PKI-tanúsítványok tervezése a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
Configuration Manager nyilvános kulcsú infrastruktúrán (PKI) alapuló digitális tanúsítványokat használ, ha elérhetők. Ezeknek a tanúsítványoknak a használata javasolt a nagyobb biztonság érdekében, de a legtöbb esetben nem szükséges. Ezeket a tanúsítványokat a Configuration Manager függetlenül kell üzembe helyeznie és kezelnie.
Ez a cikk a Configuration Manager-ben található PKI-tanúsítványokkal kapcsolatos információkat nyújt a megvalósítás megtervezéséhez. A tanúsítványok Configuration Manager való használatával kapcsolatos általános információkért lásd: Tanúsítványok a Configuration Manager.
PKI-tanúsítvány visszavonása
Ha PKI-tanúsítványokat használ Configuration Manager, tervezze meg a visszavont tanúsítványok listájának (CRL) használatát. Az eszközök a CRL használatával ellenőrzik a tanúsítványt a csatlakozó számítógépen. A CRL egy olyan fájl, amelyet egy hitelesítésszolgáltató (CA) hoz létre és ír alá. A hitelesítésszolgáltató által kiadott, de visszavont tanúsítványok listája. Amikor egy tanúsítványadminisztrátor visszavonja a tanúsítványokat, az ujjlenyomata hozzá lesz adva a CRL-hez. Ha például egy kiállított tanúsítvány ismert vagy gyaníthatóan sérült.
Fontos
Mivel a tanúsítvány-visszavonási listát a rendszer hozzáadja egy tanúsítványhoz, amikor egy hitelesítésszolgáltató kiadja, mindenképpen tervezze meg a CRL-t, mielőtt üzembe helyez minden olyan PKI-tanúsítványt, amelyet Configuration Manager használ.
Az IIS mindig ellenőrzi az ügyféltanúsítványok CRL-ét, és ezt a konfigurációt nem módosíthatja a Configuration Manager. Alapértelmezés szerint Configuration Manager ügyfelek mindig ellenőrzik a helyrendszerek CRL-ét. Tiltsa le ezt a beállítást egy helytulajdonság és egy CCMSetup tulajdonság megadásával.
Azok a számítógépek, amelyek tanúsítvány-visszavonási ellenőrzést használnak, de nem találják a CRL-t, úgy viselkednek, mintha a tanúsítványlánc összes tanúsítványát visszavonták volna. Ennek az az oka, hogy nem tudják ellenőrizni, hogy a tanúsítványok szerepelnek-e a visszavont tanúsítványok listájában. Ebben a forgatókönyvben minden olyan kapcsolat meghiúsul, amely tanúsítványokat igényel, és crl-ellenőrzést is tartalmaz. Amikor annak ellenőrzésekor, hogy a CRL elérhető-e a HTTP-helyére való tallózással, fontos megjegyezni, hogy a Configuration Manager-ügyfél HELYI RENDSZERként fut. A CRL akadálymentességének tesztelése egy böngészővel a felhasználói környezetben sikeres lehet, de előfordulhat, hogy a számítógépfiók le lesz tiltva, amikor ugyanahhoz a CRL URL-címhez próbál HTTP-kapcsolatot létesíteni. Például letiltható egy belső webes szűrési megoldás, például egy proxy miatt. Adja hozzá a CRL URL-címet a webes szűrési megoldások jóváhagyott listájához.
A visszavont tanúsítványok visszavonása minden alkalommal, amikor tanúsítványt használnak, nagyobb biztonságot nyújt a visszavont tanúsítványokkal szemben. Ez késést és további feldolgozást eredményez az ügyfélen. Előfordulhat, hogy a szervezet megköveteli ezt a biztonsági ellenőrzést az interneten vagy egy nem megbízható hálózatban lévő ügyfelek esetében.
