Planifier les certificats PKI dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Configuration Manager utilise des certificats numériques basés sur l’infrastructure à clé publique (PKI) lorsqu’ils sont disponibles. L’utilisation de ces certificats est recommandée pour une sécurité accrue, mais pas obligatoire pour la plupart des scénarios. Vous devez déployer et gérer ces certificats indépendamment de Configuration Manager.
Cet article fournit des informations sur les certificats PKI dans Configuration Manager pour vous aider à planifier votre implémentation. Pour plus d’informations générales sur l’utilisation des certificats dans Configuration Manager, consultez Certificats dans Configuration Manager.
Révocation de certificats PKI
Lorsque vous utilisez des certificats PKI avec Configuration Manager, planifiez l’utilisation d’une liste de révocation de certificats (CRL). Les appareils utilisent la liste de révocation de certificats pour vérifier le certificat sur l’ordinateur qui se connecte. La liste de révocation de certificats est un fichier qu’une autorité de certification crée et signe. Il contient une liste de certificats que l’autorité de certification a émis mais révoqués. Lorsqu’un administrateur de certificat révoque des certificats, son empreinte numérique est ajoutée à la liste de révocation de certificats. Par exemple, si un certificat émis est connu ou suspecté d’être compromis.
Importante
Étant donné que l’emplacement de la liste de révocation de certificats est ajouté à un certificat lorsqu’une autorité de certification l’émet, veillez à planifier la liste de révocation de certificats avant de déployer les certificats PKI que Configuration Manager utilise.
IIS vérifie toujours la liste de révocation des certificats clients, et vous ne pouvez pas modifier cette configuration dans Configuration Manager. Par défaut, Configuration Manager clients case activée toujours la liste de révocation de certificats pour les systèmes de site. Désactivez ce paramètre en spécifiant une propriété de site et en spécifiant une propriété CCMSetup.
Les ordinateurs qui utilisent la vérification de la révocation de certificats mais qui ne peuvent pas localiser la liste de révocation de certificats se comportent comme si tous les certificats de la chaîne de certification ont été révoqués. Ce comportement est dû au fait qu’ils ne peuvent pas vérifier si les certificats figurent dans la liste de révocation de certificats. Dans ce scénario, toutes les connexions échouent qui nécessitent des certificats et incluent la vérification de la liste de révocation de certificats. Lorsque vous vérifiez que votre liste de révocation de certificats est accessible en accédant à son emplacement HTTP, il est important de noter que le client Configuration Manager s’exécute en tant que SYSTÈME LOCAL. Le test de l’accessibilité de la liste de révocation de certificats avec un navigateur web dans un contexte utilisateur peut réussir, mais le compte d’ordinateur peut être bloqué lors de la tentative d’établir une connexion HTTP à la même URL de liste de révocation de certificats. Par exemple, il peut être bloqué en raison d’une solution de filtrage web interne comme un proxy. Ajoutez l’URL de liste de révocation de certificats à la liste approuvée pour toutes les solutions de filtrage web.
La vérification de la liste de révocation de certificats chaque fois qu’un certificat est utilisé offre plus de sécurité par rapport à l’utilisation d’un certificat révoqué. Il introduit un délai de connexion et un traitement plus important sur le client. Votre organization peut nécessiter cette case activée de sécurité pour les clients sur Internet ou un réseau non approuvé.
Consultez vos administrateurs pKI avant de décider si Configuration Manager clients doivent case activée la liste de révocation de certificats. Lorsque les deux conditions suivantes sont remplies, envisagez de garder cette option activée dans Configuration Manager :
Votre infrastructure PKI prend en charge une liste de révocation de certificats, et elle est publiée où tous les clients Configuration Manager peuvent la localiser. Ces clients peuvent inclure des appareils sur Internet et des appareils dans des forêts non approuvées.
La configuration requise pour case activée la liste de révocation de certificats pour chaque connexion à un système de site configuré pour utiliser un certificat PKI est supérieure aux exigences suivantes :
- Connexions plus rapides
- Traitement efficace sur le client
- Risque que les clients ne parviennent pas à se connecter aux serveurs s’ils ne parviennent pas à localiser la liste de révocation de certificats
Certificats racines approuvés PKI
Si vos systèmes de site IIS utilisent des certificats clients PKI pour l’authentification client via HTTP, ou pour l’authentification et le chiffrement du client via HTTPS, vous devrez peut-être importer des certificats d’autorité de certification racine en tant que propriété de site. Voici les deux scénarios :
Vous déployez des systèmes d’exploitation à l’aide de Configuration Manager, et les points de gestion acceptent uniquement les connexions clientES HTTPS.
Vous utilisez des certificats clients PKI qui ne sont pas liés à un certificat racine approuvé par les points de gestion.
