Planear certificados PKI en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Configuration Manager usa certificados digitales basados en la infraestructura de clave pública (PKI) cuando está disponible. El uso de estos certificados se recomienda para una mayor seguridad, pero no es necesario para la mayoría de los escenarios. Debe implementar y administrar estos certificados independientemente de Configuration Manager.
En este artículo se proporciona información sobre los certificados PKI en Configuration Manager para ayudarle a planear la implementación. Para obtener más información general sobre el uso de certificados en Configuration Manager, consulte Certificados en Configuration Manager.
Revocación de certificados PKI
Cuando use certificados PKI con Configuration Manager, planee el uso de una lista de revocación de certificados (CRL). Los dispositivos usan la CRL para comprobar el certificado en el equipo que se conecta. La CRL es un archivo que una entidad de certificación (CA) crea y firma. Tiene una lista de certificados que la ENTIDAD de certificación ha emitido pero revocado. Cuando un administrador de certificados revoca certificados, su huella digital se agrega a la CRL. Por ejemplo, si se sabe o se sospecha que un certificado emitido está en peligro.
Importante
Dado que la ubicación de la CRL se agrega a un certificado cuando una CA lo emite, asegúrese de planear la CRL antes de implementar los certificados PKI que Configuration Manager use.
IIS siempre comprueba la CRL en busca de certificados de cliente y no puede cambiar esta configuración en Configuration Manager. De forma predeterminada, Configuration Manager clientes siempre comprueban la CRL para los sistemas de sitio. Deshabilite esta configuración especificando una propiedad de sitio y especificando una propiedad CCMSetup.
Los equipos que usan la comprobación de revocación de certificados pero no pueden localizar la CRL se comportan como si se revocaran todos los certificados de la cadena de certificación. Este comportamiento se debe a que no pueden comprobar si los certificados están en la lista de revocación de certificados. En este escenario, se produce un error en todas las conexiones que requieren certificados e incluyen la comprobación de CRL. Al validar que la CRL es accesible navegando a su ubicación HTTP, es importante tener en cuenta que el cliente Configuration Manager se ejecuta como SISTEMA LOCAL. Probar la accesibilidad de CRL con un explorador web en un contexto de usuario puede realizarse correctamente, pero es posible que la cuenta de equipo se bloquee al intentar realizar una conexión HTTP a la misma dirección URL de CRL. Por ejemplo, se puede bloquear debido a una solución de filtrado web interna como un proxy. Agregue la dirección URL de CRL a la lista aprobada para cualquier solución de filtrado web.
Comprobar la CRL cada vez que se usa un certificado ofrece más seguridad con respecto al uso de un certificado revocado. Introduce un retraso de conexión y más procesamiento en el cliente. Su organización puede requerir esta comprobación de seguridad para los clientes en Internet o una red que no es de confianza.
Consulte a los administradores de PKI antes de decidir si Configuration Manager clientes deben comprobar la CRL. Cuando se cumplan las dos condiciones siguientes, considere la posibilidad de mantener esta opción habilitada en Configuration Manager:
La infraestructura PKI admite una CRL y se publica donde todos los clientes Configuration Manager pueden localizarla. Estos clientes pueden incluir dispositivos en Internet y otros en bosques que no son de confianza.
El requisito de comprobar la CRL para cada conexión a un sistema de sitio configurado para usar un certificado PKI es mayor que los siguientes requisitos:
- Conexiones más rápidas
- Procesamiento eficaz en el cliente
- El riesgo de que los clientes no puedan conectarse a los servidores si no pueden localizar la CRL
Certificados raíz de confianza PKI
Si los sistemas de sitio IIS usan certificados de cliente PKI para la autenticación de cliente a través de HTTP o para la autenticación de cliente y el cifrado a través de HTTPS, es posible que tenga que importar certificados de CA raíz como una propiedad de sitio. Estos son los dos escenarios:
Los sistemas operativos se implementan mediante Configuration Manager y los puntos de administración solo aceptan conexiones de cliente HTTPS.
Se usan certificados de cliente PKI que no se encadenan a un certificado raíz en el que confían los puntos de administración.
Nota:
Al emitir certificados PKI de cliente desde la misma jerarquía de CA que emite los certificados de servidor que se usan para los puntos de administración, no es necesario especificar este certificado de CA raíz. Sin embargo, si usa varias jerarquías de CA y no está seguro de si confían entre sí, importe la CA raíz para la jerarquía de CA de los clientes.
