Partager via

À propos de certificats pour la gestion hors bande

  • Article

Mis à jour: avril 2011

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Cette rubrique propose des informations détaillées sur le déploiement et l'utilisation des certificats d'infrastructure à clé publique (PKI) Configuration Manager 2007 SP1 (ou version ultérieure) employés avec la gestion hors bande. Les sujets traités sont les suivants :

  • Certificats requis pour la gestion hors bande

  • Certificat de configuration AMT

  • Certificat de serveur Web pour les ordinateurs basés sur AMT

  • Certificat client facultatif pour les ordinateurs basés sur AMT dans Configuration Manager 2007 SP2 uniquement

  • Vérification de la liste de révocation de certificats et révocation de certificat pour les certificats de gestion hors bande

Notes

Les informations figurant dans cette rubrique s'appliquent uniquement à Configuration Manager 2007 SP1 et versions ultérieures.

Pour connaître la liste des certificats requis, consultez Certificats requis pour la gestion hors bande.

Pour obtenir un exemple pas à pas de déploiement, consultez les liens suivants :

Certificats requis pour la gestion hors bande

Les exigences relatives au déploiement de certificats pour la configuration AMT incluent l'utilisation de certificats avec approbation automatique afin que le serveur du site puisse demander et récupérer immédiatement un certificat pour chaque ordinateur AMT à configurer. Pour sécuriser l'approbation automatique, des contrôles de sécurité sont requis afin de garantir que seuls les ordinateurs approuvés demandent des certificats. L'utilisation de modèles de certificats avec une autorité de certification d'entreprise Microsoft assure ce niveau de contrôle de la sécurité en instaurant des contrôles de l'accès aux modèles de certificats. Même si vous pouvez approuver automatiquement toutes les demandes de certificats avec une autorité de certification autonome, cette solution n'apporte pas de contrôle de sécurité et n'est pas prise en charge par la gestion hors bande dans Configuration Manager 2007 SP1 (ou version ultérieure).

Une autorité de certification d'entreprise Microsoft prend en charge les versions de modèles de certificats suivantes :

  • La version 1 introduite dans Windows Server 2000 est prise en charge dans toutes les éditions serveur de Windows Server 2003 et Windows Server 2008.

  • La version 2 introduite dans Windows Server 2003 est prise en charge dans les éditions Enterprise et Datacenter de Windows Server 2003 et Windows Server 2008. Les modèles de la version 2 ne sont pas pris en charge dans les éditions Standard de Windows Server 2003 et Windows Server 2008.

  • La version 3 introduite dans Windows Server 2008 est prise en charge dans les éditions Enterprise et Datacenter de Windows Server 2008. Toutefois, ces modèles de certificat créent des certificats incompatibles avec Configuration Manager et ne doivent pas être utilisés pour la gestion hors bande ou en mode natif.

Le composant Modèles de certificats de la console MMC présente les différentes versions de modèles dans la colonne Autorités de certification minimales prises en charge : Les modèles de la version 1 sont répertoriés en tant que Windows 2000, ceux de la version 2 le sont en tant que Windows Server 2003, Enterprise Edition et ceux de la version 3 le sont en tant que Windows Server 2008.

Les modèles de certificats de la version 1 vous permettent de configurer les autorisations de sécurité pour définir les personnes autorisées à lire, inscrire et gérer des modèles. Cependant, pour modifier d'autres propriétés du modèle de certificat, telles que son nom, son rôle prévu et sa période de validité, vous devez utiliser les modèles de la version  2 ou 3.

La personnalisation des modèles de certificats pour la gestion hors bande est recommandée et peut être requise pour le déploiement du certificat de configuration, comme le présentent les sections suivantes. L'utilisation d'un modèle de certificat dédié pour tous les certificats employés par la gestion hors bande est une pratique de sécurité recommandée. La personnalisation de modèles implique que l'autorité de certification exécute Windows Server Enterprise Edition.

