Freigeben über


Einführung in Zertifikatprofile in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Wichtig

Ab Version 2203 wird dieses Feature für den Zugriff auf Unternehmensressourcen nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.

Zertifikatprofile können mit Active Directory-Zertifikatdiensten und der Rolle "Registrierungsdienst für Netzwerkgeräte" (NDES) verwendet werden. Erstellen und bereitstellen Sie Authentifizierungszertifikate für verwaltete Geräte, damit Benutzer problemlos auf Organisationsressourcen zugreifen können. Sie können z. B. Zertifikatprofile erstellen und bereitstellen, um die erforderlichen Zertifikate bereitzustellen, damit Benutzer eine Verbindung mit VPN- und Drahtlosverbindungen herstellen können.

Zertifikatprofile können Benutzergeräte automatisch für den Zugriff auf Organisationsressourcen wie Wi-Fi Netzwerke und VPN-Server konfigurieren. Benutzer können auf diese Ressourcen zugreifen, ohne Zertifikate manuell zu installieren oder einen Out-of-Band-Prozess zu verwenden. Zertifikatprofile helfen beim Schützen von Ressourcen, da Sie sicherere Einstellungen verwenden können, die von Ihrer Public Key-Infrastruktur (PKI) unterstützt werden. Fordern Sie beispielsweise die Serverauthentifizierung für alle Wi-Fi- und VPN-Verbindungen an, da Sie die erforderlichen Zertifikate auf den verwalteten Geräten bereitgestellt haben.

Zertifikatprofile bieten die folgenden Verwaltungsfunktionen:

  • Zertifikatregistrierung und -verlängerung von einer Zertifizierungsstelle (CA) für Geräte, auf denen verschiedene Betriebssystemtypen und -versionen ausgeführt werden. Diese Zertifikate können dann für Wi-Fi- und VPN-Verbindungen verwendet werden.

  • Bereitstellung von Zertifikaten der vertrauenswürdigen Stammzertifizierungsstelle und Zertifikaten der Zwischenzertifizierungsstelle. Diese Zertifikate konfigurieren eine Vertrauenskette auf Geräten für VPN- und Wi-Fi-Verbindungen, wenn die Serverauthentifizierung erforderlich ist.

  • Überwachen und Melden der installierten Zertifikate.

Beispiel 1: Alle Mitarbeiter müssen eine Verbindung mit Wi-Fi Hotspots an mehreren Bürostandorten herstellen. Um eine einfache Benutzerverbindung zu ermöglichen, stellen Sie zuerst die Zertifikate bereit, die für die Wlan-Verbindung erforderlich sind. Stellen Sie dann Wi-Fi Profile bereit, die auf das Zertifikat verweisen.

Beispiel 2: Sie verfügen über eine PKI. Sie möchten zu einer flexibleren, sichereren Methode zum Bereitstellen von Zertifikaten wechseln. Benutzer müssen von ihren persönlichen Geräten aus auf Organisationsressourcen zugreifen, ohne die Sicherheit zu beeinträchtigen. Konfigurieren Sie Zertifikatprofile mit Einstellungen und Protokollen, die für die jeweilige Geräteplattform unterstützt werden. Die Geräte können diese Zertifikate dann automatisch von einem Registrierungsserver mit Internetzugriff anfordern. Konfigurieren Sie dann VPN-Profile für die Verwendung dieser Zertifikate, damit das Gerät auf Organisationsressourcen zugreifen kann.

Typen

Es gibt drei Arten von Zertifikatprofilen:

  • Vertrauenswürdiges Zertifizierungsstellenzertifikat: Stellen Sie ein vertrauenswürdiges Stammzertifizierungsstellen- oder Zwischenzertifizierungsstellenzertifikat bereit. Diese Zertifikate bilden eine Vertrauenskette, wenn das Gerät einen Server authentifizieren muss.