Si necesita importar certificados de CA raíz para Configuration Manager, expórtelos desde la entidad de certificación emisora o desde el equipo cliente. Si exporta el certificado de la entidad de certificación emisora que también es la entidad de certificación raíz, no exporte la clave privada. Almacene el archivo de certificado exportado en una ubicación segura para evitar alteraciones. Necesita acceso al archivo al configurar el sitio. Si accede al archivo a través de la red, asegúrese de que la comunicación está protegida contra alteraciones mediante IPsec.
Si se renueva cualquier certificado de CA raíz que importe, importe el certificado renovado.
Estos certificados de ca raíz importados y el certificado de CA raíz de cada punto de administración crean la lista de emisores de certificados. Configuration Manager los equipos usan esta lista de las siguientes maneras:
Cuando los clientes se conectan a puntos de administración, el punto de administración comprueba que el certificado de cliente está encadenado a un certificado raíz de confianza en la lista de emisores de certificados del sitio. Si no es así, se rechaza el certificado y se produce un error en la conexión PKI.
Cuando los clientes seleccionan un certificado PKI y tienen una lista de emisores de certificados, seleccionan un certificado que se encadena a un certificado raíz de confianza en la lista de emisores de certificados. Si no hay ninguna coincidencia, el cliente no selecciona un certificado PKI. Para obtener más información, consulte Selección de certificados de cliente PKI.
Selección de certificado de cliente PKI
Si los sistemas de sitio IIS usan certificados de cliente PKI para la autenticación de cliente a través de HTTP o para la autenticación de cliente y el cifrado a través de HTTPS, planee cómo los clientes de Windows seleccionan el certificado que se usará para Configuration Manager.
Nota:
Algunos dispositivos no admiten un método de selección de certificados. En su lugar, seleccionan automáticamente el primer certificado que cumple los requisitos del certificado. Por ejemplo, los clientes de equipos macOS y dispositivos móviles no admiten un método de selección de certificados.
En muchos casos, la configuración y el comportamiento predeterminados son suficientes. El cliente Configuration Manager en equipos Windows filtra varios certificados mediante estos criterios en este orden:
Lista de emisores de certificados: el certificado se encadena a una CA raíz de confianza para el punto de administración.
El certificado está en el almacén de certificados predeterminado de Personal.
El certificado es válido, no revocado y no expirado. La comprobación de validez también comprueba que la clave privada es accesible.
El certificado tiene funcionalidad de autenticación de cliente.
El nombre del firmante del certificado contiene el nombre del equipo local como subcadena.
El certificado tiene el período de validez más largo.
Configure los clientes para que usen la lista de emisores de certificados mediante los mecanismos siguientes:
Publíquelo con Configuration Manager información del sitio en Servicios de dominio de Active Directory.
Instale clientes mediante la inserción de cliente.
Los clientes lo descargan desde el punto de administración después de asignarlos correctamente a su sitio.
Especifíquelo durante la instalación del cliente como una propiedad de CCMSetup client.msi de CCMCERTISSUERS.
Si los clientes no tienen la lista de emisores de certificados cuando se instalan por primera vez y aún no están asignados al sitio, omiten esta comprobación. Cuando los clientes tienen la lista de emisores de certificados y no tienen un certificado PKI que se encadena a un certificado raíz de confianza en la lista de emisores de certificados, se produce un error en la selección de certificados. Los clientes no continúan con los demás criterios de selección de certificados.
En la mayoría de los casos, el cliente Configuration Manager identifica correctamente un certificado PKI único y adecuado. Cuando este comportamiento no es el caso, en lugar de seleccionar el certificado en función de la funcionalidad de autenticación de cliente, puede configurar dos métodos de selección alternativos:
Coincidencia de cadena parcial en el nombre del firmante del certificado de cliente. Este método no distingue mayúsculas de minúsculas. Es adecuado si usa el nombre de dominio completo (FQDN) de un equipo en el campo asunto y quiere que la selección del certificado se base en el sufijo de dominio, por ejemplo , contoso.com. Puede usar este método de selección para identificar cualquier cadena de caracteres secuenciales en el nombre del firmante del certificado que diferencia el certificado de otros del almacén de certificados de cliente.
