Megosztás a következőn keresztül:


PKI-tanúsítványok tervezése a Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

Configuration Manager nyilvános kulcsú infrastruktúrán (PKI) alapuló digitális tanúsítványokat használ, ha elérhetők. Ezeknek a tanúsítványoknak a használata javasolt a nagyobb biztonság érdekében, de a legtöbb esetben nem szükséges. Ezeket a tanúsítványokat a Configuration Manager függetlenül kell üzembe helyeznie és kezelnie.

Ez a cikk a Configuration Manager-ben található PKI-tanúsítványokkal kapcsolatos információkat nyújt a megvalósítás megtervezéséhez. A tanúsítványok Configuration Manager való használatával kapcsolatos általános információkért lásd: Tanúsítványok a Configuration Manager.

PKI-tanúsítvány visszavonása

Ha PKI-tanúsítványokat használ Configuration Manager, tervezze meg a visszavont tanúsítványok listájának (CRL) használatát. Az eszközök a CRL használatával ellenőrzik a tanúsítványt a csatlakozó számítógépen. A CRL egy olyan fájl, amelyet egy hitelesítésszolgáltató (CA) hoz létre és ír alá. A hitelesítésszolgáltató által kiadott, de visszavont tanúsítványok listája. Amikor egy tanúsítványadminisztrátor visszavonja a tanúsítványokat, az ujjlenyomata hozzá lesz adva a CRL-hez. Ha például egy kiállított tanúsítvány ismert vagy gyaníthatóan sérült.

Fontos

Mivel a tanúsítvány-visszavonási listát a rendszer hozzáadja egy tanúsítványhoz, amikor egy hitelesítésszolgáltató kiadja, mindenképpen tervezze meg a CRL-t, mielőtt üzembe helyez minden olyan PKI-tanúsítványt, amelyet Configuration Manager használ.

Az IIS mindig ellenőrzi az ügyféltanúsítványok CRL-ét, és ezt a konfigurációt nem módosíthatja a Configuration Manager. Alapértelmezés szerint Configuration Manager ügyfelek mindig ellenőrzik a helyrendszerek CRL-ét. Tiltsa le ezt a beállítást egy helytulajdonság és egy CCMSetup tulajdonság megadásával.

Azok a számítógépek, amelyek tanúsítvány-visszavonási ellenőrzést használnak, de nem találják a CRL-t, úgy viselkednek, mintha a tanúsítványlánc összes tanúsítványát visszavonták volna. Ennek az az oka, hogy nem tudják ellenőrizni, hogy a tanúsítványok szerepelnek-e a visszavont tanúsítványok listájában. Ebben a forgatókönyvben minden olyan kapcsolat meghiúsul, amely tanúsítványokat igényel, és crl-ellenőrzést is tartalmaz. Amikor annak ellenőrzésekor, hogy a CRL elérhető-e a HTTP-helyére való tallózással, fontos megjegyezni, hogy a Configuration Manager-ügyfél HELYI RENDSZERként fut. A CRL akadálymentességének tesztelése egy böngészővel a felhasználói környezetben sikeres lehet, de előfordulhat, hogy a számítógépfiók le lesz tiltva, amikor ugyanahhoz a CRL URL-címhez próbál HTTP-kapcsolatot létesíteni. Például letiltható egy belső webes szűrési megoldás, például egy proxy miatt. Adja hozzá a CRL URL-címet a webes szűrési megoldások jóváhagyott listájához.

A visszavont tanúsítványok visszavonása minden alkalommal, amikor tanúsítványt használnak, nagyobb biztonságot nyújt a visszavont tanúsítványokkal szemben. Ez késést és további feldolgozást eredményez az ügyfélen. Előfordulhat, hogy a szervezet megköveteli ezt a biztonsági ellenőrzést az interneten vagy egy nem megbízható hálózatban lévő ügyfelek esetében.

Mielőtt eldöntené, hogy Configuration Manager ügyfeleknek ellenőrizniük kell-e a CRL-t, forduljon a PKI-rendszergazdákhoz. Ha az alábbi feltételek mindegyike teljesül, érdemes lehet engedélyezni ezt a beállítást a Configuration Manager:

  • A PKI-infrastruktúra támogatja a CRL-t, és közzé lesz téve, ahol az összes Configuration Manager ügyfél megtalálja. Ezek az ügyfelek lehetnek az interneten található eszközök, valamint a nem megbízható erdőkben található eszközök.