Mielőtt eldöntené, hogy Configuration Manager ügyfeleknek ellenőrizniük kell-e a CRL-t, forduljon a PKI-rendszergazdákhoz. Ha az alábbi feltételek mindegyike teljesül, érdemes lehet engedélyezni ezt a beállítást a Configuration Manager:
A PKI-infrastruktúra támogatja a CRL-t, és közzé lesz téve, ahol az összes Configuration Manager ügyfél megtalálja. Ezek az ügyfelek lehetnek az interneten található eszközök, valamint a nem megbízható erdőkben található eszközök.
A PKI-tanúsítvány használatára konfigurált helyrendszerekkel létesített minden kapcsolat CRL-jének ellenőrzésére vonatkozó követelmény nagyobb, mint a következő követelmények:
- Gyorsabb kapcsolatok
- Hatékony feldolgozás az ügyfélen
- Annak a kockázata, hogy az ügyfelek nem tudnak csatlakozni a kiszolgálókhoz, ha nem találják a CRL-t
PKI megbízható főtanúsítványai
Ha az IIS-helyrendszerek PKI-ügyféltanúsítványokat használnak a HTTP protokollon keresztüli ügyfél-hitelesítéshez, vagy https protokollon keresztüli ügyfél-hitelesítéshez és titkosításhoz, előfordulhat, hogy a legfelső szintű hitelesítésszolgáltatói tanúsítványokat helytulajdonságként kell importálnia. A két forgatókönyv a következő:
Az operációs rendszereket Configuration Manager használatával telepítheti, és a felügyeleti pontok csak HTTPS-ügyfélkapcsolatokat fogadnak el.
Olyan PKI-ügyféltanúsítványokat használ, amelyek nem láncolnak olyan főtanúsítványhoz, amelyet a felügyeleti pontok megbízhatónak minősítenek.
Megjegyzés:
Ha a felügyeleti pontokhoz használt kiszolgálói tanúsítványokat kibocsátó hitelesítésszolgáltatói hierarchiából állít ki ügyféloldali PKI-tanúsítványokat, nem kell megadnia ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt. Ha azonban több hitelesítésszolgáltatói hierarchiát használ, és nem biztos abban, hogy megbíznak-e egymásban, importálja az ügyfelek hitelesítésszolgáltatói hierarchiájának legfelső szintű hitelesítésszolgáltatóját.
Ha a Configuration Manager fő hitelesítésszolgáltatói tanúsítványait kell importálnia, exportálja őket a kiállító hitelesítésszolgáltatóból vagy az ügyfélszámítógépről. Ha a tanúsítványt a kiállító hitelesítésszolgáltatóból exportálja, amely egyben a legfelső szintű hitelesítésszolgáltató is, ne exportálja a titkos kulcsot. Az illetéktelen módosítás elkerülése érdekében tárolja az exportált tanúsítványfájlt egy biztonságos helyen. A webhely beállításakor hozzá kell férnie a fájlhoz. Ha a hálózaton keresztül fér hozzá a fájlhoz, győződjön meg arról, hogy a kommunikáció az IPsec használatával védett az illetéktelen módosításokkal szemben.
Ha az importált legfelső szintű hitelesítésszolgáltatói tanúsítvány megújul, importálja a megújított tanúsítványt.
Ezek az importált legfelső szintű hitelesítésszolgáltatói tanúsítványok és az egyes felügyeleti pontok legfelső szintű hitelesítésszolgáltatói tanúsítványai létrehozzák a tanúsítványkibocsátók listáját. Configuration Manager számítógépek a következő módokon használják ezt a listát:
Amikor az ügyfelek felügyeleti pontokhoz csatlakoznak, a felügyeleti pont ellenőrzi, hogy az ügyféltanúsítvány egy megbízható főtanúsítványhoz van-e láncolva a hely tanúsítványkibocsátók listájában. Ha nem, a rendszer elutasítja a tanúsítványt, és a PKI-kapcsolat meghiúsul.