Versions des modèles de certificats et certificat de configuration

Le certificat de configuration installé sur chaque site qui gèrera des ordinateurs AMT hors bande nécessite souvent un identificateur d'objet (OID) spécifique qui n'existe pas dans les modèles de certificats par défaut, ainsi que la fonction d'authentification de serveur (OID 1.3.6.1.5.5.7.3.1). Un modèle de certificat existant doit donc être modifié pour contenir l'identificateur d'objet personnalisé. Pour ce faire, utilisez un modèle de certificat de la version 2. Configuration Manager ne prend pas en charge les certificats créés avec un modèle de la version 3. Les modèles de la version 2 ne sont pas pris en charge dans les éditions Standard de Windows Server 2003 et Windows Server 2008.

Cependant, si vous utilisez une autorité de certification externe pour le certificat de configuration et si la société fournit sa propre méthode de demande de certificat (par exemple via une connexion à son site Web d'inscription), le certificat de configuration ne nécessite pas l'utilisation d'un modèle de certificat.

Si vous utilisez une autorité de certification externe qui impose que vous envoyiez votre demande par le biais d'un fichier de demande de certificat, ou si vous utilisez votre autorité de certification interne pour obtenir le certificat de configuration, vous ne pourrez pas utiliser un modèle de certificat de la version 1 lorsque le certificat contient l'OID personnalisé. Vous devrez utiliser un modèle de la version 2 pour qu'il puisse être modifié afin d'inclure l'identificateur d'objet personnalisé. Pour obtenir un exemple de déploiement en vue de la soumission d'une demande de certificat vers une autorité de certification externe et de l'utilisation de votre autorité de certification interne, consultez Exemple de déploiement étape par étape des certificats PKI requis pour AMT et la gestion hors bande : Autorité de certification Windows Server 2003.

Versions des modèles de certificats et certificats pour les ordinateurs AMT

Chaque ordinateur AMT requiert un certificat installé dans la mémoire du contrôleur de gestion, et ce certificat doit uniquement disposer de la fonction d'authentification de serveur (OID 1.3.6.1.5.5.7.3.1). Le modèle par défaut de la version 1 (serveur Web) est conforme à ces exigences. Vous pouvez par conséquent utiliser le modèle Serveur Web en modifiant uniquement les autorisations de sécurité afin que le serveur de site puisse effectuer des opérations de lecture et d'inscription à l'aide de ce modèle.

Cependant, si vous dupliquez le modèle Serveur Web, vous bénéficiez d'un meilleur contrôle sur le certificat utilisé étant donné que vous pouvez modifier le nom et la description permettant d'identifier son utilisation en gestion hors bande. Vous pouvez également modifier les propriétés du certificat, telles que la période de validité et la taille de la clé. Les modèles des versions 2 offrant un meilleur contrôle, ils sont recommandés pour la gestion hors bande. L'utilisation de ces modèles implique l'exécution du système d'exploitation Windows Server Enterprise Edition.

Si vous avez besoin d'un certificat client pour des réseaux sans fil et filaires authentifiés 802.1X pour Configuration Manager 2007 SP2, l'édition Enterprise de Windows Server est également requise. Pour plus d'informations sur ce certificat, consultez Certificat client facultatif pour les ordinateurs basés sur AMT dans Configuration Manager 2007 SP2 uniquement.

Certificat de configuration AMT

Les sections suivantes fournissent des informations permettant de déterminer si vous pouvez utiliser l'autorité de certification interne ou externe pour demander le certificat de configuration. Elles contiennent également des informations sur les exigences en termes de nom d'objet du certificat.

Choix entre une autorité de certification externe et une autorité de certification interne

Configuration Manager ne permet pas de gérer les ordinateurs basés sur AMT hors bande tant qu'ils ne sont pas configurés. Par défaut, les ordinateurs basés sur AMT sont configurés par le fabricant de sorte qu'ils utilisent des autorités de certification externes, telles que VeriSign, Go Daddy, Comodo et Starfield. Si vous vous procurez un certificat de configuration auprès d'une autorité de certification externe, puis vous configurez Configuration Manager pour qu'il utilise ce certificat, les ordinateurs basés sur AMT approuveront l'autorité de certification du certificat de configuration et la configuration pourra être effectuée.

Si vous souhaitez utiliser l'autorité de certification interne pour fournir le certificat de configuration, une des conditions suivantes doit être vérifiée :

  • Votre ordinateur conserve une image de microprogramme personnalisée, contenant l'empreinte numérique de votre certificat racine interne. Cette pratique est recommandée pour des raisons de sécurité, afin de protéger le réseau contre les serveurs de configuration non autorisés. Pour plus d'informations sur l'utilisation d'une image de microprogramme personnalisée, consultez Déterminez si vous devez vous procurer une image de microprogramme personnalisée auprès du fabricant de votre ordinateur..

