为运行IIS的站点系统部署Web服务器证书
在这篇文章中,我们将看到为运行IIS的站点系统部署web服务器证书的步骤。这是其中一篇文章部署SCCM 2012 R2 PKI证书分步指南.在我之前的文章中,我们看到SCCM 2012 R2的PKI证书要求对PKI、SCCM所需的证书等有一定的了解。下一步是为站点系统部署web服务器证书。您可以使用根域管理员帐号或企业域管理员帐号登录,并使用该帐号完成本例部署中的所有步骤。
为运行IIS的站点系统部署Web服务器证书
基本上在这篇文章中,我们将执行以下步骤
1)在证书颁发机构上创建并颁发Web服务器证书模板
2)请求Web服务器证书
3)配置IIS使用Web服务器证书
该证书用于对数据进行加密,并向客户端验证服务器的身份。它必须从运行IIS的站点系统服务器上的配置管理器外部安装,并且在配置管理器中配置为使用HTTPS。
在证书颁发机构上创建和颁发Web服务器证书模板
首先,创建一个名为SCCM IIS服务器。该组包含将运行IIS的成员服务器(SCCM站点服务器)。在已安装证书服务的成员服务器上,在证书颁发机构控制台,单击右键证书模板并点击管理加载证书模板控制台。
在结果窗格中,右键单击显示的条目Web服务器在栏中模板显示名称,然后按复制模板.
确保Windows 2003 Server,然后单击好吧.
在新建模板属性对话框中的一般选项卡,输入模板名称,生成将在配置管理器站点系统上使用的web证书。单击主题名称Tab,确保在请求中提供被选中。
单击安全选项卡,并删除招收安全组的权限域管理员.
同时移除招收安全组的权限企业管理员。
点击添加,输入IIS服务器,然后单击好吧.选择招收权限为此组,且不清除读许可。点击好吧,并关闭证书模板控制台.
在Certification Authority控制台中,右键单击证书模板,点击新,然后按要颁发的证书模板.
在启用证书模板对话框,选择刚刚创建的新模板,SCCM Web服务器证书,然后按好吧.
请求Web服务器证书
我们现在执行的步骤将在运行IIS的成员服务器上安装web服务器证书。微软建议您重新启动运行IIS的成员服务器。这只是为了确保计算机可以访问您创建的证书模板。
执行mmc.exe命令。在空控制台中,单击文件,然后按添加/删除管理单元.在“添加或删除管理单元”对话框中,选择证书,然后单击添加.在“证书管理单元”对话框中选择计算机帐户,然后按下一个.在“选择计算机”对话框中确认本地计算机:(运行此控制台的计算机),然后单击完成.在“添加或删除管理单元”对话框中,单击好吧.在控制台中展开证书(本地计算机),然后单击个人.右键单击证书,点击所有任务,然后按申请新证书.
在选择证书注册策略页面,点击下一个.
在请求证书页,识别SCCM Web服务器证书从显示的证书列表中,然后单击注册此证书需要更多的信息。单击此处配置设置.
在证书属性对话框中的主题选项卡时,不要对主题名称.这意味着价值盒子主题名称部分保持空白。相反,从选择的名字部分,单击类型下拉列表,然后选择DNS.在价值框,指定您将在配置管理器站点系统属性中指定的FQDN值,然后单击好吧关闭证书属性对话框。
在请求证书页面,选择SCCM Web服务器证书从显示的证书列表中,然后单击招收.
在安装结果页,等待证书安装完成(状态应该显示成功),然后按完成.
配置IIS使用Web服务器证书
我们现在执行的步骤将配置IIS以使用我们在上述步骤中配置的web服务器证书。在安装了IIS的成员服务器上,启动Internet信息服务(IIS)管理器。扩大网站,右键单击默认网站,然后选择编辑绑定.
在编辑站点绑定对话框,选择您使用SCCM Web Server Certificates模板请求的证书,然后单击好吧.您现在已经将IIS配置为使用web服务器证书。
是否有理由选择Windows 2003 Server而不是其他选项?就像2003年“应该”早已从大多数环境中消失了一样。
只是想谢谢你给我写的报告。这就是我要激活DP所缺少的。干杯! !
下午好,普拉杰瓦尔
我想知道在您的sccm服务器上使用SSL或证书的实际目的是什么。我想使用SCCM来管理客户端、部署应用程序、部署投诉策略和生成报告。为什么我的sccm服务器需要一个证书。
简而言之,使用证书可以使用HTTPS保护DP和客户端之间的通信。
你好,
我遇到了一个问题,我的管理点无法使用HTTPS连接。
当我查看日志(mpcontrol.log)时,我注意到我生成的证书不支持SSL。
我收到消息-证书没有“SSL客户端身份验证”功能
我有信心,我遵循你的教程精确,我想知道你是否遇到过这个错误之前?
谢谢你!
你好,
由于DPs使用IIS,我是否需要在这些DPs上部署IIS证书?
谢谢你的回复。
好tenhnet。
我如何续签这个证书?
另外2个有效期到2021年,但Web服务器证书已经过期。
我是这样做的:
MMC/证书(本地计算机)/个人
右键单击SCCM Web服务证书,然后是所有任务,高级操作,用相同的密钥更新证书
获得一个新的证书,在IIS中更改证书,运行IISreset。
网站又开始工作了,但是
无法连接到应用服务器
对于第一步“创建一个名为SCCM IIS服务器的安全组,其中包含用于安装将运行IIS的System Center 2012 Configuration Manager站点系统的成员服务器”。如果服务器与CA处于不同的域中,如何将服务器添加到该组?
谢谢,我们按照指南进行,一切都很完美。你能告诉我们两年后我们需要续证的情况吗?它会自动更新吗?
Prajwal,
我们从外部CA获得所有的证书。当您的域内没有CA时,您将采取什么步骤?我在Server 2016证书管理中没有证书模板选项。
谢谢,
尼克
大家好,普拉杰瓦尔,
主站点是否需要Web服务器证书(未安装MP/DP/SUP角色)??
你的意见呢?
先谢谢你,
卢克
不,在这种情况下不需要证书。
非常感谢。
嗨Prajwal,
首先感谢你在SCCM的帮助。
我有个问题。我正在将MAC电脑添加到SCCM 2012 R2中。而当我试图按照你的指南,我被困在添加“SCCM IIS服务器”到安全选项卡时,试图
为运行IIS的站点系统部署Web服务器证书。他们没有用户组或任何类似的OUI。我应该怎么做才能解决这个问题?
提前谢谢你。
嗨,Vidura,你能把这个问题连同截图一起贴在这里吗//www.photo-critics.com/community/forums/system-center-configuration-manager.4/
Prajwal,
我也对上面关于“SCCM IIS服务器”组的声明感到好奇。我正在尝试执行类似的配置,但我的AD或独立SCCM服务器上也没有组。这个组的目的是什么?它是在某个地方自动创建的吗?
嗨Prajwal,
我也遇到过同样的问题。你能解释一下“SCCM IIS服务器”是干什么用的吗?我需要在域控制器上创建一个名为“SCCM IIS服务器”的组吗?
期待您的回复,
谢谢和更多的力量。
我没有certsvr.csv中的证书模板有人知道为什么吗
老兄,你的博客比technet、systemcenterdudes和windowsnoob加起来还好。我真的很欣赏你是如何一步一步地走下去,没有给普通系统管理员留下任何想象:),进入mac注册的第二步:):)非常高兴无意中发现了这个,我可以把你加到我的领英个人资料中吗?我想要更新你的帖子,网站网址等。忠诚的追随者! !哈哈