Amikor az ügyfelek kiválasztanak egy PKI-tanúsítványt, és rendelkeznek egy tanúsítványkiállítói listával, kiválasztanak egy tanúsítványt, amely egy megbízható főtanúsítványhoz láncol a tanúsítványkibocsátók listájában. Ha nincs egyezés, az ügyfél nem választ PKI-tanúsítványt. További információ: PKI-ügyféltanúsítvány kiválasztása.
PKI-ügyféltanúsítvány kiválasztása
Ha az IIS-helyrendszerek PKI-ügyféltanúsítványokat használnak a HTTP protokollon keresztüli ügyfél-hitelesítéshez, illetve HTTPS-alapú ügyfél-hitelesítéshez és -titkosításhoz, tervezze meg, hogy a Windows-ügyfelek hogyan választják ki a Configuration Manager használandó tanúsítványt.
Megjegyzés:
Egyes eszközök nem támogatják a tanúsítványkiválasztási módszereket. Ehelyett automatikusan kiválasztják az első tanúsítványt, amely megfelel a tanúsítványkövetelményeknek. Például a macOS rendszerű számítógépeken és mobileszközökön lévő ügyfelek nem támogatják a tanúsítványválasztási módszert.
Sok esetben elegendő az alapértelmezett konfiguráció és viselkedés. A Windows rendszerű számítógépeken futó Configuration Manager-ügyfél több tanúsítványt szűr az alábbi feltételek alapján, ebben a sorrendben:
A tanúsítványkibocsátók listája: A tanúsítvány egy olyan legfelső szintű hitelesítésszolgáltatóhoz láncol, amelyet a felügyeleti pont megbízhatónak minősít.
A tanúsítvány a Személyes tanúsítvány alapértelmezett tárolójában található.
A tanúsítvány érvényes, nincs visszavonva, és nem járt le. Az érvényességi ellenőrzés azt is ellenőrzi, hogy a titkos kulcs elérhető-e.
A tanúsítvány ügyfél-hitelesítési képességgel rendelkezik.
A tanúsítvány tulajdonosának neve részkarakterláncként tartalmazza a helyi számítógépnevet.
A tanúsítvány érvényességi ideje a leghosszabb.
Konfigurálja az ügyfeleket a tanúsítványkibocsátók listájának használatára az alábbi mechanizmusokkal:
Tegye közzé Configuration Manager webhely adataival a Active Directory tartományi szolgáltatások.
Ügyfelek telepítése ügyfél leküldéses használatával.
Az ügyfelek a felügyeleti pontról töltik le, miután sikeresen hozzárendelték őket a helyükhöz.
Adja meg az ügyfél telepítése során a CCMCERTISSUERS CCMSetup client.msi tulajdonságaként.
Ha az ügyfelek nem rendelkeznek a tanúsítványkibocsátók listájával az első telepítésükkor, és még nincsenek hozzárendelve a helyhez, kihagyják ezt az ellenőrzést. Ha az ügyfelek rendelkeznek a tanúsítványkibocsátók listájával, és nem rendelkeznek olyan PKI-tanúsítvánnyal, amely egy megbízható főtanúsítványhoz láncolható a tanúsítványkibocsátók listájában, a tanúsítvány kiválasztása meghiúsul. Az ügyfelek nem folytatják a többi tanúsítványkijelölési feltételt.
A legtöbb esetben a Configuration Manager-ügyfél helyesen azonosít egy egyedi és megfelelő PKI-tanúsítványt. Ha ez a viselkedés nem így van, ahelyett, hogy az ügyfél-hitelesítési képesség alapján választja ki a tanúsítványt, két alternatív kiválasztási módszert állíthat be:
Részleges sztringegyezés az ügyféltanúsítvány tulajdonosának nevében. Ez a metódus nem különbözteti meg a kis- és nagybetűket. Akkor célszerű, ha egy számítógép teljes tartománynevét (FQDN) használja a tulajdonos mezőben, és azt szeretné, hogy a tanúsítvány kiválasztása a tartomány utótagján alapuljon, például contoso.com. Ezzel a kijelölési módszerrel azonosíthatja a tanúsítvány tulajdonosnevében szereplő szekvenciális karakterek karakterláncát, amely megkülönbözteti a tanúsítványt az ügyféltanúsítvány-tárolóban lévő többitől.
