SCCM(system center 2012 configuration manager)是微軟推出的一款非常優秀的企業客戶端管理軟件,是system center套件的一部分。
默認SCCM服務器在和SCCM客戶端通信的時候,走的是HTTP的通信,在部署SCCM的時候我們可以選擇針對客戶端的通信設置是否採用HTTPS,如果需要採用HTTPS,那麼在部署之前,就需要我們來進行一系列的證書設置。
------------------------------------------分割線-----------------------------------------------
本來講述如何配置SCCM 2012 SP1使用證書,這裏我將通過企業CA服務器爲SCCM新建兩個證書模板,一個用於SCCM主站點的IIS,一個用於客戶端計算機通信。下面我將通過幾個步驟來演示整個過程。我的環境如下:
------------------------------------------分割線-----------------------------------------------
(一)創建安全組,將SCCM服務器加入到組中
使用安全組的好處是,如果我們的SCCM架構中有多臺SCCM站點服務器,可以將所有服務器都加入到組中,然後我們只需要針對該組設置相應的權限即可。
首先新建安全組。
將SCCM計算機加入到該組中。
------------------------------------------分割線-----------------------------------------------
(二)配置併發布SCCM專用的web服務器證書模板,並將模板分配給SCCM主站點
首先登錄到證書服務器,打開證書頒發機構MMC,右擊“證書模板”,選擇“管理”。
找到“web服務器”模板,右擊選擇“複製模板”。
在“新模板屬性”編輯界面,兼容性選項卡配置保持默認,如圖。
切換到常規選項卡,手動設置模板的名稱。
切換到使用者名稱界面,勾選“用AD中的信息生成”。當配置使用者名稱格式爲公用名時,取消勾選“用戶主題名稱UPN”的複選框。
切換到安全選項卡,將我們第一步中創建的安全組添加進來,該安全組中包含了SCCM的主站點服務器,然後勾選“允許註冊”。
配置完成後,新的證書模板如圖所示。
然後我們回到證書頒發機構界面,選擇證書模板,選擇新建,選擇“要頒發的證書模板”。
選擇我們剛纔創建的web服務器模板“ConfigMgr Web Server Certificate”。
完成後,如圖所示。
爲了使新的模板能夠應用到SCCM服務器,我們需要重啓一下SCCM的主站點服務器,如圖。
重啓完成後,我們登陸到主站點服務器(SCCM2012.demo.com),打開MMC,添加證書(本地計算機)管理單元。右擊“個人”——“所有任務”——“申請新證書”。
進入證書註冊嚮導。
在選擇證書註冊策略界面,保持默認。
在請求證書界面,選擇我們剛纔手動創建的證書模板,選擇“編輯”。
在證書屬性界面,切換到使用者選項卡,選擇備用名稱類型爲DNS。
手動添加證書的使用者名稱。我這裏添加的爲sccm2012.demo.com。
回到證書請求界面,勾選ConfigMgr Web Server Certificate。
完成證書的安裝。
安裝完成後,我們可以選擇查看證書。
最後我們打開SCCM2012主站點服務器的IIS管理器,在主界面選擇右側的“綁定”。
添加HTTPS的網站綁定,並選擇我們申請的SSL證書。
到此,服務器證書就配置完成了,下面看看如何配置客戶端證書。
------------------------------------------分割線-----------------------------------------------
(三)配置併發布SCCM客戶端計算機專用的客戶端模板,並通過組策略自動註冊到客戶端計算機
同樣打開CA,選擇證書模板——管理。
右擊工作站身份驗證模板,選擇複製模板。
安裝上面同樣的步驟配置模板屬性。
賦予domain computer組的允許讀取、註冊和自動註冊的權限。
完成後,如圖所示。
然後我們同樣來頒發該模板,如圖。
選擇剛纔創建的客戶端模板ConfigMgr Client Certificate.
頒發完成後,如圖所示。
證書配置完成後,下面我們需要來配置組策略,讓客戶端自動註冊該證書。
首先我們新建一個GPO,如圖。
然後我們右擊新建的GPO,選擇編輯。
切換到下圖所示的節點,選擇證書服務器客戶端-自動註冊,如圖。
在屬性界面,選擇配置模式爲啓用,並勾選下圖中的選項。
到此SCCM客戶端證書已配置完畢。
------------------------------------------分割線-----------------------------------------------
(四)在安裝SCCM 2012 SP1的過程中,選擇使用證書進行HTTPS通信
然後我們再來看看如何在部署主站點服務器的過程中使用證書。
當部署嚮導運行到客戶端計算機通信設置界面的時候,勾選“所有站點系統角色僅接受來自客戶端的HTTPS通信”。
當配置上一步之後,在配置站點系統角色界面,默認強制使用HTTPS通信。
當SCCM2012主站點服務器安裝完成後,我們打開SCCM 2012 SP1的管理器,切換到下面的界面,右擊主站點,選擇屬性。
切換到客戶端通信選項卡,可以看到默認設置被配置爲僅HTTPS。
到此,所有配置完畢,關於如何爲SCCM 2012 SP1配置使用證書,就介紹到這裏。