  • Ajoutez manuellement l'empreinte numérique du certificat racine interne à chaque ordinateur configuré pour la gestion hors bande dans Configuration Manager 2007 SP1 (ou version ultérieure). Pour obtenir des informations relatives à la configuration de l'option de hachage du certificat AMT avec la valeur de l'empreinte numérique de votre certificat, consultez les instructions du fabricant de l'ordinateur.

Pour plus d'informations sur la localisation de l'empreinte numérique de votre certificat racine interne, consultez Comment localiser l'empreinte numérique de votre certificat racine interne pour la configuration AMT.

Exigences relatives au nom d'objet du certificat

Au cours du processus de configuration AMT, Configuration Manager configure le nom d'hôte et le suffixe DNS dans les extensions BIOS AMT avec le nom de domaine complet de l'ordinateur AMT extrait de la base de données Configuration Manager. La correspondance entre le suffixe DNS et le nom d'objet dans le certificat de configuration est ensuite contrôlée. Le nom d'objet dans le certificat de configuration contient le nom de domaine complet du serveur de système de site configuré avec le rôle de point de service hors bande.

Si l'espace de noms du nom de domaine complet de l'ordinateur AMT correspond à celui spécifié dans le certificat de configuration AMT, la configuration AMT réussit. Si l'espace de noms du nom de domaine complet de l'ordinateur AMT ne correspond pas à celui spécifié dans le certificat de configuration AMT, la configuration AMT échoue.

Les exemples suivants présentent un ordinateur AMT dont l'espace de noms est identique à celui du point de service hors bande.

  • Le nom de domaine complet de l'ordinateur AMT est computer1.contoso.com et celui du point de service hors bande est server1.contoso.com.

  • Le nom de domaine complet de l'ordinateur AMT est computer1.sales.contoso.com et celui du point de service hors bande est server1.contoso.com.

  • Le nom de domaine complet de l'ordinateur AMT est computer1.sales.contoso.com et celui du point de service hors bande est server1.marketing.contoso.com.

Dans les exemples précédents, l'ordinateur AMT et le point de service hors bande partagent l'espace de noms contoso.com.

Les exemples suivants présentent un ordinateur AMT dont l'espace de noms n'est pas est identique à celui du point de service hors bande.

  • Le nom de domaine complet de l'ordinateur AMT est computer1.contoso.com et celui du point de service hors bande est server1.northwindtraders.com.

  • Le nom de domaine complet de l'ordinateur AMT est computer1.northwindtraders.com et celui du point de service hors bande est server1.contoso.com.

Dans les exemples précédents, l'ordinateur AMT et le point de service hors bande ne partagent pas d'espace de noms commun. Par conséquent, la configuration AMT échoue même si les deux ordinateurs appartiennent à la même forêt Active Directory. De plus, la gestion hors bande ne prend pas en charge un espace de noms disjoint. Par exemple, un ordinateur basé sur AMT qui possède le FQDN computer1.contoso.com mais réside dans le domaine Active Directory nommé na.corp.contoso.com ne peut être configuré avec succès par la gestion hors bande.

Le certificat de configuration est installé sur le serveur de système de site de point de service hors bande, et le nom de domaine complet de ce serveur doit être fourni dans le nom d'objet du certificat de configuration. Si vous utilisez votre propre autorité de certification interne pour fournir le certificat de configuration, le nom de domaine complet du serveur de système de site du point de service hors bande peut être automatiquement configuré avec la demande de certificat. Pour plus d'informations, consultez Exemple de déploiement étape par étape des certificats PKI requis pour AMT et la gestion hors bande : Autorité de certification Windows Server 2003.

Important

Vous ne pouvez pas configurer les ordinateurs AMT s'ils ne partagent pas le même espace de noms que le point de service hors bande. Cela signifie que les ordinateurs AMT appartenant à une autre forêt Active Directory ne peuvent pas être configurés. De plus, les forêts disposant d'un espace de noms non contigu ne peuvent pas utiliser la gestion hors bande, sauf si les ordinateurs AMT et le point de service hors bande appartiennent à la même arborescence DNS. Les espaces disjoints ne sont pas pris en charge non plus dans la même arborescence.