Megjegyzés:
Nem használhatja a részleges sztringegyezést a tulajdonos alternatív nevével (SAN) webhelybeállításként. Bár a CCMSetup használatával megadhat részleges sztringegyezést a SAN-hoz, a helytulajdonságok felülírják azt a következő esetekben:
- Az ügyfelek lekérik a Active Directory tartományi szolgáltatások közzétett helyadatokat.
- Az ügyfelek telepítése az ügyfél leküldéses telepítésével történik.
Csak akkor használjon részleges sztringegyezést a SAN-ban, ha manuálisan telepíti az ügyfeleket, és nem kérnek le helyadatokat Active Directory tartományi szolgáltatások. Ezek a feltételek például csak internetes ügyfelekre vonatkoznak.
Egyezés az ügyféltanúsítvány tulajdonosnevének attribútumértékeivel vagy a tulajdonos alternatív nevének (SAN) attribútumértékeivel. Ez a metódus megkülönbözteti a kis- és nagybetűk különbségét. Akkor célszerű, ha X500 megkülönböztető nevet vagy azzal egyenértékű objektumazonosítókat (OID) használ az RFC 3280 szabványnak megfelelően, és azt szeretné, hogy a tanúsítvány kiválasztása az attribútumértékeken alapuljon. Csak azokat az attribútumokat és értékeket adhatja meg, amelyekre szüksége van a tanúsítvány egyedi azonosításához vagy érvényesítéséhez, valamint a tanúsítványnak a tanúsítványtárolóban lévő többitől való megkülönböztetéséhez.
Az alábbi táblázat azokat az attribútumértékeket mutatja be, amelyeket Configuration Manager támogat az ügyféltanúsítvány-kiválasztási feltételekhez:
| OID attribútum | Megkülönböztető név attribútum | Attribútumdefiníció |
|---|---|---|
| 0.9.2342.19200300.100.1.25 | DC | Tartományi összetevő |
| 1.2.840.113549.1.9.1 | E vagy E-mail | E-mail-cím |
| 2.5.4.3 | CN | Köznapi név |
| 2.5.4.4 | SN | Tulajdonos neve |
| 2.5.4.5 | SERIALNUMBER | Sorszám |
| 2.5.4.6 | C | Országkód |
| 2.5.4.7 | L | Településen |
| 2.5.4.8 | S vagy ST | Állam vagy tartomány neve |
| 2.5.4.9 | STREET | Utcanév |
| 2.5.4.10 | O | Szervezet neve |
| 2.5.4.11 | OU | Szervezeti egység: |
| 2.5.4.12 | T vagy Cím | Title |
| 2.5.4.42 | G, GN vagy GivenName | Utónév |
| 2.5.4.43 | I vagy monogram | Kezdőbetűi |
| 2.5.29.17 | (nincs érték) | Tulajdonos alternatív neve |
Megjegyzés:
Ha a fenti alternatív tanúsítványkijelölési módszerek valamelyikét konfigurálja, a tanúsítvány tulajdonosának nevét nem kell tartalmaznia a helyi számítógépnévnek.
Ha a kiválasztási feltételek alkalmazása után egynél több megfelelő tanúsítvány található, felülbírálhatja az alapértelmezett konfigurációt a leghosszabb érvényességi időtartamú tanúsítvány kiválasztásához. Ehelyett megadhatja, hogy egyetlen tanúsítvány sincs kijelölve. Ebben a forgatókönyvben az ügyfél nem tud PKI-tanúsítvánnyal kommunikálni az IIS-helyrendszerekkel. Az ügyfél hibaüzenetet küld a hozzárendelt tartalék állapotkezelő pontnak, amely figyelmezteti Önt a tanúsítványkiválasztási hibára. Ezután módosíthatja vagy finomíthatja a tanúsítványkijelölési feltételeket.
