Delen via


Inleiding tot certificaatprofielen in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Belangrijk

Vanaf versie 2203 wordt deze functie voor bedrijfsresources niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.

Certificaatprofielen werken met Active Directory Certificate Services en de NDES-rol (Network Device Enrollment Service). Maak en implementeer verificatiecertificaten voor beheerde apparaten, zodat gebruikers eenvoudig toegang hebben tot organisatieresources. U kunt bijvoorbeeld certificaatprofielen maken en implementeren om gebruikers de benodigde certificaten te bieden om verbinding te maken met VPN- en draadloze verbindingen.

Met certificaatprofielen kunnen gebruikersapparaten automatisch worden geconfigureerd voor toegang tot organisatieresources, zoals Wi-Fi-netwerken en VPN-servers. Gebruikers hebben toegang tot deze resources zonder handmatig certificaten te installeren of een out-of-band-proces te gebruiken. Certificaatprofielen helpen bij het beveiligen van resources omdat u veiligere instellingen kunt gebruiken die worden ondersteund door uw PKI (Public Key Infrastructure). U kunt bijvoorbeeld serververificatie vereisen voor alle Wi-Fi- en VPN-verbindingen, omdat u de vereiste certificaten op de beheerde apparaten hebt geïmplementeerd.

Certificaatprofielen bieden de volgende beheermogelijkheden:

  • Certificaatinschrijving en verlenging van een certificeringsinstantie (CA) voor apparaten met verschillende typen en versies van het besturingssysteem. Deze certificaten kunnen vervolgens worden gebruikt voor Wi-Fi- en VPN-verbindingen.

  • Implementatie van vertrouwde basis-CA-certificaten en tussenliggende CA-certificaten. Deze certificaten configureren een vertrouwensketen op apparaten voor VPN- en Wi-Fi-verbindingen wanneer serververificatie is vereist.

  • Controleer en rapporteer over de geïnstalleerde certificaten.

Voorbeeld 1: alle werknemers moeten verbinding maken met Wi-Fi hotspots op meerdere kantoorlocaties. Als u een eenvoudige gebruikersverbinding wilt inschakelen, implementeert u eerst de certificaten die nodig zijn om verbinding te maken met Wi-Fi. Implementeer vervolgens Wi-Fi profielen die naar het certificaat verwijzen.

Voorbeeld 2: U hebt een PKI. U wilt overstappen op een flexibelere, veiligere methode voor het implementeren van certificaten. Gebruikers moeten toegang hebben tot organisatieresources vanaf hun persoonlijke apparaten zonder de beveiliging in gevaar te brengen. Configureer certificaatprofielen met instellingen en protocollen die worden ondersteund voor het specifieke apparaatplatform. De apparaten kunnen deze certificaten vervolgens automatisch aanvragen bij een internetgerichte inschrijvingsserver. Configureer vervolgens VPN-profielen om deze certificaten te gebruiken, zodat het apparaat toegang heeft tot organisatieresources.

Typen

Er zijn drie typen certificaatprofielen:

  • Vertrouwd CA-certificaat: een vertrouwd basis-CA- of tussenliggend CA-certificaat implementeren. Deze certificaten vormen een vertrouwensketen wanneer het apparaat een server moet verifiëren.

  • Simple Certificate Enrollment Protocol (SCEP): vraag een certificaat voor een apparaat of gebruiker aan met behulp van het SCEP-protocol. Voor dit type is de NDES-functie (Network Device Enrollment Service) vereist op een server waarop Windows Server 2012 R2 of hoger wordt uitgevoerd.

    Als u een SCEP-certificaatprofiel (Simple Certificate Enrollment Protocol) wilt maken, maakt u eerst een vertrouwd CA-certificaatprofiel .

  • Uitwisseling van persoonlijke gegevens (.pfx): vraag een PFX-certificaat (ook wel PKCS #12 genoemd) aan voor een apparaat of gebruiker. Er zijn twee methoden om PFX-certificaatprofielen te maken:

    Opmerking

    Configuration Manager schakelt deze optionele functie niet standaard in. U moet deze functie inschakelen voordat u deze kunt gebruiken. Zie Optionele functies van updates inschakelen voor meer informatie.

    U kunt Microsoft of Entrust gebruiken als certificeringsinstanties voor certificaten voor het uitwisselen van persoonlijke gegevens (.pfx).

Vereisten

Als u certificaatprofielen wilt implementeren die gebruikmaken van SCEP, installeert u het certificaatregistratiepunt op een sitesysteemserver. Installeer ook een beleidsmodule voor NDES, de Configuration Manager Beleidsmodule, op een server waarop Windows Server 2012 R2 of hoger wordt uitgevoerd. Voor deze server is de functie Active Directory Certificate Services vereist. Er is ook een werkende NDES vereist die toegankelijk is voor de apparaten waarvoor de certificaten zijn vereist. Als uw apparaten moeten worden ingeschreven voor certificaten van internet, moet uw NDES-server toegankelijk zijn vanaf internet. Als u bijvoorbeeld veilig verkeer naar de NDES-server via internet wilt inschakelen, kunt u Azure-toepassing Proxy gebruiken.

Voor PFX-certificaten is ook een certificaatregistratiepunt vereist. Geef ook de certificeringsinstantie (CA) voor het certificaat en de relevante toegangsreferenties op. U kunt Microsoft of Entrust opgeven als certificeringsinstanties.

Zie Een beleidsmodule gebruiken met de registratieservice voor netwerkapparaten voor meer informatie over hoe NDES een beleidsmodule ondersteunt, zodat Configuration Manager certificaten kunt implementeren.

Afhankelijk van de vereisten ondersteunt Configuration Manager het implementeren van certificaten in verschillende certificaatarchieven op verschillende apparaattypen en besturingssystemen. De volgende apparaten en besturingssystemen worden ondersteund:

  • Windows 10

  • Windows 10 Mobile

  • Windows 8.1

  • Windows Phone 8.1

Opmerking

Gebruik Configuration Manager on-premises MDM om Windows Phone 8.1 en Windows 10 Mobile te beheren. Zie On-premises MDM voor meer informatie.

Een typisch scenario voor Configuration Manager is het installeren van vertrouwde basis-CA-certificaten om Wi-Fi- en VPN-servers te verifiëren. Typische verbindingen gebruiken de volgende protocollen:

  • Verificatieprotocollen: EAP-TLS, EAP-TTLS en PEAP
  • VPN-tunnelingprotocollen: IKEv2, L2TP/IPsec en Cisco IPsec

Een basis-CA-certificaat voor ondernemingen moet op het apparaat worden geïnstalleerd voordat het apparaat certificaten kan aanvragen met behulp van een SCEP-certificaatprofiel.

U kunt instellingen opgeven in een SCEP-certificaatprofiel om aangepaste certificaten aan te vragen voor verschillende omgevingen of connectiviteitsvereisten. De wizard Certificaatprofiel maken heeft twee pagina's voor inschrijvingsparameters. De eerste, SCEP-inschrijving, bevat instellingen voor de inschrijvingsaanvraag en waar het certificaat moet worden geïnstalleerd. De tweede, Certificaateigenschappen, beschrijft het aangevraagde certificaat zelf.

Implementeren

Wanneer u een SCEP-certificaatprofiel implementeert, verwerkt de Configuration Manager-client het beleid. Vervolgens wordt een SCEP-uitdagingswachtwoord aangevraagd bij het beheerpunt. Het apparaat maakt een openbaar/persoonlijk sleutelpaar en genereert een aanvraag voor certificaatondertekening (CSR). Deze aanvraag wordt verzonden naar de NDES-server. De NDES-server stuurt de aanvraag door naar het sitesysteem van het certificaatregistratiepunt via de NDES-beleidsmodule. Het certificaatregistratiepunt valideert de aanvraag, controleert het WACHTWOORD van de SCEP-uitdaging en controleert of er niet met de aanvraag is geknoeid. Vervolgens wordt de aanvraag goedgekeurd of geweigerd. Indien goedgekeurd, verzendt de NDES-server de ondertekeningsaanvraag naar de verbonden certificeringsinstantie (CA) voor ondertekening. De CA ondertekent de aanvraag en retourneert vervolgens het certificaat naar het aanvragende apparaat.

Certificaatprofielen implementeren in gebruikers- of apparaatverzamelingen. U kunt het doelarchief voor elk certificaat opgeven. Toepassingsregels bepalen of het apparaat het certificaat kan installeren.

Wanneer u een certificaatprofiel implementeert in een gebruikersverzameling, bepaalt affiniteit van gebruikersapparaten welke van de apparaten van de gebruikers de certificaten installeren. Wanneer u een certificaatprofiel met een gebruikerscertificaat implementeert in een apparaatverzameling, installeert standaard elk van de primaire apparaten van de gebruikers de certificaten. Als u het certificaat wilt installeren op een van de apparaten van de gebruikers, wijzigt u dit gedrag op de pagina SCEP-inschrijving van de wizard Certificaatprofiel maken. Als de apparaten zich in een werkgroep bevinden, implementeert Configuration Manager geen gebruikerscertificaten.

Monitor

U kunt implementaties van certificaatprofielen bewaken door nalevingsresultaten of -rapporten weer te geven. Zie Certificaatprofielen bewaken voor meer informatie.

Automatische intrekking

Configuration Manager trekt in de volgende omstandigheden automatisch gebruikers- en computercertificaten in die zijn geïmplementeerd met behulp van certificaatprofielen:

  • Het apparaat wordt buiten gebruik gesteld van Configuration Manager-beheer.

  • Het apparaat wordt geblokkeerd voor de Configuration Manager-hiërarchie.

Als u de certificaten wilt intrekken, verzendt de siteserver een intrekkingsopdracht naar de verlenende certificeringsinstantie. De reden voor de intrekking is stopzetten van de bewerking.

Opmerking

Om een certificaat correct in te trekken, moet het computeraccount voor de site op het hoogste niveau in de hiërarchie de machtiging hebben om certificaten op de CA uit te geven en te beheren .

Voor betere beveiliging kunt u ook CA-beheerders op de CA beperken. Geef dit account vervolgens alleen machtigingen voor de specifieke certificaatsjabloon die u gebruikt voor de SCEP-profielen op de site.

Volgende stappen