPS kullanmaya geri döndüğünde yönetim noktalarında gerekli olabilir.

Bu sertifikayı yapılandırma ve yükleme adımları için bu konuda IIS çalıştıran Site Sistemleri için Web Sunucusu Sertifikasını Dağıtma bölümüne bakın.

Bulut tabanlı dağıtım noktalarına bağlanmak için istemcilere yönelik hizmet sertifikası

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Bu sertifika, verileri şifrelemek ve bulut tabanlı dağıtım noktası hizmetinin istemcilere yetki doğrulamasını yapmak için kullanılır. Bir bulut tabanlı dağıtım noktası oluşturduğunuzda alınabilmesi için Configuration Manager uygulamasından harici olarak istenmeli, yüklenmeli ve dışa verilmelidir.

Bu sertifikayı yapılandırma ve yükleme adımları için bu konuda Bulut Tabanlı Dağıtım Noktaları için Hizmet Sertifikası Dağıtma bölümüne bakın.

Not

Bu sertifika, Windows Azure yönetim sertifikasıyla bağlantılı olarak kullanılır. Bu yönetim sertifikası hakkında daha fazla bilgi için, bkz. MSDN Kitaplığı'nın Windows Azure Platformu bölümünde Bir Yönetim Sertifikasının Nasıl Oluşturulacağı ve Bir Yönetim Sertifikasının bir Windows Azure Aboneliğine Nasıl Ekleneceği.

Windows bilgisayarlar için istemci sertifikası

Bu sertifika, HTTPS kullanmak üzere yapılandırılmış site sistemlerine Configuration Manager istemci bilgisayarlarının yetki doğrulamasını yapmakta kullanılır. Aynı zamanda, HTTPS kullanmak üzere yapılandırıldıklarında işletimsel durumlarını izlemek amacıyla yönetim noktaları ve durum yükseltme noktaları için de kullanılabilir. Bilgisayarlara Configuration Manager uygulamasından haricen yüklenmelidir.

Bu sertifikayı yapılandırma ve yükleme adımları için bu konuda Windows Bilgisayarlara İstemci Sertifikasını Dağıtma bölümüne bakın.

Dağıtım noktaları için istemci sertifikası

Bu sertifika iki amaca sahiptir:

  • Bu sertifika, dağıtım noktası durum iletileri göndermeden önce HTTPS etkin bir yönetim noktasına dağıtım noktasının kimliğini doğrulamak amacıyla kullanılır.

  • İstemciler için PXE desteğini etkinleştir dağıtım noktası seçeneği seçildiğinde sertifika, işletim sisteminin dağıtımı sırasında bir HTTPS etkin yönetim noktasına bağlanabilmeleri için PXE önyüklemesi gerçekleştiren bilgisayarlara gönderilir.

Bu sertifikayı yapılandırma ve yükleme adımları için bu konuda Dağıtım Noktaları İçin İstemci Sertifikası Dağıtma bölümüne bakın.

Mobil aygıtlar için kayıt sertifikası

Bu sertifika, HTTPS kullanmak üzere yapılandırılmış site sistemlerine Configuration Manager mobil aygıt istemcilerinin yetki doğrulamasını yapmakta kullanılır. Bu, Configuration Manager uygulamasında mobil aygıt kaydının bir parçası olarak yüklenmelidir ve yapılandırılmış sertifika şablonunu bir mobil aygıt istemci ayarı olarak seçersiniz.

Bu sertifikayı yapılandırma adımları için bu konuda Mobil Aygıtlar için Kayıt Sertifikasını Dağıtma bölümüne bakın.

Intel AMT için sertifikalar

Intel AMT tabanlı bilgisayarlara yönelik bant dış yönetimini ilgilendiren üç sertifika vardır: Bir AMT sağlama sertifikası, bir AMT Web sunucusu sertifikası ve isteğe bağlı olarak 802.1X kablolu veya kablosuz ağlar için bir istemci yetki doğrulama sertifikası.

AMT sağlama sertifikası, bant dışı hizmet noktası bilgisayarında Configuration Manager uygulamasından harici olarak yüklenmelidir; ardından bant dışı hizmet noktası özelliklerinden yüklü sertifikayı seçersiniz. AMT Web sunucusu sertifikası ve istemci yetki doğrulama sertifikası AMT sağlaması ve yönetimi sırasında yüklenir; bant dışı yönetim bileşen özelliklerinden yapılandırılmış sertifika şablonunu seçersiniz.

Bu sertifikaları yapılandırma adımları için bu konuda AMT için Sertifikaları Dağıtma bölümüne bakın.

Mac bilgisayarlar için istemci sertifikası

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Bu sertifika, HTTPS'yi destekleyecek şeiklde yapılandırılan yönetim noktalarına ve dağıtım noktalarına Configuration Manager Mac bilgisayarların yetki doğrulamasını yapmak için kullanılır.

Bu sertifikayı, Configuration Manager kaydı kullandığınızda bir Mac bilgisayardan isteyip yükleyebilirsiniz; ardından yapılandırılmış sertifika şablonunu mobil aygıt istemci ayarı olarak seçin.

Bu sertifikayı yapılandırma adımları için bu konuda Mac Bilgisayarlara İstemci Sertifikasını Dağıtma bölümüne bakın.

IIS çalıştıran Site Sistemleri için Web Sunucusu Sertifikasını Dağıtma

Sertifika dağıtımı aşağıdaki yordamlara sahiptir:

  • Sertifika Yetkilisinde Web Sunucusu Kimlik Doğrulama Sertifika Şablonu Oluşturma ve Verme

  • Web Sunucusu Sertifikası İsteme

  • IIS'yi Web Sunucusu Sertifikası Kullanacak Şekilde Yapılandırma

Sertifika Yetkilisinde Web Sunucusu Kimlik Doğrulama Sertifika Şablonu Oluşturma ve Verme

Bu yordam, Configuration Manager site sistemleri için bir sertifika şablonu oluşturur ve sertifika yetkilisine ekler.

Sertifika yetkilisinde Web sunucusu sertifika şablonu oluşturmak ve vermek için

  1. ConfigMgr IIS Sunucular adlı, IIS çalıştıracak System Center 2012 Configuration Manager site sistemlerini yüklemek amacıyla üye sunucuları içeren bir güvenlik grubu oluşturun.

  2. Sertifika Şablonları konsolunu yüklemek için, Sertifika Hizmetleri'nin yüklü olduğu üye sunucusunda, Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  3. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda Web Sunucusu'nu görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  4. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'ı tıklatın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  5. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, Configuration Manager site sistemlerinde kullanılacak Web sertifikalarını oluşturmak için ConfigMgr Web Sunucusu gibi bir şablon adı girin.

  6. Konu Adı sekmesini tıkatın ve İstekte sağlanmış öğesinin seçili olduğundan emin olun.

  7. Güvenlik sekmesini tıklatın ve güvenlik grupları Etki Alanı Yöneticileri ve Kuruluş Yöneticileri'nden Kaydetme iznini kaldırın.

  8. Ekle'ye tıklayın, metin kutusuna ConfigMgr IIS Sunucuları yazın ve ardından Tamam'a tıklayın.

  9. Bu grup için Kaydetme iznini seçin ve Okuma izninin işaretini kaldırmayın.

  10. Tamam'ı tıklatın ve Sertifika Şablonları Konsolu'nu kapatın.

  11. Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  12. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr Web Sunucusu Sertifikası şablonunu seçtikten sonra Tamam'a tıklayın.

