PKI-tanúsítványkövetelmények a Configuration Managerben
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
A következő táblázatokban találhatók a System Center 2012 Configuration Manager alkalmazáshoz szükséges PKI-tanúsítványok (a nyilvános kulcsokra épülő infrastruktúra tanúsítványai). Ez az információ a PKI-tanúsítványok alapszintű ismeretét feltételezi. A tanúsítványok központi telepítését lépésenként bemutató példát lásd: Példa a Configuration Manager PKI tanúsítványainak központi telepítési lépéseire: Windows Server 2008 tanúsítványszolgáltató. Az Active Directory tanúsítványszolgáltatások részletes ismertetését a következő dokumentációban tekintheti meg:
Windows Server 2012: Az Active Directory Tanúsítványszolgáltatás áttekintése
Windows Server 2008: Az Active Directory Tanúsítványszolgáltatás a Windows Server 2008 rendszerben
Fontos! |
---|
2017. január 1-jei hatállyal a Windows többé nem fog megbízni az SHA-1 algoritmussal aláírt tanúsítványokban. Javasoljuk, hogy az új kiszolgálói és ügyféltanúsítványokat SHA-2 algoritmussal aláírva adja ki. A változásra és a határidő esetleges módosulásaira vonatkozó további részletekért olvassa el ezt a blogbejegyzést: Windows Enforcement of Authenticode Code Signing and Timestamping (Az Authenticode aláírás és időbélyegzés kényszerítése a Windowsban). |
A Configuration Manager által a mobileszközön és a Mac számítógépeken beléptetett ügyféltanúsítványok, a Microsoft Intune által a mobileszközök automatikus felügyeletéhez létrehozott ügyféltanúsítványok és a Configuration Manager által az AMT-alapú számítógépeken telepített ügyféltanúsítványok kivételével bármely PKI igénybe vehető az alábbi tanúsítványok létrehozásához, telepítéséhez és felügyeletéhez. Amikor az Active Directory tanúsítványszolgáltatásokat és a tanúsítványsablonokat használja, ez a Microsoft PKI-megoldás megkönnyítheti a tanúsítványok felügyeletét. A következő táblázatok Használandó Microsoft-tanúsítványsablon oszlopa tartalmazza a tanúsítványokra vonatkozó követelményeknek leginkább megfelelő tanúsítványsablonokat. Sablonalapú tanúsítványokat csak a kiszolgálói operációs rendszer Enterprise Edition vagy Datacenter Edition verzióját, például a Windows Server 2008 Enterprise vagy a Windows Server 2008 Datacenter rendszert használó vállalati hitelesítésszolgáltatók adhatnak ki.
Fontos! |
---|
Amikor vállalati hitelesítésszolgáltatót és tanúsítványsablonokat használ, ne használja a 3-as verziójú sablonokat. Ezek a tanúsítványsablonok olyan tanúsítványokat hoznak létre, amelyek nem kompatibilisek a Configuration Manager alkalmazással. Ilyen esetben a 2-es verziójú sablonokat használja a következő útmutatás szerint:
|
A tanúsítványokra vonatkozó követelményeket a következő részekben tekintheti át.
A kiszolgálók PKI-tanúsítványai
Configuration Manager-összetevő |
Tanúsítvány célja |
Használandó Microsoft-tanúsítványsablon |
A tanúsítványban szereplő konkrét információk |
A tanúsítvány használatának módja a Configuration Manager rendszerben |
||
---|---|---|---|---|---|---|
Az Internet Information Services (IIS) szolgáltatást futtató és a HTTPS-ügyfélkapcsolatokra beállított helyrendszerek:
|
Kiszolgálói hitelesítés |
Webkiszolgáló |
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie. Ha a helyrendszer az internetről érkező kapcsolatokat fogad, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőnek az internetes teljes tartománynevet (FQDN) kell tartalmaznia. Ha a helyrendszer az intranetről érkező kapcsolatokat fogad, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőnek az intranetes teljes tartománynevet (ez az ajánlott) vagy a számítógép nevét kell tartalmaznia a helyrendszer konfigurációjától függően. Ha a helyrendszer az internetről és az intranetről is fogad kapcsolatokat, az internetes és az intranetes teljes tartománynevet (vagy a számítógépnevet) is meg kell adni úgy, hogy az „&” jel válassza el a két nevet.