Nota:
No se puede usar la coincidencia de cadena parcial con el nombre alternativo del firmante (SAN) como configuración de sitio. Aunque puede especificar una coincidencia de cadena parcial para la SAN mediante CCMSetup, las propiedades del sitio la sobrescribirán en los escenarios siguientes:
- Los clientes recuperan la información del sitio que se publica en Servicios de dominio de Active Directory.
- Los clientes se instalan mediante la instalación de inserción de cliente.
Use una coincidencia de cadena parcial en la SAN solo cuando instale clientes manualmente y cuando no recuperen información del sitio de Servicios de dominio de Active Directory. Por ejemplo, estas condiciones se aplican a los clientes solo de Internet.
Coincidencia en los valores de atributo de nombre de firmante del certificado de cliente o en los valores de atributo de nombre alternativo de firmante (SAN). Este método distingue mayúsculas de minúsculas. Es adecuado si usa un nombre distintivo X500 o identificadores de objeto equivalentes (IDO) en cumplimiento con RFC 3280 y quiere que la selección del certificado se base en los valores de atributo. Solo puede especificar los atributos y sus valores que necesita para identificar o validar de forma única el certificado y diferenciar el certificado de otros del almacén de certificados.
En la tabla siguiente se muestran los valores de atributo que Configuration Manager admite para los criterios de selección de certificados de cliente:
Atributo OID | Atributo de nombre distintivo | Definición de atributo |
---|---|---|
0.9.2342.19200300.100.1.25 | DC | Componente de dominio |
1.2.840.113549.1.9.1 | E o correo electrónico | Dirección de correo electrónico |
2.5.4.3 | CN | Nombre común |
2.5.4.4 | SN | Nombre de sujeto |
2.5.4.5 | SERIALNUMBER | Número de serie |
2.5.4.6 | C | Código de país |
2.5.4.7 | L | Localidad |
2.5.4.8 | S o ST | Nombre de estado o provincia |
2.5.4.9 | CALLE | Dirección |
2.5.4.10 | O | Nombre de la organización |
2.5.4.11 | OU | Unidad organizativa |
2.5.4.12 | T o Title | Título |
2.5.4.42 | G o GN o GivenName | Nombre dado |
2.5.4.43 | I o Iniciales | Initials |
2.5.29.17 | (sin valor) | Nombre alternativo del firmante |
Nota:
Si configura cualquiera de los métodos de selección de certificados alternativos anteriores, no es necesario que el nombre del firmante del certificado contenga el nombre del equipo local.
Si se encuentra más de un certificado adecuado después de aplicar los criterios de selección, puede invalidar la configuración predeterminada para seleccionar el certificado que tenga el período de validez más largo. En su lugar, puede especificar que no se seleccione ningún certificado. En este escenario, el cliente no puede comunicarse con sistemas de sitio IIS con un certificado PKI. El cliente envía un mensaje de error a su punto de estado de reserva asignado para avisarle del error de selección de certificado. A continuación, puede cambiar o refinar los criterios de selección de certificados.
A continuación, el comportamiento del cliente depende de si la conexión con errores se realizó a través de HTTPS o HTTP:
Si la conexión errónea era a través de HTTPS: el cliente intenta conectarse a través de HTTP y usa el certificado autofirmado del cliente.
Si la conexión con errores se realizó a través de HTTP: el cliente intenta conectarse de nuevo a través de HTTP mediante el certificado de cliente autofirmado.
Para ayudar a identificar un certificado de cliente PKI único, también puede especificar un almacén personalizado que no sea el predeterminado de Personal en el almacén de equipos . Cree un almacén de certificados personalizado fuera de Configuration Manager. Debe poder implementar certificados en este almacén personalizado y renovarlos antes de que expire el período de validez.
Para obtener más información, consulte Configuración de los valores de los certificados PKI de cliente.
Estrategia de transición para certificados PKI
Las opciones de configuración flexibles de Configuration Manager permiten realizar la transición gradual de clientes y el sitio para usar certificados PKI para ayudar a proteger los puntos de conexión de cliente. Los certificados PKI proporcionan una mejor seguridad y le permiten administrar clientes de Internet.
En primer lugar, este plan presenta certificados PKI para la autenticación solo a través de HTTP y, a continuación, para la autenticación y el cifrado a través de HTTPS. Al seguir este plan para introducir gradualmente estos certificados, se reduce el riesgo de que los clientes no estén administrados. También se beneficiará de la seguridad más alta que admite Configuration Manager.
