A Configuration Manager tanúsítványprofiljainak bemutatása
Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Megjegyzés |
|---|
Az ebben a témakörben található információk a System Center 2012 R2 Configuration Manager és a System Center 2012 R2 Configuration Manager SP1 szervizcsomagra vonatkoznak. |
A tanúsítványprofilok a System Center 2012 Configuration Manager alkalmazásban az Active Directory Tanúsítványszolgáltatások és a Hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör használatával működnek, hogy a felügyelt eszközöknek tanúsítványhitelesítést biztosítsanak úgy, hogy a felhasználók zavartalanul férjenek hozzá a vállalati erőforrásokhoz. Létrehozhat és telepíthet például olyan tanúsítványprofilokat, amelyek ellátják a felhasználókat a szükséges tanúsítványokkal, hogy kezdeményezzenek VPN és vezetéknélküli kapcsolatokat.
A Configuration Manager tanúsítványprofiljai a következő felügyeleti képességeket biztosítják:
Tanúsítványigénylés és -megújítás vállalati tanúsítványszolgáltató (CA) által iOS, Windows 8.1, a Windows RT 8.1 és Android rendszerű eszközök esetén. Ezek a tanúsítványok ezután felhasználhatók a Wi-Fi és VPN-kapcsolatokhoz.
Megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványok és köztes hitelesítésszolgáltatói tanúsítványok központi telepítése a megbízható eszközök láncolatának konfigurálására, hogy VPN és Wi-Fi kapcsolatokat lehessen létesíteni, ha kiszolgálói hitelesítésre van szükség.
A telepített tanúsítványok figyelése, és jelentések készítése
A tanúsítványprofilok automatikusan konfigurálják a felhasználók készülékét, tehát a vállalat olyan erőforrásai, mint a Wi-Fi hálózatok és a VPN kiszolgálók elérhetők anélkül, hogy manuálisan kellene tanúsítványt telepíteni, vagy más eljárást kellene használni. A tanúsítványprofilok a vállalati erőforrások biztonságának fenntartásában is segítenek, mivel használható több olyan beállítás is, amelyiket a vállalati nyilvános kulcsú infrastruktúra (PKI) támogatja. Megkövetelheti például a kiszolgálói hitelesítés használatát minden Wi-Fi és VPN kapcsolathoz, mivel a felügyelt eszközöket ellátta a szükséges tanúsítványokkal.
Például: Minden alkalmazott csatlakozhat a vállalat különböző helyszínein a Wi-Fi csatlakozási pontokhoz. Ennek megvalósítása érdekében központilag telepítheti a Wi-Fi kapcsolathoz szükséges tanúsítványokat és a Configuration Manager azon Wi-Fi profiljait, amelyek a Wi-Fi kapcsolathoz a felhasználóknak zavartalan csatlakozást biztosító helyes tanúsítványra hivatkoznak.
Például: Rendelkezik már nyilvános kulcsú infrastruktúrával, és szeretne áttérni a tanúsítványszolgáltatás egy olyan rugalmasabb, biztonságosabb módjára, amely lehetővé teszi, hogy a felhasználók a saját személyes készülékükről a biztonság csökkentése nélkül elérjék a vállalati erőforrásokat. Ennek megvalósítása érdekében a tanúsítványprofilokat konfigurálhatja olyan beállításokkal és protokollokkal, amelyek támogatják a vonatkozó készülékplatformot. A készülékek ezt követően automatikusan lekérhetik ezeket a tanúsítványokat egy internetes elérésű beléptetési kiszolgálótól. Ezután konfigurálhatja a VPN-profilokat a tanúsítványok használatára, mellyel az eszköz el tudja érni a vállalati erőforrásokat.
Tanúsítványprofili típusok
A Configuration Manager rendszerben kétféle típusú tanúsítványprofil hozható létre:
Megbízható hitelesítésszolgáltató tanúsítványa - Lehetővé teszi a megbízható gyökér szintű vagy köztes hitelesítésszolgáltatói tanúsítvány központi telepítését, hogy azok megbízható tanúsítványláncolatot képezzenek, amikor az eszköznek kiszolgálót kell hitelesíteni.
Az Egyszerű tanúsítványigénylési protokoll (SCEP) beállításai - Lehetővé teszi a Windows Server 2012 R2 alapú kiszolgálón az eszköz vagy felhasználó számára a tanúsítványlekérést a SCEP protokoll és Hálózati eszközök tanúsítványigénylési szolgáltatása használatával.
MegjegyzésA Megbízható hitelesítésszolgáltató tanúsítványa típusú tanúsítványprofilt azt megelőzően kell létrehozni, hogy az Egyszerű tanúsítványigénylési protokoll (SCEP) beállításai típusú tanúsítványprofilt létrehozná.
