Compartir a través de

  • Artículo

Requisitos previos de perfiles de certificado en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

La información de este tema sólo se aplica a las versiones System Center 2012 R2 Configuration Manager.

Los perfiles de certificado en System Center 2012 Configuration Manager tienen dependencias externas y dependencias en el producto.

Dependencias externas a Configuration Manager

Dependencia

Más información

Una entidad de certificación (CA) emisora empresarial que ejecuta Servicios de certificados de Active Directory (AD CS).

Para revocar certificados, la CA emisora debe configurarse con permiso de emisión y administración de certificados para el servidor de sitio en el nivel superior de la jerarquía.

Nota

Se admiten las solicitudes de certificado de aprobación del administrador. Sin embargo, las plantillas de certificado que se usan para emitir certificados deben configurarse como Proporcionado por el solicitante para el sujeto del certificado a fin de que Configuration Manager pueda suministrar este valor automáticamente.

Para obtener más información acerca de Servicios de certificados de Active Directory, consulte la documentación de Windows Server:

Debe ejecutar el rol Servicio de inscripción de dispositivos de red para Servicios de certificados de Active Directory en Windows Server 2012 R2.

Además:

  • No se admiten números de puerto que no sean TCP 443 (para HTTPS) o TCP 80 (para HTTP) para la comunicación entre el cliente y el Servicio de inscripción de dispositivos de red.

  • El servidor que ejecuta el Servicio de inscripción de dispositivos de red debe estar en un servidor distinto al de la CA emisora.

Configuration Manager se comunica con el Servicio de inscripción de dispositivos de red en Windows Server 2012 R2 para generar y comprobar las solicitudes del Protocolo de inscripción de certificados simple (SCEP).

Si se van a emitir certificados a usuarios o dispositivos que se conectan desde Internet, como dispositivos móviles administrados por Microsoft Intune, los dispositivos deben poder tener acceso al servidor que ejecuta el Servicio de inscripción de dispositivos de red desde Internet. Por ejemplo, puede instalar el servidor en una red perimetral (también conocida como subred filtrada, zona desmilitarizada o DMZ).

Si hay un firewall entre el servidor que ejecuta el Servicio de inscripción de dispositivos de red y la CA emisora, debe configurar el firewall para que permita el tráfico de comunicación (DCOM) entre los dos servidores. Este requisito de firewall también se aplica al servidor que ejecuta el servidor de sitio de Configuration Manager y a la CA emisora, para que Configuration Manager pueda revocar certificados.

Si el Servicio de inscripción de dispositivos de red se configura para requerir SSL (es una práctica de seguridad recomendada), asegúrese de que los dispositivos que se conectan puedan acceder a la lista de revocación de certificados (CRL) para validar el certificado del servidor.

Para obtener más información sobre el Servicio de inscripción de dispositivos de red en Windows Server 2012 R2, consulte Using a Policy Module with the Network Device Enrollment Service (Utilitzación de un módulo de directivas con el Servicio de inscripción de dispositivos de red).

Si la CA emisora ejecuta Windows Server 2008 R2, el servidor requiere una revisión para las solicitudes de renovación de SCEP.

Si la revisión no está instalada en el equipo de la CA emisora, instálela. Para obtener más información, consulte el artículo : La solicitud de renovación de un certificado SCEP produce un error en Windows Server 2008 R2 si el certificado se administra mediante NDES en Microsoft Knowledge Base.

Un certificado de autenticación de cliente PKI y un certificado de CA raíz exportado.

Este certificado autentica el servidor que ejecuta el Servicio de inscripción de dispositivos de red en Configuration Manager.

Para obtener más información, vea Requisitos de certificados PKI para Configuration Manager.

Sistemas operativos admitidos de dispositivo.

Puede implementar perfiles de certificado en dispositivos que ejecutan los sistemas operativos iOS, Windows 8.1, Windows RT 8.1 y Android.

Dependencias de Configuration Manager

Dependencia

Más información

Rol de sistema de sitio de punto de registro de certificado

Para poder usar perfiles de certificado, debe instalar el rol de sistema de sitio de punto de registro de certificado. El rol se comunica con la base de datos de Configuration Manager, el servidor de sitio de Configuration Manager y el módulo de directivas de Configuration Manager.

Para obtener más información acerca de los requisitos del sistema para este rol del sistema de sitio y sobre dónde instalarlo en la jerarquía, consulte:

System_CAPS_importantImportante

El punto de registro de certificado no debe instalarse en el mismo servidor que ejecuta el Servicio de inscripción de dispositivos de red.

El módulo de directivas de Configuration Manager instalado en el servidor que ejecuta el rol Servicio de inscripción de dispositivos de red para Servicios de certificados de Active Directory

Para implementar perfiles de certificado, debe instalar el módulo de directivas de Configuration Manager. Puede encontrar este módulo de directivas en el medio de instalación de Configuration Manager.

Datos de detección

Configuration Manager suministra los valores de nombre alternativo del sujeto y de sujeto de certificado, que se recuperan de la información que se recopila en la detección.

  • Para certificados de usuario: Detección de usuario de Active Directory

  • Para certificados de equipo: Detección de sistemas de Active Directory y detección de redes

Para obtener más información sobre la detección, consulte Planeación de la detección en Configuration Manager.

Permisos de seguridad para administrar perfiles de certificado

Debe tener los siguientes permisos de seguridad para administrar la configuración de acceso de recursos de empresa, como perfiles de certificado, perfiles de Wi-Fi y perfiles de VPN:

  • Para ver y administrar alertas e informes para perfiles de certificado: Crear, Eliminar, Modificar, Modificar informe, Leer y Ejecutar informe para el objeto Alertas.

  • Para crear y administrar perfiles de certificado: Directiva de autor, Modificar informe, Leer y Ejecutar informe para el objeto Perfil de certificado.

  • Para administrar implementaciones de perfil de Wi-Fi, de certificado y de VPN: Implementar directivas de configuración, Modificar alerta de estado de cliente, Leer y Leer recurso para el objeto Recopilación.

  • Para administrar todas las directivas de configuración: Crear, Eliminar, Modificar, Leer y Establecer ámbito de seguridad para el objeto Directiva de configuración.

  • Para ejecutar consultas relacionadas con perfiles de certificado: permiso Leer para el objeto Consulta.

  • Para ver información de perfiles de certificado en la consola de Configuration Manager: permiso Leer para el objeto Sitio.

  • Para ver mensajes de estado para perfiles de certificado: permiso Leer para el objeto Mensajes de estado.

  • Para crear y modificar el perfil de certificado de CA de confianza: Directiva de autor, Modificar informe, Leer y Ejecutar informe para el objeto Perfil de certificado de CA de confianza.

  • Para crear y administrar perfiles de VPN: Directiva de autor, Modificar informe, Leer y Ejecutar informe para el objeto Perfil de VPN.

  • Para crear y administrar perfiles de Wi-Fi: Directiva de autor, Modificar informe, Leer y Ejecutar informe para el objeto Perfil de Wi-Fi.

El rol de seguridad Administrador de acceso de recursos de la compañía incluye estos permisos necesarios para administrar perfiles de certificado en Configuration Manager. Para obtener más información, consulte la sección Configurar la administración basada en roles del tema Configuración de la seguridad para Configuration Manager.