我们在安装SCCM的时候,可以对客户端和服务器之间的通讯进行加密,下面主要有如下步骤:
1、CA证书服务器的准备
2、证书的颁发配置
3、组策略设置证书客户端自动注册
4、主站点绑定证书及HTTPS通讯设置
下面配置第一步,CA证书服务器的准备,在08SR11这台域控制器上添加证书服务角色
证书服务角色添加晚后,我们进入第二步了,进行证书的颁发配置
右击证书模板-->管理
右击计算机证书模板,选择复制模板
这里选择“Windows Server 2003 Enterprise”,点击“确定”
在常规选项中,输入创建证书模板的名字,我这里是CMMClient
切换的哦安全选项,更改Domain Computers的权限为如下图示,增加读取权限和自动注册
回到初始窗口,右击证书模板,新建-->要颁发的证书模板
选择刚才创建的证书模板,点击确定
现在我们可以看到,证书模板中,多了我们刚才常见的证书模板了
第三步,组策略设置证书客户端自动注册
进入域控制器,打开组策略管理器,更改默认的组策略
导航到计算机配置-->测了-->安全设置-->公钥策略,右击“证书服务客户端-自动注册”,选择属性
将配置型号更改为“已启用”,并勾选“续订国企证书...”和“更新使用证书模板的证书”,点击应用-->确定
第四步:主站点绑定证书及HTTPS通讯设置
刚才的组策略设置并作更新后,我们回到主站点服务器上,通过MMC控制台进入计算账户下的证书,可以看到主站点服务器已经自动注册了证书
打开Internet 信息服务(IIS)管理器,定位到如下目录
点击操作栏的“绑定”按钮
选定HTTPS进行编辑,并指定SSL证书
我们可以点击后面的查看查看这张证书是否为主站点服务器申请的计算机证书
下面回到SCCM主站点控制台,定位到“管理”-->"站点配置"-->“站点”,选定主站点服务器,点击菜单栏中的“属性”
切换到窗口的“客户端计算机通讯”选项
勾选“仅HTTPS”
指定证书,点击“设置”
点击形状×××按钮,定位到CA服务器下的如下目录,我这里是\\08sr11\C$\Windows\System32\certsrv\CertEnroll
设定好证书后,我们回到客户端等待策略的生效,强制更新组策略,或者重启客户端,我们可以很快看到PKI加密的效果图,开始我们看到的客户端签名证书是自签名证书
策略生效后,可以看到客户端证书为PKI了
前两天斯洛登又在爆料美国把中国的QQ和飞信都纳入了监控范围,所以对于通讯的加密还是相当有必要的!
