Sdílet prostřednictvím

Vytváření profilů certifikátů v Configuration Manageru

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poznámka

Informace v tomto tématu se vztahují jenom na verze System Center 2012 R2 Configuration Manageru.

Profily certifikátů v nástroji System Center 2012 Configuration Manager se integrují se službou AD CS (Active Directory Certificate Services) a s rolí Služba zápisu síťových zařízení a zajišťují pro spravovaná zařízení ověřovací certifikáty, se kterými můžou uživatelé získat přístup k prostředkům společnosti. Informace v tomto tématu vám pomůžou vytvořit profily certifikátů v nástroji Configuration Manager.

System_CAPS_importantDůležité

Než začnete vytvářet profily certifikátů, je třeba provést konfiguraci. Další informace naleznete v části Konfigurování profilů certifikátů v nástroji Configuration Manager.

Postup vytvoření profilu certifikátu

Profil certifikátu vytvoříte v Průvodci vytvořením profilu certifikátu takhle:

Krok

Podrobnosti

Další informace

Krok 1: Spuštění Průvodce vytvořením profilu certifikátu

Průvodce spustíte v pracovním prostoru Prostředky a kompatibilita v uzlu Nastavení dodržování předpisů.

Podrobnosti najdete v části Krok 1: Spuštění Průvodce vytvořením profilu certifikátu v tomto tématu.

Krok 2: Zadání obecných informací o profilu certifikátu

Zadejte obecné informace, jako je název a popis profilu certifikátu a typ profilu certifikátu, který chcete vytvořit.

Podrobnosti najdete v části Krok 2: Zadání obecných informací o profilu certifikátu v tomto tématu.

Krok 3: Zadání informací o profilu certifikátu

Zadejte informace ke konfiguraci profilu certifikátu.

Podrobnosti najdete v části Krok 3: Zadání informací o profilu certifikátu v tomto tématu.

Krok 4: Nakonfigurování platformy podporované profilem certifikátu

Zadejte operační systémy, kam budete profil certifikátu instalovat.

Podrobnosti najdete v části Krok 4: Konfigurace podporovaných platforem profilu certifikátu v tomto tématu.

Krok 5: Dokončení průvodce

Dokončete nastavení podle pokynů průvodce a vytvořte nový profil certifikátu.

Podrobnosti najdete v části Krok 5: Dokončení průvodce v tomto tématu.
System_CAPS_cautionUpozornění

Pokud už jste certifikát nasadili s použitím profilu certifikátu SCEP (Simple Certificate Enrollment Protocol), vyžádá si systém při změně některých možností konfigurace nový certifikát s novými hodnotami. Pokud tyto změny způsobí velký počet obnovení žádostí o certifikát, můžou obnovení značně zatížit procesor serveru, kde je Služba zápisu síťových zařízení spuštěná.

Jestliže je žádost o certifikát určená pro klienta v intranetu (např. Windows 8.1), smaže se původní certifikát v okamžiku vyžádání nového certifikátu s novými hodnotami. Pokud je však žádost o certifikát určena pro klienta, který je spravován pomocí konektoru Microsoft Intune, nebude původní certifikát ze zařízení smazán a zůstane nainstalován.

Následující části uvádějí nastavení, která způsobí vygenerování požadavku na obnovení certifikátu.

Doplňkové postupy k vytvoření nového profilu certifikátu

Pokud kroky v předchozí tabulce vyžadují další postupy, použijte následující informace.

Krok 1: Spuštění Průvodce vytvořením profilu certifikátu

Průvodce vytvořením profilu certifikátu spustíte takhle.

Spuštění Průvodce vytvořením profilu certifikátu

  1. V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.

  2. V pracovním prostoru Prostředky a kompatibilita postupně rozbalte uzly Nastavení dodržování předpisů a Přístup k prostředkům společnosti a klikněte na Profily certifikátů.

  3. Na kartě Domů ve skupině Vytvořit klikněte na možnost Vytvořit profil certifikátu.

Krok 2: Zadání obecných informací o profilu certifikátu

Obecné informace o profilu certifikátu zadáte takhle.

Zadání obecných informací o profilu certifikátu

  1. Na stránce Obecné v Průvodci vytvořením profilu certifikátu zadejte následující informace:

    • Název: Zadejte jedinečný název profilu certifikátu. Opět můžete použít maximálně 256 znaků.

    • Popis: Zadejte popis, který bude stručně charakterizovat profil certifikátu, a další relevantní informace pro jeho rozpoznání v konzole Configuration Manager. Opět můžete použít maximálně 256 znaků.

