PKI-tanúsítványok tervezése a Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

Configuration Manager nyilvános kulcsú infrastruktúrán (PKI) alapuló digitális tanúsítványokat használ, ha elérhetők. Ezeknek a tanúsítványoknak a használata javasolt a nagyobb biztonság érdekében, de a legtöbb esetben nem szükséges. Ezeket a tanúsítványokat a Configuration Manager függetlenül kell üzembe helyeznie és kezelnie.

Ez a cikk a Configuration Manager-ben található PKI-tanúsítványokkal kapcsolatos információkat nyújt a megvalósítás megtervezéséhez. A tanúsítványok Configuration Manager való használatával kapcsolatos általános információkért lásd: Tanúsítványok a Configuration Manager.

PKI-tanúsítvány visszavonása

Ha PKI-tanúsítványokat használ Configuration Manager, tervezze meg a visszavont tanúsítványok listájának (CRL) használatát. Az eszközök a CRL használatával ellenőrzik a tanúsítványt a csatlakozó számítógépen. A CRL egy olyan fájl, amelyet egy hitelesítésszolgáltató (CA) hoz létre és ír alá. A hitelesítésszolgáltató által kiadott, de visszavont tanúsítványok listája. Amikor egy tanúsítványadminisztrátor visszavonja a tanúsítványokat, az ujjlenyomata hozzá lesz adva a CRL-hez. Ha például egy kiállított tanúsítvány ismert vagy gyaníthatóan sérült.

Fontos

Mivel a tanúsítvány-visszavonási listát a rendszer hozzáadja egy tanúsítványhoz, amikor egy hitelesítésszolgáltató kiadja, mindenképpen tervezze meg a CRL-t, mielőtt üzembe helyez minden olyan PKI-tanúsítványt, amelyet Configuration Manager használ.

Az IIS mindig ellenőrzi az ügyféltanúsítványok CRL-ét, és ezt a konfigurációt nem módosíthatja a Configuration Manager. Alapértelmezés szerint Configuration Manager ügyfelek mindig ellenőrzik a helyrendszerek CRL-ét. Tiltsa le ezt a beállítást egy helytulajdonság és egy CCMSetup tulajdonság megadásával.

Azok a számítógépek, amelyek tanúsítvány-visszavonási ellenőrzést használnak, de nem találják a CRL-t, úgy viselkednek, mintha a tanúsítványlánc összes tanúsítványát visszavonták volna. Ennek az az oka, hogy nem tudják ellenőrizni, hogy a tanúsítványok szerepelnek-e a visszavont tanúsítványok listájában. Ebben a forgatókönyvben minden olyan kapcsolat meghiúsul, amely tanúsítványokat igényel, és crl-ellenőrzést is tartalmaz. Amikor annak ellenőrzésekor, hogy a CRL elérhető-e a HTTP-helyére való tallózással, fontos megjegyezni, hogy a Configuration Manager-ügyfél helyi rendszerként fut. A CRL akadálymentességének tesztelése egy böngészővel a felhasználói környezetben sikeres lehet, de előfordulhat, hogy a számítógépfiók le lesz tiltva, amikor ugyanahhoz a CRL URL-címhez próbál HTTP-kapcsolatot létesíteni. Például letiltható egy belső webes szűrési megoldás, például egy proxy miatt. Adja hozzá a CRL URL-címet a webes szűrési megoldások jóváhagyott listájához.

A visszavont tanúsítványok visszavonása minden alkalommal, amikor tanúsítványt használnak, nagyobb biztonságot nyújt a visszavont tanúsítványokkal szemben. Ez késést és további feldolgozást eredményez az ügyfélen. Előfordulhat, hogy a szervezet megköveteli ezt a biztonsági ellenőrzést az interneten vagy egy nem megbízható hálózaton lévő ügyfelek esetében.