Az ügyfél viselkedése ezután attól függ, hogy a sikertelen kapcsolat HTTPS-en vagy HTTP-n keresztül történt-e:
Ha a sikertelen kapcsolat HTTPS-kapcsolaton keresztül történt: Az ügyfél HTTP-kapcsolaton keresztül próbál csatlakozni, és az ügyfél önaláírt tanúsítványát használja.
Ha a sikertelen kapcsolat HTTP-kapcsolaton keresztül történt: Az ügyfél az önaláírt ügyféltanúsítvánnyal próbál újra csatlakozni HTTP-kapcsolaton keresztül.
Az egyedi PKI-ügyféltanúsítvány azonosításához megadhat egy egyéni tárolót is, amely nem a Számítógéptároló alapértelmezett Személyes értéke. Hozzon létre egy egyéni tanúsítványtárolót a Configuration Manager kívül. Az érvényességi idő lejárta előtt üzembe kell helyeznie a tanúsítványokat ebben az egyéni tárolóban, és meg kell újítania őket.
További információ: Ügyféloldali PKI-tanúsítványok beállításainak konfigurálása.
Áttérési stratégia PKI-tanúsítványokhoz
A rugalmas konfigurációs lehetőségek Configuration Manager lehetővé teszik, hogy fokozatosan váltsa át az ügyfeleket és a helyet, hogy PKI-tanúsítványokat használjanak az ügyfélvégpontok biztonságossá tételéhez. A PKI-tanúsítványok nagyobb biztonságot nyújtanak, és lehetővé teszik az internetes ügyfelek kezelését.
Ez a csomag először bevezeti a PKI-tanúsítványokat a csak HTTP-alapú hitelesítéshez, majd a HTTPS-en keresztüli hitelesítéshez és titkosításhoz. Ha ezt a tervet követve fokozatosan bevezeti ezeket a tanúsítványokat, csökkentheti annak kockázatát, hogy az ügyfelek nem lesznek kezelve. A Configuration Manager által támogatott legmagasabb szintű biztonságot is élvezheti.
A Configuration Manager konfigurációs lehetőségeinek és választási lehetőségeinek száma miatt a helyek közötti váltásnak nincs egyetlen módja, hogy minden ügyfél HTTPS-kapcsolatokat használjon. A következő lépések általános útmutatást nyújtanak:
Telepítse a Configuration Manager helyet, és konfigurálja úgy, hogy a helyrendszerek HTTPS-en és HTTP-en keresztül fogadják az ügyfélkapcsolatokat.
Konfigurálja a Kommunikációbiztonság lapot a webhely tulajdonságai között. Állítsa a helyrendszer-beállításokatHTTP vagy HTTPS értékre, majd válassza a PKI-ügyféltanúsítvány használata (ügyfél-hitelesítési képesség) lehetőséget, ha elérhető. További információ: Ügyféloldali PKI-tanúsítványok beállításainak konfigurálása.
PKI bevezetésének próbaüzeme az ügyféltanúsítványokhoz. Példaként tekintse meg az ügyféltanúsítvány Központi telepítése Windows rendszerű számítógépeken című témakört.
Telepítse az ügyfeleket az ügyfél leküldéses telepítési módszerével. További információ: How to install Configuration Manager clients by using client push (Configuration Manager-ügyfelek telepítése ügyfél leküldéses használatával).
Az ügyfél üzembe helyezésének és állapotának figyelése a Configuration Manager konzol jelentéseivel és információival.
Nyomon követheti, hogy hány ügyfél használ PKI-ügyféltanúsítványt. Ehhez tekintse meg az Ügyféltanúsítvány oszlopot az Eszközök és megfelelőség munkaterület Eszközök csomópontjában.