  13. Başka sertifika oluşturmaya ya da çıkarmaya ihtiyacınız yoksa Sertifika Yetkilisi'ni kapatın.

Web Sunucusu Sertifikası İsteme

Bu yordam, site sistem sunucu özelliklerinde yapılandırılacak intranet ve İnternet FQDN değerlerini belirlemenize olanak tanır ve ardından Web sunucusu sertifikasını IIS çalıştıran üye sunucuya yükler.

Web sunucusu sertifikası istemek için

  1. Bilgisayarın, yapılandırdığınız Okuma ve Kayıt izinlerini kullanarak oluşturduğunuz sertifika şablonuna erişebilmesini sağlamak için IIS çalıştıran üye sunucuyu yeniden başlatın.

  2. Başlat'ı, Çalıştır'tıklatın ve mmc.exe. yazın. Boş konsolda Dosya'yı tıklatın ve Ek Bileşen Ekle/Kaldır'ı tıklatın.

  3. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Kullanılabilir ek bileşenler listesinden Sertifikalar'ı seçin ve Ekle'yi tıklatın.

  4. Sertifika ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı seçin ve İleri'yi tıklatın.

  5. Bilgisayar Seç iletişim kutusunda, Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) seçeneğinin belirlenmiş olduğundan emin olarak Son’a tıklayın.

  6. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Tamam'ı tıklatın.

  7. Konsolda, Sertifikalar (Yerel Bilgisayar)'ı genişletin ve Kişisel'i tıklatın.

  8. Sertifikalar'ı sağ tıklatın, Tüm Görevler'i tıklatın ve Yeni Sertifika İste'yi tıklatın.

  9. Başlamadan Önce sayfasında, İleri'yi tıklatın.

  10. Sertifika Kaydı İlkesi'ni Seçin sayfasını görüyorsanız İleri'yi tıklatın.

  11. Sertifikaları İste sayfasında, görüntülenen sertifika listesinden ConfigMgr Web Sunucusu Sertifikası'nı belirleyin ve Bu sertifikayı kaydettirmek için daha fazla bilgi gerekiyor. Ayarları yapılandırmak için burayı tıklatın seçeneğine tıklayın.

  12. Sertifika Özellikleri iletişim kutusunda, Konu sekmesinde Konu adında herhangi bir değişiklik yapmayın. Bu, Konu adı bölümü için Değer kutusunun boş kalacağı anlamına gelir. Bunun yerine, Alternatif Ad bölümünde Tür aşağı açılan listesine tıklatıp, ardından DNS öğesini seçin.

  13. Değer kutusunda, Configuration Manager site sistem özelliklerinde belirleyeceğiniz FQDN değerlerini belirleyip, ardından Sertifika Özellikleri iletişim kutusunu kapatmak için Tamam'a tıklatın.

    Örnekler:

    • Site sistemi yalnızca intranetten istemci bağlantılarını kabul eder ve site sistem sunucusunun intranet FQDN'si server1.internal.contoso.com öğesidir: server1.internal.contoso.com yazıp, ardından Ekle'yi tıklatın.

    • Site sistemi intranet ve İnternetten istemci bağlantılarını kabul edecekse, site sistem sunucusunun intranet FQDN'si server1.internal.contoso.com ve site sistem sunucusunun İnternet FQDN'si server.contoso.com olur:

      1. server1.internal.contoso.com yazıp, ardından Ekle'yi tıklatın.

      2. server.contoso.com yazıp, ardından Ekle'yi tıklatın.

      Not

      Configuration Manager iiçn FQDN'leri hangi sırayla belirlediğiniz önemli değildir. Ancak, sertifikayı kullanacak mobil aygıtlar ve proxy Web sunucuları gibi tüm aygıtların bir sertifika SAN'sini kullanabildiklerini ve SAN'de birden çok değer bulunduğunu kontrol edin. Aygıtlarda sertifikalarda SAN değerleri için sınırlı destek varsa, FQDN'lerin sırasını değiştirmek veya bunun yerine Konu değerini kullanmak isteyebilirsiniz.

  14. Sertifikaları İste sayfasında, görüntülenen sertifika listesinden ConfigMgr Web Sunucusu Sertifikası'nı seçtikten sonra Kaydet'e tıklayın.

  15. Sertifika Yüklemesi Sonuçları sayfasında, sertifika yüklenene kadar bekleyin ve Son'u tıklatın.

  16. Sertifikalar (Yerel Bilgisayar)'ı kapatın.

IIS'yi Web Sunucusu Sertifikası Kullanacak Şekilde Yapılandırma

Bu yordam, yüklü sertifikayı IIS Varsayılan Web Sitesi'ne bağlar.

IIS'yi Web sunucusu sertifikasını kullanmak amacıyla yapılandırmak için

  1. IIS yüklü üye sunucusunda Başlat, Programlar, Yönetim Araçları öğelerini tıklatıp, ardından Internet Information Services (IIS) Yöneticisi öğesini tıklatın.

  2. Siteler'i genişletin, Varsayılan Web Sitesi'ni farenin sağ düğmesiyle tıklatın, ardından Bağlamaları Düzenle'yi seçin.

  3. Https girdisini tıklatıp, ardından Düzenle'yi tıklatın.

  4. Site Bağlamasını Düzenle iletişim kutusunda, ConfigMgr Web Sunucusu Sertifikaları şablonunu kullanarak istediğiniz sertifikayı seçip, ardından Tamam'ı tıklatın.

    Not

    Doğru sertifikanın hangisi olduğundan emin değilseniz, birini seçip, ardından Görüntüle'yi tıklatın. Bunun yapılması, seçili sertifika ayrıntıları ile Sertifikalar ek bileşeniyle görüntülenen sertifikaları karşılaştırmanızı sağlar. Örneğin, Sertifikalar ek bileşeni sertifika istemek için kullanılan sertifika şablonunu görüntüler. ConfigMgr Web Suncuusu Sertifikalarında istenilen sertifika parmakizini, Site Bağlamasını Düzenle iletişim kutusunda geçerli seçili sertifikanın sertifika parmakiziyle karşılaştırabilirsiniz.

  5. Site Bağlamasını Düzenle iletişim kutusunda Tamam'ı tıklatıp, ardından Kapat'ı tıklatın.

  6. İnternet Bilgi Hizmetleri (IIS) Yöneticisi'ni kapatın.

Üye sunucu artık Configuration Manager Web sunucusu sertifikası ile birlikte sağlanır.

System_CAPS_importantÖnemli

Bu bilgisayara Configuration Manager site sistem sunucusunu yüklediğinizde, site sistem özelliklerinde FQDN'leri sertifikayı istediğinizde belirlediklerinizle aynı şekilde belirlediğinizden emin olun.

Bulut Tabanlı Dağıtım Noktaları için Hizmet Sertifikası Dağıtma

Not

Bulut tabanlı dağıtım noktaları için hizmet sertifikası Configuration Manager SP1 ve sonrası için geçerlidir.

Sertifika dağıtımı aşağıdaki yordamlara sahiptir:

  • Sertifika Yetkilisinde Özel Web Sunucusu Sertifika Şablonu Oluşturma ve Verme 

  • Özel Web Sunucusu Sertifikası İsteme

  • Bulut Tabanlı Dağıtım Noktaları İçin Özel Web Sunucusu Sertifikasını Dışarı Aktarma

Sertifika Yetkilisinde Özel Web Sunucusu Sertifika Şablonu Oluşturma ve Verme

Bu yordam, Web Sunucusu sertifika şablonunu temel alan özel sertifika şablonu oluşturur. Sertifika Configuration Manager bulut tabanlı dağıtım noktalarına yöneliktir ve özel anahtarın dışarı aktarılabilir olması gerekir. Sertifika şablonu oluşturulduktan sonra sertifika yetkilisine eklenir.