  • Simple Certificate Enrollment Protocol (SCEP): Fordern Sie ein Zertifikat für ein Gerät oder einen Benutzer mithilfe des SCEP-Protokolls an. Für diesen Typ ist die Rolle NDES (Network Device Enrollment Service) auf einem Server erforderlich, auf dem Windows Server 2012 R2 oder höher ausgeführt wird.

    Um ein SCEP-Zertifikatprofil (Simple Certificate Enrollment Protocol) zu erstellen, erstellen Sie zuerst ein Zertifikatprofil für vertrauenswürdige Zertifizierungsstellen .

  • Persönlicher Informationsaustausch (PFX): Fordern Sie ein PFX-Zertifikat (auch als PKCS #12 bezeichnet) für ein Gerät oder einen Benutzer an. Es gibt zwei Methoden zum Erstellen von PFX-Zertifikatprofilen:

    Hinweis

    Configuration Manager aktiviert dieses optionale Feature nicht standardmäßig. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden können. Weitere Informationen finden Sie unter Aktivieren optionaler Features aus Updates.

    Sie können Microsoft oder Entrust als Zertifizierungsstellen für Pfx-Zertifikate (Personal Information Exchange) verwenden.

Anforderungen

Um Zertifikatprofile bereitzustellen, die SCEP verwenden, installieren Sie den Zertifikatregistrierungspunkt auf einem Standortsystemserver. Installieren Sie außerdem ein Richtlinienmodul für NDES, das Configuration Manager-Richtlinienmodul, auf einem Server, auf dem Windows Server 2012 R2 oder höher ausgeführt wird. Für diesen Server ist die Rolle Active Directory-Zertifikatdienste erforderlich. Außerdem ist ein funktionierendes NDES erforderlich, auf das die Geräte zugreifen können, auf die die Zertifikate erforderlich sind. Wenn Sich Ihre Geräte für Zertifikate aus dem Internet registrieren müssen, muss über das Internet auf Ihren NDES-Server zugegriffen werden können. Sie können beispielsweise Azure-Anwendung Proxy verwenden, um datenverkehrssicher über das Internet an den NDES-Server zu aktivieren.

PFX-Zertifikate erfordern auch einen Zertifikatregistrierungspunkt. Geben Sie außerdem die Zertifizierungsstelle für das Zertifikat und die entsprechenden Anmeldeinformationen für den Zugriff an. Sie können entweder Microsoft oder Entrust als Zertifizierungsstellen angeben.

Weitere Informationen dazu, wie NDES ein Richtlinienmodul unterstützt, damit Configuration Manager Zertifikate bereitstellen können, finden Sie unter Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte.

Abhängig von den Anforderungen unterstützt Configuration Manager die Bereitstellung von Zertifikaten in verschiedenen Zertifikatspeichern auf verschiedenen Gerätetypen und Betriebssystemen. Die folgenden Geräte und Betriebssysteme werden unterstützt:

  • Windows 10

  • Windows 10 Mobile

  • Windows 8.1

  • Windows Phone 8.1

Hinweis

Verwenden Sie Configuration Manager lokalen MDM, um Windows Phone 8.1 und Windows 10 Mobile zu verwalten. Weitere Informationen finden Sie unter Lokales MDM.

Ein typisches Szenario für Configuration Manager ist die Installation vertrauenswürdiger Stammzertifizierungsstellenzertifikate, um Wi-Fi und VPN-Server zu authentifizieren. Typische Verbindungen verwenden die folgenden Protokolle:

  • Authentifizierungsprotokolle: EAP-TLS, EAP-TTLS und PEAP
  • VPN-Tunnelprotokolle: IKEv2, L2TP/IPsec und Cisco IPsec

Auf dem Gerät muss ein Zertifikat der Unternehmensstammzertifizierungsstelle installiert sein, bevor das Gerät Zertifikate mithilfe eines SCEP-Zertifikatprofils anfordern kann.