Mielőtt eldöntené, hogy Configuration Manager ügyfeleknek ellenőrizniük kell-e a CRL-t, forduljon a PKI-rendszergazdákhoz. Ha az alábbi feltételek mindegyike teljesül, érdemes lehet engedélyezni ezt a beállítást a Configuration Manager:

• A PKI-infrastruktúra támogatja a CRL-t, és közzé lesz téve, ahol az összes Configuration Manager ügyfél megtalálja. Ezek az ügyfelek lehetnek az interneten lévő eszközök, valamint a nem megbízható erdőkben található eszközök.

• A PKI-tanúsítvány használatára konfigurált helyrendszerekkel létesített minden kapcsolat CRL-jének ellenőrzésére vonatkozó követelmény nagyobb, mint a következő követelmények:

  • Gyorsabb kapcsolatok
  • Hatékony feldolgozás az ügyfélen
  • Annak a kockázata, hogy az ügyfelek nem tudnak csatlakozni a kiszolgálókhoz, ha nem találják a CRL-t

PKI megbízható főtanúsítványai

Ha az IIS-helyrendszerek PKI-ügyféltanúsítványokat használnak a HTTP protokollon keresztüli ügyfél-hitelesítéshez, vagy https protokollon keresztüli ügyfél-hitelesítéshez és titkosításhoz, előfordulhat, hogy helytulajdonságként kell importálnia a legfelső szintű hitelesítésszolgáltatói tanúsítványokat. A két forgatókönyv a következő:

• Az operációs rendszereket Configuration Manager használatával telepítheti, és a felügyeleti pontok csak HTTPS-ügyfélkapcsolatokat fogadnak el.

• Olyan PKI-ügyféltanúsítványokat használ, amelyek nem láncolnak olyan főtanúsítványhoz, amelyet a felügyeleti pontok megbízhatónak minősítenek.

  Megjegyzés:

  Ha a felügyeleti pontokhoz használt kiszolgálói tanúsítványokat kibocsátó hitelesítésszolgáltatói hierarchiából állít ki ügyféloldali PKI-tanúsítványokat, nem kell megadnia ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt. Ha azonban több hitelesítésszolgáltatói hierarchiát használ, és nem biztos abban, hogy megbíznak-e egymásban, importálja az ügyfelek hitelesítésszolgáltatói hierarchiájának legfelső szintű hitelesítésszolgáltatóját.

Ha a Configuration Manager fő hitelesítésszolgáltatói tanúsítványait kell importálnia, exportálja őket a kiállító hitelesítésszolgáltatóról vagy az ügyfélszámítógépről. Ha a tanúsítványt a kiállító hitelesítésszolgáltatóból exportálja, amely egyben a legfelső szintű hitelesítésszolgáltató is, ne exportálja a titkos kulcsot. Az illetéktelen módosítás elkerülése érdekében tárolja az exportált tanúsítványfájlt egy biztonságos helyen. A webhely beállításakor hozzá kell férnie a fájlhoz. Ha a hálózaton keresztül fér hozzá a fájlhoz, győződjön meg arról, hogy a kommunikáció az IPsec használatával védett az illetéktelen módosításokkal szemben.

Ha az importált legfelső szintű hitelesítésszolgáltatói tanúsítvány megújul, importálja a megújított tanúsítványt.

Ezek az importált legfelső szintű hitelesítésszolgáltatói tanúsítványok és az egyes felügyeleti pontok legfelső szintű hitelesítésszolgáltatói tanúsítványai létrehozzák a tanúsítványkibocsátók listáját. Configuration Manager számítógépek a következő módokon használják ezt a listát:

• Amikor az ügyfelek felügyeleti pontokhoz csatlakoznak, a felügyeleti pont ellenőrzi, hogy az ügyféltanúsítvány egy megbízható főtanúsítványhoz van-e láncolva a hely tanúsítványkibocsátók listájában. Ha nem, a rendszer elutasítja a tanúsítványt, és a PKI-kapcsolat meghiúsul.