Követelmények és támogatott platformok
Az Egyszerű tanúsítványigénylési protokollt használó tanúsítványprofilok központi telepítéséhez tanúsítványregisztrációs pontot kell telepíteni a helyrendszer-kiszolgálón a központi felügyeleti helyre vagy az elsődleges helyre. Fel kell telepíteni a Hálózati eszközök tanúsítványigénylési szolgáltatásának házirendmodulját, a Configuration Manager házirendmodulját a Windows Server 2012 R2 azon kiszolgálójára, amelyik az Active Directory tanúsítványszolgáltatási szerepkörével fut, és egy olyan működő Hálózati eszközök tanúsítványigénylési szolgáltatást, amelyik elérhető a tanúsítványt igénylő eszközök részére. A Microsoft Intune által beléptetett eszközök esetében a Hálózati eszközök tanúsítványigénylési szolgáltatásának elérhetőnek kell lennie az internetről, például egy szegélyhálózatban (más néven DMZ-ben).
További információ arról, hogy a Hálózati eszközök tanúsítványigénylési szolgáltatás hogyan támogatja a házirendmodult, hogy a Configuration Manager tanúsítványokat telepíthessen: Házirendmodul használata a Hálózati eszközök tanúsítványigénylési szolgáltatással.
A Configuration Manager támogatja a tanúsítványok különböző tanúsítványtárakba telepítését, az igénytől, valamint az eszköz típusától és operációs rendszerétől függően. A következő eszközök és operációs rendszerek támogatottak:
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
.jpeg "System_CAPS_warning")
FigyelmeztetésA Windows Phone 8.1 támogatásához telepítenie kell a választható Windows Phone 8.1-bővítményt. Útmutató a bővítmény telepítéséhez: A bővítmények használatának előkészítése a Configuration Managerben.
iOS
Android
MegjegyzésInformáció a végfelhasználók által a tanúsítvány Android rendszerű eszközre telepítéséhez elvégzendő műveletekről: Tanúsítványok telepítése Android alapú eszközökre a Configuration Managerben.
.jpeg "System_CAPS_important") Fontos |
|---|
Az Android, iOS, Windows Phone és beléptetett Windows 8.1 rendszerű eszközökre csak akkor lehet profilokat telepíteni, ha az eszközök be vannak léptetve a Microsoft Intune-ba. Az eszközök beléptetéséről további információért lásd: Mobileszközök kezelése a Microsoft Intune-nal. |
A System Center 2012 Configuration Manager esetén az a jellemző forgatókönyv, hogy megbízható gyökér szintű hitelesítésszolgáltatói tanúsítványokat telepítenek a Wi-Fi és a VPN kiszolgálókra csatlakozáshoz, ha a kapcsolat EAP-TLS, EAP-TTLS vagy PEAP hitelesítési protokollt, valamint az IKEv2, L2TP/IPsec protokollt, illetve az egyesítő Cisco IPsec VPN protokollt használja.
Meg kell győződni arról, hogy a vállalat gyökér szintű tanúsítványa már telepítve van az eszközön, amikor az tanúsítványokat kérne le az SCEP tanúsítványprofil használatával.
Az SCEP tanúsítványprofilban megadhatók különböző beállítások a különböző környezetek vagy kapcsolódási igények szerint testre szabott tanúsítványok lekéréséhez. A Tanúsítványprofil létrehozása varázsló két lapot tartalmaz az igénylési paraméterek részére. Az első, az SCEP-igénylés tartalmazza az igénylési kérelmek beállításait, és azt, hogy a tanúsítvány hova legyen telepítve. A második, a Tanúsítvány tulajdonságai magát a lekért tanúsítványt ismerteti.
Tanúsítványprofilok központi telepítése
A tanúsítványprofil központi telepítésekor a profil tanúsítványfájljai telepítve lesznek az ügyféleszközökre. Telepítve lesznek az SCEP esetleges paraméterei is, és az SCEP kérelmei az ügyféleszközön lesznek feldolgozva. A tanúsítványprofilok telepíthetők felhasználók vagy eszközök gyűjteményére is, és megadható az egyes tanúsítványok tárolási célhelye is. Az alkalmazhatósági szabályok határozzák meg, hogy a tanúsítványok telepíthetők-e az eszközön. A tanúsítványprofilok felhasználógyűjtemények számára történő telepítésekor a felhasználó–eszköz kapcsolat határozza meg, hogy a felhasználó mely eszközein lesznek telepítve a tanúsítványok. Ha felhasználói tanúsítványokat tartalmazó tanúsítványprofil lett telepítve eszközök gyűjteményére, a tanúsítványok alapértelmezetten az egyes felhasználók elsődleges eszközére lesznek telepítve. Ez a viselkedés megváltoztatható a Tanúsítványprofil létrehozása varázslóSCEP-igénylés lapján úgy, hogy a tanúsítvány a felhasználó valamelyik eszközére legyen telepítve. A felhasználói tanúsítványok viszont nem lesznek telepítve olyan eszközre, amelyik munkacsoporti számítógép.