    • Zadejte typ profilu certifikátu, který chcete vytvořit: Zvolte jeden z těchto typů profilů certifikátu:

      • Důvěryhodný certifikát CA: Tento typ profilu certifikátu zvolte v případě, že chcete nasadit certifikát důvěryhodné kořenové certifikační autority (CA) nebo zprostředkující certifikační autority a vytvořit důvěryhodný řetěz certifikátů, kdy musí uživatel nebo zařízení ověřit jiné zařízení. Takovým zařízením může být třeba server RADIUS (Remote Authentication Dial-In User Service) nebo server VPN (virtuální privátní síť). Profil certifikátu důvěryhodné CA je potřeba nakonfigurovat taky před tím, než vytvoříte profil certifikátu SCEP. V tomto případě musí být certifikát důvěryhodné CA důvěryhodným kořenovým certifikátem pro CA, která vydá certifikát uživateli nebo zařízení.

      • Nastavení protokolu SCEP (Simple Certificate Enrollment Protocol): Tento typ profilu certifikátu zvolte v případě, že chcete vyžádat certifikát pro uživatele nebo zařízení pomocí protokolu SCEP (Simple Certificate Enrollment Protocol) a služby role Služba zápisu síťových zařízení.

Krok 3: Zadání informací o profilu certifikátu

Při konfigurace informací o profilu certifikátu pro certifikáty důvěryhodné CA a certifikáty SCEP použijte jeden z těchto postupů.

System_CAPS_importantDůležité

Než vytvoříte profil certifikátu SCEP, je potřeba nakonfigurovat aspoň jeden profil certifikátu důvěryhodné CA.

Konfigurace certifikátu důvěryhodné CA

  1. Na stránce Certifikát důvěryhodné CA v Průvodci vytvořením profilu certifikátu zadejte následující informace:

    • Soubor certifikátu: Klikněte na Import a vyhledejte soubor certifikátu, který chcete použít.

    • Cílové úložiště: U zařízení, která mají víc úložišť certifikátů, určete, kam se má certifikát uložit. U zařízení, která mají jenom jedno úložiště, se toto nastavení bude ignorovat.

  2. Pomocí hodnoty Miniatura certifikátu ověřte, že jste importovali správný certifikát.

Pokračujte podle pokynů v části Krok 4: Konfigurace podporovaných platforem profilu certifikátu.

Konfigurace informací o certifikátu SCEP

  1. Na stránce Zápis SCEP v Průvodci vytvořením profilu certifikátu zadejte následující informace:

    • Opakování: Zadejte, kolikrát má zařízení automaticky opakovat žádost o certifikát na server, kde je spuštěná Služba zápisu síťových zařízení. Toto nastavení podporuje scénář, ve kterém musí žádost o certifikát před přijetím schválit správce CA. Obvykle se používá v prostředích s vysokými nároky na zabezpečení nebo v případech, kdy certifikát nevydává podniková CA, ale samostatná CA. Můžete ho použít taky při testování – umožní vám zkontrolovat nastavení žádosti o certifikát, než ji zpracuje vydávající CA. Toto nastavení používejte v kombinaci s nastavením Zpoždění opakovaného pokusu (minuty).

    • Zpoždění opakovaného pokusu (minuty): Udává interval (v minutách) mezi jednotlivými pokusy o zápis v případě, že používáte schválení správcem CA, než vydávající CA zpracuje žádost o certifikát. Pokud schválení správcem používáte při testování, bude vhodné zadat nízkou hodnotu, abyste poté, co žádost schválíte, nemuseli dlouho čekat, než bude zařízení opakovat žádost o certifikát. Jestliže naopak schválení správcem používáte v provozní síti, bude vhodnější vyšší hodnota, abyste dali správci CA dostatek času na zkontrolování a schválení nebo zamítnutí požadavků čekajících na schválení.

    • Limit obnovení (%): Zadejte procento životnosti certifikátu zbývající v okamžiku, kdy zařízení požádá o obnovení certifikátu.

    • Zprostředkovatel úložiště klíčů (KSP): Určete, kam se má uložit klíč k certifikátu. Vyberte jednu z těchto hodnot:

      • Instalovat do čipu Trusted Platform Module (TPM), pokud existuje: Nainstaluje klíč do čipu TPM. Pokud čip TPM neexistuje, nainstaluje se klíč do poskytovatele úložiště klíčů pro software.

      • Instalovat do čipu Trusted Platform Module (TPM), jinak selhání: Nainstaluje klíč do čipu TPM. Pokud čip TPM neexistuje, instalace se nezdaří.

