Share via


Certificaten in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Configuration Manager maakt gebruik van een combinatie van zelfondertekende en PKI-certificaten (Public Key Infrastructure).

Gebruik waar mogelijk PKI-certificaten. Zie PKI-certificaatvereisten voor meer informatie. Wanneer Configuration Manager PKI-certificaten aanvraagt tijdens de inschrijving voor mobiele apparaten, gebruikt u Active Directory Domain Services en een certificeringsinstantie voor ondernemingen. Voor alle andere PKI-certificaten implementeert en beheert u deze onafhankelijk van Configuration Manager.

PKI-certificaten zijn vereist wanneer clientcomputers verbinding maken met op internet gebaseerde sitesystemen. De cloudbeheergateway vereist ook certificaten. Zie Clients beheren op internet voor meer informatie.

Wanneer u een PKI gebruikt, kunt u ook IPsec gebruiken om de server-naar-servercommunicatie te beveiligen tussen sitesystemen in een site, tussen sites en voor andere gegevensoverdracht tussen computers. De implementatie van IPsec is onafhankelijk van Configuration Manager.

Wanneer PKI-certificaten niet beschikbaar zijn, genereert Configuration Manager automatisch zelfondertekende certificaten. Sommige certificaten in Configuration Manager zijn altijd zelfondertekend. In de meeste gevallen beheert Configuration Manager automatisch de zelfondertekende certificaten en hoeft u geen andere actie te ondernemen. Een voorbeeld hiervan is het handtekeningcertificaat van de siteserver. Dit certificaat is altijd zelfondertekend. Het zorgt ervoor dat de beleidsregels die clients downloaden van het beheerpunt zijn verzonden vanaf de siteserver en niet zijn gemanipuleerd. Een ander voorbeeld: wanneer u de site inschakelt voor Verbeterde HTTP, geeft de site zelfondertekende certificaten uit aan siteserverfuncties.

Belangrijk

Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.

CNG v3-certificaten

Configuration Manager ondersteunt Cryptografie: Volgende generatie (CNG) v3-certificaten. Configuration Manager clients kunnen een PKI-clientverificatiecertificaat met een persoonlijke sleutel gebruiken in een CNG Key Storage Provider (KSP). Met KSP-ondersteuning ondersteunen Configuration Manager clients persoonlijke sleutels op basis van hardware, zoals een TPM-KSP voor PKI-clientverificatiecertificaten.

Zie Overzicht van CNG v3-certificaten voor meer informatie.

Verbeterde HTTP

Het gebruik van HTTPS-communicatie wordt aanbevolen voor alle Configuration Manager communicatiepaden, maar is voor sommige klanten lastig vanwege de overhead bij het beheren van PKI-certificaten. De introductie van Microsoft Entra-integratie vermindert sommige, maar niet alle certificaatvereisten. U kunt in plaats hiervan de site inschakelen voor het gebruik van verbeterde HTTP. Deze configuratie ondersteunt HTTPS op sitesystemen met behulp van zelfondertekende certificaten, samen met Microsoft Entra-id voor sommige scenario's. Hiervoor is geen PKI vereist.

Zie Verbeterde HTTP voor meer informatie.

Certificaten voor CMG

Voor het beheren van clients op internet via de cloudbeheergateway (CMG) is het gebruik van certificaten vereist. Het aantal en het type certificaten varieert, afhankelijk van uw specifieke scenario's.

Zie CMG-controlelijst instellen voor meer informatie.

Opmerking

Het clouddistributiepunt (CDP) is afgeschaft. Vanaf versie 2107 kunt u geen nieuwe CDP-exemplaren maken. Als u inhoud wilt leveren aan internetapparaten, schakelt u de CMG in om inhoud te distribueren. Zie Afgeschafte functies voor meer informatie.

Zie Certificaten voor het clouddistributiepunt voor meer informatie over certificaten voor een CDP.

