修复 SCCM Bitlocker 管理门户安装程序错误

本文介绍修复 SCCM Bitlocker 管理门户安装程序错误的步骤。如果您最近尝试创建集成到 SCCM 中的 BitLocker 模块的 Web 界面，则会失败并出现错误“无法导出 SQL Server 标识的证书”。

使用 SCCM 提供的脚本 MBAMWEBSITEINSTALLER.ps1 时，您会在 Web 界面的安装阶段看到此错误。

您不是唯一看到此错误的人，因为问题并非来自 SCCM，而是来自 PowerShell 脚本。

Bitlocker 管理门户

在继续修复上述错误之前，让我们尝试了解 BitLocker 管理点的一些基础知识。

关于 Bitlocker Web 服务

BitLocker Web 服务包含两个站点：自助服务门户和 BitLocker 管理和监视网站。

关于 BitLocker 自助服务门户

门户自助服务是一个 Web 界面，可帮助用户在设备锁定时独立访问其计算机。自助服务门户不需要服务台工作人员的帮助。

关于管理和监控网站

BitLocker 管理和监视网站是 BitLocker 驱动器加密的管理界面。也称为帮助台门户。使用此网站查看报告、恢复用户驱动器和管理设备 TPM。

修复 SCCM Bitlocker 管理门户安装程序错误

因此，让我们重点修复 SCCM bitlocker 管理门户安装程序错误。您看到的错误是无法导出 SQL Server 标识的证书。

出现此错误的原因是该脚本经过优化，可以从不同于 SCCM 的 SQL Server 导出证书。

但是，如果您的 SQL 服务器与 SCCM 服务器安装在同一台服务器上，您肯定会收到此错误。脚本将被中止。

Unable to find ConfigMgr SQL Server Identification Certificate
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException
    + PSComputerName        : azukssccm.ukg.local
Get-CertificateFromSqlServer : Unable to export ConfigMgr SQL Server Identification Certificate: Exception calling
"FromBase64String" with "1" argument(s): "Invalid length for a Base-64 char array or string."
At F:\Program Files\Microsoft Configuration Manager\bin\X64\mbamwebsiteinstaller.ps1:1171 char:16
+     $success = 
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,Get-CertificateFromSqlServer
Install-MBAMWebSites : Failure acquring SQL identity certificate.
At F:\Program Files\Microsoft Configuration Manager\bin\X64\mbamwebsiteinstaller.ps1:1324 char:5
+     Install-MBAMWebSites -SqlServerName $SqlServerName -SqlInstanceNa ...
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,Install-MBAMWebSite

步骤 1. 手动创建 SQL 证书

您必须手动创建证书“服务器标识证书”并将其分配给 SQL Server。为此，您可以在这篇文章中找到步骤。

步骤 2. 在 SCCM 中创建 BitLocker 证书

您需要在 SQL Server 中创建 BitLocker 证书。您还可以在此链接文档中找到更多详细信息。

在生产环境中使用此脚本之前，请更改以下值：

• 站点数据库名称 (CM_ABC)
• 创建主密钥的密码 (MyMasterKeyPassword)
• 证书到期日期 (20391022)

在 SQL Server 中运行此代码：

USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END

IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
    CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
    WITH SUBJECT = 'BitLocker Management',
    EXPIRY_DATE = '20391022'

    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END

请注意，运行上述代码后，我们会看到 BitLocker 证书。

接下来，我们将使用以下脚本备份证书。不要忘记将数据库 CM_ABC 更改为您的数据库。

USE CM_ABC
BACKUP CERTIFICATE BitLockerManagement_CERT TO FILE = 'C:\BitLockerManagement_CERT'
WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
ENCRYPTION BY PASSWORD = 'MyExportKeyPassword')

步骤 3 - 编辑 MBAMWEBSITEINSTALLER.ps1 脚本

现在我们必须在使用脚本之前对其进行编辑。使用 PowerShell ISE 打开 MBAMWEBSITEINSTALLER.ps1。

搜索或查找行：“function Get-CertificateFromSqlServer”

禁用功能“get-certificatefromsqlserver”，如下面的屏幕截图所示。

我们将禁用该功能。

保存对上述脚本所做的更改。

进行上述更改后，我们就可以运行脚本了。该脚本运行正常，只需忽略错误消息即可。

打开 IIS 控制台并确保您看到以下两个站点。

您现在可以看到 Web 界面运行良好。恭喜，我们已成功修复 SCCM Bitlocker 管理门户安装程序错误。