• Amikor az ügyfelek kiválasztanak egy PKI-tanúsítványt, és rendelkeznek tanúsítványkiállítók listájával, kiválasztanak egy tanúsítványt, amely egy megbízható főtanúsítványhoz láncol a tanúsítványkibocsátók listájában. Ha nincs egyezés, az ügyfél nem választ PKI-tanúsítványt. További információ: PKI-ügyféltanúsítvány kiválasztása.

PKI-ügyféltanúsítvány kiválasztása

Ha az IIS-helyrendszerek PKI-ügyféltanúsítványokat használnak a HTTP protokollon keresztüli ügyfél-hitelesítéshez, illetve HTTPS-alapú ügyfél-hitelesítéshez és -titkosításhoz, tervezze meg, hogy a Windows-ügyfelek hogyan választják ki a Configuration Manager használandó tanúsítványt.

Megjegyzés:

Egyes eszközök nem támogatják a tanúsítványkiválasztási módszereket. Ehelyett automatikusan kiválasztják az első tanúsítványt, amely megfelel a tanúsítványkövetelményeknek. Például a macOS rendszerű számítógépeken és mobileszközökön lévő ügyfelek nem támogatják a tanúsítványválasztási módszert.

Sok esetben elegendő az alapértelmezett konfiguráció és viselkedés. A Windows rendszerű számítógépeken futó Configuration Manager-ügyfél több tanúsítványt szűr az alábbi feltételek alapján, ebben a sorrendben:

1. A tanúsítványkibocsátók listája: A tanúsítvány egy olyan legfelső szintű hitelesítésszolgáltatóhoz láncol, amelyet a felügyeleti pont megbízhatónak minősít.

2. A tanúsítvány a Személyes tanúsítvány alapértelmezett tárolójában található.

3. A tanúsítvány érvényes, nincs visszavonva, és nem járt le. Az érvényességi ellenőrzés azt is ellenőrzi, hogy a titkos kulcs elérhető-e.

4. A tanúsítvány ügyfél-hitelesítési képességgel rendelkezik.

5. A tanúsítvány tulajdonosának neve részkarakterláncként tartalmazza a helyi számítógépnevet.

6. A tanúsítvány érvényességi ideje a leghosszabb.

Konfigurálja az ügyfeleket a tanúsítványkibocsátók listájának használatára az alábbi mechanizmusokkal:

• Tegye közzé Configuration Manager webhely adataival a Active Directory tartományi szolgáltatások.

• Ügyfelek telepítése ügyfél leküldéses használatával.

• Az ügyfelek a felügyeleti pontról töltik le, miután sikeresen hozzárendelték őket a helyükhöz.

• Adja meg az ügyfél telepítése során a CCMCERTISSUERS CCMSetup client.msi tulajdonságaként.

Ha az ügyfelek nem rendelkeznek a tanúsítványkibocsátók listájával az első telepítésükkor, és még nincsenek hozzárendelve a helyhez, kihagyják ezt az ellenőrzést. Ha az ügyfelek rendelkeznek a tanúsítványkibocsátók listájával, és nem rendelkeznek olyan PKI-tanúsítvánnyal, amely egy megbízható főtanúsítványhoz láncol a tanúsítványkibocsátók listájában, a tanúsítvány kiválasztása sikertelen lesz. Az ügyfelek nem folytatják a többi tanúsítványkijelölési feltételt.

A legtöbb esetben a Configuration Manager-ügyfél helyesen azonosít egy egyedi és megfelelő PKI-tanúsítványt. Ha ez a viselkedés nem így van, ahelyett, hogy az ügyfél-hitelesítési képesség alapján választja ki a tanúsítványt, két alternatív kiválasztási módszert állíthat be:

• Részleges sztringegyezés az ügyféltanúsítvány tulajdonosának nevében. Ez a metódus nem különbözteti meg a kis- és nagybetűket. Akkor célszerű, ha egy számítógép teljes tartománynevét (FQDN) használja a tulajdonos mezőben, és azt szeretné, hogy a tanúsítvány kiválasztása a tartomány utótagján alapuljon, például contoso.com. Ezzel a kijelölési módszerrel azonosíthatja a tanúsítvány tulajdonosnevében szereplő szekvenciális karakterek karakterláncát, amely megkülönbözteti a tanúsítványt az ügyféltanúsítvány-tárolóban lévő többitől.

