SCCM SP2 - Проблемы сертификатов управления OOB
--reject-with icmp-admin-prohibited
Используя icmp-admin-prohibited с ядрами, которые не поддерживают его, приведет к простому ОТБРАСЫВАНИЮ вместо ОТКЛОНЕНИЯ
В SCCM сертификаты AMT выпущены CA к сервисному центру OOB как прокси, так как AMT не имеет никакого способа запросить сертификаты непосредственно. То, что Вы видите это, является хорошим знаком, что Ваша установка по крайней мере частично корректна.
По умолчанию AMT предварительно загружен только с thumprints коммерческой Корневой АВАРИИ (например, Thawte, Verisign, и т.д.) При использовании предприятия CA (который в этом случае кажется, что Вы), след большого пальца сертификата Корня, CA должен быть предварительно загружен в AMT перед настройкой. Иначе AMT отклонит сертификат, который присвоен ему (так как он не доверяет для укоренения).
Ваш Корневой CA может быть введен через пользовательскую конфигурацию Вашим (предпочтенным) продавцом компьютеров или через управление MEBx (который требует, чтобы Вы коснулись каждой машины, которую Вы развертываете). При использовании MEBx след большого пальца загружается в MEBx в Intel(R) AMT Configuration | Setup and Configuration | TLS PKI | Manage Certificate Hases.
Я столкнулся с той же проблемой, сертификаты, установленные в Клиенте AMT, был на самом деле выпущен к Серверу SCCM.
Ошибка была на вкладке "Subject Name" "Шаблона Сертификата веб-сервера"; опция "Build from this Active Directory Information" должна быть проверена, и "Общее название" должно быть выбрано в выпадающем для опции "Subject Name format".
Если настройка успешна, получение доступ к Клиенту AMT, использующему его FQDN от браузера IE, не должно давать предупреждения сертификата или ошибки. Приглашение ко входу в систему нужно сразу показать.