Deployment af Windows 7 – SCCM 2007 Part 2

SCCM 2007 SP1 – SCCM R2 og hotfix KB970093, er blevet installeret. jeg nu klar til at grundkonfigurere SCCM.
Jeg vil her starte med at forberede mit SCCM site til at køre i native mode.
Det kræver en PKI infrastruktur. Jeg har en enterprise certifikat server kørende på en Windows 2008 R2 DC’er (Windows 2003 eller Windows 2008 er også helt ok).
Fordelen ved at vælge en enterprise løsning, er at det interne rod certifikat automatisk bliver installeret ude på de enkelte SCCM klienter.
Jeg vælger i dette setup, at implentere følgende certifikat typer.
Site Server Signing Certificate – Web Server Certificates – Client Computer Certificates.

Site Server Signing Certificate:
Jeg starter her Certification Authority Console på min ene DC’er og højre musetaster på  Certificate Templates.
Jeg vælger manage og “Certificates Templates Console” bliver herefter åbnet.

Marker Computer og vælg “Duplicate Template”.

Vælg “Windows 2003 Server, Enterprise Edition”.

Skriv nyt template navn som feks. “ConfigMgr Site Server Signing Certificate”

Klik på “Request Handling” fanebladet og vælg “Allow private key to be exported”.

Klik på “Issuance Requirements” fanebladet og vælg “CA certificate manager approval”.

Gå til “Subject Name” fanebladet og vælg “Supply in the request”.

Gå til “Extensions” fanebladet, marker “Application Policies” og vælg Edit.

Marker “Client Authentication” og “Server Authentication” og vælg Remove.

Klik herefter “Add” og vælg “Document Signing” – Ok – Ok – Ok.

Luk herefter “Certificate Templates Console”.
Højre musetast på “Certificate Templates” og vælg “Certificate Template to Issue”.

Vælg den føroprettede “ConfigMgr Site Server Signing Certificate” template.

Næste step, er at “Requesting the Site Server Signing Certificate” for SCCM serveren.
Log ind på SCCM serveren og kopier nedenstående ind i en tekstfil.
Husk at tilrette site-code til dit miljø. I mit tilfælde er <site-code> WIN (Subject = “CN=The site code of this site server is WIN”).

[NewRequest]
Subject = “CN=The site code of this site server is <site-code>”
MachineKeySet = True
[RequestAttributes]
CertificateTemplate = ConfigMgrSiteServerSigningCertificate

Gem tekstfilen med navnet “sitesigning.inf” i en given folder, som feks “C:CA_Request”.
Åben en command prompt og gå til CA_Request folderen.
skriv følgende kommando og tryk enter.
certreq –new sitesigning.inf sitesigning.req

Skriv herefter følgende kommando og tryk enter.
certreq –submit sitesigning.req sitesigning.cer

Vælg Root CA og tryk Ok.
 

Noter “RequestId”. I mit tilfælder er det 68.
Gå tilbage til DC’eren og åben “Certification Authority Console” og vælg “Pending Requests”.

Højre musetast på det “requested certificate” og vælg “All Tasks” – Issue.

Gå tilbage til SCCM serveren og skriv nedenstående kommando i en cmd prompt.
I dette eksempel er mit RequestId = 68
certreq –retrieve <RequestId> sitesigning.cer

Vælg igen Root CA.

Skriv til sidst følgende kommando, for at installere certifikatet i “personal cert store”.
certreq –accept sitesigning.cer

Vi har nu installeret “site server signing” certifikatet.
 

Hvis man får senere får nedenstående fejli SCCM, skal man eksportere certifikatet med “private key”.
Slet herefter det eksisterende certifikat og importer det igen med “private key”.
SMS Policy Provider has failed to sign one or more policy assignments

Reference til ovenstående.
http://technet.microsoft.com/en-us/library/bb680312.aspx

Comments are closed.