SCCM(system center 2012 configuration manager)是微软推出的一款非常优秀的企业客户端管理软件,是system center套件的一部分。

默认SCCM服务器在和SCCM客户端通信的时候,走的是HTTP的通信,在部署SCCM的时候我们可以选择针对客户端的通信设置是否采用HTTPS,如果需要采用HTTPS,那么在部署之前,就需要我们来进行一系列的证书设置。

------------------------------------------分割线-----------------------------------------------

本来讲述如何配置SCCM 2012 SP1使用证书,这里我将通过企业CA服务器为SCCM新建两个证书模板,一个用于SCCM主站点的IIS,一个用于客户端计算机通信。下面我将通过几个步骤来演示整个过程。我的环境如下:

配置SCCM 2012 SP1使用证书_第1张图片

------------------------------------------分割线-----------------------------------------------

(一)创建安全组,将SCCM服务器加入到组中

使用安全组的好处是,如果我们的SCCM架构中有多台SCCM站点服务器,可以将所有服务器都加入到组中,然后我们只需要针对该组设置相应的权限即可。

首先新建安全组。

配置SCCM 2012 SP1使用证书_第2张图片

配置SCCM 2012 SP1使用证书_第3张图片

将SCCM计算机加入到该组中。

配置SCCM 2012 SP1使用证书_第4张图片

------------------------------------------分割线-----------------------------------------------

(二)配置并发布SCCM专用的web服务器证书模板,并将模板分配给SCCM主站点

首先登录到证书服务器,打开证书颁发机构MMC,右击“证书模板”,选择“管理”。

配置SCCM 2012 SP1使用证书_第5张图片

找到“web服务器”模板,右击选择“复制模板”。

配置SCCM 2012 SP1使用证书_第6张图片

在“新模板属性”编辑界面,兼容性选项卡配置保持默认,如图。

配置SCCM 2012 SP1使用证书_第7张图片

切换到常规选项卡,手动设置模板的名称。

配置SCCM 2012 SP1使用证书_第8张图片

切换到使用者名称界面,勾选“用AD中的信息生成”。当配置使用者名称格式为公用名时,取消勾选“用户主题名称UPN”的复选框。

配置SCCM 2012 SP1使用证书_第9张图片

切换到安全选项卡,将我们第一步中创建的安全组添加进来,该安全组中包含了SCCM的主站点服务器,然后勾选“允许注册”。

配置SCCM 2012 SP1使用证书_第10张图片

配置完成后,新的证书模板如图所示。

配置SCCM 2012 SP1使用证书_第11张图片

然后我们回到证书颁发机构界面,选择证书模板,选择新建,选择“要颁发的证书模板”。

配置SCCM 2012 SP1使用证书_第12张图片

选择我们刚才创建的web服务器模板“ConfigMgr Web Server Certificate”。

配置SCCM 2012 SP1使用证书_第13张图片

完成后,如图所示。

配置SCCM 2012 SP1使用证书_第14张图片

为了使新的模板能够应用到SCCM服务器,我们需要重启一下SCCM的主站点服务器,如图。

配置SCCM 2012 SP1使用证书_第15张图片

重启完成后,我们登陆到主站点服务器(SCCM2012.demo.com),打开MMC,添加证书(本地计算机)管理单元。右击“个人”——“所有任务”——“申请新证书”。

配置SCCM 2012 SP1使用证书_第16张图片

进入证书注册向导。

配置SCCM 2012 SP1使用证书_第17张图片

在选择证书注册策略界面,保持默认。

配置SCCM 2012 SP1使用证书_第18张图片

在请求证书界面,选择我们刚才手动创建的证书模板,选择“编辑”。

配置SCCM 2012 SP1使用证书_第19张图片

在证书属性界面,切换到使用者选项卡,选择备用名称类型为DNS。

配置SCCM 2012 SP1使用证书_第20张图片

手动添加证书的使用者名称。我这里添加的为sccm2012.demo.com。

配置SCCM 2012 SP1使用证书_第21张图片

回到证书请求界面,勾选ConfigMgr Web Server Certificate。

配置SCCM 2012 SP1使用证书_第22张图片

完成证书的安装。

配置SCCM 2012 SP1使用证书_第23张图片

安装完成后,我们可以选择查看证书。

配置SCCM 2012 SP1使用证书_第24张图片

配置SCCM 2012 SP1使用证书_第25张图片

最后我们打开SCCM2012主站点服务器的IIS管理器,在主界面选择右侧的“绑定”。

配置SCCM 2012 SP1使用证书_第26张图片

添加HTTPS的网站绑定,并选择我们申请的SSL证书。

配置SCCM 2012 SP1使用证书_第27张图片

到此,服务器证书就配置完成了,下面看看如何配置客户端证书。

------------------------------------------分割线-----------------------------------------------

(三)配置并发布SCCM客户端计算机专用的客户端模板,并通过组策略自动注册到客户端计算机

同样打开CA,选择证书模板——管理。

配置SCCM 2012 SP1使用证书_第28张图片

右击工作站身份验证模板,选择复制模板。

配置SCCM 2012 SP1使用证书_第29张图片

安装上面同样的步骤配置模板属性。

配置SCCM 2012 SP1使用证书_第30张图片

配置SCCM 2012 SP1使用证书_第31张图片

赋予domain computer组的允许读取、注册和自动注册的权限。

配置SCCM 2012 SP1使用证书_第32张图片

完成后,如图所示。

配置SCCM 2012 SP1使用证书_第33张图片

然后我们同样来颁发该模板,如图。

配置SCCM 2012 SP1使用证书_第34张图片

选择刚才创建的客户端模板ConfigMgr Client Certificate.

配置SCCM 2012 SP1使用证书_第35张图片

颁发完成后,如图所示。

配置SCCM 2012 SP1使用证书_第36张图片

证书配置完成后,下面我们需要来配置组策略,让客户端自动注册该证书。

首先我们新建一个GPO,如图。

配置SCCM 2012 SP1使用证书_第37张图片

配置SCCM 2012 SP1使用证书_第38张图片

然后我们右击新建的GPO,选择编辑。

配置SCCM 2012 SP1使用证书_第39张图片

切换到下图所示的节点,选择证书服务器客户端-自动注册,如图。

配置SCCM 2012 SP1使用证书_第40张图片

在属性界面,选择配置模式为启用,并勾选下图中的选项。

配置SCCM 2012 SP1使用证书_第41张图片

到此SCCM客户端证书已配置完毕。

------------------------------------------分割线-----------------------------------------------

(四)在安装SCCM 2012 SP1的过程中,选择使用证书进行HTTPS通信

然后我们再来看看如何在部署主站点服务器的过程中使用证书。

当部署向导运行到客户端计算机通信设置界面的时候,勾选“所有站点系统角色仅接受来自客户端的HTTPS通信”。

配置SCCM 2012 SP1使用证书_第42张图片

配置SCCM 2012 SP1使用证书_第43张图片

当配置上一步之后,在配置站点系统角色界面,默认强制使用HTTPS通信。

配置SCCM 2012 SP1使用证书_第44张图片

配置SCCM 2012 SP1使用证书_第45张图片

当SCCM2012主站点服务器安装完成后,我们打开SCCM 2012 SP1的管理器,切换到下面的界面,右击主站点,选择属性。

配置SCCM 2012 SP1使用证书_第46张图片

切换到客户端通信选项卡,可以看到默认设置被配置为仅HTTPS。

配置SCCM 2012 SP1使用证书_第47张图片

到此,所有配置完毕,关于如何为SCCM 2012 SP1配置使用证书,就介绍到这里。