Az SHA-2 kivonatoló algoritmus támogatott. A Configuration Manager nem ír elő maximális támogatott kulcshosszúságot ennél a tanúsítványnál. A tanúsítvány kulcsmérettel kapcsolatos problémáiról a PKI és az IIS dokumentációjában tájékozódhat. |
Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie. Ezzel a webkiszolgáló-tanúsítvánnyal hitelesíthetők ezek a kiszolgálók az ügyfél számára, és ezzel a tanúsítvánnyal titkosítható az ügyfél és a kiszolgálók között továbbított összes adat a Secure Sockets Layer (SSL) protokoll használatával. |
||
Felhőalapú terjesztési pont |
Kiszolgálói hitelesítés |
Webkiszolgáló |
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie. A Tulajdonos neve mezőnek egy felhasználó által meghatározott szolgáltatásnevet és tartománynevet kell tartalmaznia a teljes tartománynév formátumának megfelelően, a felhőalapú terjesztési pont meghatározott példányának köznapi neveként. A titkos kulcsnak exportálhatónak kell lennie. Az SHA-2 kivonatoló algoritmus támogatott. Támogatott kulcshosszúság: 2048 bit. |
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén: Ezzel a tanúsítvánnyal hitelesíthető a felhőalapú terjesztési pont szolgáltatása a Configuration Manager-ügyfelek számára, és ezzel a tanúsítvánnyal titkosítható a szolgáltatás és az ügyfelek között továbbított összes adat a Secure Sockets Layer (SSL) protokoll használatával. Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót ahhoz, hogy importálhassa a tanúsítványt, amikor létrehoz egy felhőalapú terjesztési pontot.
|
||
Hálózati terheléselosztási (NLB) fürt a szoftverfrissítési pontokhoz |
Kiszolgálói hitelesítés |
Webkiszolgáló |
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie.
Az SHA-2 kivonatoló algoritmus támogatott. |
Szervizcsomag nélküli System Center 2012 Configuration Manager rendszer esetében: Ezzel a tanúsítvánnyal hitelesíthető a hálózati terheléselosztás szoftverfrissítési pontja az ügyfél számára, és ezzel a tanúsítvánnyal titkosítható az ügyfél és az ilyen kiszolgálók között továbbított összes adat az SSL protokoll használatával.
|
||
A Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálók |
Kiszolgálói hitelesítés |
Webkiszolgáló |
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie. A Tulajdonos neve mezőnek az intranetes teljes tartománynevet (FQDN) kell tartalmaznia. Az SHA-2 kivonatoló algoritmus támogatott. A maximális támogatott kulcshossz 2048 bit. |
Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie, és a Configuration Manager automatikusan átmásolja a megbízható személyek kiszolgálókhoz tartozó tárolójába a Configuration Manager hierarchiájában, amelynek esetleg megbízhatósági kapcsolatot kell létrehoznia a kiszolgálóval. Ezek a tanúsítványok a kiszolgálók közötti hitelesítéshez használhatók. |
||
SQL Server-fürt: a Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálók |
Kiszolgálói hitelesítés |
Webkiszolgáló |
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie. A Tulajdonos neve mezőnek a fürt intranetes teljes tartománynevét (FQDN) kell tartalmaznia. A titkos kulcsnak exportálhatónak kell lennie. A tanúsítvány érvényességi időtartamának legalább két évnek kell lennie, amikor a Configuration Manager alkalmazást az SQL Server-fürt használatára állítja be. Az SHA-2 kivonatoló algoritmus támogatott. A maximális támogatott kulcshossz 2048 bit. |
Miután igényelte a tanúsítványt, és telepítette azt a fürtben lévő egyik csomópontra, exportálja a tanúsítványt, és importálja azt az SQL Server-fürtben lévő további csomópontokra. Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie, és a Configuration Manager automatikusan átmásolja a megbízható személyek kiszolgálókhoz tartozó tárolójába a Configuration Manager hierarchiájában, amelynek esetleg megbízhatósági kapcsolatot kell létrehoznia a kiszolgálóval. Ezek a tanúsítványok a kiszolgálók közötti hitelesítéshez használhatók. |
||
Helyrendszer figyelése a következő helyrendszerszerepkörök esetében:
|
Ügyfél-hitelesítés |
Munkaállomás hitelesítése |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. A számítógépekhez egyedi értéknek kell tartoznia a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.