  • A PKI-tanúsítvány használatára konfigurált helyrendszerekkel létesített minden kapcsolat CRL-jének ellenőrzésére vonatkozó követelmény nagyobb, mint a következő követelmények:

    • Gyorsabb kapcsolatok
    • Hatékony feldolgozás az ügyfélen
    • Annak a kockázata, hogy az ügyfelek nem tudnak csatlakozni a kiszolgálókhoz, ha nem találják a CRL-t

PKI megbízható főtanúsítványai

Ha az IIS-helyrendszerek PKI-ügyféltanúsítványokat használnak a HTTP protokollon keresztüli ügyfél-hitelesítéshez, vagy https protokollon keresztüli ügyfél-hitelesítéshez és titkosításhoz, előfordulhat, hogy a legfelső szintű hitelesítésszolgáltatói tanúsítványokat helytulajdonságként kell importálnia. A két forgatókönyv a következő:

  • Az operációs rendszereket Configuration Manager használatával telepítheti, és a felügyeleti pontok csak HTTPS-ügyfélkapcsolatokat fogadnak el.

  • Olyan PKI-ügyféltanúsítványokat használ, amelyek nem láncolnak olyan főtanúsítványhoz, amelyet a felügyeleti pontok megbízhatónak minősítenek.

    Megjegyzés:

    Ha a felügyeleti pontokhoz használt kiszolgálói tanúsítványokat kibocsátó hitelesítésszolgáltatói hierarchiából állít ki ügyféloldali PKI-tanúsítványokat, nem kell megadnia ezt a legfelső szintű hitelesítésszolgáltatói tanúsítványt. Ha azonban több hitelesítésszolgáltatói hierarchiát használ, és nem biztos abban, hogy megbíznak-e egymásban, importálja az ügyfelek hitelesítésszolgáltatói hierarchiájának legfelső szintű hitelesítésszolgáltatóját.

Ha a Configuration Manager fő hitelesítésszolgáltatói tanúsítványait kell importálnia, exportálja őket a kiállító hitelesítésszolgáltatóból vagy az ügyfélszámítógépről. Ha a tanúsítványt a kiállító hitelesítésszolgáltatóból exportálja, amely egyben a legfelső szintű hitelesítésszolgáltató is, ne exportálja a titkos kulcsot. Az illetéktelen módosítás elkerülése érdekében tárolja az exportált tanúsítványfájlt egy biztonságos helyen. A webhely beállításakor hozzá kell férnie a fájlhoz. Ha a hálózaton keresztül fér hozzá a fájlhoz, győződjön meg arról, hogy a kommunikáció az IPsec használatával védett az illetéktelen módosításokkal szemben.

Ha az importált legfelső szintű hitelesítésszolgáltatói tanúsítvány megújul, importálja a megújított tanúsítványt.

Ezek az importált legfelső szintű hitelesítésszolgáltatói tanúsítványok és az egyes felügyeleti pontok legfelső szintű hitelesítésszolgáltatói tanúsítványai létrehozzák a tanúsítványkibocsátók listáját. Configuration Manager számítógépek a következő módokon használják ezt a listát:

  • Amikor az ügyfelek felügyeleti pontokhoz csatlakoznak, a felügyeleti pont ellenőrzi, hogy az ügyféltanúsítvány egy megbízható főtanúsítványhoz van-e láncolva a hely tanúsítványkibocsátók listájában. Ha nem, a rendszer elutasítja a tanúsítványt, és a PKI-kapcsolat meghiúsul.

  • Amikor az ügyfelek kiválasztanak egy PKI-tanúsítványt, és rendelkeznek egy tanúsítványkiállítói listával, kiválasztanak egy tanúsítványt, amely egy megbízható főtanúsítványhoz láncol a tanúsítványkibocsátók listájában. Ha nincs egyezés, az ügyfél nem választ PKI-tanúsítványt. További információ: PKI-ügyféltanúsítvány kiválasztása.

PKI-ügyféltanúsítvány kiválasztása

Ha az IIS-helyrendszerek PKI-ügyféltanúsítványokat használnak a HTTP protokollon keresztüli ügyfél-hitelesítéshez, illetve HTTPS-alapú ügyfél-hitelesítéshez és -titkosításhoz, tervezze meg, hogy a Windows-ügyfelek hogyan választják ki a Configuration Manager használandó tanúsítványt.

Megjegyzés:

Egyes eszközök nem támogatják a tanúsítványkiválasztási módszereket. Ehelyett automatikusan kiválasztják az első tanúsítványt, amely megfelel a tanúsítványkövetelményeknek. Például a macOS rendszerű számítógépeken és mobileszközökön lévő ügyfelek nem támogatják a tanúsítványválasztási módszert.