  Megjegyzés:

  A részleges sztringegyezés nem használható helybeállításként a tulajdonos alternatív nevével (SAN). Bár a CCMSetup használatával megadhat részleges sztringegyezést a SAN-hoz, a helytulajdonságok felülírják azt a következő esetekben:

  • Az ügyfelek lekérik a Active Directory tartományi szolgáltatások közzétett helyadatokat.
  • Az ügyfelek telepítése az ügyfél leküldéses telepítésével történik.

  Csak akkor használjon részleges sztringegyezést a SAN-ban, ha manuálisan telepíti az ügyfeleket, és nem kérnek le helyadatokat Active Directory tartományi szolgáltatások. Ezek a feltételek például csak internetes ügyfelekre vonatkoznak.

• Egyezés az ügyféltanúsítvány tulajdonosnevének attribútumértékeivel vagy a tulajdonos alternatív nevének (SAN) attribútumértékeivel. Ez a metódus megkülönbözteti a kis- és nagybetűk különbségét. Akkor célszerű, ha X500 megkülönböztető nevet vagy azzal egyenértékű objektumazonosítót (OID) használ az RFC 3280-nak megfelelően, és azt szeretné, hogy a tanúsítvány kiválasztása az attribútumértékeken alapuljon. Csak azokat az attribútumokat és értékeket adhatja meg, amelyekre szüksége van a tanúsítvány egyedi azonosításához vagy érvényesítéséhez, valamint a tanúsítványnak a tanúsítványtárolóban lévő többitől való megkülönböztetéséhez.

Az alábbi táblázat azokat az attribútumértékeket mutatja be, amelyeket Configuration Manager támogat az ügyféltanúsítvány-kiválasztási feltételekhez:

OID attribútum	Megkülönböztető név attribútum	Attribútumdefiníció
0.9.2342.19200300.100.1.25	DC	Tartományi összetevő
1.2.840.113549.1.9.1	E vagy E-mail	E-mail-cím
2.5.4.3	CN	Köznapi név
2.5.4.4	SN	Tulajdonos neve
2.5.4.5	SERIALNUMBER	Sorozatszám
2.5.4.6	C	Országkód
2.5.4.7	L	Fekvés
2.5.4.8	S vagy ST	Állam vagy tartomány neve
2.5.4.9	UTCA	Utcanév
2.5.4.10	O	Szervezet neve
2.5.4.11	OU	Szervezeti egység:
2.5.4.12	T vagy Cím	Title
2.5.4.42	G, GN vagy GivenName	Keresztnév
2.5.4.43	I vagy monogram	Kezdőbetűi
2.5.29.17	(nincs érték)	Tulajdonos alternatív neve

Megjegyzés:

Ha a fenti alternatív tanúsítványkijelölési módszerek valamelyikét konfigurálja, a tanúsítvány tulajdonosának nevét nem kell tartalmaznia a helyi számítógépnévnek.

Ha a kiválasztási feltételek alkalmazása után egynél több megfelelő tanúsítvány található, felülbírálhatja az alapértelmezett konfigurációt a leghosszabb érvényességi időtartamú tanúsítvány kiválasztásához. Ehelyett megadhatja, hogy egyetlen tanúsítvány sincs kijelölve. Ebben a forgatókönyvben az ügyfél nem tud PKI-tanúsítvánnyal kommunikálni az IIS-helyrendszerekkel. Az ügyfél hibaüzenetet küld a hozzárendelt tartalék állapotkezelő pontnak, amely figyelmezteti Önt a tanúsítványkiválasztási hibára. Ezután módosíthatja vagy finomíthatja a tanúsítványkijelölési feltételeket.