Az SHA-2 kivonatoló algoritmus támogatott. A maximális támogatott kulcshossz 2048 bit. |
Erre a tanúsítványra szükség van a felsorolt helyrendszer-kiszolgálókon akkor is, ha nincs telepítve a System Center 2012 Configuration Manager-ügyfél, hogy a rendszer figyelni tudja a helyrendszerszerepköröket, és jelentéseket tudjon küldeni a helynek. E helyrendszerek tanúsítványának a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie. |
||
A Configuration Manager Házirend modulját és a Hálózati eszközök tanúsítványigénylési szolgáltatásának szerepkör-szolgáltatását futtató kiszolgálók. |
Ügyfél-hitelesítés |
Munkaállomás hitelesítése |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) nem vonatkoznak konkrét követelmények, egy tanúsítvány pedig több olyan kiszolgálóhoz is használható, amely a Hálózati eszközök tanúsítványigénylési szolgáltatását futtatja. Az SHA-2 és az SHA-3 kivonatoló algoritmus támogatott. Támogatott kulcshosszúságok: 1024 bit és 2048 bit. |
A jelen témakörben található információk csak a System Center 2012 R2 Configuration Manager verzióira vonatkoznak. Ez a tanúsítvány hitelesíti a Configuration Manager Házirend modulját a tanúsítvány regisztrációs pontjának helyrendszer-kiszolgálóján, hogy a Configuration Manager tanúsítványokat igényelhessen a felhasználók és az eszközök számára. |
||
Telepített terjesztési ponttal rendelkező helyrendszerek |
Ügyfél-hitelesítés |
Munkaállomás hitelesítése |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) nem vonatkoznak konkrét követelmények, egy tanúsítvány pedig több terjesztési ponthoz is használható. Javasoljuk azonban, hogy minden tanúsítványhoz használjon különböző tanúsítványt. A titkos kulcsnak exportálhatónak kell lennie. Az SHA-2 kivonatoló algoritmus támogatott. A maximális támogatott kulcshossz 2048 bit. |
Ennek a tanúsítványnak két célja van:
Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót ahhoz, hogy importálhassa a tanúsítványt a terjesztési pont tulajdonságai közé.
|
||
Sávon kívüli szolgáltatási pont |
AMT kiépítés |
Webkiszolgáló (módosított) |
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek és a következő objektumazonosítónak kell szerepelnie: 2.16.840.1.113741.1.2.3. A Tulajdonos neve mezőnek a sávon kívüli szolgáltatási pontot futtató kiszolgáló teljes tartománynevét kell tartalmaznia.
Az egyetlen támogatott kivonatoló algoritmus az SHA-1. Támogatott kulcshosszúságok: 1024 és 2048. Az AMT 6.0 és újabb verziókban a 4096 bites kulcshosszúság is támogatott. |
Ez a tanúsítvány a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában található a sávon kívüli szolgáltatási pont helyrendszer-kiszolgálóján. Ez az AMT kiépítési tanúsítvány a számítógépek sávon kívüli felügyeletének előkészítéséhez használható. Ezt a tanúsítványt az AMT kiépítési tanúsítványokat támogató hitelesítésszolgáltatótól kell igényelnie, és ehhez a kiépítési tanúsítványhoz az Intel AMT-alapú számítógépek BIOS-kiterjesztését be kell állítani a főtanúsítvány ujjlenyomatának (más néven: tanúsítványkivonat) használatára. AMT kiépítési tanúsítványokat például a VeriSign hitelesítésszolgáltatótól igényelhet, de használhatja a saját belső hitelesítésszolgáltatóját is. A tanúsítványt a sávon kívüli szolgáltatási pontot futtató kiszolgálóra telepítse, amelynek sikeresen kapcsolódnia kell a tanúsítvány legfelső szintű hitelesítésszolgáltatójához. (Alapértelmezés szerint a VeriSign főtanúsítványa és köztes tanúsítványa a Windows rendszerrel együtt telepíthető.) |
||
A Microsoft Intune csatlakozót futtató helyrendszerkiszolgáló |
Ügyfél-hitelesítés |
Nem alkalmazható: a Intune automatikusan létrehozza ezt a tanúsítványt. |
A Kibővített kulcshasználat beállítás az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéket tartalmazza. 3 egyéni bővítmény egyedi módon azonosítja az ügyfél Intune-előfizetését. A kulcshosszúság 2048 bit, és a tanúsítvány SHA-1 kivonatoló algoritmust használ.