Renouvellement du certificat de configuration AMT

Étant donné qu'un certificat de configuration AMT ayant expiré provoque un échec de la configuration, veillez à renouveler votre certificat de configuration AMT et à configurer la gestion hors bande avec le nouveau certificat avant l'expiration du certificat d'origine. Veillez également à demander un nouveau certificat bien avant que le certificat existant n'arrive à expiration, ce qui est très important si vous utilisez une autorité de certification externe pour votre certificat de configuration.

Pour que vous sachiez à quel moment le certificat de configuration AMT arrivera à expiration, Configuration Manager génère un message d'avertissement (ID 7210) 40 jours avant la date d'expiration du certificat de configuration actif. Ce message d'état est répété tous les jours jusqu'à ce que le certificat soit remplacé par une période de validité supérieure à 40 jours, ou jusqu'à ce que la période de validité soit inférieure à 15 jours. Lorsque la période de validité est inférieure à 15 jours, un message d'erreur (ID 7211) est généré jusqu'à ce que le certificat soit remplacé par une période de validité supérieure à 15 jours.

Notes

Vous devez configurer les propriétés de configuration du composant de gestion hors bande avec le nouveau certificat. L'installation du nouveau certificat dans le magasin de certificats local de l'ordinateur système de site du point de service hors bande n'est pas suffisante. Pour plus d'informations, consultez Comment configurer la préparation AMT.

Pour plus d'informations sur l'utilisation de messages d'état dans le cadre de l'analyse de la gestion hors bande, consultez Comment contrôler la gestion hors bande.

Pour plus d'informations sur la configuration d'état de site, consultez Comment configurer l'état du site.

Certificat de serveur Web pour les ordinateurs basés sur AMT

Bien que l'on considère généralement que les stations de travail jouent le rôle de client pour un site Web sur un serveur, la situation inverse est vraie avec la gestion hors bande. Les ordinateurs AMT exécutent un composant de serveur Web dans leur microprogramme, et les ordinateurs qui les gèrent (le point de service hors bande et les ordinateurs exécutant la console de gestion hors bande) jouent le rôle de clients.

Le certificat installé dans la mémoire AMT exige une fonction d'authentification de serveur, afin qu'il soit authentifié sur les ordinateurs qui le gèrent et que les données envoyées entre eux soient chiffrées à l'aide du protocole TLS (Transport Layer Security). Le protocole TLS est un protocole standard de l'industrie étroitement lié à SSL 3.0 qui permet d'assurer une protection contre l'altération, l'interception et la falsification de messages. Pour plus d'informations sur le protocole TLS, consultez https://go.microsoft.com/fwlink/?LinkId=108709.

La gestion hors bande n'utilise pas l'authentification mutuelle PKI ; bien que l'ordinateur AMT soit authentifié sur l'ordinateur qui le gère, il n'existe aucun certificat PKI client correspondant sur l'ordinateur qui le gère. En revanche, ces communications sont sécurisées à l'aide d'une connexion TLS et des comptes d'utilisateurs suivants :

  • Comptes d'utilisateurs Windows utilisant l'authentification Kerberos pour exécuter la console de gestion hors bande.

  • Comptes de configuration et de découverte AMT utilisant l'authentification HTTP Digest.

  • Compte MEBx AMT utilisant l'authentification HTTP Digest.

  • Comptes d'utilisateurs AMT utilisant l'authentification Kerberos.

  • Compte d'administrateur distant AMT utilisant l'authentification HTTP Digest.

Renouvellement du certificat de serveur Web pour les ordinateurs basés sur AMT

Un certificat de serveur Web arrivé à expiration et non renouvelé pour les ordinateurs AMT empêche Configuration Manager de gérer cet ordinateur hors bande.

Configuration Manager surveille les certificats qu'il déploie sur les ordinateurs AMT et demande automatiquement un nouveau certificat avant que le certificat d'origine n'arrive à expiration. Cela permet de garantir une continuité ininterrompue et une période de grâce suffisamment longue si l'autorité de certification émettrice ne peut pas être contactée immédiatement.