Not

Bu yordam, IIS çalışıran site sistemleri için oluşturduğunuz Web sunucusu sertifika şablonundan farklı bir sertifika şablonunu kullanır; çünkü her iki sertifikanın da sunucu kimlik doğrulama özelliği gerektirmesine karşın, bulut tabanlı dağıtım noktalarına yönelik sertifika, Konu Adı için özel tanımlanmış bir değer girmenizi gerektirir ve özel anahtar dışarı aktarılmalıdır. En iyi güvenlik uygulaması olarak, sertifika şablonlarını özel anahtarın dışarı aktarılmasına izin verecek şekilde yapılandırmayın (bu yapılandırma gerekmedikçe). Sertifikayı sertifika deposundan seçmek yerine dosya olarak içeri aktarmanız gerektiğinden bulut tabanlı dağıtım noktası için bu yapılandırma gereklidir.

Bu sertifika için yeni bir sertifika şablonu oluşturarak hangi bilgisayarların özel anahtarın dışarı aktarılmasına izin veren bir sertifika isteyeceğini sınırlandırabilirsiniz. Bir üretim ağında, bu sertifika ile ilgili aşağıdaki değişiklikleri eklemeyi de dikkate almanız gerekir:

  • Daha fazla güvenlik için sertifikayı yükleme onayı isteyin.

  • Sertifika geçerlilik süresini artırın. Sertifikanın süresi sona ermeden önce her seferinde onu dışarı aktarıp içeri aktarmanız gerektiğinden, geçerlilik süresini artırmak bu işlemi yineleme sıklığınızı azaltır. Ancak geçerlilik süresini artırdığınızda, bir saldırganın özel anahtarın şifresini çözüp sertifikayı çalması için daha fazla zaman tanıdığından bu işlem sertifikanın güvenliğini azaltır.

  • Bu sertifikayı IIS ile kullandığınız standart Web sunucusu sertifikaları arasından tanımaya yardımcı olması için sertifikanın Konu Diğer Adında (SAN) özel bir değer kullanın.

Sertifika yetkilisinde özel Web Sunucusu sertifika şablonu oluşturmak ve vermek için

  1. Bulut tabanlı dağıtım noktalarını yönetecek Configuration Manager birincil site sunucularını yüklemek için üye sunucuları içeren ConfigMgr Site Sunucuları adlı bir güvenlik grubu oluşturun.

  2. Sertifika Şablonları Yönetimi konsolunu yüklemek için, Sertifika Yetkilisi konsolunu çalıştıran üye sunucusunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  3. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda Web Sunucusu'nu görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  4. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'ı tıklatın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  5. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, bulut tabanlı dağıtım noktalarına yönelik Web sunucusu sertifikasını oluşturmak için ConfigMgr Bulut Tabanlı Dağıtım Noktası Sertifikası gibi bir şablon adı girin.

  6. İstek İşleme sekmesine tıklayın ve Özel anahtar verilebilsin'i seçin.

  7. Güvenlik sekmesine tıklayın ve Enterprise Admins güvenlik grubundan Kaydetme iznini kaldırın.

  8. Ekle'ye tıklayın, metin kutusuna ConfigMgr Site Sunucuları yazın ve ardından Tamam'a tıklayın.

  9. Bu grup için Kaydetme iznini seçin ve Okuma izninin işaretini kaldırmayın.

  10. Tamam'ı tıklatın ve Sertifika Şablonları Konsolu'nu kapatın.

  11. Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  12. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr Bulut Tabanlı Dağıtım Noktası Sertifikası şablonunu seçtikten sonra Tamam'a tıklayın.

  13. Başka sertifika oluşturmanız ya da çıkarmanız gerekmiyorsa Sertifika Yetkilisi'ni kapatın.

Özel Web Sunucusu Sertifikası İsteme

Bu yordam, özel Web sunucusu sertifikasını ister ve sonra onu site sunucusunu çalıştıracak üye sunucuya yükler.

Özel Web sunucusu sertifikası istemek için

  1. Bilgisayarın oluşturduğunuz sertifika şablonuna yapılandırdığınız Oku ve Kaydet izinlerini kullanarak erişebildiğinden emin olmak için ConfigMgr Site Sunucuları güvenlik grubunu oluşturduktan ve yapılandırdıktan sonra üye sunucuyu yeniden başlatın.

  2. Başlat'ı, Çalıştır'tıklatın ve mmc.exe. yazın. Boş konsolda Dosya'yı tıklatın ve Ek Bileşen Ekle/Kaldır'ı tıklatın.

  3. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Kullanılabilir ek bileşenler listesinden Sertifikalar'ı seçin ve Ekle'yi tıklatın.

  4. Sertifika ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı seçin ve İleri'yi tıklatın.

  5. Bilgisayar Seç iletişim kutusunda, Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) seçeneğinin belirlenmiş olduğundan emin olarak Son’a tıklayın.

  6. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Tamam'ı tıklatın.

  7. Konsolda, Sertifikalar (Yerel Bilgisayar)'ı genişletin ve Kişisel'i tıklatın.

  8. Sertifikalar'ı sağ tıklatın, Tüm Görevler'i tıklatın ve Yeni Sertifika İste'yi tıklatın.

  9. Başlamadan Önce sayfasında, İleri'yi tıklatın.

  10. Sertifika Kaydı İlkesi'ni Seçin sayfasını görüyorsanız İleri'yi tıklatın.

  11. Sertifikaları İste sayfasında, görüntülenen sertifika listesinden ConfigMgr Bulut Tabanlı Dağıtım Noktası Sertifikası'nı belirleyin ve Bu sertifikayı kaydettirmek için daha fazla bilgi gerekiyor. Ayarları yapılandırmak için burayı tıklatın seçeneğine tıklayın.

  12. Sertifika Özellikleri iletişim kutusunda, Konu sekmesinde Konu adı için Ortak AdTür olarak seçin.

  13. Değer kutusunda, FQDN biçimini kullanarak hizmet adı ve etki alanı adı seçiminizi belirtin. Örneğin: clouddp1.contoso.com.

    Not

    Ad alanınız içinde benzersiz olduğu sürece hangi hizmet adını belirttiğinizin önemi yoktur. Bu hizmet adını Windows Azure'den otomatik olarak oluşturulan tanımlayıcı (GUID) ve IP adresi ile eşleştirmek için DNS kullanarak diğer adı (CNAME kaydı) oluşturursunuz.

  14. Ekle'ye ve Tamam'a tıklayarak Sertifika Özellikleri iletişim kutusunu kapatın.

  15. Sertifikaları İste sayfasında, görüntülenen sertifika listesinden ConfigMgr Bulut Tabanlı Dağıtım Noktası Sertifikası'nı seçtikten sonra Kaydet'e tıklayın.

  16. Sertifika Yüklemesi Sonuçları sayfasında, sertifika yüklenene kadar bekleyin ve Son'u tıklatın.

  17. Sertifikalar (Yerel Bilgisayar)'ı kapatın.

Bulut Tabanlı Dağıtım Noktaları İçin Özel Web Sunucusu Sertifikasını Dışarı Aktarma

Bu yordam, bulut tabanlı dağıtım noktasını oluşturduğunuzda özel Web sunucusu sertifikasının içeri aktarılabilmesi için onu dosyaya aktarır.

