Requisitos previos para perfiles de certificado en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Los perfiles de certificado de Configuration Manager tienen dependencias externas y dependencias en el producto.
Importante
A partir de la versión 2203, esta característica de acceso a recursos de empresa ya no se admite. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.
Dependencias externas a Configuration Manager
Dependencia | Más información |
---|---|
Entidad de certificación (CA) emisora de empresas que ejecuta Servicios de certificados de Active Directory (AD CS). Para revocar certificados, la cuenta de equipo del servidor de sitio en la parte superior de la jerarquía requiere derechos de emisión y administración de certificados para cada plantilla de certificado usada por un perfil de certificado en Configuration Manager. Como alternativa, conceda permisos al Administrador de certificados para conceder permisos en todas las plantillas de certificado usadas por esa entidad de certificación. Se admite la aprobación del administrador para las solicitudes de certificado. Sin embargo, las plantillas de certificado que se usan para emitir certificados deben configurarse para Proporcionar en la solicitud del firmante del certificado para que Configuration Manager pueda proporcionar automáticamente este valor. |
Para obtener más información sobre Los servicios de certificados de Active Directory, consulte Información general sobre Servicios de certificados de Active Directory. |
Use el script de PowerShell para comprobar y, si es necesario, instalar los requisitos previos para el servicio de rol servicio de inscripción de dispositivos de red (NDES) y el punto de registro de certificado de Configuration Manager. |
El archivo de instrucciones, readme_crp.txt, se encuentra en ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. El script de PowerShell, Test-NDES-CRP-Prereqs.ps1, está en el mismo directorio que las instrucciones. El script de PowerShell debe ejecutarse localmente en el servidor NDES. |
El servicio de rol servicio de inscripción de dispositivos de red (NDES) para Servicios de certificados de Active Directory, que se ejecuta en Windows Server 2012 R2. Además: Los números de puerto distintos de TCP 443 (para HTTPS) o TCP 80 (para HTTP) no se admiten para la comunicación entre el cliente y el servicio de inscripción de dispositivos de red. El servidor que ejecuta el servicio de inscripción de dispositivos de red debe estar en un servidor diferente de la entidad de certificación emisora. |
Configuration Manager se comunica con el servicio de inscripción de dispositivos de red en Windows Server 2012 R2 para generar y comprobar solicitudes del Protocolo simple de inscripción de certificados (SCEP). Si va a emitir certificados a los usuarios o dispositivos que se conectan desde Internet, como los dispositivos móviles administrados por Microsoft Intune, esos dispositivos deben poder acceder al servidor que ejecuta el servicio de inscripción de dispositivos de red desde Internet. Por ejemplo, instale el servidor en una red perimetral (también conocida como red perimetral, zona desmilitarizada y subred filtrada). Si tiene un firewall entre el servidor que ejecuta el servicio de inscripción de dispositivos de red y la entidad de certificación emisora, debe configurar el firewall para permitir el tráfico de comunicación (DCOM) entre los dos servidores. Este requisito de firewall también se aplica al servidor que ejecuta el servidor de sitio Configuration Manager y la entidad de certificación emisora, de modo que Configuration Manager pueda revocar certificados. Si el servicio de inscripción de dispositivos de red está configurado para requerir SSL, un procedimiento recomendado de seguridad es asegurarse de que los dispositivos que se conectan puedan acceder a la lista de revocación de certificados (CRL) para validar el certificado de servidor. Para obtener más información sobre el servicio de inscripción de dispositivos de red, consulte Uso de un módulo de directivas con el servicio de inscripción de dispositivos de red. |
Un certificado de autenticación de cliente PKI y un certificado de ca raíz exportado. | Este certificado autentica el servidor que ejecuta el servicio de inscripción de dispositivos de red para Configuration Manager. Para obtener más información, consulte Requisitos de certificados PKI para Configuration Manager. |
Sistemas operativos de dispositivos compatibles. | Puede implementar perfiles de certificado en dispositivos que ejecutan Windows 8.1, Windows RT 8.1 y Windows 10. |
dependencias de Configuration Manager
Dependencia | Más información |
---|---|
Rol de sistema de sitio de punto de registro de certificados | Para poder usar perfiles de certificado, debe instalar el rol de sistema de sitio de punto de registro de certificado. Este rol se comunica con la base de datos Configuration Manager, el servidor de sitio Configuration Manager y el módulo de directivas de Configuration Manager. Para obtener más información sobre los requisitos del sistema para este rol de sistema de sitio y dónde instalar el rol en la jerarquía, consulte la sección Requisitos del sistema de sitio en el artículo Configuraciones admitidas para Configuration Manager. El punto de registro de certificado no debe instalarse en el mismo servidor que ejecuta el servicio de inscripción de dispositivos de red. |
Configuration Manager módulo de directivas instalado en el servidor que ejecuta el servicio de rol Servicio de inscripción de dispositivos de red para Servicios de certificados de Active Directory | Para implementar perfiles de certificado, debe instalar el módulo de directivas de Configuration Manager. Puede encontrar este módulo de directiva en el medio de instalación de Configuration Manager. |
Datos de detección | Los valores para el firmante del certificado y el nombre alternativo del firmante se proporcionan mediante Configuration Manager y se recuperan de la información recopilada de la detección: Para certificados de usuario: Detección de usuarios de Active Directory Para certificados de equipo: Detección de sistemas y detección de red de Active Directory |
Permisos de seguridad específicos para administrar perfiles de certificado | Debe tener los siguientes permisos de seguridad para administrar la configuración de acceso a recursos de la empresa, como perfiles de certificado, perfiles de Wi-Fi y perfiles de VPN: Para ver y administrar alertas e informes para perfiles de certificado: Crear, Eliminar, Modificar, Modificar informe, Leer y Ejecutar informe para el objeto Alerts . Para crear y administrar perfiles de certificado: Directiva de autor, Modificar informe, Leer y Ejecutar informe para el objeto Perfil de certificado . Para administrar implementaciones de perfil de Wi-Fi, certificado y VPN: implemente directivas de configuración, modifique la alerta de estado de cliente, lea y lea el recurso para el objeto Collection . Para administrar todas las directivas de configuración: crear, eliminar, modificar, leer y establecer ámbito de seguridad para el objeto de directiva de configuración . Para ejecutar consultas relacionadas con perfiles de certificado: permiso de lectura para el objeto Query . Para ver la información de los perfiles de certificado en la consola de Configuration Manager: permiso de lectura para el objeto Site. Para ver los mensajes de estado de los perfiles de certificado: permiso de lectura para el objeto Mensajes de estado . Para crear y modificar el perfil de certificado de entidad de certificación de confianza: Directiva de autor, Modificar informe, Leer y Ejecutar informe para el objeto Perfil de certificado de ca de confianza . Para crear y administrar perfiles de VPN: crear directiva, modificar informe, leer y ejecutar un informe para el objeto de perfil de VPN . Para crear y administrar perfiles de Wi-Fi: Crear directiva, Modificar informe, Leer y Ejecutar informe para el objeto Perfil de Wi-Fi . El rol de seguridad Administrador de acceso a recursos de empresa incluye estos permisos necesarios para administrar perfiles de certificado en Configuration Manager. Para obtener más información, consulte la sección Configurar la administración basada en roles en el artículo Configurar seguridad . |