Lorsque vous installez un point de service hors bande, une tâche de maintenance de la gestion hors bande est automatiquement activée. Cette dernière vérifie régulièrement la période de validité restante des certificats qu'elle a délivrés aux ordinateurs AMT. Cette vérification est effectuée tous les 7 jours, et la demande du nouveau certificat est effectuée lorsque la date d'expiration est inférieure ou égale à 42 jours.

Si vous devez régler ces paramètres ou lancer une vérification des certificats arrivant prochainement à expiration, consultez Comment personnaliser les tâches de maintenance pour la gestion hors bande.

Notes

Si le point de service hors bande de Configuration Manager 2007 SP2 se connecte à un ordinateur basé sur AMT à l'aide d'une connexion réseau sans fil, le renouvellement de certificat n'est pas possible.

Certificat client facultatif pour les ordinateurs basés sur AMT dans Configuration Manager 2007 SP2 uniquement

Configuration Manager 2007 SP2 prend en charge la gestion hors bande sur réseaux filaires authentifiés 802.1X et sur réseaux sans fil. Dans ces scénarios, un certificat client peut être requis par l'ordinateur basé sur AMT en vue de son authentification auprès du serveur RADIUS. Lorsque le serveur RADIUS est configuré pour l'authentification EAP-TLS, un certificat client est toujours nécessaire. Lorsque le serveur RADIUS est configuré pour l'authentification EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2, la configuration RADIUS indique si un certificat client est nécessaire ou non.

Le serveur de site demande des certificats client pour les ordinateurs basés sur AMT durant le processus de configuration ou si l'ordinateur basé sur AMT est déjà configuré sans certificat client valide et que vous mettez à jour le contrôleur de gestion sur une connexion filaire. Vous pouvez spécifier un modèle de certificat unique à utiliser lorsque vous configurez la prise en charge de réseaux filaires authentifiés 802.1X et spécifier jusqu'à huit modèles de certificats client différents à utiliser pour des réseaux sans fil distincts. Cependant, dans le cadre de cette pratique recommandée pour la sécurité et l'administration, spécifiez le même modèle de certificat sauf si vous avez de bonnes raisons d'utiliser des certificats client différents (tels que des tailles de clé différentes ou une autorité de certification différente). Ce certificat supplémentaire, également installé dans la mémoire AMT, requiert une fonction d'authentification client uniquement (OID 1.3.6.1.5.5.7.3.2), de sorte que l'ordinateur basé sur AMT peut être authentifié auprès du serveur RADIUS. Après succès de l'authentification, l'ordinateur basé sur AMT peut être autorisé et configuré pour l'accès réseau. Ce certificat n'est jamais utilisé pour authentifier l'ordinateur auprès de l'infrastructure Configuration Manager.

Lorsque plusieurs certificats sont demandés pour un même ordinateur basé sur AMT, AMT conserve une trace de chaque certificat de façon que le certificat client approprié soit utilisé avec la configuration correspondante. Par exemple, si vous spécifiez un second profil sans fil et le configurez pour qu'il utilise un modèle de certificat différent de celui du premier profil sans fil, le certificat demandé et installé pour le second profil sans fil ne sera jamais utilisé lorsque l'ordinateur basé sur AMT se connectera à un réseau sans fil à l'aide du premier profil sans fil.

Outre la fonction d'authentification client dans le modèle de certificat, il doit également spécifier Fourni dans la demande, de sorte que le serveur de site demandant les certificats puisse fournir le FQDN de chaque ordinateur basé sur AMT. Vous devez utiliser un modèle de certificat personnalisé pour configurer un modèle de certificat possédant à la fois la fonction d'authentification client et le paramètre Fourni dans la demande. Le modèle de certificat recommandé s'appelle Authentification de station de travail, que vous pouvez dupliquer, puis personnaliser pour la configuration de l'objet du certificat et la modification des autorisations de sécurité. La configuration d'un modèle de certificat en double requiert le système d'exploitation Windows Server Enterprise Edition. Pour plus d'informations sur la manière de configurer un exemple de modèle de certificat pour un certificat d'authentification client optionnel, reportez-vous aux déploiements d'exemple pas à pas référencés au début de cette rubrique.