Bulut tabanlı dağıtım noktalarına yönelik özel Web sunucusu sertifikasını dışarı aktarmak için

  1. Sertifikalar (Yerel Bilgisayar) konsolunda, yeni yüklediğiniz sertifikaya sağ tıklayın, Tüm Görevler'i seçtikten sonra Dışarı Aktar'a tıklayın.

  2. Sertifika Dışarı Aktarma Sihirbazında İleri'ye tıklayın.

  3. Özel Anahtarı Dışarı Aktar sayfasında, Evet, özel anahtarı dışarı aktar'ı seçtikten sonra İleri'ye tıklayın.

    Not

    Bu seçenek kullanılamıyorsa, sertifika özel anahtarı dışarı aktarma seçeneği olmadan oluşturulmuştur. Bu senaryoda, sertifikayı gereken biçimde dışarı aktaramazsınız. Sertifika şablonunu özel anahtarın dışarı aktarılmasına izin verecek şekilde yeniden yapılandırdıktan sonra sertifikayı tekrar isteyin.

  4. Dışarı Aktarma Dosyası Biçimi sayfasında, Kişisel Bilgi Alış Verişi - PKCS #12 (.PFX) seçeneğinin işaretlendiğinden emin olun.

  5. Parola sayfasında, dışarı aktarılan sertifikayı özel anahtarıyla korumak için güçlü bir parola belirttikten sonra İleri'ye tıklayın.

  6. Dışarı Aktarılan Dosya sayfasında, dışarı aktarmak istediğiniz dosyanın adını belirttikten sonra İleri'ye tıklayın.

  7. Sertifika Dışarı Aktarma Sihirbazı sayfasında Son'a tıklayarak sihirbazı kapatın ve onay iletişim kutusunda Tamam'a tıklayın.

  8. Sertifikalar (Yerel Bilgisayar)'ı kapatın.

  9. Dosyayı güvenli şekilde depolayın ve Configuration Manager konsolundan erişebildiğinizden emin olun.

Sertifika artık bulut tabanlı dağıtım noktasını oluşturduğunuzda içeri aktarılmaya hazırdır.

Windows Bilgisayarlara İstemci Sertifikasını Dağıtma

Sertifika dağıtımı aşağıdaki yordamlara sahiptir:

  • Sertifika Yetkilisinde İş İstasyonu Kimlik Doğrulama Sertifika Şablonu Oluşturma ve Verme

  • Grup İlkesini Kullanarak İş İstasyonu Kimlik Doğrulama Şablonunun Otomatik Kaydını Yapılandırma

  • İş İstasyonu Kimlik Doğrulama Sertifikasını Otomatik Olarak Kaydetme ve Bilgisayarlara Yüklenmesini Doğrulama

Sertifika Yetkilisinde İş İstasyonu Kimlik Doğrulama Sertifika Şablonu Oluşturma ve Verme

Bu yordam, System Center 2012 Configuration Manager istemci bilgisayarları için bir sertifika şablonu oluşturur ve sertifika yetkilisine ekler.

Sertifika yetkilisinde İş İstasyonu Kimlik Doğrulama sertifika şablonu oluşturmak ve vermek için

  1. Sertifika Şablonları Yönetimi konsolunu yüklemek için, Sertifika Yetkilisi konsolunu çalıştıran üye sunucusunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  2. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda İş İstasyonu Kimlik Doğrulaması'nı görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  3. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'ı tıklatın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  4. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, Configuration Manager istemci bilgisayarlarında kullanılacak istemci sertifikalarını oluşturmak için ConfigMgr İstemci Sertifikası gibi bir şablon adı girin.

  5. Güvenlik sekmesine tıklayın, Domain Computers grubunu seçin ve ek izinler olarak Oku ve Otomatik Kayıt'ı seçin.Kaydet'i silmeyin.

  6. Tamam'ı tıklatın ve Sertifika Şablonları Konsolu'nu kapatın.

  7. Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  8. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr İstemci Sertifikası şablonunu seçtikten sonra Tamam'a tıklayın.

  9. Başka sertifika oluşturmaya ya da çıkarmaya ihtiyacınız yoksa Sertifika Yetkilisi'ni kapatın.

Grup İlkesini Kullanarak İş İstasyonu Kimlik Doğrulama Şablonunun Otomatik Kaydını Yapılandırma

Bu yordam, bilgisayarlardaki istemci sertifikasını otomatik olarak kaydetmek için Grup İlkesini yapılandırır.

Grup İlkesini kullanarak iş istasyonu kimlik doğrulama şablonunun otomatik kaydını yapılandırmak için

  1. Etki alanı denetleyicisinde, Başlat'a, Yönetim Araçları'na ve Grup İlkesi Yönetimi'ne tıklayın.

  2. Etki alanınıza gidin, etki alanına sağ tıkladıktan sonra Bu etki alanında GPO oluştur ve buraya bağla'yı seçin.

    Not

    Bu adım, en iyi uygulama olarak Active Directory Etki Alanı Hizmetleri ile birlikte yüklenen Varsayılan Etki Alanı İlkesini düzenlemek yerine özel ayarlar için yeni bir Grup İlkesi oluşturmayı kullanır. Bu Grup İlkesini etki alanı düzeyinde atayarak onu etki alanındaki tüm bilgisayarlara uygularsınız. Ancak bir üretim ortamında, kuruluş birimi düzeyinde bir Grup İlkesi atayarak otomatik kaydı yalnızca seçilen bilgisayarları kaydedecek şekilde sınırlandırabilir veya etki alanı Grup İlkesini bir güvenlik grubuyla filtreleyerek yalnızca o gruptaki bilgisayarlara uygulanmasını sağlayabilirsiniz. Otomatik kaydı sınırladığınızda, yönetim noktası olarak yapılandırılmış sunucuyu eklemeyi unutmayın.

  3. Yeni GPO iletişim kutusunda, yeni Grup İlkesi için Otomatik Kayıt Sertifikaları gibi bir ad girin ve Tamam'a tıklayın.

  4. Sonuç bölmesinde, Bağlı Grup İlkesi Nesneleri sekmesinde, yeni Grup İlkesine sağ tıkladıktan sonra Düzenle'ye tıklayın.

  5. Grup İlkesi Yönetimi Düzenleyicisi'nde, Bilgisayar Yapılandırması altından İlkeler'i genişletin ve sonra Windows Ayarları / Güvenlik Ayarları / Ortak Anahtar İlkeleri'ne gidin.

  6. Sertifika Hizmetleri İstemcisi - Otomatik Kayıt adlı nesne türüne sağ tıkladıktan sonra Özellikler'e tıklayın.

  7. Yapılandırma Modeli açılan listesinden, Etkin'i, Kullanım süresi dolan sertifikaları yenile, bekleyen sertifikaları güncelleştir ve iptal edilen sertifikaları kaldır'ı, Sertifika şablonu kullanan sertifikaları güncelleştir'i seçtikten sonra Tamam'a tıklayın.

  8. Grup İlkesi Yönetimi'ni kapatın.

İş İstasyonu Kimlik Doğrulama Sertifikasını Otomatik Olarak Kaydetme ve Bilgisayarlara Yüklenmesini Doğrulama

Bu yordam, istemci sertifikasını bilgisayarlara yükler ve yüklemeyi doğrular.