      • Instalovat do zprostředkovatele úložiště klíčů pro software: Nainstaluje klíč do poskytovatele úložiště klíčů pro software.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Zařízení pro zápis certifikátu: Pokud se profil certifikátu nasazuje do kolekce uživatelů, určete, jestli se má zápis certifikátu povolit jenom v primárním zařízení uživatele, nebo ve všech zařízeních, do kterých se uživatel přihlašuje. Pokud se profil certifikátu nasazuje do kolekce zařízení, určete, jestli se má zápis certifikátu povolit jenom pro primárního uživatele zařízení, nebo pro všechny uživatele, kteří se do zařízení přihlašují.

  2. Na stránce Vlastnosti certifikátu v Průvodci vytvořením profilu certifikátu zadejte následující informace:

    • Název šablony certifikátu: Klikněte na Procházet a zvolte název šablony certifikátu, kterou má Služba zápisu síťových zařízení používat a která byla přidaná k vydávající CA. Aby bylo možné procházet šablony certifikátů, musí mít uživatelský účet, který používáte ke spuštění konzoly Configuration Manager, oprávnění číst šablonu certifikátu. Pokud nemůžete použít možnost Procházet, zadejte název šablony certifikátu ručně.

      System_CAPS_importantDůležité

      Jestliže název šablony certifikátu obsahuje i jiné znaky než ASCII (třeba znaky čínské abecedy), certifikát se nenasadí. Abyste měli jistotu, že se certifikát nasadí, vytvořte nejdřív na CA kopii šablony certifikátu a přejmenujte ji tak, aby nový název obsahoval jenom znaky ASCII.

      Podle toho, jestli šablonu certifikátu vyhledáváte, nebo zadáváte její název ručně, nezapomeňte na následující zásady:

      • Pokud název šablony certifikátu vyhledáváte, některá pole na stránce se vyplní automaticky ze šablony certifikátu. V některých případech se tyto hodnoty nedají změnit, dokud nevyberete jinou šablonu certifikátu.

      • Pokud zadáváte název šablony certifikátu ručně, ujistěte se, že přesně odpovídá některé ze šablon certifikátů obsažených v registru serveru, kde je spuštěná Služba zápisu síťových zařízení. Zadat musíte název šablony certifikátu, a ne její zobrazované jméno.

        Názvy šablon certifikátu najdete při procházení tohoto klíče: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Šablony certifikátů se zobrazí jako hodnoty položek EncryptionTemplate, GeneralPurposeTemplate a SignatureTemplate. Výchozí hodnota všech tří šablon certifikátů je IPSECIntermediateOffline a je namapovaná na zobrazované jméno šablony IPSec (žádost offline).

        System_CAPS_warningUpozornění

        Vzhledem k tomu, že nástroj Configuration Manager nemůže ověřit obsah šablony certifikátu, pokud jste její název zadali ručně, může se stát, že vyberete možnosti, které šablona certifikátu nepodporuje a které způsobí selhání žádosti o certifikát. V takovém případě se v souboru CPR.log zobrazí chybová zpráva k souboru w3wp.exe s informací, že název šablony v žádosti o podepsání certifikátu (CSR) a ověřovací test si neodpovídají.

        Pokud ručně zadáte název šablony certifikátu, která je určená pro hodnotu GeneralPurposeTemplate, je potřeba pro tento profil certifikátu zaškrtnout možnosti Šifrování klíče a Digitální podpis. Jestliže ale chcete pro tento profil certifikátu povolit jenom možnost Šifrování klíče, zadejte název šablony certifikátu pro klíč EncryptionTemplate. Naopak v případě, že chcete pro tento profil certifikátu povolit pouze možnost Digitální podpis, zadejte název šablony certifikátu pro klíč SignatureTemplate.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Typ certifikátu: Určete, zda se certifikát nasazuje do zařízení, nebo pro uživatele.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Formát názvu subjektu: Ze seznamu vyberte způsob, jak má nástroj Configuration Manager automaticky vytvořit název subjektu v žádosti o certifikát. Pokud je certifikát určený pro uživatele, můžete do názvu subjektu zahrnout taky e-mailovou adresu uživatele.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Alternativní název subjektu: Určete způsob, jak má nástroj Configuration Manager automaticky vytvořit hodnoty pro alternativní název subjektu (SAN) v žádosti o certifikát. Pokud jste zvolili třeba uživatelský typ certifikátu, můžete do alternativního názvu subjektu zahrnout hlavní název uživatele (UPN).

