• 项目

Configuration Manager 中的证书配置文件先决条件

 

适用对象:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意

本主题中的信息仅适用于 System Center 2012 R2 Configuration Manager 版本。

System Center 2012 Configuration Manager 中的证书配置文件有外部依赖关系和产品中的依赖关系。

Configuration Manager 的外部依赖关系

依赖关系

更多信息

运行 Active Directory 证书服务 (AD CS) 的企业证书颁发机构 (CA)。

若要吊销证书,颁发 CA 必须配置为具有层次结构顶部站点服务器的“颁发和管理证书”权限。

System_CAPS_note注意

支持证书请求的管理程序审批。 但是,必须为证书使用者将用于颁发证书的证书模板配置为“在请求中提供”,以便 配置管理器 可以自动地提供此值。

有关安装 Active Directory 证书服务的详细信息,请参阅 Windows Server 文档。

Active Directory 证书服务的网络设备注册服务角色服务(在 Windows Server 2012 R2 上运行)。

此外:

  • 对于客户端与网络设备注册服务之间的通信,不支持除 TCP 443(用于 HTTPS)或 TCP 80(用于 HTTP)外的端口号。

  • 运行网络设备注册服务的服务器与颁发 CA 必须位于不同的服务器上。

配置管理器 与 Windows Server 2012 R2 中的网络设备注册服务通信以生成并验证简单证书注册协议 (SCEP) 请求。

如果将向通过 Internet 连接的用户或设备(例如通过 Microsoft Intune 管理的移动设备)颁发证书,则那些设备必须可从 Internet 中访问运行网络设备注册服务的服务器。 例如,将服务器安装在外围网络(也称为 DMZ、隔离区和外围子网)中。

如果运行网络设备注册服务的服务器和颁发 CA 之间有防火墙,则必须配置该防火墙以允许两个服务器之间的通信流量 (DCOM)。 此防火墙要求也适用于运行 配置管理器 站点服务器的服务器以及颁发 CA,以便 配置管理器 可以吊销证书。

如果网络设备注册服务配置为需要 SSL(一种最佳安全方案),请确保连接设备可访问证书吊销列表 (CRL) 以验证服务器证书。

有关 Windows Server 2012 R2 中的网络设备注册服务的详细信息,请参阅 Using a Policy Module with the Network Device Enrollment Service(将策略模块与网络设备注册服务配合使用)

如果颁发 CA 运行 Windows Server 2008 R2,则服务器对于 SCEP 续订请求需要一个修补程序。

如果颁发 CA 计算机上尚未安装此修补程序,请安装该修补程序。 有关详细信息,请参阅 Microsoft 知识库文章 2483564:Renewal request for an SCEP certificate fails in Windows Server 2008 R2 if the certificate is managed by using NDES(如果使用 NDES 管理证书,则 SCEP 证书续订请求将在 Windows Server 2008 R2 中失败)

PKI 客户端身份验证证书和导出的根 CA 证书。

此证书向 配置管理器 验证运行网络设备注册服务的服务器。

有关详细信息,请参阅 Configuration Manager 的 PKI 证书要求

支持的设备操作系统。

你可以将证书配置文件部署到运行 iOS、Windows 8.1、Windows RT 8.1 和 Android 操作系统的设备。

Configuration Manager 依赖关系

依赖关系

更多信息

证书注册点站点系统角色

你必须安装证书注册点站点系统角色,然后才能使用证书配置文件。 此角色与 配置管理器 数据库、配置管理器 站点服务器和 配置管理器 策略模块通信。

有关此站点系统角色的系统要求以及在层次结构中的何处安装此角色的详细信息,请参阅下列各项:

System_CAPS_important重要事项

证书注册点不能安装在运行网络设备注册服务的同一服务器上。

运行 Active Directory 证书服务的网络设备注册服务角色服务的服务器上安装的 配置管理器 策略模块

若要部署证书配置文件,你必须安装 配置管理器 策略模块。 你可以在 配置管理器 安装媒体上找到此策略模块。

发现数据

证书使用者和使用者可选名称的值由 配置管理器 提供并从通过发现收集的信息中检索。

  • 对于用户证书:Active Directory 用户发现

  • 对于计算机证书:Active Directory 系统发现和网络发现

有关发现的详细信息,请参阅在 Configuration Manager 中规划发现

用于管理证书配置文件的特定安全权限

你必须具有下列安全权限才能管理公司资源访问设置,例如证书配置文件、Wi-Fi 配置文件和 VPN 配置文件:

  • 查看和管理证书配置文件的警报和报表:针对“警报”对象的“创建”、“删除”、“修改”、“修改报表”、“读取”和“运行报表”。

  • 创建和管理证书配置文件:针对“证书配置文件”对象的“创作策略”、“修改报表”、“读取”和“运行报表”。

  • 管理 Wi-Fi、证书和 VPN 配置文件部署:针对“集合”对象的“部署配置策略”、“修改客户端状态警报”、“读取”和“读取资源”。

  • 管理所有配置策略:针对“配置策略”对象的“创建”、“删除”、“修改”、“读取”和“设置安全作用域”。

  • 运行与证书配置文件相关的查询:针对“查询”对象的“读取”权限。

  • 在 配置管理器 控制台中查看证书配置文件信息:针对“站点”对象的“读取”权限。

  • 查看证书配置文件的状态消息:针对“状态消息”对象的“读取”权限。

  • 创建和修改受信任的 CA 证书配置文件:针对“受信任的 CA 证书配置文件”对象的“创作策略”、“修改报表”、“读取”和“运行报表”。

  • 创建和管理 VPN 配置文件:针对“VPN 配置文件”对象的“创作策略”、“修改报表”、“读取”和“运行报表”。

  • 创建和管理 Wi-Fi 配置文件:针对“Wi-Fi 配置文件”对象的“创作策略”、“修改报表”、“读取”和“运行报表”。

“公司资源访问管理员”安全角色包括在 配置管理器 中管理证书配置文件所需的这些权限。 有关详细信息,请参阅配置基于角色的管理主题中的为 Configuration Manager 配置安全性部分。