İş istasyonu kimlik doğrulama sertifikasını otomatik olarak kaydetmek ve istemci bilgisayara yüklenmesini doğrulamak için

  1. İş istasyonu bilgisayarını yeniden başlatın ve oturum açmadan önce birkaç dakika bekleyin.

    Not

    Bilgisayarı yeniden başlatmak, otomatik sertifika kaydında başarılı olmayı sağlayan en güvenilir yöntemdir.

  2. Yönetici ayrıcalıklarına sahip bir hesapla oturum açın.

  3. Arama kutusunda, mmc.exe. yazın ve Enter tuşuna basın.

  4. Boş yönetim konsolunda Dosya'ya tıklayın ve Ek Bileşen Ekle/Kaldır'a tıklayın.

  5. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Kullanılabilir ek bileşenler listesinden Sertifikalar'ı seçin ve Ekle'yi tıklatın.

  6. Sertifika ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı seçin ve İleri'yi tıklatın.

  7. Bilgisayar Seç iletişim kutusunda, Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) seçeneğinin belirlenmiş olduğundan emin olarak Son’a tıklayın.

  8. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Tamam'ı tıklatın.

  9. Konsolda, Sertifikalar (Yerel Bilgisayar)'ı ve Kişisel'i genişlettikten sonra Sertifikalar'a tıklayın.

  10. Sonuç bölmesinde, İstemci Kimlik Doğrulaması olan bir sertifikanın Hedeflenen Amaç sütununda görüntülendiğinden ve ConfigMgr İstemci Sertifikası'nın Sertifika Şablonu sütununda görüntülendiğinden emin olun.

  11. Sertifikalar (Yerel Bilgisayar)'ı kapatın.

  12. Yönetim noktası olarak yapılandırılacak sunucuda da istemci sertifikası olduğunu doğrulamak için 1'den 11'e kadar olan adımları üye sunucu için yineleyin.

Bilgisayar artık Configuration Manager istemci sertifikası ile birlikte sağlanır.

Dağıtım Noktaları İçin İstemci Sertifikası Dağıtma

Not

Sertifika gereksinimleri aynı olduğundan bu sertifika, PXE önyüklemesi kullanmayan medya görüntüleri için de kullanılabilir.

Sertifika dağıtımı aşağıdaki yordamlara sahiptir:

  • Sertifika Yetkilisinde Özel İş İstasyonu Kimlik Doğrulama Sertifika Şablonu Oluşturma ve Verme

  • Özel İş İstasyonu Kimlik Doğrulama Sertifikası İsteme

  • Dağıtım Noktaları İçin İstemci Sertifikasını Dışarı Aktarma

Sertifika Yetkilisinde Özel İş İstasyonu Kimlik Doğrulama Sertifika Şablonu Oluşturma ve Verme

Bu yordam, Configuration Manager dağıtım noktaları için özel anahtarın dışarı aktarılmasına izin veren ve sertifika şablonunu sertifika yetkilisine ekleyen özel bir sertifika şablonu oluşturur.

Not

Bu yordam, istemci bilgisayarlar için oluşturduğunuz sertifika şablonundan farklı bir sertifika şablonunu kullanır, çünkü iki sertifikanın da istemci kimlik doğrulaması isteme özelliği olmasına karşın, dağıtım noktalarına yönelik sertifika özel anahtarın dışarı aktarılmasını gerektirir. En iyi güvenlik uygulaması olarak, sertifika şablonlarını özel anahtarın dışarı aktarılmasına izin verecek şekilde yapılandırmayın (bu yapılandırma gerekmedikçe). Sertifikayı sertifika deposundan seçmek yerine dosya olarak içeri aktarmanız gerektiğinden dağıtım noktası için bu yapılandırma gereklidir.

Bu sertifika için yeni bir sertifika şablonu oluşturarak hangi bilgisayarların özel anahtarın dışarı aktarılmasına izin veren bir sertifika isteyeceğini sınırlandırabilirsiniz. Örnek dağıtımımızda, bu bilgisayarlar, IIS çalıştıran Configuration Manager site sistemi sunucuları için daha önce oluşturduğunuz güvenlik grubudur. IIS site sistemi rollerini dağıtan bir üretim ağında, sertifikayı yalnızca bu site sistemi sunucuları ile sınırlandırabilmek için dağıtım noktalarını çalıştıran sunucular için yeni bir güvenlik grubu oluşturmayı dikkate alın. Bu sertifikaya aşağıdaki değişiklikleri eklemeyi de düşünebilirsiniz:

  • Daha fazla güvenlik için sertifikayı yükleme onayı isteyin.

  • Sertifika geçerlilik süresini artırın. Sertifikanın süresi sona ermeden önce her seferinde onu dışarı aktarıp içeri aktarmanız gerektiğinden, geçerlilik süresini artırmak bu işlemi yineleme sıklığınızı azaltır. Ancak geçerlilik süresini artırdığınızda, bir saldırganın özel anahtarın şifresini çözüp sertifikayı çalması için daha fazla zaman tanıdığından bu işlem sertifikanın güvenliğini azaltır.

  • Bu sertifikayı standart istemci sertifikaları arasından tanımaya yardımcı olması için sertifikanın Konu alanında veya Konu Diğer Adı'nda (SAN) özel bir değer kullanın. Aynı sertifikayı birden çok dağıtım noktası için kullanacaksanız bu özellikle yararlı olabilir.

Sertifika yetkilisinde özel İş İstasyonu Kimlik Doğrulama sertifika şablonu oluşturmak ve vermek için

  1. Sertifika Şablonları Yönetimi konsolunu yüklemek için, Sertifika Yetkilisi konsolunu çalıştıran üye sunucusunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  2. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda İş İstasyonu Kimlik Doğrulaması'nı görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  3. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'ı tıklatın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  4. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, dağıtım noktalarına yönelik istemci yetki doğrulaması sertifikasını oluşturmak için ConfigMgr İstemci Dağıtım Noktası Sertifikası gibi bir şablon adı girin.

  5. İstek İşleme sekmesine tıklayın ve Özel anahtar verilebilsin'i seçin.

  6. Güvenlik sekmesine tıklayın ve Enterprise Admins güvenlik grubundan Kaydetme iznini kaldırın.

  7. Ekle'ye tıklayın, metin kutusuna ConfigMgr IIS Sunucuları yazın ve ardından Tamam'a tıklayın.

  8. Bu grup için Kaydetme iznini seçin ve Okuma izninin işaretini kaldırmayın.

  9. Tamam'ı tıklatın ve Sertifika Şablonları Konsolu'nu kapatın.

  10. Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  11. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr İstemci Dağıtım Noktası Sertifikası şablonunu seçtikten sonra Tamam'a tıklayın.

  12. Başka sertifika oluşturmanız ya da çıkarmanız gerekmiyorsa Sertifika Yetkilisi'ni kapatın.

Özel İş İstasyonu Kimlik Doğrulama Sertifikası İsteme

Bu prosedür, IIS çalşıtıran ve bir dağıtım noktası olarak yapılandırılacak üye sunucu üzerinde özel istemci sertifikasını ister ve ardından yükler.

Özel İş İstasyonu Kimlik Doğrulama sertifikası istemek için

  1. Başlat'ı, Çalıştır'tıklatın ve mmc.exe. yazın. Boş konsolda Dosya'yı tıklatın ve Ek Bileşen Ekle/Kaldır'ı tıklatın.

  2. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Kullanılabilir ek bileşenler listesinden Sertifikalar'ı seçin ve Ekle'yi tıklatın.