Remarque
Lorsque vous émettez des certificats PKI clients à partir de la même hiérarchie d’autorité de certification que celle des certificats de serveur que vous utilisez pour les points de gestion, vous n’avez pas besoin de spécifier ce certificat d’autorité de certification racine. Toutefois, si vous utilisez plusieurs hiérarchies d’autorité de certification et que vous ne savez pas si elles se font confiance, importez l’autorité de certification racine pour la hiérarchie d’autorité de certification des clients.
Si vous devez importer des certificats d’autorité de certification racine pour Configuration Manager, exportez-les à partir de l’autorité de certification émettrice ou de l’ordinateur client. Si vous exportez le certificat à partir de l’autorité de certification émettrice qui est également l’autorité de certification racine, n’exportez pas la clé privée. Stockez le fichier de certificat exporté dans un emplacement sécurisé pour empêcher toute falsification. Vous devez accéder au fichier lorsque vous configurez le site. Si vous accédez au fichier sur le réseau, assurez-vous que la communication est protégée contre la falsification à l’aide d’IPsec.
Si un certificat d’autorité de certification racine que vous importez est renouvelé, importez le certificat renouvelé.
Ces certificats d’autorité de certification racine importés et le certificat d’autorité de certification racine de chaque point de gestion créent la liste des émetteurs de certificats. Configuration Manager ordinateurs utilisent cette liste des manières suivantes :
Lorsque les clients se connectent à des points de gestion, le point de gestion vérifie que le certificat client est chaîné à un certificat racine approuvé dans la liste des émetteurs de certificats du site. Si ce n’est pas le cas, le certificat est rejeté et la connexion PKI échoue.
Lorsque les clients sélectionnent un certificat PKI et disposent d’une liste d’émetteurs de certificats, ils sélectionnent un certificat qui est lié à un certificat racine approuvé dans la liste des émetteurs de certificats. S’il n’y a pas de correspondance, le client ne sélectionne pas de certificat PKI. Pour plus d’informations, consultez Sélection de certificat client PKI.
Sélection du certificat client PKI
Si vos systèmes de site IIS utilisent des certificats clients PKI pour l’authentification client via HTTP ou pour l’authentification et le chiffrement du client via HTTPS, planifiez la façon dont les clients Windows sélectionnent le certificat à utiliser pour Configuration Manager.
Remarque
Certains appareils ne prennent pas en charge une méthode de sélection de certificat. Au lieu de cela, ils sélectionnent automatiquement le premier certificat qui répond aux exigences du certificat. Par exemple, les clients sur les ordinateurs macOS et les appareils mobiles ne prennent pas en charge une méthode de sélection de certificat.
Dans de nombreux cas, la configuration et le comportement par défaut sont suffisants. Le client Configuration Manager sur les ordinateurs Windows filtre plusieurs certificats à l’aide de ces critères dans l’ordre suivant :
Liste des émetteurs de certificats : chaînes de certificats à une autorité de certification racine approuvée par le point de gestion.
Le certificat se trouve dans le magasin de certificats par défaut de Personnel.
Le certificat est valide, n’est pas révoqué et n’a pas expiré. La validité case activée vérifie également que la clé privée est accessible.
Le certificat dispose d’une fonctionnalité d’authentification du client.
Le nom de l’objet du certificat contient le nom de l’ordinateur local sous forme de sous-chaîne.
Le certificat a la période de validité la plus longue.
Configurez les clients pour qu’ils utilisent la liste des émetteurs de certificats à l’aide des mécanismes suivants :
Publiez-le avec Configuration Manager informations de site sur services de domaine Active Directory.
Installez les clients à l’aide de l’envoi (push) du client.
Les clients le téléchargent à partir du point de gestion une fois qu’ils ont été correctement affectés à leur site.
Spécifiez-la lors de l’installation du client en tant que propriété CCMSetup client.msi de CCMCERTISSUERS.
Si les clients n’ont pas la liste des émetteurs de certificats lors de leur première installation et ne sont pas encore affectés au site, ils ignorent cette case activée. Lorsque les clients ont la liste des émetteurs de certificat et qu’ils n’ont pas de certificat PKI qui se connecte à un certificat racine approuvé dans la liste des émetteurs de certificats, la sélection du certificat échoue. Les clients ne continuent pas avec les autres critères de sélection de certificat.
Dans la plupart des cas, le client Configuration Manager identifie correctement un certificat PKI unique et approprié. Lorsque ce comportement n’est pas le cas, au lieu de sélectionner le certificat en fonction de la fonctionnalité d’authentification du client, vous pouvez configurer deux méthodes de sélection alternatives :
Une correspondance de chaîne partielle sur le nom de l’objet du certificat client. Cette méthode est une correspondance qui ne respecte pas la casse. Il est approprié si vous utilisez le nom de domaine complet (FQDN) d’un ordinateur dans le champ objet et que vous souhaitez que la sélection du certificat soit basée sur le suffixe de domaine, par exemple contoso.com. Vous pouvez utiliser cette méthode de sélection pour identifier toute chaîne de caractères séquentiels dans le nom de l’objet du certificat qui différencie le certificat des autres dans le magasin de certificats client.