Sok esetben elegendő az alapértelmezett konfiguráció és viselkedés. A Windows rendszerű számítógépeken futó Configuration Manager-ügyfél több tanúsítványt szűr az alábbi feltételek alapján, ebben a sorrendben:

  1. A tanúsítványkibocsátók listája: A tanúsítvány egy olyan legfelső szintű hitelesítésszolgáltatóhoz láncol, amelyet a felügyeleti pont megbízhatónak minősít.

  2. A tanúsítvány a Személyes tanúsítvány alapértelmezett tárolójában található.

  3. A tanúsítvány érvényes, nincs visszavonva, és nem járt le. Az érvényességi ellenőrzés azt is ellenőrzi, hogy a titkos kulcs elérhető-e.

  4. A tanúsítvány ügyfél-hitelesítési képességgel rendelkezik.

  5. A tanúsítvány tulajdonosának neve részkarakterláncként tartalmazza a helyi számítógépnevet.

  6. A tanúsítvány érvényességi ideje a leghosszabb.

Konfigurálja az ügyfeleket a tanúsítványkibocsátók listájának használatára az alábbi mechanizmusokkal:

Ha az ügyfelek nem rendelkeznek a tanúsítványkibocsátók listájával az első telepítésükkor, és még nincsenek hozzárendelve a helyhez, kihagyják ezt az ellenőrzést. Ha az ügyfelek rendelkeznek a tanúsítványkibocsátók listájával, és nem rendelkeznek olyan PKI-tanúsítvánnyal, amely egy megbízható főtanúsítványhoz láncolható a tanúsítványkibocsátók listájában, a tanúsítvány kiválasztása meghiúsul. Az ügyfelek nem folytatják a többi tanúsítványkijelölési feltételt.

A legtöbb esetben a Configuration Manager-ügyfél helyesen azonosít egy egyedi és megfelelő PKI-tanúsítványt. Ha ez a viselkedés nem így van, ahelyett, hogy az ügyfél-hitelesítési képesség alapján választja ki a tanúsítványt, két alternatív kiválasztási módszert állíthat be:

  • Részleges sztringegyezés az ügyféltanúsítvány tulajdonosának nevében. Ez a metódus nem különbözteti meg a kis- és nagybetűket. Akkor célszerű, ha egy számítógép teljes tartománynevét (FQDN) használja a tulajdonos mezőben, és azt szeretné, hogy a tanúsítvány kiválasztása a tartomány utótagján alapuljon, például contoso.com. Ezzel a kijelölési módszerrel azonosíthatja a tanúsítvány tulajdonosnevében szereplő szekvenciális karakterek karakterláncát, amely megkülönbözteti a tanúsítványt az ügyféltanúsítvány-tárolóban lévő többitől.

    Megjegyzés:

    Nem használhatja a részleges sztringegyezést a tulajdonos alternatív nevével (SAN) webhelybeállításként. Bár a CCMSetup használatával megadhat részleges sztringegyezést a SAN-hoz, a helytulajdonságok felülírják azt a következő esetekben:

    • Az ügyfelek lekérik a Active Directory tartományi szolgáltatások közzétett helyadatokat.
    • Az ügyfelek telepítése az ügyfél leküldéses telepítésével történik.

    Csak akkor használjon részleges sztringegyezést a SAN-ban, ha manuálisan telepíti az ügyfeleket, és nem kérnek le helyadatokat Active Directory tartományi szolgáltatások. Ezek a feltételek például csak internetes ügyfelekre vonatkoznak.

  • Egyezés az ügyféltanúsítvány tulajdonosnevének attribútumértékeivel vagy a tulajdonos alternatív nevének (SAN) attribútumértékeivel. Ez a metódus megkülönbözteti a kis- és nagybetűk különbségét. Akkor célszerű, ha X500 megkülönböztető nevet vagy azzal egyenértékű objektumazonosítókat (OID) használ az RFC 3280 szabványnak megfelelően, és azt szeretné, hogy a tanúsítvány kiválasztása az attribútumértékeken alapuljon. Csak azokat az attribútumokat és értékeket adhatja meg, amelyekre szüksége van a tanúsítvány egyedi azonosításához vagy érvényesítéséhez, valamint a tanúsítványnak a tanúsítványtárolóban lévő többitől való megkülönböztetéséhez.