  3. Sertifika ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı seçin ve İleri'yi tıklatın.

  4. Bilgisayar Seç iletişim kutusunda, Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) seçeneğinin belirlenmiş olduğundan emin olarak Son’a tıklayın.

  5. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Tamam'ı tıklatın.

  6. Konsolda, Sertifikalar (Yerel Bilgisayar)'ı genişletin ve Kişisel'i tıklatın.

  7. Sertifikalar'ı sağ tıklatın, Tüm Görevler'i tıklatın ve Yeni Sertifika İste'yi tıklatın.

  8. Başlamadan Önce sayfasında, İleri'yi tıklatın.

  9. Sertifika Kaydı İlkesi'ni Seçin sayfasını görüyorsanız İleri'yi tıklatın.

  10. Sertifikaları İste sayfasında, görüntülenen sertifika listesinden ConfigMgr İstemci Dağıtım Noktası Sertifikası'nı seçtikten sonra Kaydet'e tıklayın.

  11. Sertifika Yüklemesi Sonuçları sayfasında, sertifika yüklenene kadar bekleyin ve Son'u tıklatın.

  12. Sonuç bölmesinde, İstemci Kimlik Doğrulaması olan bir sertifikanın Hedeflenen Amaç sütununda görüntülendiğinden ve ConfigMgr İstemci Dağıtım Noktası Sertifikası'nın Sertifika Şablonu sütununda görüntülendiğinden emin olun.

  13. Sertifikalar (Yerel Bilgisayar)'ı kapatmayın.

Dağıtım Noktaları İçin İstemci Sertifikasını Dışarı Aktarma

Bu yordam, dağıtım noktası özelliklerine alınabilmesi için özel İş İstasyonu Kimlik Doğrulama sertifikasını bir dosyaya verir.

Dağıtım noktaları için istemci sertifikasını vermek için

  1. Sertifikalar (Yerel Bilgisayar) konsolunda, yeni yüklediğiniz sertifikaya sağ tıklayın, Tüm Görevler'i seçtikten sonra Dışarı Aktar'a tıklayın.

  2. Sertifika Dışarı Aktarma Sihirbazında İleri'ye tıklayın.

  3. Özel Anahtarı Dışarı Aktar sayfasında, Evet, özel anahtarı dışarı aktar'ı seçtikten sonra İleri'ye tıklayın.

    Not

    Bu seçenek kullanılamıyorsa, sertifika özel anahtarı dışarı aktarma seçeneği olmadan oluşturulmuştur. Bu senaryoda, sertifikayı gereken biçimde dışarı aktaramazsınız. Sertifika şablonunu özel anahtarın dışarı aktarılmasına izin verecek şekilde yeniden yapılandırdıktan sonra sertifikayı tekrar isteyin.

  4. Dışarı Aktarma Dosyası Biçimi sayfasında, Kişisel Bilgi Alış Verişi - PKCS #12 (.PFX) seçeneğinin işaretlendiğinden emin olun.

  5. Parola sayfasında, dışarı aktarılan sertifikayı özel anahtarıyla korumak için güçlü bir parola belirttikten sonra İleri'ye tıklayın.

  6. Dışarı Aktarılan Dosya sayfasında, dışarı aktarmak istediğiniz dosyanın adını belirttikten sonra İleri'ye tıklayın.

  7. Sertifika Dışarı Aktarma Sihirbazı sayfasında Son'a tıklayarak sihirbazı kapatın ve onay iletişim kutusunda Tamam'a tıklayın.

  8. Sertifikalar (Yerel Bilgisayar)'ı kapatın.

  9. Dosyayı güvenli şekilde depolayın ve Configuration Manager konsolundan erişebildiğinizden emin olun.

Sertifika artık dağıtım noktasını yapılandırdığınızda içeri aktarılmaya hazırdır.

System_CAPS_tipİpucu

PXE önyüklemesi kullanmayan bir işletim sistemi dağıtımı için medya resimlerini yapılandırdığınızda aynı sertifika dosyasını kullanabilirsiniz; görüntüyü yükleme görev sırası, HTTPS istemci bağlantıları gerektiren bir yönetim noktasıyla temas etmelidir.

Mobil Aygıtlar için Kayıt Sertifikasını Dağıtma

Bu sertifika dağıtımı, sertifika yetkilisinde kayıt sertifikası şablonu oluşturmak ve vermek için tek bir yordama sahiptir.

Sertifika Yetkilisinde Kayıt Sertifikası Şablonu Oluşturma ve Verme

Bu yordam, System Center 2012 Configuration Manager mobil aygıtları için bir kayıt sertifikası şablonu oluşturur ve sertifika yetkilisine ekler.

Sertifika yetkilisinde kayıt sertifikası şablonu oluşturmak ve vermek için

  1. System Center 2012 Configuration Manager uygulamasına mobil aygıtları kaydedecek kullanıcıları içeren bir güvenlik grubu oluşturun.

  2. Sertifika Şablonları yönetim konsolunu yüklemek için, Sertifika Hizmetleri'nin yüklü olduğu üye sunucusunda, Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  3. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda Kimlik Denetimi Yapılmış Oturum'u görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  4. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'ı tıklatın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  5. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, Configuration Manager tarafından yönetilecek mobil aygıtlara yönelik kayıt sertifikalarını oluşturmak için ConfigMgr Mobil Aygıt Kayıt Sertifikası gibi bir şablon adı girin.

  6. İlgili Adı sekmesini tıklatın, Bu Active Directory bilgilerinden oluştur'un seçili olduğundan emin olun, İlgili adı biçimi: için Ortak ad'ı seçin ve Diğer ilgili adı için bu bilgiyi içer'den Kullanıcı asıl adı (UPN) öğesini temizleyin.

  7. Güvenlik sekmesini tıklayın, kaydedilecek mobil aygıtlara sahip kullanıcıları içeren güvenlik grubunu seçip, ardından Kayıt ek iznini seçin.Okuma'yı silmeyin.

  8. Tamam'ı tıklatın ve Sertifika Şablonları Konsolu'nu kapatın.

  9. Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  10. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr Mobil Aygıt Kayıt Sertifikası şablonunu seçtikten sonra Tamam'a tıklayın.

  11. Başka sertifika oluşturmaya ya da çıkarmaya ihtiyacınız yoksa Sertifika Yetkilisi konsolunu kapatın.

İstemci ayarlarında bir mobil aygıt kayıt profili yapılandırdığınızda, mobil aygıt kayıt sertifikası şablonu artık seçilmek için hazır olacaktır.

AMT için Sertifikaları Dağıtma

Sertifika dağıtımı aşağıdaki yordamlara sahiptir:

  • ATM sağlama sertifikasını Oluşturma, Verme ve Yükleme

  • AMT Tabanlı Bilgisayarlar için Web Sunucusu Sertifikasını Oluşturma ve Verme

  • 802.1X AMT Tabanlı Bilgisayarlar için İstemci Kimlik Doğrulama Sertifikalarını Oluşturma ve Verme

ATM Sağlama Sertifikasını Oluşturma, Verme ve Yükleme

ATM tabanlı bilgisayarlar iç kök sertifika yetkilinizin sertifika parmakiziyle yapılandırıldığında, iç sertifika yetkilinizle sağlama sertifikası oluşturun. Durum bu şekilde değilse ve bir dış sertifika yetkilisi kullanmanız gerekiyorsa, sıklıkla şirketin ortak Web sitesinden sertifika istemeyi içerecek olan, ATM sağlama sertifikası veren şirkettin talimatlarını kullanın. Aynı zamanda, Intel vPro Expert Center'da dış sertifika yetkilinizi seçmenize yönelik ayrıntılı talimatları bulabilirsiniz: Microsoft vPro Yönetilebilirlik Web sitesi (https://go.microsoft.com/fwlink/?LinkId=132001).