|
A Microsoft Intune-ra való előfizetéskor a rendszer automatikusan igényli ezt a tanúsítványt, és telepíti a Configuration Manager adatbázisába. A Microsoft Intune csatlakozó telepítésekor ez a tanúsítvány települ a Microsoft Intune csatlakozót futtató helyrendszer-kiszolgálóra. Telepítési helye a számítógép tanúsítványtárolója. Ezzel a tanúsítvánnyal hitelesíthető a Configuration Manager hierarchia a Microsoft Intune rendszerében a Microsoft Intune csatlakozó segítségével. Az adatok átvitele titkosítottan történik a Secure Sockets Layer (SSL) protokoll használatával. |
Az internetalapú ügyfélfelügyelet proxywebkiszolgálói
Ha a hely támogatja az internetalapú ügyfélfelügyeletet, és proxywebkiszolgálót használ az SSL-hídképzés alkalmazásával a bejövő internetkapcsolatokhoz, a proxywebkiszolgálóra a következő táblázatban felsorolt tanúsítványkövetelmények vonatkoznak.
Megjegyzés |
---|
Ha SSL-hídképzés nélkül használ proxywebkiszolgálót (bújtatás), a proxywebkiszolgálón nincs szükség további tanúsítványokra. |
Hálózati infrastruktúra összetevője |
Tanúsítvány célja |
Használandó Microsoft-tanúsítványsablon |
A tanúsítványban szereplő konkrét információk |
A tanúsítvány használatának módja a Configuration Manager rendszerben |
---|---|---|---|---|
Az interneten érkező ügyfélkapcsolatokat fogadó proxywebkiszolgáló |
Kiszolgáló hitelesítése és ügyfél hitelesítése |
|
Internet FQDN a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben (ha Microsoft tanúsítványsablonokat használ, a Tulajdonos alternatív neve csak a munkaállomási sablonnal használható). Az SHA-2 kivonatoló algoritmus támogatott. |
Ezzel a tanúsítvánnyal hitelesíthetők a következő kiszolgálók az internetes ügyfelek számára, és ezzel a tanúsítvánnyal titkosítható az ügyfél és az ilyen kiszolgálók között továbbított összes adat az SSL protokoll használatával:
Az ügyfél-hitelesítés használható a System Center 2012 Configuration Manager ügyfelei és az internet alapú helyrendszerek közötti kapcsolatok hídjaként. |
Ügyfelek PKI-tanúsítványai
Configuration Manager-összetevő |
Tanúsítvány célja |
Használandó Microsoft-tanúsítványsablon |
A tanúsítványban szereplő konkrét információk |
A tanúsítvány használatának módja a Configuration Manager rendszerben |
||
---|---|---|---|---|---|---|
Windows alapú ügyfélszámítógépek |
Ügyfél-hitelesítés |
Munkaállomás hitelesítése |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. Az ügyfélszámítógépekhez egyedi értéknek kell tartoznia a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.
Az SHA-2 kivonatoló algoritmus támogatott. A maximális támogatott kulcshossz 2048 bit. |
A Configuration Manager alapértelmezetten a számítógépek tanúsítványát a Számítógép tanúsítványtárolójában a személyes tárban keresi. A szoftverfrissítési pont és az alkalmazáskatalógus weboldal-elérési pontja kivételével, ez a tanúsítvány hitelesíti az ügyfelet az IIS szolgáltatást futtató és a HTTPS használatára konfigurált helyrendszer-kiszolgálók számára. |
||
Mobileszközök mint ügyfelek |
Ügyfél-hitelesítés |
Hitelesített munkamenet |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. Az egyetlen támogatott kivonatoló algoritmus az SHA-1. A maximális támogatott kulcshossz 2048 bit.
|
Ez a tanúsítvány hitelesíti ügyfélként a mobileszközt azon helyrendszer-kiszolgáló számára, amelyikkel például a felügyeleti pontokkal és a terjesztési pontokkal kommunikál. |
||
Rendszerindító lemezképek operációs rendszerek központi telepítéséhez |
Ügyfél-hitelesítés |
Munkaállomás hitelesítése |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) nem vonatkoznak konkrét követelmények, és minden rendszerindító lemezképhez használható ugyanaz a tanúsítvány. A titkos kulcsnak exportálhatónak kell lennie. Az SHA-2 kivonatoló algoritmus támogatott. A maximális támogatott kulcshossz 2048 bit. |
A tanúsítvány akkor használatos, ha az operációs rendszer központi telepítési folyamatában a feladatütemezés olyan ügyfélműveleteket is tartalmaz, mint az ügyfélházirend lekérése vagy a leltári adatok küldése. Ezt a tanúsítványt csak az operációs rendszer központi telepítésének időtartama alatt kell használni, a rendszer nem telepíti az ügyfélre. A használat ideiglenes jellegéből adódóan ugyanez a tanúsítvány az operációs rendszer mindegyik központi telepítéséhez felhasználható, ha nem kíván több ügyféltanúsítványt használni. Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót ahhoz, hogy importálhassa a tanúsítványt a Configuration Manager rendszerindító lemezképeire.
