SCCM(system center 2012 configuration manager)是微软推出的一款非常优秀的企业客户端管理软件,是system center套件的一部分。
默认SCCM服务器在和SCCM客户端通信的时候,走的是HTTP的通信,在部署SCCM的时候我们可以选择针对客户端的通信设置是否采用HTTPS,如果需要采用HTTPS,那么在部署之前,就需要我们来进行一系列的证书设置。
------------------------------------------分割线-----------------------------------------------
本来讲述如何配置SCCM 2012 SP1使用证书,这里我将通过企业CA服务器为SCCM新建两个证书模板,一个用于SCCM主站点的IIS,一个用于客户端计算机通信。下面我将通过几个步骤来演示整个过程。我的环境如下:
------------------------------------------分割线-----------------------------------------------
(一)创建安全组,将SCCM服务器加入到组中
使用安全组的好处是,如果我们的SCCM架构中有多台SCCM站点服务器,可以将所有服务器都加入到组中,然后我们只需要针对该组设置相应的权限即可。
首先新建安全组。
将SCCM计算机加入到该组中。
------------------------------------------分割线-----------------------------------------------
(二)配置并发布SCCM专用的web服务器证书模板,并将模板分配给SCCM主站点
首先登录到证书服务器,打开证书颁发机构MMC,右击“证书模板”,选择“管理”。
找到“web服务器”模板,右击选择“复制模板”。
在“新模板属性”编辑界面,兼容性选项卡配置保持默认,如图。
切换到常规选项卡,手动设置模板的名称。
切换到使用者名称界面,勾选“用AD中的信息生成”。当配置使用者名称格式为公用名时,取消勾选“用户主题名称UPN”的复选框。
切换到安全选项卡,将我们第一步中创建的安全组添加进来,该安全组中包含了SCCM的主站点服务器,然后勾选“允许注册”。
配置完成后,新的证书模板如图所示。
然后我们回到证书颁发机构界面,选择证书模板,选择新建,选择“要颁发的证书模板”。
选择我们刚才创建的web服务器模板“ConfigMgr Web Server Certificate”。
完成后,如图所示。
为了使新的模板能够应用到SCCM服务器,我们需要重启一下SCCM的主站点服务器,如图。
重启完成后,我们登陆到主站点服务器(SCCM2012.demo.com),打开MMC,添加证书(本地计算机)管理单元。右击“个人”——“所有任务”——“申请新证书”。
进入证书注册向导。
在选择证书注册策略界面,保持默认。
在请求证书界面,选择我们刚才手动创建的证书模板,选择“编辑”。
在证书属性界面,切换到使用者选项卡,选择备用名称类型为DNS。
手动添加证书的使用者名称。我这里添加的为sccm2012.demo.com。
回到证书请求界面,勾选ConfigMgr Web Server Certificate。
完成证书的安装。
安装完成后,我们可以选择查看证书。
最后我们打开SCCM2012主站点服务器的IIS管理器,在主界面选择右侧的“绑定”。
添加HTTPS的网站绑定,并选择我们申请的SSL证书。
到此,服务器证书就配置完成了,下面看看如何配置客户端证书。
------------------------------------------分割线-----------------------------------------------
(三)配置并发布SCCM客户端计算机专用的客户端模板,并通过组策略自动注册到客户端计算机
同样打开CA,选择证书模板——管理。
右击工作站身份验证模板,选择复制模板。
安装上面同样的步骤配置模板属性。
赋予domain computer组的允许读取、注册和自动注册的权限。
完成后,如图所示。
然后我们同样来颁发该模板,如图。
选择刚才创建的客户端模板ConfigMgr Client Certificate.
颁发完成后,如图所示。
证书配置完成后,下面我们需要来配置组策略,让客户端自动注册该证书。
首先我们新建一个GPO,如图。
然后我们右击新建的GPO,选择编辑。
切换到下图所示的节点,选择证书服务器客户端-自动注册,如图。
在属性界面,选择配置模式为启用,并勾选下图中的选项。
到此SCCM客户端证书已配置完毕。
------------------------------------------分割线-----------------------------------------------
(四)在安装SCCM 2012 SP1的过程中,选择使用证书进行HTTPS通信
然后我们再来看看如何在部署主站点服务器的过程中使用证书。
当部署向导运行到客户端计算机通信设置界面的时候,勾选“所有站点系统角色仅接受来自客户端的HTTPS通信”。
当配置上一步之后,在配置站点系统角色界面,默认强制使用HTTPS通信。
当SCCM2012主站点服务器安装完成后,我们打开SCCM 2012 SP1的管理器,切换到下面的界面,右击主站点,选择属性。
切换到客户端通信选项卡,可以看到默认设置被配置为仅HTTPS。
到此,所有配置完毕,关于如何为SCCM 2012 SP1配置使用证书,就介绍到这里。