Certificados en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Configuration Manager usa una combinación de certificados digitales de infraestructura de clave pública (PKI) y autofirmados.

Use certificados PKI siempre que sea posible. Para obtener más información, consulte Requisitos de certificados PKI. Cuando Configuration Manager solicite certificados PKI durante la inscripción para dispositivos móviles, use Servicios de dominio de Active Directory y una entidad de certificación empresarial. Para todos los demás certificados PKI, impleméntelos y adminístrelos independientemente de Configuration Manager.

Los certificados PKI son necesarios cuando los equipos cliente se conectan a sistemas de sitio basados en Internet. La puerta de enlace de administración en la nube también requiere certificados. Para obtener más información, consulte Administrar clientes en Internet.

Cuando se usa una PKI, también puede usar IPsec para ayudar a proteger la comunicación de servidor a servidor entre sistemas de sitio en un sitio, entre sitios y para otras transferencias de datos entre equipos. La implementación de IPsec es independiente de Configuration Manager.

Cuando los certificados PKI no están disponibles, Configuration Manager genera automáticamente certificados autofirmados. Algunos certificados de Configuration Manager siempre están autofirmados. En la mayoría de los casos, Configuration Manager administra automáticamente los certificados autofirmados y no es necesario realizar otra acción. Un ejemplo es el certificado de firma del servidor de sitio. Este certificado siempre está autofirmado. Se asegura de que las directivas que los clientes descargan desde el punto de administración se enviaron desde el servidor de sitio y no se manipularon. Como otro ejemplo, al habilitar el sitio para HTTP mejorado, el sitio emite certificados autofirmados a los roles de servidor de sitio.

Importante

A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.

Certificados CNG v3

Configuration Manager admite certificados Cryptography: Next Generation (CNG) v3. Configuration Manager clientes pueden usar un certificado de autenticación de cliente PKI con clave privada en un proveedor de almacenamiento de claves CNG (KSP). Con la compatibilidad con KSP, Configuration Manager clientes admiten claves privadas basadas en hardware, como un KSP de TPM para certificados de autenticación de cliente PKI.

Para obtener más información, consulte Introducción a los certificados CNG v3.

HTTP mejorado

El uso de la comunicación HTTPS se recomienda para todas las rutas de comunicación Configuration Manager, pero es un desafío para algunos clientes debido a la sobrecarga de administración de certificados PKI. La introducción de Microsoft Entra integración reduce algunos de los requisitos de certificado, pero no todos. En su lugar, puede habilitar el sitio para que use HTTP mejorado. Esta configuración admite HTTPS en sistemas de sitio mediante certificados autofirmados, junto con Microsoft Entra identificador para algunos escenarios. No requiere PKI.

Para obtener más información, vea HTTP mejorado.

Certificados para CMG

La administración de clientes en Internet a través de la puerta de enlace de administración en la nube (CMG) requiere el uso de certificados. El número y el tipo de certificados varían en función de los escenarios específicos.

Para obtener más información, consulte Lista de comprobación de configuración de CMG.

Nota:

El punto de distribución basado en la nube (CDP) está en desuso. A partir de la versión 2107, no puede crear nuevas instancias de CDP. Para proporcionar contenido a dispositivos basados en Internet, habilite cmg para distribuir contenido. Para obtener más información, vea Características en desuso.

Para obtener más información sobre los certificados de un CDP, consulte Certificados para el punto de distribución de nube.

Certificado de firma del servidor de sitio

El servidor de sitio siempre crea un certificado autofirmado. Usa este certificado para varios propósitos.

Los clientes pueden obtener de forma segura una copia del certificado de firma del servidor de sitio de Servicios de dominio de Active Directory y de la instalación de inserción de cliente. Si los clientes no pueden obtener una copia de este certificado mediante uno de estos mecanismos, instálelo al instalar el cliente. Este proceso es especialmente importante si la primera comunicación del cliente con el sitio es con un punto de administración basado en Internet. Dado que este servidor está conectado a una red que no es de confianza, es más vulnerable a los ataques. Si no realiza este otro paso, los clientes descargan automáticamente una copia del certificado de firma del servidor de sitio desde el punto de administración.

Los clientes no pueden obtener de forma segura una copia del certificado de servidor de sitio en los siguientes escenarios:

• No se instala el cliente mediante la inserción de cliente y:

  • No ha ampliado el esquema de Active Directory para Configuration Manager.

  • No ha publicado el sitio del cliente para Servicios de dominio de Active Directory.

  • El cliente procede de un bosque que no es de confianza o de un grupo de trabajo.

• Está usando la administración de clientes basada en Internet e instala el cliente cuando está en Internet.

Para obtener más información sobre cómo instalar clientes con una copia del certificado de firma del servidor de sitio, use la propiedad de línea de comandos SMSSIGNCERT . Para obtener más información, vea Acerca de las propiedades y los parámetros de instalación de cliente.

Proveedor de almacenamiento de claves enlazadas por hardware

Configuration Manager usa certificados autofirmados para la identidad del cliente y para ayudar a proteger la comunicación entre el cliente y los sistemas de sitio. Al actualizar el sitio y los clientes a la versión 2107 o posterior, el cliente almacena su certificado desde el sitio en un proveedor de almacenamiento de claves enlazado a hardware (KSP). Este KSP suele ser el módulo de plataforma de confianza (TPM) al menos la versión 2.0. El certificado también se marca como no exportable.

Si el cliente también tiene un certificado basado en PKI, sigue usando ese certificado para la comunicación HTTPS de TLS. Usa su certificado autofirmado para firmar mensajes con el sitio. Para obtener más información, consulte Requisitos de certificados PKI.

Nota:

Para los clientes que también tienen un certificado PKI, la consola de Configuration Manager muestra la propiedad De certificado de cliente como Autofirmado. La propiedad De certificado de cliente del panel de control de cliente muestra PKI.

Al actualizar a la versión 2107 o posterior, los clientes con certificados PKI volverán a crear certificados autofirmados, pero no volverán a registrarse con el sitio. Los clientes sin un certificado PKI volverán a registrarse con el sitio, lo que puede provocar un procesamiento adicional en el sitio. Asegúrese de que el proceso de actualización de clientes permite la aleatoriedad. Si actualiza simultáneamente una gran cantidad de clientes, puede provocar un trabajo pendiente en el servidor de sitio.

Configuration Manager no usa TPMs que se conocen como vulnerables. Por ejemplo, la versión de TPM es anterior a la 2.0. Si un dispositivo tiene un TPM vulnerable, el cliente vuelve a usar un KSP basado en software. El certificado todavía no se puede exportar.

Los medios de implementación del sistema operativo no usan certificados enlazados a hardware, y siguen usando certificados autofirmados desde el sitio. Los medios se crean en un dispositivo que tiene la consola, pero se pueden ejecutar en cualquier cliente.

Para solucionar problemas de comportamientos de certificado, use CertificateMaintenance.log en el cliente.

Siguientes pasos

• Planear certificados PKI en Configuration Manager

• Configurar la seguridad

• Referencia técnica de controles criptográficos