Sie können Einstellungen in einem SCEP-Zertifikatprofil angeben, um angepasste Zertifikate für verschiedene Umgebungen oder Konnektivitätsanforderungen anzufordern. Der Assistent zum Erstellen von Zertifikatprofilen verfügt über zwei Seiten für Registrierungsparameter. Die erste, DIE SCEP-Registrierung, enthält Einstellungen für die Registrierungsanforderung und den Speicherort, an dem das Zertifikat installiert werden soll. Die zweite, Zertifikateigenschaften, beschreibt das angeforderte Zertifikat selbst.

Bereitstellen

Wenn Sie ein SCEP-Zertifikatprofil bereitstellen, verarbeitet der Configuration Manager Client die Richtlinie. Anschließend wird ein SCEP-Anforderungskennwort vom Verwaltungspunkt angefordert. Das Gerät erstellt ein öffentliches/privates Schlüsselpaar und generiert eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Diese Anforderung wird an den NDES-Server gesendet. Der NDES-Server leitet die Anforderung über das NDES-Richtlinienmodul an das Standortsystem des Zertifikatregistrierungspunkts weiter. Der Zertifikatregistrierungspunkt überprüft die Anforderung, überprüft das SCEP-Abfragekennwort und überprüft, ob die Anforderung nicht manipuliert wurde. Anschließend wird die Anforderung genehmigt oder abgelehnt. Wenn dies genehmigt wird, sendet der NDES-Server die Signaturanforderung zur Signatur an die verbundene Zertifizierungsstelle (ZS). Die Zertifizierungsstelle signiert die Anforderung und gibt dann das Zertifikat an das anfordernde Gerät zurück.

Stellen Sie Zertifikatprofile für Benutzer- oder Gerätesammlungen bereit. Sie können den Zielspeicher für jedes Zertifikat angeben. Anwendbarkeitsregeln bestimmen, ob das Gerät das Zertifikat installieren kann.

Wenn Sie ein Zertifikatprofil für eine Benutzersammlung bereitstellen, bestimmt die Affinität zwischen Benutzer und Gerät , welches der Benutzergeräte die Zertifikate installiert. Wenn Sie ein Zertifikatprofil mit einem Benutzerzertifikat für eine Gerätesammlung bereitstellen, werden die Zertifikate standardmäßig von jedem primären Gerät des Benutzers installiert. Um das Zertifikat auf einem der Geräte der Benutzer zu installieren, ändern Sie dieses Verhalten auf der Seite SCEP-Registrierung des Assistenten zum Erstellen von Zertifikatprofilen. Wenn sich die Geräte in einer Arbeitsgruppe befinden, stellt Configuration Manager keine Benutzerzertifikate bereit.

Überwachen

Sie können Zertifikatprofilbereitstellungen überwachen, indem Sie Konformitätsergebnisse oder Berichte anzeigen. Weitere Informationen finden Sie unter Überwachen von Zertifikatprofilen.

Automatische Sperrung

Configuration Manager werden Benutzer- und Computerzertifikate, die unter den folgenden Umständen mithilfe von Zertifikatprofilen bereitgestellt wurden, automatisch widerrufen:

  • Das Gerät wird aus der Configuration Manager-Verwaltung außer Betrieb genommen.

  • Das Gerät wird von der Configuration Manager-Hierarchie blockiert.

Zum Widerrufen der Zertifikate sendet der Standortserver einen Sperrbefehl an die ausstellende Zertifizierungsstelle. Der Grund für den Widerruf ist die Einstellung des Betriebs.

Hinweis

Um ein Zertifikat ordnungsgemäß zu widerrufen, benötigt das Computerkonto für den Standort der obersten Ebene in der Hierarchie die Berechtigung zum Ausstellen und Verwalten von Zertifikaten auf der Zertifizierungsstelle.

Um die Sicherheit zu verbessern, können Sie auch ZS-Manager auf der Zertifizierungsstelle einschränken. Erteilen Sie diesem Konto dann nur Berechtigungen für die spezifische Zertifikatvorlage, die Sie für die SCEP-Profile auf der Website verwenden.

Nächste Schritte