Tanúsítványprofilok figyelése
A Configuration Manager konzol Megfigyelés munkaterületének Telepítések csomópontjáról megfigyelheti a tanúsítványprofil-telepítéseket.
A tanúsítványprofilok figyeléséhez használhatja a Configuration Manager következő jelentéseit is:
A tanúsítványregisztrációs pont által kibocsátott tanúsítványok előzményei
Tanúsítványkiadási állapot szerint rendezett eszközlista
A hamarosan lejáró tanúsítvánnyal rendelkező eszközök listája
Tanúsítványok automatikus visszahívása
A Configuration Manager automatikusan visszahívja azokat a felhasználói és számítógépi tanúsítványokat, amelyek tanúsítványprofilok használatával a következő körülmények között lettek telepítve:
Az eszköz kikerült a Configuration Manager felügyeletéből.
Az eszköz ki lett törölve szelektíven.
Az eszköz blokkolva lett a Configuration Manager hierarchiájában.
A tanúsítvány visszahívásához a helykiszolgáló visszahívási parancsot küld a tanúsítványt kibocsátó tanúsítványszolgáltatónak. A visszahívás oka A tevékenység megszűnt.
A System Center 2012 R2 Configuration Manager újdonságai
| Megjegyzés |
|---|
Az ebben a szakaszban szereplő információk a következő helyen is megjelennek: az Getting Started with System Center 2012 Configuration Manager (Az első lépések a System Center 2012 Configuration Managerrel) útmutatóban. |
A System Center 2012 R2 Configuration Manager tanúsítványprofiljainak újdonságai Biztosítják a következő lehetőségeket, valamint bizonyos függő konfigurációk tartoznak hozzájuk:
Felügyelt eszközök felhasználói és eszköztanúsítványainak központi telepítése az Egyszerű tanúsítványigénylési protokoll (SCEP) használatával. Ezek a tanúsítványok használhatók Wi-Fi és VPN kapcsolatok támogatásához.
A támogatott készülékek közé tartoznak az iOS, Windows 8.1 és Windows RT 8.1, valamint Android rendszerű készülékek.
Gyökérszintű hitelesítésszolgáltatói tanúsítványok és köztes hitelesítésszolgáltatói tanúsítványok központi telepítése, úgy, hogy ezek megbízhatósági láncolatot képezzenek, amikor a hálózati csatlakozásokhoz kiszolgálóhitelesítést használnak.
A tanúsítványregisztrációs pontot a központi felügyeleti helyre vagy az elsődleges helyre kell telepíteni, a Configuration Manager házirendmodulját pedig a Windows Server 2012 R2 olyan kiszolgálójára, amelyik az Active Directory tanúsítványszolgáltatási és a Hálózati eszközök tanúsítványigénylési szolgáltatási szerepkörével fut. A kiszolgálónak pedig elérhetőnek kell lenni az internetről, és a tanúsítványok kiadásához kommunikálni kell a vállalati tanúsítványszolgáltatóval. További információ a Hálózati eszközök tanúsítványigénylési szolgáltatás Windows Server 2012 R2 rendszerbeli változásairól: A tanúsítványszolgáltatások újdonságai a Windows Server 2012 R2 rendszerben.
A System Center 2012 Configuration Manager SP2 újdonságai
A Configuration Manager 2012 SP2 lehetővé teszi személyes információcsere (.pfx) fájlok kiosztását a felhasználók eszközeire. A PFX-fájlok segítségével létrehozhat felhasználó-specifikus tanúsítványokat a titkosított adatcsere támogatására. A PFX-fájlok létrehozhatók a Configuration Manageren belül, vagy importálhatók is. A Configuration Manager 2012 SP2 esetében az importált vagy új PFX-tanúsítványok telepíthetők iOS-, Android- és Windows 8.1 és újabb, valamint Windows Phone 8.1 és újabb eszközökre. Ezek a fájlok aztán telepíthetők több eszközre a felhasználó-alapú PKI-kommunikáció támogatásához. A PFX-fájlok lehetnek További információ: .No text is shown for link '1151e4ef-647e-4a8c-ae37-d5f0972dc4da'. The title of the linked topic might be empty.