Az alábbi táblázat azokat az attribútumértékeket mutatja be, amelyeket Configuration Manager támogat az ügyféltanúsítvány-kiválasztási feltételekhez:

OID attribútum Megkülönböztető név attribútum Attribútumdefiníció
0.9.2342.19200300.100.1.25 DC Tartományi összetevő
1.2.840.113549.1.9.1 E vagy E-mail E-mail-cím
2.5.4.3 CN Köznapi név
2.5.4.4 SN Tulajdonos neve
2.5.4.5 SERIALNUMBER Sorszám
2.5.4.6 C Országkód
2.5.4.7 L Településen
2.5.4.8 S vagy ST Állam vagy tartomány neve
2.5.4.9 STREET Utcanév
2.5.4.10 O Szervezet neve
2.5.4.11 OU Szervezeti egység:
2.5.4.12 T vagy Cím Title
2.5.4.42 G, GN vagy GivenName Utónév
2.5.4.43 I vagy monogram Kezdőbetűi
2.5.29.17 (nincs érték) Tulajdonos alternatív neve

Megjegyzés:

Ha a fenti alternatív tanúsítványkijelölési módszerek valamelyikét konfigurálja, a tanúsítvány tulajdonosának nevét nem kell tartalmaznia a helyi számítógépnévnek.

Ha a kiválasztási feltételek alkalmazása után egynél több megfelelő tanúsítvány található, felülbírálhatja az alapértelmezett konfigurációt a leghosszabb érvényességi időtartamú tanúsítvány kiválasztásához. Ehelyett megadhatja, hogy egyetlen tanúsítvány sincs kijelölve. Ebben a forgatókönyvben az ügyfél nem tud PKI-tanúsítvánnyal kommunikálni az IIS-helyrendszerekkel. Az ügyfél hibaüzenetet küld a hozzárendelt tartalék állapotkezelő pontnak, amely figyelmezteti Önt a tanúsítványkiválasztási hibára. Ezután módosíthatja vagy finomíthatja a tanúsítványkijelölési feltételeket.

Az ügyfél viselkedése ezután attól függ, hogy a sikertelen kapcsolat HTTPS-en vagy HTTP-n keresztül történt-e:

  • Ha a sikertelen kapcsolat HTTPS-kapcsolaton keresztül történt: Az ügyfél HTTP-kapcsolaton keresztül próbál csatlakozni, és az ügyfél önaláírt tanúsítványát használja.

  • Ha a sikertelen kapcsolat HTTP-kapcsolaton keresztül történt: Az ügyfél az önaláírt ügyféltanúsítvánnyal próbál újra csatlakozni HTTP-kapcsolaton keresztül.

Az egyedi PKI-ügyféltanúsítvány azonosításához megadhat egy egyéni tárolót is, amely nem a Számítógéptároló alapértelmezett Személyes értéke. Hozzon létre egy egyéni tanúsítványtárolót a Configuration Manager kívül. Az érvényességi idő lejárta előtt üzembe kell helyeznie a tanúsítványokat ebben az egyéni tárolóban, és meg kell újítania őket.

További információ: Ügyféloldali PKI-tanúsítványok beállításainak konfigurálása.

Áttérési stratégia PKI-tanúsítványokhoz

A rugalmas konfigurációs lehetőségek Configuration Manager lehetővé teszik, hogy fokozatosan váltsa át az ügyfeleket és a helyet, hogy PKI-tanúsítványokat használjanak az ügyfélvégpontok biztonságossá tételéhez. A PKI-tanúsítványok nagyobb biztonságot nyújtanak, és lehetővé teszik az internetes ügyfelek kezelését.

Ez a csomag először bevezeti a PKI-tanúsítványokat a csak HTTP-alapú hitelesítéshez, majd a HTTPS-en keresztüli hitelesítéshez és titkosításhoz. Ha ezt a tervet követve fokozatosan bevezeti ezeket a tanúsítványokat, csökkentheti annak kockázatát, hogy az ügyfelek nem lesznek kezelve. A Configuration Manager által támogatott legmagasabb szintű biztonságot is élvezheti.

A Configuration Manager konfigurációs lehetőségeinek és választási lehetőségeinek száma miatt a helyek közötti váltásnak nincs egyetlen módja, hogy minden ügyfél HTTPS-kapcsolatokat használjon. A következő lépések általános útmutatást nyújtanak:

  1. Telepítse a Configuration Manager helyet, és konfigurálja úgy, hogy a helyrendszerek HTTPS-en és HTTP-en keresztül fogadják az ügyfélkapcsolatokat.

  2. Konfigurálja a Kommunikációbiztonság lapot a webhely tulajdonságai között. Állítsa a helyrendszer-beállításokatHTTP vagy HTTPS értékre, majd válassza a PKI-ügyféltanúsítvány használata (ügyfél-hitelesítési képesség) lehetőséget, ha elérhető. További információ: Ügyféloldali PKI-tanúsítványok beállításainak konfigurálása.