System_CAPS_importantÖnemli

Dış sertifika yetkilileri Intel AMT sağlama nesne belirleyicisini desteklemeyebilirler. Böyle olduğunda Intel(R) İstemci Kurulum Sertifikası'nın kuruluş birimi özniteliğini sağlamanın alternatif yöntemini kullanın.

Dış bir sertifika yetkilisinden AMT sağlama sertifikası istediğinizde, sertifikayı, bant dışı hizmet noktasını barındıracak üye sunucu üzerinde Bilgisayar Kişisel sertifika deposuna yükleyin.

AMT sağlama sertifikasını istemek ve vermek için

  1. Bant dışı hizmet noktasını çalıştıracak site sistem sunucularının bilgisayar hesaplarını içeren bir güvenlik grubu oluşturun.

  2. Sertifika Şablonları konsolunu yüklemek için, Sertifika Hizmetleri'nin yüklü olduğu üye sunucusunda, Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  3. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda Web Sunucusu'nu görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  4. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'a tıklayın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  5. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, AMT sağlama sertifikası şablonu için ConfigMgr AMT Sağlama gibi bir şablon adı girin.

  6. Konu sekmesini tıklatın, Bu Active Directory bilgilerinden oluştur öğesini seçin ve ardından Ortak ad öğesini seçin.

  7. Uzantılar sekmesinde, Uygulama İlkeleri öğesinin seçili olduğundan emin olup, ardından Düzenle'yi tıklatın.

  8. Uygulama İlkeleri Uzantısını Düzenle iletişim kutusunda Ekle'yi tıklatın.

  9. Uygulama İlkesi Ekle iletişim kutusunda Yeni'yi tıklatın.

  10. Yeni Uygulama İlkesi iletişim kutusunda Ad alanına AMT Sağlama yazıp, ardından Nesne belirleyici için aşağıdaki rakamı yazın: 2.16.840.1.113741.1.2.3.

  11. Tamam'ı tıklatıp, ardından Uygulama İlkesi Ekle iletişim kutusunda Tamam'ı tıklatın.

  12. Uygulama İlkeleri Uzantısını Düzenle iletişim kutusunda Tamam'ı tıklatın.

  13. Yeni Şablon Özellikleri iletişim kutusunda artık aşağıdakinin Uygulama İlkeleri açıklaması olarak listelendiğini görmelisiniz: Sunucu Kimlik Doğrulaması ve AMT Sağlama.

  14. Güvenlik sekmesini tıklatın ve güvenlik grupları Etki Alanı Yöneticileri ve Kuruluş Yöneticileri'nden Kaydetme iznini kaldırın.

  15. Ekle'yi tıklatın, bant dışı hizmet noktası sistem rolü için bilgisayar hesabını içeren bir güvenlik grubunun adını girip, ardından Tamam'ı tıklatın.

  16. Bu grup için Kaydetme iznini seçin ve Okuma izninin işaretini kaldırmayın.

  17. Tamam'ı tıklatın ve Sertifika Şablonları konsolunu kapatın.

  18. Sertifika Yetkilisi öğesinde, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  19. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr AMT Sağlama şablonunu seçtikten sonra Tamam'ı tıklatın.

    Not

    Adım 18 veya 19 tamamlanamıyorsa Windows Server 2008 Enterprise Edition kullandığınızdan emin olun. Şablonları Windows Server Standard Edition ve Sertifika Hizmetleri ile yapılandırabilmenize karşın, Windows Server 2008 Enterprise Edition kullanmadıkça değiştirilen sertifika şablonlarını kullanarak sertifikaları dağıtamazsınız.

  20. Sertifika Yetkilisi'ni kapatmayın.

İç sertifika yetkilinizden AMT sağlama sertifikası artık bant dışı hizmet noktası bilgisayarına yüklenmeye hazırdır.

AMT sağlama sertifikasını yüklemek için

  1. Yapılandırılan izne sahip sertifika şablonuna erişmesini sağlamak için IIS çalıştıran üye sunucuyu yeniden başlatın.

  2. Başlat'ı, Çalıştır'tıklatın ve mmc.exe. yazın. Boş konsolda Dosya'yı tıklatın ve Ek Bileşen Ekle/Kaldır'ı tıklatın.

  3. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Kullanılabilir ek bileşenler listesinden Sertifikalar'ı seçin ve Ekle'yi tıklatın.

  4. Sertifika ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı seçin ve İleri'yi tıklatın.

  5. Bilgisayar Seç iletişim kutusunda, Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) seçeneğinin belirlenmiş olduğundan emin olarak Son’a tıklayın.

  6. Ek Bileşenler Ekle/Kaldır iletişim kutusunda Tamam'ı tıklatın.

  7. Konsolda, Sertifikalar (Yerel Bilgisayar)'ı genişletin ve Kişisel'i tıklatın.

  8. Sertifikalar'ı sağ tıklatın, Tüm Görevler'i tıklatın ve Yeni Sertifika İste'yi tıklatın.

  9. Başlamadan Önce sayfasında, İleri'yi tıklatın.

  10. Sertifika Kaydı İlkesi'ni Seçin sayfasını görüyorsanız İleri'yi tıklatın.

  11. Sertifikaları İste sayfasında, görüntülenen sertifika listesinden ATM Sağlama'yı seçtikten sonra Kaydet'e tıklayın.

  12. Sertifika Yüklemesi Sonuçları sayfasında, sertifika yüklenene kadar bekleyin ve Son'u tıklatın.

  13. Sertifikalar (Yerel Bilgisayar)'ı kapatın.

İç sertifika yetkilinizden AMT sağlama sertifikası artık yüklüdür ve bant dışı hizmet noktası özelliklerinde seçilmeye hazırdır.

AMT Tabanlı Bilgisayarlar için Web Sunucusu Sertifikasını Oluşturma ve Verme

AMT tabanlı bilgisayarlara yönelik Web sunucusu sertifikalarını hazırlamak için aşağıdaki yordamı izleyin.

Web sunucusu sertifika şablonunu oluşturmak ve vermek için

  1. System Center 2012 Configuration Manager uygulamasını AMT sağlama sırasında oluşturduğu AMT bilgisayar hesaplarını içeren boş bir güvnelik grubu oluşturun.

  2. Sertifika Şablonları konsolunu yüklemek için, Sertifika Hizmetleri'nin yüklü olduğu üye sunucusunda, Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  3. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda Web Sunucusu'nu görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  4. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'a tıklayın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  5. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, AMT bilgisayarlarda bant dışı yönetimi için kullanılacak Web sertifikalarını oluşturmak için ConfigMgr AMT Web Sunucusu Sertifikası gibi bir şablon adı girin.

  6. Konu Adı sekmesini tıklayın, Bu Active Directory bilgilerinden oluştur öğesini seçin, Konu adı biçimi için Ortak ad öğesini seçip, ardından alternatif konu adı için Kullanıcı asıl adı (UPN) öğesini temizleyin.