Remarque
Vous ne pouvez pas utiliser la correspondance de chaîne partielle avec l’autre nom d’objet (SAN) comme paramètre de site. Bien que vous puissiez spécifier une correspondance de chaîne partielle pour le san à l’aide de CCMSetup, elle sera remplacée par les propriétés du site dans les scénarios suivants :
- Les clients récupèrent les informations de site publiées sur services de domaine Active Directory.
- Les clients sont installés à l’aide de l’installation push du client.
Utilisez une correspondance de chaîne partielle dans le SAN uniquement lorsque vous installez les clients manuellement et qu’ils ne récupèrent pas les informations de site à partir de services de domaine Active Directory. Par exemple, ces conditions s’appliquent aux clients Internet uniquement.
Une correspondance sur les valeurs d’attribut de nom d’objet du certificat client ou les valeurs d’attribut d’autre nom d’objet (SAN). Cette méthode est une correspondance respectant la casse. Il est approprié si vous utilisez un nom unique X500 ou des identificateurs d’objet équivalents (OID) conformément à la norme RFC 3280 et que vous souhaitez que la sélection du certificat soit basée sur les valeurs d’attribut. Vous pouvez spécifier uniquement les attributs et leurs valeurs dont vous avez besoin pour identifier ou valider le certificat de manière unique et différencier le certificat des autres dans le magasin de certificats.
Le tableau suivant présente les valeurs d’attribut que Configuration Manager prend en charge pour les critères de sélection de certificat client :
Attribut OID | Attribut de nom unique | Définition d’attribut |
---|---|---|
0.9.2342.19200300.100.1.25 | DC | Composant de domaine |
1.2.840.113549.1.9.1 | E-mail ou e-mail | Adresse électronique |
2.5.4.3 | CN | Nom commun |
2.5.4.4 | SN | Nom de sujet |
2.5.4.5 | SERIALNUMBER | Numéro de série |
2.5.4.6 | C | Code du pays |
2.5.4.7 | L | Localité |
2.5.4.8 | S ou ST | Nom de l’état ou de la province |
2.5.4.9 | RUE | Rue |
2.5.4.10 | O | Nom de l’organisation |
2.5.4.11 | Unité d’organisation | Unité d’organisation |
2.5.4.12 | T ou Titre | Titre |
2.5.4.42 | G ou GN ou GivenName | Nom donné |
2.5.4.43 | I ou Initiales | Initials |
2.5.29.17 | (aucune valeur) | Autre nom de l’objet |
Remarque
Si vous configurez l’une des autres méthodes de sélection de certificat ci-dessus, le nom de l’objet du certificat n’a pas besoin de contenir le nom de l’ordinateur local.
Si plusieurs certificats appropriés se trouvent après l’application des critères de sélection, vous pouvez remplacer la configuration par défaut pour sélectionner le certificat dont la période de validité est la plus longue. Au lieu de cela, vous pouvez spécifier qu’aucun certificat n’est sélectionné. Dans ce scénario, le client ne peut pas communiquer avec les systèmes de site IIS avec un certificat PKI. Le client envoie un message d’erreur à son status point de secours attribué pour vous avertir de l’échec de sélection du certificat. Vous pouvez ensuite modifier ou affiner vos critères de sélection de certificat.
Le comportement du client dépend de l’échec de la connexion via HTTPS ou HTTP :
Si la connexion ayant échoué était via HTTPS : le client tente de se connecter via HTTP et utilise le certificat auto-signé du client.
Si la connexion ayant échoué était via HTTP : le client tente de se reconnecter via HTTP à l’aide du certificat client auto-signé.
Pour identifier un certificat client PKI unique, vous pouvez également spécifier un magasin personnalisé autre que la valeur par défaut Personnel dans le magasin ordinateur . Créez un magasin de certificats personnalisé en dehors de Configuration Manager. Vous devez être en mesure de déployer des certificats dans ce magasin personnalisé et de les renouveler avant l’expiration de la période de validité.
Pour plus d’informations, consultez Configurer les paramètres des certificats PKI clients.
Stratégie de transition pour les certificats PKI
Les options de configuration flexibles dans Configuration Manager vous permettent de migrer progressivement les clients et le site pour utiliser des certificats PKI pour sécuriser les points de terminaison clients. Les certificats PKI offrent une meilleure sécurité et vous permettent de gérer les clients Internet.