Az ügyfél viselkedése ezután attól függ, hogy a sikertelen kapcsolat HTTPS-en vagy HTTP-n keresztül történt-e:

• Ha a sikertelen kapcsolat HTTPS-kapcsolaton keresztül történt: Az ügyfél HTTP-kapcsolaton keresztül próbál csatlakozni, és az ügyfél önaláírt tanúsítványát használja.

• Ha a sikertelen kapcsolat HTTP-kapcsolaton keresztül történt: Az ügyfél az önaláírt ügyféltanúsítvánnyal próbál újra csatlakozni HTTP-kapcsolaton keresztül.

Az egyedi PKI-ügyféltanúsítvány azonosításához megadhat egy egyéni tárolót is, amely nem a Számítógéptároló alapértelmezett Személyes értéke. Hozzon létre egy egyéni tanúsítványtárolót a Configuration Manager kívül. Az érvényességi idő lejárta előtt üzembe kell helyeznie a tanúsítványokat ebben az egyéni tárolóban, és meg kell újítania őket.

További információ: Ügyféloldali PKI-tanúsítványok beállításainak konfigurálása.

Áttérési stratégia PKI-tanúsítványokhoz

A rugalmas konfigurációs lehetőségek Configuration Manager lehetővé teszik, hogy fokozatosan váltsa át az ügyfeleket és a helyet, hogy PKI-tanúsítványokat használjanak az ügyfélvégpontok biztonságossá tételéhez. A PKI-tanúsítványok nagyobb biztonságot nyújtanak, és lehetővé teszik az internetes ügyfelek kezelését.

Ez a csomag először bevezeti a PKI-tanúsítványokat a csak HTTP-alapú hitelesítéshez, majd a HTTPS-en keresztüli hitelesítéshez és titkosításhoz. Ha ezt a tervet követve fokozatosan bevezeti ezeket a tanúsítványokat, csökkentheti annak kockázatát, hogy az ügyfelek nem lesznek kezelve. A Configuration Manager által támogatott legmagasabb szintű biztonságot is élvezheti.

A Configuration Manager konfigurációs lehetőségeinek és választási lehetőségeinek száma miatt nincs egyetlen mód a helyek közötti váltásra, hogy minden ügyfél HTTPS-kapcsolatokat használjon. A következő lépések általános útmutatást nyújtanak:

1. Telepítse a Configuration Manager helyet, és konfigurálja úgy, hogy a helyrendszerek HTTPS-en és HTTP-en keresztül fogadják az ügyfélkapcsolatokat.

2. Konfigurálja a Kommunikációbiztonság lapot a webhely tulajdonságai között. Állítsa a helyrendszer-beállításokatHTTP vagy HTTPS értékre, és válassza a PKI-ügyféltanúsítvány használata (ügyfél-hitelesítési képesség) lehetőséget, ha elérhető. További információ: Ügyféloldali PKI-tanúsítványok beállításainak konfigurálása.

3. PKI bevezetésének próbaüzeme az ügyféltanúsítványokhoz. Példaként lásd : Az ügyféltanúsítvány központi telepítése Windows rendszerű számítógépeken.

4. Telepítse az ügyfeleket az ügyfél leküldéses telepítési módszerével. További információ: How to install Configuration Manager clients by using client push (Configuration Manager-ügyfelek telepítése ügyfél leküldéses használatával).

5. Az ügyfél üzembe helyezésének és állapotának figyelése a Configuration Manager konzol jelentéseivel és információival.

6. Nyomon követheti, hogy hány ügyfél használ PKI-ügyféltanúsítványt. Ehhez tekintse meg az Ügyféltanúsítvány oszlopot az Eszközök és megfelelőség munkaterület Eszközök csomópontjában.