Renouvellement du certificat client pour les ordinateurs basés sur AMT

Un certificat client arrivé à expiration et non renouvelé pour un ordinateur AMT empêche la gestion hors bande de cet ordinateur par Configuration Manager via le réseau filaire authentifié 802.1X ou les réseaux filaires associés.

Outre les certificats de serveur Web qu'il déploie vers les ordinateurs basés sur AMT, Configuration Manager surveille tous les certificats client qu'il déploie et demande automatiquement de nouveaux certificats avant que les originaux arrivent à expiration. Pour plus d'informations, consultez la section précédente relative au renouvellement du certificat de serveur Web pour les ordinateurs basés sur AMT.

Vérification de la liste de révocation de certificats et révocation de certificat pour les certificats de gestion hors bande

Les sections suivantes abordent la révocation de certificat et la vérification de la liste de révocation des certificats pour le certificat de configuration sur le point de service hors bande, pour le certificat de serveur Web sur les ordinateurs AMT et pour le certificat client facultatif sur les ordinateurs basés sur AMT dans Configuration Manager 2007 SP2.

Vérification de la liste de révocation des certificats pour le certificat de configuration

Les ordinateurs AMT ne prennent pas en charge le téléchargement d'une liste de révocation de certificats pour vérifier si le certificat de configuration est révoqué. Cela signifie que ces ordinateurs continuent d'accepter un certificat de configuration ayant été révoqué par l'autorité de certification émettrice. Si vous savez que le certificat de configuration a été révoqué, supprimez-le du magasin de certificats du serveur de système de site du point de service hors bande. Déployez ensuite un nouveau certificat de configuration et configurez-le dans les propriétés du composant de gestion hors bande. Si vous ne pouvez pas déployer directement un certificat de configuration AMT valide, supprimez le rôle de point de service hors bande jusqu'à ce que vous disposiez d'un certificat de remplacement.

Vérification de la liste de révocation des certificats pour le certificat de serveur Web

La vérification de la liste de révocation des certificats par les ordinateurs Configuration Manager qui se connectent aux ordinateurs AMT (le système de site du point de service hors bande et les ordinateurs exécutant la console de gestion hors bande) est réalisée par le service Gestion à distance de Windows (WinRM). La vérification de la liste de révocation des certificats n'est pas prise en charge par les versions de WinRM installées de façon native avec les systèmes d'exploitation antérieurs à Windows Server 2008 R2 et Windows 7. La vérification de la liste de révocation des certificats n'est pas prise en charge par les versions de WinRM installées de façon native avec les systèmes d'exploitation antérieurs à Windows Server 2008 R2 et Windows 7. Vous pouvez également télécharger et installer ultérieurement des versions plus récentes de WinRM qui prennent en charge la vérification de la liste de révocation des certificats pour les systèmes d'exploitation plus anciens.

Les versions différentes de WinRM et leur capacité à prendre en charge la vérification de la liste de révocation des certificats impliquent le comportement suivant dans le cadre de la gestion hors bande :

  • Lorsque la vérification de la liste de révocation des certificats n'est pas prise en charge par le système de site de point de service et par les ordinateurs exécutant la console de gestion hors bande, ces ordinateurs continueront d'accepter un certificat de serveur Web ayant été révoqué pour un ordinateur basé sur AMT.

  • Lorsque la vérification de la liste de révocation des certificats est prise en charge par le système de site de point de service et par les ordinateurs exécutant la console de gestion hors bande, ces ordinateurs n'accepteront pas un certificat de serveur Web ayant été révoqué pour un ordinateur basé sur AMT. De plus, pour une protection accrue contre les certificats non approuvés, la communication échouera avec la gestion hors bande si la liste de révocation des certificats est inaccessible dans l'un de ces scénarios. (Par exemple, la session est déconnectée ou des problèmes de communication réseau empêchent l'accès.)

Notes

Généralement, les ordinateurs qui n'effectuent pas de vérification de la liste de révocation des certificats exécutent des systèmes d'exploitation antérieurs à Windows Server 2008 R2 et Windows 7.

Le certificat de serveur Web publié sur chaque ordinateur AMT au cours du processus de configuration est automatiquement révoqué par Configuration Manager dans les scénarios suivants :

  • Vous supprimez les informations de configuration de l'ordinateur, à l'aide de Configuration Manager. Le serveur de site révoque le certificat, avançant le motif de révocation Remplacé.

