SCCM2012R2部署之十一:PKI加密

我们在安装SCCM的时候,可以对客户端和服务器之间的通讯进行加密,下面主要有如下步骤:

1、CA证书服务器的准备

2、证书的颁发配置

3、组策略设置证书客户端自动注册

4、主站点绑定证书及HTTPS通讯设置

下面配置第一步,CA证书服务器的准备,在08SR11这台域控制器上添加证书服务角色

wKioL1MimSfBKrh7AAH7BncmfPw130.jpg

wKioL1MimSeh7oYAAAK0uyOGfno110.jpg

wKiom1MimU7TOOmDAAJ0JsU7iC0789.jpg

wKioL1MimSeT2DRJAAI-6UBQrCQ655.jpg

wKiom1MimU6yNkPsAAIgBio3yAg145.jpg

wKioL1MimSiiUwH1AAIzQMSselg445.jpg

wKioL1MimSiilUNZAAKhlm4V_Mg326.jpg

wKioL1MimSiBcTusAAJu2gYoUeQ914.jpg

wKiom1MimU_ySuMqAAIFRw3hmDE265.jpg

wKiom1MimVCz-cSbAAIFkR931n4869.jpg

wKioL1MimYKgmLpdAAH6fc3VnYk458.jpg

wKioL1MimYKiPhPJAAL2prEHc2M600.jpg

wKiom1Mimanx4VrZAAKjoxx52hQ428.jpg

wKioL1MimYLhaPA0AAM_A7MYmhQ635.jpg

wKiom1MimaniHG6HAAKVnhTNm8A575.jpg

证书服务角色添加晚后,我们进入第二步了,进行证书的颁发配置

wKioL1MimgyyGCpuAAJ4scWYpC4447.jpg

右击证书模板-->管理

wKiom1MimjPxmPgCAAKHqc7xdLY969.jpg

右击计算机证书模板,选择复制模板

wKioL1Mimg3j-UlRAAVS8xoL1uE745.jpg

这里选择“Windows Server 2003 Enterprise”,点击“确定”

wKiom1MimjTjm8NRAADpjZKTKtU162.jpg

在常规选项中,输入创建证书模板的名字,我这里是CMMClient

wKioL1Mimg2QVc0KAAGVhEJ6DgI050.jpg

切换的哦安全选项,更改Domain Computers的权限为如下图示,增加读取权限和自动注册

wKioL1Mimg3QfIMiAAHG2pAuycI746.jpg

回到初始窗口,右击证书模板,新建-->要颁发的证书模板

wKioL1Mimg2SGs7qAAKx55xDMu8233.jpg

选择刚才创建的证书模板,点击确定

wKiom1MimjTCxo3DAAI_7zc1NMo735.jpg

现在我们可以看到,证书模板中,多了我们刚才常见的证书模板了

wKioL1Mimg6jBQpDAAKr-ywHnp8596.jpg

第三步,组策略设置证书客户端自动注册

进入域控制器,打开组策略管理器,更改默认的组策略

wKioL1Mim2ejEHhkAAP7nm58DSs470.jpg

导航到计算机配置-->测了-->安全设置-->公钥策略,右击“证书服务客户端-自动注册”,选择属性

wKiom1Mim46wHATAAAM7WOaNMz4351.jpg

wKioL1Mim2fxfAPpAADeMAL_VpY591.jpg

将配置型号更改为“已启用”,并勾选“续订国企证书...”和“更新使用证书模板的证书”,点击应用-->确定

wKiom1Mim47yRcIcAAFJEQV5tR8691.jpg

第四步:主站点绑定证书及HTTPS通讯设置

刚才的组策略设置并作更新后,我们回到主站点服务器上,通过MMC控制台进入计算账户下的证书,可以看到主站点服务器已经自动注册了证书

wKioL1MinEOAhh7bAAJk3be6gGk088.jpg

打开Internet 信息服务(IIS)管理器,定位到如下目录

wKiom1MinGuzq4cKAAXEWLZFL10399.jpg

点击操作栏的“绑定”按钮

wKioL1MinESBJvjkAADZXyUmC20187.jpg

选定HTTPS进行编辑,并指定SSL证书

wKiom1MinGuzQHVsAADMg5aWcgA683.jpg

我们可以点击后面的查看查看这张证书是否为主站点服务器申请的计算机证书

wKiom1MinGujt_dQAAFGWzEFzps177.jpg

下面回到SCCM主站点控制台,定位到“管理”-->"站点配置"-->“站点”,选定主站点服务器,点击菜单栏中的“属性”

wKioL1MinETQ72KYAATHV_EXG9k527.jpg

切换到窗口的“客户端计算机通讯”选项

wKioL1MinEWyRJeYAAKHkUPjifw211.jpg

勾选“仅HTTPS”

wKiom1MinGzSyVuXAAKAdj5ogmY246.jpg

指定证书,点击“设置”

wKioL1MinEWAzHsmAAFZOiUtbQ8151.jpg

点击形状黄色按钮,定位到CA服务器下的如下目录,我这里是\\08sr11\C$\Windows\System32\certsrv\CertEnroll

wKiom1MinGyy_tiMAAI813xg0yo279.jpg

wKiom1MinKGwyLjFAAFTdu46l1I432.jpg

wKiom1MinKHAbttdAAKDf81dWa0171.jpg

设定好证书后,我们回到客户端等待策略的生效,强制更新组策略,或者重启客户端,我们可以很快看到PKI加密的效果图,开始我们看到的客户端签名证书是自签名证书

wKioL1MinHrQt3nQAAFqnNdr_l0892.jpg

策略生效后,可以看到客户端证书为PKI了

wKiom1MinKHQQUaFAAF17uSm8mU260.jpg

前两天斯洛登又在爆料美国把中国的QQ和飞信都纳入了监控范围,所以对于通讯的加密还是相当有必要的!

 

本文出自 “Robin's Home” 博客,谢绝转载!

你可能感兴趣的:(加密,部署,安装,管理,R2,PKI,2012,休闲,SCCM,主站点,斯洛登,中心站点)