  7. Güvenlik sekmesini tıklatın ve güvenlik grupları Etki Alanı Yöneticileri ve Kuruluş Yöneticileri'nden Kaydetme iznini kaldırın.

  8. Ekle'yi tıklayın ve AMT sağlama için oluşturduğunuz güvenlik grubunun adını girin. Sonra Tamam'a tıklayın.

  9. Bu güvenlik grubu için aşağıdaki İzin ver izinlerini seçin: Okuma ve Kaydetme.

  10. Tamam'ı tıklatın ve Sertifika Şablonları konsolunu kapatın.

  11. Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  12. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr AMT Web Sunucusu Sertifikası şablonunu seçtikten sonra Tamam'a tıklayın.

  13. Başka sertifika oluşturmanız ya da çıkarmanız gerekmiyorsa Sertifika Yetkilisi'ni kapatın.

AMT Web sunucusu şablonu artık AMT tabanlı biligisayarlara Web sunucusu sertifikaları sağlamaya hazırdır. Bant dışı yönetim bileşen özelliklerinde bu sertifika şablonunu seçin.

802.1X AMT Tabanlı Bilgisayarlar için İstemci Kimlik Doğrulama Sertifikalarını Oluşturma ve Verme

AMT tabanlı bilgisayarlar 802.1X kimliği doğrulanmış kablolu veya kablosuz ağlar için istemci sertifikalarını kullanacaksa, aşağıdaki yordamı kullanın.

Sertifika yetkilisinde istemci kimlik doğrulama sertifika şablonu oluşturmak ve vermek için

  1. Sertifika Şablonları konsolunu yüklemek için, Sertifika Hizmetleri'nin yüklü olduğu üye sunucusunda, Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  2. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda İş İstasyonu Kimlik Doğrulaması'nı görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  3. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, AMT bilgisayarlarda bant dışı yönetimi için kullanılacak istemci sertifikalarını oluşturmak için ConfigMgr AMT 802.1X İstemci Kimlik Doğrulama Sertifikası gibi bir şablon adı girin.

  4. Konu Adı sekmesini tıklatın, Bu Active Directory bilgilerinden oluştur öğesini tıklatın ve Konu adı biçimi için Ortak ad öğesini seçin. Alternatif konu adı için DNS adı öğesini temizleyip, ardından Kullanıcı asıl adı (UPN) öğesini seçin.

  5. Güvenlik sekmesini tıklatın ve güvenlik grupları Etki Alanı Yöneticileri ve Kuruluş Yöneticileri'nden Kaydetme iznini kaldırın.

  6. Ekle'yi tıklatıp, AMT tabanlı bilgisayarların bilgisayar hesaplarını içermesi için bant dışı yönetim bileşen özelliklerinde belirleyeceğiniz güvenlik grubunun adını girin. Sonra Tamam'a tıklayın.

  7. Bu güvenlik grubu için aşağıdaki İzin ver izinlerini seçin: Okuma ve Kaydetme.

  8. Tamam'ı tıklatın ve Sertifika Şablonları konsolunu, certtmpl – [Sertifika Şablonları] kapatın.

  9. Sertifika Yetkilisi yönetim konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  10. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr AMT 802.1X İstemci Kimlik Doğrulama Sertifikası şablonunu seçtikten sonra Tamam'a tıklayın.

  11. Başka sertifika oluşturmaya ya da çıkarmaya ihtiyacınız yoksa Sertifika Yetkilisi'ni kapatın.

İstemci kimlik doğrulama sertifikası şablonu artık 802.1X istemci kimlik doğrulaması için kullanılabilecek AMT tabanlı bilgisayarlara sertifikaları vermeye hazırdır. Bant dışı yönetim bileşen özelliklerinde bu sertifika şablonunu seçin.

Mac Bilgisayarlara İstemci Sertifikasını Dağıtma

Not

Mac bilgisayarlara yönelik istemci sertifikası Configuration Manager SP1 ve sonrası için geçerlidir.

Bu sertifika dağıtımı, sertifika yetkilisinde kayıt sertifikası şablonu oluşturmak ve vermek için tek bir yordama sahiptir.

Sertifika Yetkilisinde bir Mac İstemci Sertifikası Şablonu Oluşturma ve Verme

Bu yordam, Configuration Manager Mac bilgisayarları için özel bir sertifika şablonu oluşturur ve sertifika şablonunu sertifika yetkilisine ekler.

Not

Bu yordam, Windows istemci bilgisayarları veya dağıtım noktaları için oluşturmuş olabileceğiniz sertifika şablonundan farklı bir sertifika şablonu kullanır.

Bu sertifika için yeni bir sertifika şablonu oluşturarak, sertifika isteğini kimliği doğrulanmış kullanıcılarla kısıtlayabilirsiniz.

Sertifika yetkilisinde Mac istemcisi sertifika şablonu oluşturmak ve vermek için

  1. Mac bilgisayarda Configuration Manager kullanarak sertifikayı kaydedecek olan yönetici kullanıcıların kullanıcı hesabını içeren bir güvenlik grubu oluşturun.

  2. Sertifika Şablonları Yönetimi konsolunu yüklemek için, Sertifika Yetkilisi konsolunu çalıştıran üye sunucusunda, Sertifika Şablonları'nı sağ tıklatın ve Yönet'i tıklatın.

  3. Sonuçlar bölmesinde, Şablon Görünen Adı sütununda Kimlik Denetimi Yapılmış Oturum'u görüntüleyen girişi sağ tıklatın ve Yinelenen Şablon'u tıklatın.

  4. Yinelenen Şablon iletişim kutusunda Windows 2003 Server, Enterprise Edition'ın seçili olduğundan emin olun ve Tamam'ı tıklatın.

    System_CAPS_importantÖnemli

    Windows 2008 Server, Enterprise Edition'ı seçmeyin.

  5. Yeni Şablon Özellikleri iletişim kutusunda, Genel sekmesinde, Mac istemci sertifikasını oluşturmak için ConfigMgr Mac İstemci Sertifikası gibi bir şablon adı girin.

  6. İlgili Adı sekmesini tıklatın, Bu Active Directory bilgilerinden oluştur'un seçili olduğundan emin olun, İlgili adı biçimi: için Ortak ad'ı seçin ve Diğer ilgili adı için bu bilgiyi içer'den Kullanıcı asıl adı (UPN) öğesini temizleyin.

  7. Güvenlik sekmesini tıklatın ve Etki Alanı Yöneticileri ve Kuruluş Yöneticileri güvenlik gruplarından Kaydetme iznini kaldırın.

  8. Ekle'yi tıklatın, birinci adımda oluşturduğunuz güvenlik grubunu belirtin ve Tamam'ı tıklatın.

  9. Bu grup için Kaydetme iznini seçin ve Okuma izninin işaretini kaldırmayın.

  10. Tamam'ı tıklatın ve Sertifika Şablonları Konsolu'nu kapatın.

  11. Sertifika Yetkilisi konsolunda, Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Çıkarılacak Sertifika Şablonu'nu tıklatın.

  12. Sertifika Şablonu Etkinleştir iletişim kutusunda, az önce oluşturduğunuz yeni ConfigMgr Mac İstemci Sertifikası şablonunu seçtikten sonra Tamam'ı tıklatın.

  13. Başka sertifika oluşturmanız ya da çıkarmanız gerekmiyorsa Sertifika Yetkilisi'ni kapatın.

Kayıt için istemci ayarlarını yapılandırırken artık Mac istemci sertifikası şablonu seçilmek üzere hazırdır.