   Megjegyzés:

   PKI-tanúsítvánnyal rendelkező ügyfelek esetén a Configuration Manager-konzol az Ügyféltanúsítvány tulajdonságot önaláírtként jeleníti meg. Az ügyfél vezérlőpultjának Ügyféltanúsítvány tulajdonsága pKI-t jelenít meg.

   A Configuration Manager HTTPS Readiness Assessment Tool eszközt (CMHttpsReadiness.exe) is üzembe helyezheti a számítógépeken. Ezután a jelentésekkel megtekintheti, hogy hány számítógép használhat ügyféloldali PKI-tanúsítványt Configuration Manager.

   Megjegyzés:

   A Configuration Manager-ügyfél telepítésekor a CMHttpsReadiness.exe eszközt telepíti a %windir%\CCM mappába. Az eszköz futtatásakor a következő parancssori beállítások érhetők el:

   • /Store:<Certificate store name>: Ez a beállítás ugyanaz, mint a CCMCERTSTORE client.msi tulajdonság :/Issuers:<Case-sensitive issuer common name> Ez a beállítás megegyezik a CCMCERTISSUERS client.msi tulajdonságával
   • /Criteria:<Selection criteria>: Ez a beállítás megegyezik a CCMCERTSEL client.msi tulajdonságával
   • /SelectFirstCert: Ez a beállítás megegyezik a CCMFIRSTCERT client.msi tulajdonságával

   Az eszköz adatokat ad ki a könyvtárban lévő CCM\Logs CMHttpsReadiness.log.

   További információ: Tudnivalók az ügyféltelepítés tulajdonságairól.

7. Ha biztos abban, hogy elég ügyfél használja az ügyfél PKI-tanúsítványát HTTP-hitelesítéshez, kövesse az alábbi lépéseket:

   1. Helyezzen üzembe egy PKI-webkiszolgáló-tanúsítványt egy tagkiszolgálón, amely egy másik felügyeleti pontot futtat a helyhez, és konfigurálja a tanúsítványt az IIS-ben. További információ: A webkiszolgáló-tanúsítvány üzembe helyezése IIS-t futtató helyrendszerek esetén.

   2. Telepítse a felügyeleti pont szerepkört erre a kiszolgálóra. Konfigurálja az Ügyfélkapcsolatok beállítást a HTTPS felügyeleti pontjának tulajdonságai között.

8. Figyelje meg és ellenőrizze, hogy a PKI-tanúsítvánnyal rendelkező ügyfelek https használatával használják-e az új felügyeleti pontot. Az ellenőrzéshez használhatja az IIS-naplózást vagy a teljesítményszámlálókat.

9. Konfiguráljon újra más helyrendszerszerepköröket HTTPS-ügyfélkapcsolatok használatára. Ha az interneten szeretné kezelni az ügyfeleket, győződjön meg arról, hogy a helyrendszerek rendelkeznek internetes teljes tartománynévvel. Konfigurálja az egyes felügyeleti pontokat és terjesztési pontokat az internetről érkező ügyfélkapcsolatok fogadására.

   Fontos

   Mielőtt beállítja a helyrendszerszerepköröket az internetről érkező kapcsolatok fogadására, tekintse át az internetalapú ügyfélfelügyelet tervezési információit és előfeltételeit. További információ: Végpontok közötti kommunikáció.

10. A PKI-tanúsítvány bevezetésének kiterjesztése az ügyfelek és az IIS-t futtató helyrendszerek esetében. Szükség szerint állítsa be a helyrendszerszerepköröket a HTTPS-ügyfélkapcsolatokhoz és az internetkapcsolatokhoz.

11. A legmagasabb biztonság érdekében: Ha biztos abban, hogy minden ügyfél PKI-ügyféltanúsítványt használ hitelesítéshez és titkosításhoz, módosítsa a helytulajdonságokat úgy, hogy csak HTTPS-t használjanak.

Következő lépések

• Biztonság konfigurálása

• A kriptográfiai vezérlők technikai referenciája

• PKI-tanúsítványkövetelmények