Het handtekeningcertificaat van de siteserver

De siteserver maakt altijd een zelfondertekend certificaat. Dit certificaat wordt voor verschillende doeleinden gebruikt.

Clients kunnen veilig een kopie van het handtekeningcertificaat van de siteserver ophalen van Active Directory Domain Services en van clientpushinstallatie. Als clients geen kopie van dit certificaat kunnen krijgen door een van deze mechanismen, installeert u het wanneer u de client installeert. Dit proces is vooral belangrijk als de eerste communicatie van de client met de site is met een beheerpunt op internet. Omdat deze server is verbonden met een niet-vertrouwd netwerk, is deze kwetsbaarder voor aanvallen. Als u deze andere stap niet uitvoert, downloaden clients automatisch een kopie van het handtekeningcertificaat van de siteserver van het beheerpunt.

Clients kunnen in de volgende scenario's geen kopie van het siteservercertificaat krijgen:

  • U installeert de client niet met behulp van client-push en:

    • U hebt het Active Directory-schema voor Configuration Manager niet uitgebreid.

    • U hebt de site van de client niet gepubliceerd naar Active Directory Domain Services.

    • De client is afkomstig uit een niet-vertrouwd forest of een werkgroep.

  • U gebruikt clientbeheer via internet en installeert de client wanneer deze zich op internet bevindt.

Gebruik de opdrachtregeleigenschap SMSSIGNCERT voor meer informatie over het installeren van clients met een kopie van het handtekeningcertificaat van de siteserver. Zie Over clientinstallatieparameters en -eigenschappen voor meer informatie.

Hardware-gebonden sleutelopslagprovider

Configuration Manager maakt gebruik van zelfondertekende certificaten voor clientidentiteit en om de communicatie tussen de client- en sitesystemen te beveiligen. Wanneer u de site en clients bijwerkt naar versie 2107 of hoger, slaat de client het certificaat van de site op in een hardware-gebonden sleutelopslagprovider (KSP). Deze KSP is doorgaans de TPM (Trusted Platform Module) ten minste versie 2.0. Het certificaat is ook gemarkeerd als niet-exporteerbaar.

Als de client ook een PKI-certificaat heeft, blijft deze dat certificaat gebruiken voor TLS HTTPS-communicatie. Het zelfondertekende certificaat wordt gebruikt voor het ondertekenen van berichten met de site. Zie PKI-certificaatvereisten voor meer informatie.

Opmerking

Voor clients die ook een PKI-certificaat hebben, geeft de Configuration Manager-console de eigenschap Clientcertificaat weer als Zelfondertekend. In de eigenschap Clientcertificaat van het client configuratiescherm wordt PKI weergegeven.

Wanneer u bijwerkt naar versie 2107 of hoger, maken clients met PKI-certificaten zelfondertekende certificaten opnieuw, maar registreren ze zich niet opnieuw bij de site. Clients zonder PKI-certificaat worden opnieuw geregistreerd bij de site, wat extra verwerking op de site kan veroorzaken. Zorg ervoor dat uw proces voor het bijwerken van clients randomisatie toestaat. Als u tegelijkertijd veel clients bijwerkt, kan dit leiden tot een achterstand op de siteserver.

Configuration Manager gebruikt geen TTPM's die bekend staan als kwetsbaar. De TPM-versie is bijvoorbeeld ouder dan 2.0. Als een apparaat een kwetsbare TPM heeft, valt de client terug op het gebruik van een op software gebaseerde KSP. Het certificaat kan nog steeds niet worden geƫxporteerd.

Besturingssysteemimplementatiemedia maken geen gebruik van hardwaregebonden certificaten, maar blijven zelfondertekende certificaten van de site gebruiken. U maakt de media op een apparaat met de console, maar vervolgens kan deze op elke client worden uitgevoerd.

Gebruik certificateMaintenance.log op de client om problemen met certificaatgedrag op te lossen.

Volgende stappen