Úvod do profilů certifikátů v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Důležité
Od verze 2203 se tato funkce přístupu k prostředkům společnosti už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.
Profily certifikátů fungují se službou Active Directory Certificate Services a rolí Služby zápisu síťových zařízení (NDES). Vytvořte a nasaďte ověřovací certifikáty pro spravovaná zařízení, aby uživatelé mohli snadno přistupovat k prostředkům organizace. Můžete například vytvořit a nasadit profily certifikátů, které uživatelům poskytnou potřebné certifikáty pro připojení k síti VPN a bezdrátovým připojením.
Profily certifikátů můžou automaticky konfigurovat uživatelská zařízení pro přístup k prostředkům organizace, jako jsou Wi-Fi sítě a servery VPN. Uživatelé mají přístup k těmto prostředkům bez ruční instalace certifikátů nebo použití vzdáleného procesu. Profily certifikátů pomáhají zabezpečit prostředky, protože můžete použít bezpečnější nastavení podporovaná infrastrukturou veřejných klíčů (PKI). Například vyžadovat ověření serveru pro všechna připojení Wi-Fi a VPN, protože jste nasadili požadované certifikáty na spravovaná zařízení.
Profily certifikátů poskytují následující možnosti správy:
Registrace a obnovení certifikátu z certifikační autority (CA) pro zařízení s různými typy a verzemi operačního systému Tyto certifikáty se pak dají použít pro Wi-Fi a připojení VPN.
Nasazení certifikátů důvěryhodné kořenové certifikační autority a zprostředkujících certifikátů certifikační autority Tyto certifikáty konfigurují řetěz důvěryhodnosti na zařízeních pro síť VPN a Wi-Fi připojení, když se vyžaduje ověřování serveru.
Monitorování a hlášení o nainstalovaných certifikátech
Příklad 1: Všichni zaměstnanci se musí připojit k Wi-Fi hotspotům ve více pobočkách. Abyste umožnili snadné připojení uživatelů, nasaďte nejprve certifikáty potřebné pro připojení k Wi-Fi. Pak nasaďte Wi-Fi profily, které odkazují na certifikát.
Příklad 2: Máte zavedenou infrastrukturu veřejných klíčů. Chcete přejít na flexibilnější a bezpečnější metodu nasazení certifikátů. Uživatelé potřebují přístup k prostředkům organizace ze svých osobních zařízení, aniž by to ohrozilo zabezpečení. Nakonfigurujte profily certifikátů pomocí nastavení a protokolů podporovaných pro konkrétní platformu zařízení. Zařízení pak můžou tyto certifikáty automaticky požadovat od serveru zápisu s připojením k internetu. Potom nakonfigurujte profily SÍTĚ VPN tak, aby tyto certifikáty používaly, aby zařízení bylo mít přístup k prostředkům organizace.
Typy
Existují tři typy profilů certifikátů:
Certifikát důvěryhodné certifikační autority: Nasaďte důvěryhodnou kořenovou certifikační autoritu nebo certifikát zprostředkující certifikační autority. Tyto certifikáty tvoří řetěz důvěryhodnosti, když zařízení musí ověřit server.
SCEP (Simple Certificate Enrollment Protocol): Žádost o certifikát pro zařízení nebo uživatele pomocí protokolu SCEP. Tento typ vyžaduje roli Služby zápisu síťových zařízení (NDES) na serveru se systémem Windows Server 2012 R2 nebo novějším.
Pokud chcete vytvořit profil certifikátu SCEP (Simple Certificate Enrollment Protocol), nejprve vytvořte profil certifikátu důvěryhodné certifikační autority .
Výměna osobních informací (.pfx): Vyžádejte si certifikát .pfx (označovaný také jako PKCS #12) pro zařízení nebo uživatele. Existují dvě metody vytvoření profilů certifikátů PFX:
- Import přihlašovacích údajů z existujících certifikátů
- Definování certifikační autority pro zpracování požadavků
Poznámka
Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.
Můžete použít Microsoft nebo Pověřit jako certifikační autority pro certifikáty .pfx (Personal Information Exchange).
Požadavky
Pokud chcete nasadit profily certifikátů, které používají SCEP, nainstalujte bod registrace certifikátu na server systému lokality. Na server, na kterém běží Windows Server 2012 R2 nebo novější, nainstalujte také modul zásad pro NDES( modul zásad Configuration Manager). Tento server vyžaduje roli Active Directory Certificate Services. Vyžaduje také funkční NDES, které je přístupné pro zařízení, která vyžadují certifikáty. Pokud vaše zařízení potřebují registrovat certifikáty z internetu, musí být server NDES přístupný z internetu. Pokud například chcete bezpečně povolit provoz na server NDES z internetu, můžete použít Aplikace Azure Proxy.