Ce plan introduit d’abord des certificats PKI pour l’authentification uniquement via HTTP, puis pour l’authentification et le chiffrement via HTTPS. Lorsque vous suivez ce plan pour introduire progressivement ces certificats, vous réduisez le risque que les clients ne soient pas gérés. Vous bénéficiez également de la sécurité la plus élevée prise en charge par Configuration Manager.
En raison du nombre d’options de configuration et de choix dans Configuration Manager, il n’existe aucun moyen unique de migrer un site afin que tous les clients utilisent des connexions HTTPS. Les étapes suivantes fournissent des conseils généraux :
Installez le site Configuration Manager et configurez-le afin que les systèmes de site acceptent les connexions clientes via HTTPS et HTTP.
Configurez l’onglet Sécurité des communications dans les propriétés du site. Définissez Paramètres du système de site sur HTTP ou HTTPS , puis sélectionnez Utiliser le certificat client PKI (fonctionnalité d’authentification client) le cas échéant. Pour plus d’informations, consultez Configurer les paramètres des certificats PKI clients.
Pilotez un déploiement PKI pour les certificats clients. Pour obtenir un exemple de déploiement, consultez Déployer le certificat client pour les ordinateurs Windows.
Installez les clients à l’aide de la méthode d’installation push du client. Pour plus d’informations, consultez Guide pratique pour installer Configuration Manager clients à l’aide de l’envoi (push) du client.
Surveillez le déploiement et les status du client à l’aide des rapports et des informations dans la console Configuration Manager.
Suivez le nombre de clients qui utilisent un certificat PKI client en affichant la colonne Certificat client dans l’espace de travail Ressources et conformité , nœud Appareils .
Remarque
Pour les clients qui disposent également d’un certificat PKI, la console Configuration Manager affiche la propriété Certificat clientauto-signé. La propriété Certificat client du panneau de configuration client affiche l’infrastructure à clé publique.
Vous pouvez également déployer l’outil d’évaluation de la disponibilité https Configuration Manager (CMHttpsReadiness.exe) sur des ordinateurs. Utilisez ensuite les rapports pour afficher le nombre d’ordinateurs pouvant utiliser un certificat PKI client avec Configuration Manager.
Remarque
Lorsque vous installez le client Configuration Manager, il installe l’outil CMHttpsReadiness.exe dans le
%windir%\CCM
dossier . Les options de ligne de commande suivantes sont disponibles lorsque vous exécutez cet outil :-
/Store:<Certificate store name>
: cette option est identique à la propriété ccmCERTSTORE client.msi :/Issuers:<Case-sensitive issuer common name>
cette option est identique à la propriété CCMCERTISSUERS client.msi -
/Criteria:<Selection criteria>
: cette option est identique à la propriété CCMCERTSEL client.msi -
/SelectFirstCert
: cette option est identique à la propriété de client.msi CCMFIRSTCERT
L’outil génère des informations dans le fichier CMHttpsReadiness.log dans le
CCM\Logs
répertoire .Pour plus d’informations, consultez À propos des propriétés d’installation du client.
-
Lorsque vous êtes certain qu’un nombre suffisant de clients utilisent correctement leur certificat PKI client pour l’authentification via HTTP, procédez comme suit :
Déployez un certificat de serveur web PKI sur un serveur membre qui exécute un autre point de gestion pour le site et configurez ce certificat dans IIS. Pour plus d’informations, consultez Déployer le certificat de serveur web pour les systèmes de site qui exécutent IIS.
Installez le rôle de point de gestion sur ce serveur. Configurez l’option Connexions clientes dans les propriétés du point de gestion pour HTTPS.
Surveillez et vérifiez que les clients disposant d’un certificat PKI utilisent le nouveau point de gestion à l’aide du protocole HTTPS. Vous pouvez utiliser la journalisation IIS ou des compteurs de performances pour vérifier.
Reconfigurez d’autres rôles de système de site pour utiliser des connexions clientes HTTPS. Si vous souhaitez gérer les clients sur Internet, assurez-vous que les systèmes de site ont un nom de domaine complet Internet. Configurez des points de gestion et des points de distribution individuels pour accepter les connexions clientes à partir d’Internet.
Importante
Avant de configurer des rôles de système de site pour accepter les connexions à partir d’Internet, passez en revue les informations de planification et les prérequis pour la gestion des clients basée sur Internet. Pour plus d’informations, consultez Communications entre les points de terminaison.
Étendez le déploiement du certificat PKI pour les clients et pour les systèmes de site qui exécutent IIS. Configurez les rôles de système de site pour les connexions clientes HTTPS et les connexions Internet, selon les besoins.
Pour une sécurité maximale : lorsque vous êtes certain que tous les clients utilisent un certificat PKI client pour l’authentification et le chiffrement, modifiez les propriétés du site pour utiliser https uniquement.