Megjegyzés:
PKI-tanúsítvánnyal rendelkező ügyfelek esetén a Configuration Manager-konzol az Ügyféltanúsítvány tulajdonságot önaláírtként jeleníti meg. Az ügyfél vezérlőpultjának Ügyféltanúsítvány tulajdonsága pKI-t jelenít meg.
A Configuration Manager HTTPS Readiness Assessment Tool eszközt (CMHttpsReadiness.exe) is üzembe helyezheti a számítógépeken. Ezután a jelentésekkel megtekintheti, hogy hány számítógép használhat ügyféloldali PKI-tanúsítványt Configuration Manager.
Megjegyzés:
A Configuration Manager-ügyfél telepítésekor a CMHttpsReadiness.exe eszközt telepíti a
%windir%\CCMmappába. Az eszköz futtatásakor a következő parancssori beállítások érhetők el:-
/Store:<Certificate store name>: Ez a beállítás ugyanaz, mint a CCMCERTSTORE client.msi tulajdonság :/Issuers:<Case-sensitive issuer common name>Ez a beállítás megegyezik a CCMCERTISSUERS client.msi tulajdonságával -
/Criteria:<Selection criteria>: Ez a beállítás megegyezik a CCMCERTSEL client.msi tulajdonságával -
/SelectFirstCert: Ez a beállítás megegyezik a CCMFIRSTCERT client.msi tulajdonságával
Az eszköz adatokat ad ki a CMHttpsReadiness.log könyvtárban
CCM\Logs.További információ: Tudnivalók az ügyféltelepítés tulajdonságairól.
-
Ha biztos abban, hogy elég ügyfél használja az ügyfél PKI-tanúsítványát HTTP-hitelesítéshez, kövesse az alábbi lépéseket:
Helyezzen üzembe egy PKI-webkiszolgáló-tanúsítványt egy tagkiszolgálón, amely egy másik felügyeleti pontot futtat a helyhez, és konfigurálja a tanúsítványt az IIS-ben. További információ: A webkiszolgáló-tanúsítvány üzembe helyezése IIS-t futtató helyrendszerek esetén.
Telepítse a felügyeleti pont szerepkört erre a kiszolgálóra. Konfigurálja az Ügyfélkapcsolatok beállítást a HTTPS felügyeleti pontjának tulajdonságai között.
Figyelje meg és ellenőrizze, hogy a PKI-tanúsítvánnyal rendelkező ügyfelek https használatával használják-e az új felügyeleti pontot. Az ellenőrzéshez használhatja az IIS-naplózást vagy a teljesítményszámlálókat.
Konfiguráljon újra más helyrendszerszerepköröket HTTPS-ügyfélkapcsolatok használatára. Ha az interneten szeretné kezelni az ügyfeleket, győződjön meg arról, hogy a helyrendszerek rendelkeznek internetes teljes tartománynévvel. Konfigurálja az egyes felügyeleti pontokat és terjesztési pontokat az internetről érkező ügyfélkapcsolatok fogadására.
Fontos
Mielőtt beállítja a helyrendszerszerepköröket az internetről érkező kapcsolatok fogadására, tekintse át az internetalapú ügyfélfelügyelet tervezési információit és előfeltételeit. További információ: Végpontok közötti kommunikáció.
A PKI-tanúsítvány bevezetésének kiterjesztése az ügyfelek és az IIS-t futtató helyrendszerek esetében. Szükség szerint állítsa be a helyrendszerszerepköröket a HTTPS-ügyfélkapcsolatokhoz és az internetkapcsolatokhoz.
A legmagasabb biztonság érdekében: Ha biztos abban, hogy minden ügyfél PKI-ügyféltanúsítványt használ hitelesítéshez és titkosításhoz, módosítsa a helytulajdonságokat úgy, hogy csak HTTPS-t használjanak.