SCCM 2012 R2的PKI证书要求

在这篇文章中，我们将看到SCCM 2012 R2的PKI证书要求。这是其中一个帖子，这是一部分部署SCCM 2012 R2 PKI证书分步指南．在继续之前，让我们先了解一下什么是PKI。公开密钥密码学(也称为非对称密钥密码学)使用密钥对对内容进行加密和解密。密钥对由一个公钥和一个私钥组成，它们在数学上是相关的。

有意与他人安全通信的个人可以分发公钥但必须保持私钥的秘密。使用其中一个密钥加密的内容可以通过使用另一个密钥解密。PKI可用于保护电子邮件、安全网络通信、安全网站、软件文件的数字签名等。华体会体育系列

使用“Active Directory证书服务”和“证书模板”时，需要使用微软PKI解决方案可以简化证书的管理。这里需要注意的一点是，基于模板的证书只能由运行在服务器操作系统的enterprise Edition或Datacenter Edition上的企业证书颁发机构颁发。

HTTPS协议提供了相互验证、签名和加密的客户端到服务器的通信。Internet客户端必须使用HTTPS，如果配置为使用HTTPS，所有客户端都会更安全。必须将所需的证书部署到将使用HTTPS的每个客户机和站点系统。

SCCM 2012 R2的PKI证书要求

配置管理器2012 R2需要使用的PKI证书类型如下表所示。我没有列出SCCM所需的所有PKI证书，您可以找到完整的证书列表在这里．

证书的要求	证书的描述
运行IIS的站点系统的Web服务器证书	该证书用于对数据进行加密，并向客户端验证服务器的身份。它必须从运行IIS的站点系统服务器上的配置管理器外部安装，并且在配置管理器中配置为使用HTTPS。
Windows计算机的客户端证书	此证书用于将配置管理器客户端计算机验证到配置为使用HTTPS的站点系统。它还可以用于管理点和状态迁移点，以便在将它们配置为使用HTTPS时监视它们的操作状态。它必须从计算机上的配置管理器外部安装。
分发点的客户端证书	证书用于在发布点发送状态消息之前将分发点验证到启用http的管理点。当选择启用PXE支持客户端分发点选项时，证书将被发送到PXE引导的计算机，以便它们可以在操作系统部署期间连接到启用http的管理点。
Mac计算机的客户端证书	此证书用于将配置管理器Mac计算机验证到配置为支持HTTPS的管理点和分发点。当您使用配置管理器注册并选择配置的证书模板作为移动设备客户端设置时，可以从Mac计算机请求并安装此证书。

典型的PKI由以下元素组成。

元素	描述
证书颁发机构	充当公钥基础设施中的信任根，并提供对网络中个人、计算机和其他实体的身份进行身份验证的服务。
登记机关	由根CA认证，为根CA允许的特定用途颁发证书。在Microsoft PKI中，注册机构(RA)通常称为从属CA。
证书数据库	将证书请求、已颁发和已撤销的证书和证书请求保存在CA或RA上。
证书存储	在本地计算机上保存已颁发的证书和挂起或拒绝的证书请求。
密钥档案服务器	将加密后的私钥保存在证书数据库中，以便丢失后恢复。

实验室设置

在我目前的实验室设置中，我有一台运行Windows Server 2012 R2数据中心版操作系统的机器。它是一个域控制器(AD. prajwal . local)，也被配置为DNS、DHCP和AD CS (Active Directory证书服务)。在第二台机器上，我已经安装了Windows Server 2012 R2 Datacenter版操作系统。此机器正在运行System Center 2012 R2配置管理器和SQL server。可以使用少量客户机来测试PKI部署。该过程使用企业证书颁发机构(CA)和证书模板。这些步骤仅适用于测试网络，作为概念验证。因为没有部署所需证书的单一方法，所以必须参考特定的PKI部署文档，了解为生产环境部署所需证书所需的过程和最佳实践。

您可以使用根域管理员帐号或企业域管理员帐号登录，并使用该帐号完成本例部署中的所有步骤。