Certifikáty PFX také vyžadují bod registrace certifikátu. Zadejte také certifikační autoritu (CA) certifikátu a příslušné přihlašovací údaje pro přístup. Můžete zadat Microsoft nebo Pověřit jako certifikační autority.
Další informace o tom, jak NDES podporuje modul zásad, aby Configuration Manager mohli nasazovat certifikáty, najdete v tématu Použití modulu zásad se Službou zápisu síťových zařízení.
V závislosti na požadavcích Configuration Manager podporuje nasazování certifikátů do různých úložišť certifikátů v různých typech zařízení a operačních systémech. Podporují se následující zařízení a operační systémy:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Poznámka
Ke správě Windows Phone 8.1 a Windows 10 Mobile použijte Configuration Manager místní MDM. Další informace najdete v tématu Místní správa mobilních zařízení (MDM).
Typickým scénářem pro Configuration Manager je instalace důvěryhodných kořenových certifikátů certifikační autority pro ověřování Wi-Fi a serverů VPN. Typická připojení používají následující protokoly:
- Ověřovací protokoly: EAP-TLS, EAP-TTLS a PEAP
- Protokoly tunelového propojení VPN: IKEv2, L2TP/IPsec a Cisco IPsec
Před vyžádáním certifikátů pomocí profilu certifikátu SCEP musí být na zařízení nainstalovaný certifikát podnikové kořenové certifikační autority.
V profilu certifikátu SCEP můžete zadat nastavení pro vyžádání přizpůsobených certifikátů pro různá prostředí nebo požadavky na připojení. Průvodce vytvořením profilu certifikátu má dvě stránky pro parametry zápisu. První, registrace SCEP, obsahuje nastavení pro žádost o registraci a umístění, kam se má certifikát nainstalovat. Druhá, Vlastnosti certifikátu, popisuje samotný požadovaný certifikát.
Nasazení
Když nasadíte profil certifikátu SCEP, klient Configuration Manager zpracuje zásadu. Pak si z bodu správy vyžádá heslo výzvy SCEP. Zařízení vytvoří pár veřejného a privátního klíče a vygeneruje žádost o podepsání certifikátu (CSR). Odešle tento požadavek na server NDES. Server NDES předává požadavek systému lokality bodu registrace certifikátu prostřednictvím modulu zásad NDES. Bod registrace certifikátu ověří požadavek, zkontroluje heslo výzvy SCEP a ověří, že s požadavkem nebylo manipulováno. Pak žádost schválí nebo zamítá. V případě schválení odešle server NDES žádost o podepsání připojené certifikační autoritě (CA) k podepsání. Certifikační autorita žádost podepíše a pak vrátí certifikát do žádajícího zařízení.
Nasaďte profily certifikátů do kolekcí uživatelů nebo zařízení. Cílové úložiště můžete zadat pro každý certifikát. Pravidla použitelnosti určují, jestli zařízení může certifikát nainstalovat.
Když nasadíte profil certifikátu do kolekce uživatelů, spřažení uživatelských zařízení určuje, které zařízení uživatele certifikáty nainstalují. Když nasadíte profil certifikátu s uživatelským certifikátem do kolekce zařízení, nainstalují certifikáty ve výchozím nastavení primární zařízení každého uživatele. Pokud chcete certifikát nainstalovat na libovolné zařízení uživatelů, změňte toto chování na stránce Registrace SCEPv Průvodci vytvořením profilu certifikátu. Pokud jsou zařízení v pracovní skupině, Configuration Manager nenasadí uživatelské certifikáty.
Sledování
Nasazení profilů certifikátů můžete monitorovat zobrazením výsledků dodržování předpisů nebo sestav. Další informace najdete v tématu Monitorování profilů certifikátů.
Automatické odvolání
Configuration Manager automaticky odvolá certifikáty uživatelů a počítačů nasazené pomocí profilů certifikátů za následujících okolností:
Zařízení je vyřazeno ze správy Configuration Manager.
Zařízení je blokováno z hierarchie Configuration Manager.
Pokud chcete certifikáty odvolat, odešle server lokality vydávající certifikační autoritě příkaz k odvolání. Důvodem odvolání je ukončení operace.
Poznámka
Pro správné odvolání certifikátu potřebuje účet počítače pro lokalitu nejvyšší úrovně v hierarchii oprávnění k vydávání a správě certifikátů v certifikační autoritě.
Kvůli lepšímu zabezpečení můžete také omezit správce certifikační autority na certifikační autoritu. Pak tomuto účtu udělte oprávnění pouze ke konkrétní šabloně certifikátu, kterou používáte pro profily SCEP na webu.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro