Condividi tramite


Certificati in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Configuration Manager usa una combinazione di certificati digitali autofirmati e PKI (Public Key Infrastructure).

Quando possibile, usare i certificati PKI. Per altre informazioni, vedere Requisiti del certificato PKI. Quando Configuration Manager richiede certificati PKI durante la registrazione per i dispositivi mobili, usare Active Directory Domain Services e un'autorità di certificazione aziendale. Per tutti gli altri certificati PKI, distribuirli e gestirli in modo indipendente da Configuration Manager.

I certificati PKI sono necessari quando i computer client si connettono a sistemi del sito basati su Internet. Il gateway di gestione cloud richiede anche certificati. Per altre informazioni, vedere Gestire i client su Internet.

Quando si usa un'infrastruttura a chiave pubblica, è anche possibile usare IPsec per proteggere la comunicazione da server a server tra sistemi del sito in un sito, tra siti e per altri trasferimenti di dati tra computer. L'implementazione di IPsec è indipendente da Configuration Manager.

Quando i certificati PKI non sono disponibili, Configuration Manager genera automaticamente certificati autofirmati. Alcuni certificati in Configuration Manager sono sempre autofirmati. Nella maggior parte dei casi, Configuration Manager gestisce automaticamente i certificati autofirmati e non è necessario eseguire un'altra azione. Un esempio è il certificato di firma del server del sito. Questo certificato è sempre autofirmo. Garantisce che i criteri scaricati dai client dal punto di gestione siano stati inviati dal server del sito e non siano stati manomessi. Come altro esempio, quando si abilita il sito per HTTP avanzato, il sito rilascia certificati autofirmati ai ruoli del server del sito.

Importante

A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.

Certificati CNG v3

Configuration Manager supporta i certificati CNG (Cryptography: Next Generation) v3. Configuration Manager client possono usare un certificato di autenticazione client PKI con chiave privata in un provider di archiviazione chiavi CNG. Con il supporto KSP, i client Configuration Manager supportano chiavi private basate su hardware, ad esempio un KSP TPM per i certificati di autenticazione client PKI.

Per altre informazioni, vedere Panoramica dei certificati CNG v3.

HTTP avanzato

L'uso della comunicazione HTTPS è consigliato per tutti i percorsi di comunicazione Configuration Manager, ma è difficile per alcuni clienti a causa del sovraccarico della gestione dei certificati PKI. L'introduzione dell'integrazione Microsoft Entra riduce alcuni, ma non tutti i requisiti del certificato. È invece possibile abilitare il sito per l'uso di HTTP avanzato. Questa configurazione supporta HTTPS nei sistemi del sito usando certificati autofirmati, insieme all'ID Microsoft Entra per alcuni scenari. Non richiede PKI.

Per altre informazioni, vedere HTTP avanzato.

Certificati per CMG

La gestione dei client su Internet tramite cloud management gateway (CMG) richiede l'uso di certificati. Il numero e il tipo di certificati variano a seconda degli scenari specifici.

Per altre informazioni, vedere Elenco di controllo per la configurazione di CMG.

Nota

Il punto di distribuzione basato sul cloud (CDP) è deprecato. A partire dalla versione 2107, non è possibile creare nuove istanze CDP. Per fornire contenuto ai dispositivi basati su Internet, abilitare cmg per distribuire il contenuto. Per altre informazioni, vedere Funzionalità deprecate.

Per altre informazioni sui certificati per un CDP, vedere Certificati per il punto di distribuzione cloud.

Certificato di firma del server del sito

Il server del sito crea sempre un certificato autofirma. Usa questo certificato per diversi scopi.

I client possono ottenere in modo sicuro una copia del certificato di firma del server del sito da Active Directory Domain Services e dall'installazione push client. Se i client non riescono a ottenere una copia di questo certificato da uno di questi meccanismi, installarlo quando si installa il client. Questo processo è particolarmente importante se la prima comunicazione del client con il sito è con un punto di gestione basato su Internet. Poiché questo server è connesso a una rete non attendibile, è più vulnerabile agli attacchi. Se non si esegue questo altro passaggio, i client scaricano automaticamente una copia del certificato di firma del server del sito dal punto di gestione.

I client non possono ottenere in modo sicuro una copia del certificato del server del sito negli scenari seguenti:

  • Non installare il client usando il push client e:

    • Lo schema di Active Directory non è stato esteso per Configuration Manager.

    • Il sito del client non è stato pubblicato in Active Directory Domain Services.

    • Il client proviene da una foresta non attendibile o da un gruppo di lavoro.

  • Si usa la gestione client basata su Internet e si installa il client quando è su Internet.

Per altre informazioni su come installare i client con una copia del certificato di firma del server del sito, usare la proprietà della riga di comando SMSSIGNCERT . Per altre informazioni, vedere Informazioni sui parametri e sulle proprietà di installazione client.

Provider di archiviazione delle chiavi associato all'hardware

Configuration Manager usa certificati autofirmati per l'identità client e per proteggere la comunicazione tra il client e i sistemi del sito. Quando si aggiorna il sito e i client alla versione 2107 o successiva, il client archivia il certificato dal sito in un provider di archiviazione chiavi associato all'hardware. Questo KSP è in genere il modulo TPM (Trusted Platform Module) almeno versione 2.0. Anche il certificato è contrassegnato come non esportabile.

Se il client ha anche un certificato basato su PKI, continua a usare tale certificato per la comunicazione HTTPS TLS. Usa il certificato autofirmati per firmare i messaggi con il sito. Per altre informazioni, vedere Requisiti del certificato PKI.

Nota

Per i client che dispongono anche di un certificato PKI, nella console Configuration Manager viene visualizzata la proprietà Certificato client come autofirmati. La proprietà Certificato client del pannello di controllo client mostra L'infrastruttura a chiave pubblica.

Quando si esegue l'aggiornamento alla versione 2107 o successiva, i client con certificati PKI ricreano i certificati autofirmati, ma non vengono registrati nuovamente con il sito. I client senza un certificato PKI verranno registrati di nuovo con il sito, il che può causare un'elaborazione aggiuntiva nel sito. Assicurarsi che il processo di aggiornamento dei client consenta la casualizzazione. Se si aggiornano contemporaneamente molti client, può causare un backlog nel server del sito.

Configuration Manager non usa TPM noti come vulnerabili. Ad esempio, la versione TPM è precedente alla 2.0. Se un dispositivo ha un TPM vulnerabile, il client torna all'uso di un provider di servizi KSP basato su software. Il certificato non è ancora esportabile.

I supporti di distribuzione del sistema operativo non usano certificati associati all'hardware, ma continuano a usare certificati autofirmati dal sito. Il supporto viene creato in un dispositivo con la console, ma può essere eseguito in qualsiasi client.

Per risolvere i problemi relativi ai comportamenti dei certificati, usare CertificateMaintenance.log nel client.

Passaggi successivi