Debido al número de opciones de configuración y opciones de Configuration Manager, no hay una única manera de realizar la transición de un sitio para que todos los clientes usen conexiones HTTPS. Los pasos siguientes proporcionan instrucciones generales:
Instale el sitio Configuration Manager y configúrelo para que los sistemas de sitio acepten conexiones de cliente a través de HTTPS y HTTP.
Configure la pestaña Seguridad de la comunicación en las propiedades del sitio. Establezca Configuración del sistema de sitio en HTTP o HTTPS y seleccione Usar certificado de cliente PKI (funcionalidad de autenticación de cliente) cuando esté disponible. Para obtener más información, consulte Configuración de los valores de los certificados PKI de cliente.
Pilote un lanzamiento de PKI para certificados de cliente. Para obtener un ejemplo de implementación, consulte Implementación del certificado de cliente para equipos Windows.
Instale clientes mediante el método de instalación de inserción de cliente. Para obtener más información, vea Cómo instalar Configuration Manager clientes mediante la inserción de cliente.
Supervise la implementación y el estado del cliente mediante los informes y la información de la consola de Configuration Manager.
Realice un seguimiento del número de clientes que usan un certificado PKI de cliente mediante la visualización de la columna Certificado de cliente en el área de trabajo Activos y compatibilidad , nodo Dispositivos .
Nota:
Para los clientes que también tienen un certificado PKI, la consola de Configuration Manager muestra la propiedad Certificado de cliente como Autofirmado. La propiedad De certificado de cliente del panel de control de cliente muestra PKI.
También puede implementar la herramienta de evaluación de preparación https Configuration Manager (CMHttpsReadiness.exe) en los equipos. A continuación, use los informes para ver cuántos equipos pueden usar un certificado PKI de cliente con Configuration Manager.
Nota:
Al instalar el cliente Configuration Manager, instala la herramienta CMHttpsReadiness.exe en la
%windir%\CCM
carpeta . Las siguientes opciones de línea de comandos están disponibles al ejecutar esta herramienta:-
/Store:<Certificate store name>
: esta opción es la misma que la propiedad client.msi CCMCERTSTORE :/Issuers:<Case-sensitive issuer common name>
esta opción es la misma que la propiedad client.msi CCMCERTISSUERS . -
/Criteria:<Selection criteria>
: esta opción es la misma que la propiedad client.msi CCMCERTSEL -
/SelectFirstCert
: esta opción es la misma que la propiedad client.msi CCMFIRSTCERT
La herramienta genera información en CMHttpsReadiness.log en el
CCM\Logs
directorio.Para obtener más información, vea Acerca de las propiedades de instalación de cliente.
-
Cuando esté seguro de que suficientes clientes usan correctamente su certificado PKI de cliente para la autenticación a través de HTTP, siga estos pasos:
Implemente un certificado de servidor web PKI en un servidor miembro que ejecute otro punto de administración para el sitio y configure ese certificado en IIS. Para obtener más información, consulte Implementación del certificado de servidor web para sistemas de sitio que ejecutan IIS.
Instale el rol de punto de administración en este servidor. Configure la opción Conexiones de cliente en las propiedades del punto de administración para HTTPS.
Supervise y compruebe que los clientes que tienen un certificado PKI usan el nuevo punto de administración mediante HTTPS. Puede usar el registro de IIS o los contadores de rendimiento para comprobarlo.
Vuelva a configurar otros roles de sistema de sitio para usar conexiones de cliente HTTPS. Si desea administrar clientes en Internet, asegúrese de que los sistemas de sitio tengan un FQDN de Internet. Configure puntos de administración y puntos de distribución individuales para aceptar conexiones de cliente desde Internet.
Importante
Antes de configurar roles de sistema de sitio para aceptar conexiones desde Internet, revise la información de planeamiento y los requisitos previos para la administración de clientes basada en Internet. Para obtener más información, consulte Comunicaciones entre puntos de conexión.
Amplíe el lanzamiento de certificados PKI para clientes y sistemas de sitio que ejecutan IIS. Configure los roles de sistema de sitio para conexiones de cliente HTTPS y conexiones a Internet, según sea necesario.
Para obtener la mayor seguridad: cuando esté seguro de que todos los clientes usan un certificado PKI de cliente para la autenticación y el cifrado, cambie las propiedades del sitio para que solo usen HTTPS.