  • Vous configurez l'ordinateur, et Configuration Manager détecte un certificat préalablement délivré sur le même ordinateur AMT. Cela peut se produire si l'ordinateur AMT est configuré localement avec l'option permettant de supprimer la configuration dans les extensions BIOS. Le serveur de site révoque le certificat en avançant le motif de révocation Remplacé et demande un nouveau certificat.

  • La tâche de maintenance de la gestion hors bande (Evaluer les certificats d'un ordinateur AMT configuré) s'exécute en fonction du calendrier configuré. Si la période de validité d'un certificat a expiré et qu'il doit être renouvelé, le serveur de site révoque le certificat, en avançant le motif de révocation Remplacé, et demande un nouveau certificat. Pour plus d'informations sur cette tâche de maintenance, consultez la section précédente « Renouvellement du certificat de serveur Web pour les ordinateurs basés sur AMT ».

  • Pour Configuration Manager 2007 SP2 uniquement : Vous bloquez un client Configuration Manager configuré pour AMT. Le serveur de site révoque le certificat, avançant le motif de révocation Remplacé. Pour plus d'informations sur ce scénario, consultez À propos du blocage de clients et de la gestion hors bande.

Le certificat de serveur Web n'est pas révoqué lorsque vous mettez à jour les données du contrôleur de gestion.

Le serveur de site principal doit disposer de l'autorisation Émettre et gérer des certificats sur l'autorité de certification émettrice.

Important

Veillez à communiquer aux administrateurs PKI les circonstances dans lesquelles les certificats de serveur Web peuvent être automatiquement révoqués par Configuration Manager. Expliquez que cette action est un processus prévu pour la gestion des certificats au lieu d'évoquer un problème de sécurité au niveau des ordinateurs AMT.

Vérification de la liste de révocation des certificats pour le certificat client facultatif

Le certificat client facultatif, qui est utilisé pour l'authentification auprès d'un serveur RADIUS, ne permet jamais l'authentification auprès de l'infrastructure Configuration Manager. Cela signifie que le serveur RADIUS effectue la vérification de la liste de révocation des certificats pour ce certificat client. Consultez la documentation de votre solution RADIUS pour savoir si la vérification de la liste de révocation des certificats est prise en charge et pour connaître le comportement qui en résulte pour les ordinateurs basés sur AMT si leur certificat client est révoqué ou si la liste de révocation des certificats est inaccessible.

Notes

Les solutions RADIUS de Microsoft effectuent la vérification de la liste de révocation des certificats. Par exemple, le serveur de stratégies réseau de Windows Server 2008 effectue la vérification de la liste de révocation des certificats et rejette les demandes de connexion lorsque le certificat client est révoqué ou ne peut être vérifié car la liste de révocation des certificats est inaccessible.

Avec le même motif de révocation (Remplacé) que pour le certificat de serveur Web dans le cadre de ces scénarios, Configuration Manager révoque automatiquement les certificats client émis pour chaque ordinateur basé sur AMT. De plus, selon votre configuration, un ou plusieurs certificats client peuvent être révoqués lorsque vous mettez à jour le contrôleur de gestion et lorsque vous avez défini le modèle de certificat client pour la configuration de réseau filaire 802.1X de Configuration Manager ou pour l'un des profils sans fil.

Important

Veillez à communiquer aux administrateurs PKI les circonstances dans lesquelles les certificats de client peuvent être automatiquement révoqués par Configuration Manager. Expliquez que cette action est un processus prévu pour la gestion des certificats au lieu d'évoquer un problème de sécurité au niveau des ordinateurs AMT.

Voir aussi

Tâches

Comment configurer les ordinateurs pour AMT
Comment supprimer les informations de configuration des ordinateurs AMT
Comment mettre à jour les paramètres AMT des ordinateurs configurés à l'aide de la gestion hors bande

Concepts

À propos de la configuration AMT pour la gestion hors bande
À propos du compte de configuration et de découverte AMT
À propos du compte administrateur distant AMT
À propos des comptes d'utilisateur AMT
À propos du compte MEBx
Déterminer les rôles d'administrateur et les processus pour la gestion hors bande

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.