      Tip

      Pokud bude klientský certifikát sloužit k ověřování na server NPS (Network Policy Server), musíte alternativní název subjektu nastavit na UPN.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

      System_CAPS_importantDůležité

      Zařízení se systémem iOS podporují v certifikátech SCEP omezené formáty názvu subjektu a alternativní názvy subjektu. Pokud zadáte nepodporovaný formát, certifikáty se do zařízení se systémem iOS nezapíšou. Pokud konfigurujete certifikát SCEP, který se má nasadit do zařízení se systémem iOS, použijte pro Formát názvu subjektuBěžný název a pro Alternativní název subjektu možnost Název DNS, E-mailová adresa nebo Hlavní název uživatele.

    • Období platnosti certifikátu: Pokud jste provedli příkaz certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE na vydávající CA, která umožňuje nastavit vlastní období platnosti certifikátu, můžete zadat dobu zbývající do vypršení platnosti certifikátu. Další informace o tomto příkazu najdete v části Krok 1: Instalace a nastavení Služby zápisu síťových zařízení a závislostí v tématu Konfigurování profilů certifikátů v nástroji Configuration Manager.

      Zadat můžete hodnotu nižší, než je období platnosti zadané v šabloně certifikátu, ne však vyšší. Pokud je třeba období platnosti certifikátu v šabloně certifikátu dva roky, můžete zadat hodnotu jeden rok, ale ne pět let. Hodnota musí být zároveň nižší než zbývající doba platnosti certifikátu vydávající CA.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Použití klíče: Zadejte možnosti použití klíče pro certifikát. Vybírat můžete z těchto možností:

      • Šifrování klíče: Umožňuje výměnu klíče jenom v případě, že je klíč zašifrovaný.

      • Digitální podpis: Umožňuje výměnu klíče jenom v případě, že se k ochraně klíče využívá digitální podpis.

        Pokud jste šablonu certifikátu vybrali pomocí funkce Procházet, možná toto nastavení nebudete moct změnit, dokud nevyberte jinou šablonu certifikátu.

      Šablona certifikátu, kterou jste vybrali, musí být nakonfigurovaná pomocí jedné z výše uvedených možností použití klíče (případně obou). Pokud to tak není, zobrazí se v souboru protokolu bodu registrace certifikátu Crp.log zpráva Použití klíče v CSR a ověřovacím testu se neshoduje.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Velikost klíče (bity): Vyberte velikost klíče v bitech.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Rozšířené použití klíče: Kliknutím na možnost Vybrat přidejte hodnoty pro zamýšlený účel certifikátu. Ve většině případů certifikát vyžaduje Ověření klienta, aby se mohl uživatel nebo zařízení ověřit na serveru. Můžete ale přidat jakákoli další použití klíče podle potřeby.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

    • Algoritmus hash: Vyberte jeden z dostupných typů algoritmu hash, který chcete s tímto certifikátem použít. Vyberte nejsilnější úroveň zabezpečení, kterou připojované zařízení podporuje.

      Poznámka

      SHA-1 podporuje pouze SHA-1.SHA-2 podporuje SHA-256, SHA-384 a SHA-512.SHA-3 podporuje pouze SHA-3.

    • Kořenový certifikát certifikační autority: Kliknutím na možnost Vybrat zvolte profil certifikátu od kořenové certifikační autority, který jste nakonfigurovali a nasadili pro uživatele nebo zařízení. Tento certifikát certifikační autority musí být kořenovým certifikátem pro certifikační autoritu, která vydává certifikát konfigurovaný v tomto profilu.

      System_CAPS_importantDůležité

      Pokud zadáte certifikát od kořenové certifikační autority, který není pro uživatele nebo zařízení nasazený, nástroj Configuration Manager nespustí požadavek na certifikát, který v tomto profilu certifikátu konfigurujete.

      Poznámka

      Pokud po nasazení certifikátu tuto hodnotu změníte, starý certifikát se odstraní a vyžádá se nový.

Krok 4: Konfigurace podporovaných platforem profilu certifikátu

Pomocí následujícího postupu určíte operační systémy, ve kterých budete instalovat profil certifikátu.

Postup při určení podporovaných platforem profilu certifikátu

  • Na stránce Podporované platformy v Průvodci vytvořením profilu certifikátu vyberte operační systémy, ve kterých chcete instalovat profil certifikátu. Případně můžete kliknutím na možnost Vybrat vše nainstalovat profil certifikátu do všech dostupných operačních systémů.

Krok 5: Dokončení průvodce

Na stránce Souhrn v průvodci zkontrolujte akce, které se mají provést, a pak kroky průvodce dokončete. Nový profil certifikátu se zobrazí v uzlu Profily certifikátů v pracovním prostoru Prostředky a kompatibilita a je připravený k nasazení pro uživatele nebo zařízení. Další informace naleznete v části Nasazení profilů certifikátů v nástroji Configuration Manager.

Viz také

Operace a správa profilů certifikátů v nástroji Configuration Manager