|
||
Mac alapú ügyfélszámítógépek |
Ügyfél-hitelesítés |
Configuration Manager általi beléptetésnél: Hitelesített munkamenet A Configuration Manager használatától független tanúsítványtelepítés: Munkaállomás hitelesítése |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. Ha a Configuration Manager felhasználói tanúsítványt hoz létre, a Tulajdonos neve automatikusan annak a személynek a felhasználónevével töltődik ki, aki belépteti a Mac számítógépet. A Configuration Manager beléptetését nem használó, de a számítógép tanúsítványát a Configuration Manager használatától független tanúsítványtelepítéseknél a tanúsítványon a Tulajdonos neve csak egyedi lehet. Adja meg például a számítógépe teljes tartománynevét. A Tulajdonos alternatív neve mező nem használható. Az SHA-2 kivonatoló algoritmus támogatott. A maximális támogatott kulcshossz 2048 bit. |
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén: Ez a tanúsítvány hitelesíti ügyfélként a Mac számítógépet azon helyrendszer-kiszolgáló számára, amelyikkel például a felügyeleti pontokkal és a terjesztési pontokkal kommunikál. |
||
Linux és UNIX alapú ügyfélszámítógépek |
Ügyfél-hitelesítés |
Munkaállomás hitelesítése |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. A Tulajdonos alternatív neve mező nem használható. A titkos kulcsnak exportálhatónak kell lennie. Az SHA-1 kivonatoló algoritmus támogatott. Az SHA-2 kivonatoló algoritmus akkor támogatott, ha azt az ügyfél operációs rendszere támogatja. További információ: Linux és UNIX operációs rendszerek, hogy el nem támogatási SHA-256 című rész, Ügyfelek központi telepítése Linux és UNIX kiszolgálók tervezése témakör. Támogatott kulcshosszúság: 2048 bit.
|
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén: Ez a tanúsítvány hitelesíti ügyfélként a Linux vagy UNIX számítógépet azon helyrendszer-kiszolgáló számára, amelyikkel például a felügyeleti pontokkal és a terjesztési pontokkal kommunikál. Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót, hogy azt az ügyfél részére megadhassa a tanúsítvány kiválasztásakor. Továnni nformációt a következő témakör A Linux és UNIX kiszolgálók biztonsági és a tanúsítványokat tervezése című szakaszában talál: Ügyfelek központi telepítése Linux és UNIX kiszolgálók tervezése. |
||
Legfelső szintű hitelesítésszolgáltató (CA) tanúsítványai a következő forgatókönyvekhez:
|
Tanúsítványlánc megbízható forráshoz |
Nem alkalmazható. |
Szabványos legfelső szintű hitelesítésszolgáltató tanúsítványa |
Legfelső szintű hitelesítésszolgáltatói tanúsítványt kell biztosítani, ha az ügyfeleknek a kommunikáló kiszolgáló tanúsítványait a megbízható forrás részére láncolni kell. Ez a következő forgatókönyvekre vonatkozik:
Az ügyfeleknek akkor is legfelső szintű hitelesítésszolgáltatói tanúsítványt kell biztosítani, ha az ügyfél tanúsítványokat más hitelesítésszolgáltatói hierarchia adta ki, mint az a hierarchia, amelyik a felügyeleti pont tanúsítványát kiadta. |
||
Intel AMT alapú számítógépek |
Kiszolgálói hitelesítés. |
Webkiszolgáló (módosított) Az Az Active Directoryból mezőben meg kell adni a tulajdonos nevét, majd a Tulajdonos nevének formátuma részére a Köznapi név értéket kell választani. Olvasás és Beléptetés engedélyt kell adni a sávon kívüli felügyeleti összetevő tulajdonságai beállításban megadott univerzális biztonsági csoport részére. |
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie. A Tulajdonos nevének tartalmazni kell az AMT alapú számítógép teljes tartománynevét, ez automatikusan töltődik ki az Active Directory tartományszolgáltatásaiból. Az egyetlen támogatott kivonatoló algoritmus az SHA-1. A maximális támogatott kulcshossz: 2048 bit. |