  3. PKI bevezetésének próbaüzeme az ügyféltanúsítványokhoz. Példaként tekintse meg az ügyféltanúsítvány Központi telepítése Windows rendszerű számítógépeken című témakört.

  4. Telepítse az ügyfeleket az ügyfél leküldéses telepítési módszerével. További információ: How to install Configuration Manager clients by using client push (Configuration Manager-ügyfelek telepítése ügyfél leküldéses használatával).

  5. Az ügyfél üzembe helyezésének és állapotának figyelése a Configuration Manager konzol jelentéseivel és információival.

  6. Nyomon követheti, hogy hány ügyfél használ PKI-ügyféltanúsítványt. Ehhez tekintse meg az Ügyféltanúsítvány oszlopot az Eszközök és megfelelőség munkaterület Eszközök csomópontjában.

    Megjegyzés:

    PKI-tanúsítvánnyal rendelkező ügyfelek esetén a Configuration Manager-konzol az Ügyféltanúsítvány tulajdonságot önaláírtként jeleníti meg. Az ügyfél vezérlőpultjának Ügyféltanúsítvány tulajdonsága pKI-t jelenít meg.

    A Configuration Manager HTTPS Readiness Assessment Tool eszközt (CMHttpsReadiness.exe) is üzembe helyezheti a számítógépeken. Ezután a jelentésekkel megtekintheti, hogy hány számítógép használhat ügyféloldali PKI-tanúsítványt Configuration Manager.

    Megjegyzés:

    A Configuration Manager-ügyfél telepítésekor a CMHttpsReadiness.exe eszközt telepíti a %windir%\CCM mappába. Az eszköz futtatásakor a következő parancssori beállítások érhetők el:

    • /Store:<Certificate store name>: Ez a beállítás ugyanaz, mint a CCMCERTSTORE client.msi tulajdonság :/Issuers:<Case-sensitive issuer common name> Ez a beállítás megegyezik a CCMCERTISSUERS client.msi tulajdonságával
    • /Criteria:<Selection criteria>: Ez a beállítás megegyezik a CCMCERTSEL client.msi tulajdonságával
    • /SelectFirstCert: Ez a beállítás megegyezik a CCMFIRSTCERT client.msi tulajdonságával

    Az eszköz adatokat ad ki a CMHttpsReadiness.log könyvtárban CCM\Logs .

    További információ: Tudnivalók az ügyféltelepítés tulajdonságairól.

  7. Ha biztos abban, hogy elég ügyfél használja az ügyfél PKI-tanúsítványát HTTP-hitelesítéshez, kövesse az alábbi lépéseket:

    1. Helyezzen üzembe egy PKI-webkiszolgáló-tanúsítványt egy tagkiszolgálón, amely egy másik felügyeleti pontot futtat a helyhez, és konfigurálja a tanúsítványt az IIS-ben. További információ: A webkiszolgáló-tanúsítvány üzembe helyezése IIS-t futtató helyrendszerek esetén.

    2. Telepítse a felügyeleti pont szerepkört erre a kiszolgálóra. Konfigurálja az Ügyfélkapcsolatok beállítást a HTTPS felügyeleti pontjának tulajdonságai között.

  8. Figyelje meg és ellenőrizze, hogy a PKI-tanúsítvánnyal rendelkező ügyfelek https használatával használják-e az új felügyeleti pontot. Az ellenőrzéshez használhatja az IIS-naplózást vagy a teljesítményszámlálókat.

  9. Konfiguráljon újra más helyrendszerszerepköröket HTTPS-ügyfélkapcsolatok használatára. Ha az interneten szeretné kezelni az ügyfeleket, győződjön meg arról, hogy a helyrendszerek rendelkeznek internetes teljes tartománynévvel. Konfigurálja az egyes felügyeleti pontokat és terjesztési pontokat az internetről érkező ügyfélkapcsolatok fogadására.

    Fontos

    Mielőtt beállítja a helyrendszerszerepköröket az internetről érkező kapcsolatok fogadására, tekintse át az internetalapú ügyfélfelügyelet tervezési információit és előfeltételeit. További információ: Végpontok közötti kommunikáció.

  10. A PKI-tanúsítvány bevezetésének kiterjesztése az ügyfelek és az IIS-t futtató helyrendszerek esetében. Szükség szerint állítsa be a helyrendszerszerepköröket a HTTPS-ügyfélkapcsolatokhoz és az internetkapcsolatokhoz.

  11. A legmagasabb biztonság érdekében: Ha biztos abban, hogy minden ügyfél PKI-ügyféltanúsítványt használ hitelesítéshez és titkosításhoz, módosítsa a helytulajdonságokat úgy, hogy csak HTTPS-t használjanak.

Következő lépések