Ez a tanúsítvány a számítógépen a felügyeletvezérlő nem felejtő közvetlen elérésű memóriájában tartózkodik, és nem látható a Windows felhasználói felületén. Ezt a tanúsítványt mindegyik Intel AMT alapú számítógép lekéri az AMT kiépítésekor és a további frissítésekor. Ha eltávolítja ezekről a számítógépekről az AMT kiépítés információit, akkor azok visszavonják a tanúsítványukat. Ha ez a tanúsítvány Intel AMT alapú számítógépre van telepítve, a legfelső szintű tanúsítványszolgáltató tanúsítványláncolata is települ. Az AMT alapú számítógépek nem tudják támogatni az olyan hitelesítésszolgáltatói tanúsítványokat, amelyek kulcshossza több, mint 2048 bit. Miután a tanúsítvány telepítve lett Intel AMT alapú számítógépekre, ez a tanúsítvány hitelesíti az AMT alapú számítógépeket a sávon kívüli szolgáltatási pont helyrendszer-kiszolgálója és azon számítógépek részére, amelyek a sávon kívüli felügyeleti konzolon futnak, ugyanakkor titkosít közöttük minden adatátvitelt a Transport Layer Security (TLS) protokoll használatával. |
||
Intel AMT 802.1X ügyféltanúsítvány |
Ügyfél-hitelesítés |
Munkaállomás hitelesítése Az Az Active Directoryból mezőben konfigurálni kell a tulajdonos nevét, majd a Tulajdonos nevének formátuma részére a Köznapi név értéket kell választani, a DNS-nevet törölni kell, és a tulajdonos alternatív neveként Egyszerű felhasználónevet (UPN) kell választani. Erre a tanúsítványsablonra Olvasás és Beléptetés engedélyt kell adni a sávon kívüli felügyeleti összetevő tulajdonságai beállításban megadott univerzális biztonsági csoport részére. |
A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie. A tulajdonos neve mezőben az AMT alapú számítógép teljes tartománynevének (FQDN), a tulajdonos alternatív neve mezőben pedig az egyszerű felhasználónévnek (UPN) kell szerepelni. A maximális támogatott kulcshossz: 2048 bit. |
Ez a tanúsítvány a számítógépen a felügyeletvezérlő nem felejtő közvetlen elérésű memóriájában tartózkodik, és nem látható a Windows felhasználói felületén. Mindegyik Intel AMT alapú számítógép lekérheti ezt a tanúsítványt az AMT jogosultságkiosztásakor, de nem vonják ki ezt a tanúsítványt az AMT jogosultságkiosztási információ eltávolításakor. Miután a tanúsítvány telepítve lett az AMT alapú számítógépekre, ez a tanúsítvány hitelesíti az AMT alapú számítógépeket a RADIUS kiszolgálónál, így nyerve hitelesítést a hálózat hozzáférésére. |
||
Mobileszközök, amelyekhez a Microsoft Intune végzi a tanúsítványigénylést |
Ügyfél-hitelesítés |
Nem alkalmazható: a Intune automatikusan létrehozza ezt a tanúsítványt. |
A Kibővített kulcshasználat beállítás az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéket tartalmazza. 3 egyéni bővítmény egyedi módon azonosítja az ügyfél Intune-előfizetését. A felhasználók a tanúsítványt a Tulajdonos értékével a beléptetés során látják el. Ezt az értéket azonban nem használja a Intune az eszköz azonosítására. A kulcshosszúság 2048 bit, és a tanúsítvány SHA-1 kivonatoló algoritmust használ.
|
Amikor a hitelesített felhasználók a Microsoft Intune használatával beléptetik mobileszközüket, a tanúsítvány lekérése és telepítése automatikusan végbemegy. Az ennek eredményeként kapott tanúsítványt a rendszer a számítógéptárban tárolja, és ezzel hitelesíti a beléptetett mobileszközt a Intune-ban, annak érdekében, hogy az eszköz felügyelhető legyen. A tanúsítvány egyéni bővítményei miatt a hitelesítés a Intune azon előfizetésére korlátozódik, amely a vállalat számára lett létrehozva. |