PKI-certificaten plannen in Configuration Manager

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Configuration Manager maakt gebruik van op PKI gebaseerde digitale certificaten (Public Key Infrastructure) indien beschikbaar. Het gebruik van deze certificaten wordt aanbevolen voor een betere beveiliging, maar niet vereist voor de meeste scenario's. U moet deze certificaten onafhankelijk van Configuration Manager implementeren en beheren.

Dit artikel bevat informatie over PKI-certificaten in Configuration Manager om u te helpen bij het plannen van uw implementatie. Zie Certificaten in Configuration Manager voor meer algemene informatie over het gebruik van certificaten in Configuration Manager.

PKI-certificaat intrekken

Wanneer u PKI-certificaten gebruikt met Configuration Manager, moet u het gebruik van een certificaatintrekkingslijst (CRL) plannen. Apparaten gebruiken de CRL om het certificaat op de verbindende computer te controleren. De CRL is een bestand dat een certificeringsinstantie (CA) maakt en ondertekent. Het bevat een lijst met certificaten die de CA heeft uitgegeven maar ingetrokken. Wanneer een certificaatbeheerder certificaten intrekt, wordt de vingerafdruk toegevoegd aan de CRL. Bijvoorbeeld als een uitgegeven certificaat bekend is of vermoedelijk is gecompromitteerd.

Belangrijk

Omdat de locatie van de CRL wordt toegevoegd aan een certificaat wanneer een CA deze uitgeeft, moet u ervoor zorgen dat u de CRL plant voordat u PKI-certificaten implementeert die Configuration Manager gebruikt.

IIS controleert altijd de CRL op clientcertificaten en u kunt deze configuratie niet wijzigen in Configuration Manager. Standaard controleren Configuration Manager clients altijd de CRL voor sitesystemen. Schakel deze instelling uit door een site-eigenschap op te geven en door een CCMSetup-eigenschap op te geven.

Computers die gebruikmaken van certificaatintrekkingscontrole, maar de CRL niet kunnen vinden, gedragen zich alsof alle certificaten in de certificeringsketen zijn ingetrokken. Dit gedrag komt doordat ze niet kunnen controleren of de certificaten in de certificaatintrekkingslijst staan. In dit scenario mislukken alle verbindingen waarvoor certificaten zijn vereist en bevatten CRL-controle. Wanneer u controleert of uw CRL toegankelijk is door naar de HTTP-locatie te bladeren, is het belangrijk om te weten dat de Configuration Manager-client wordt uitgevoerd als LOKAAL SYSTEEM. Het testen van CRL-toegankelijkheid met een webbrowser in een gebruikerscontext kan lukken, maar het computeraccount kan worden geblokkeerd wanneer wordt geprobeerd een HTTP-verbinding te maken met dezelfde CRL-URL. Het kan bijvoorbeeld worden geblokkeerd vanwege een interne webfilteroplossing, zoals een proxy. Voeg de CRL-URL toe aan de goedgekeurde lijst voor webfilteroplossingen.

Het controleren van de CRL telkens wanneer een certificaat wordt gebruikt, biedt meer beveiliging tegen het gebruik van een certificaat dat is ingetrokken. Het introduceert een verbindingsvertraging en meer verwerking op de client. Uw organisatie kan deze beveiligingscontrole vereisen voor clients op internet of een niet-vertrouwd netwerk.

Raadpleeg uw PKI-beheerders voordat u besluit of Configuration Manager clients de CRL moeten controleren. Als aan beide voorwaarden wordt voldaan, kunt u overwegen deze optie ingeschakeld te houden in Configuration Manager:

  • Uw PKI-infrastructuur ondersteunt een CRL en wordt gepubliceerd waar alle Configuration Manager clients deze kunnen vinden. Deze clients kunnen apparaten op internet en apparaten in niet-vertrouwde forests bevatten.

  • De vereiste om de CRL te controleren voor elke verbinding met een sitesysteem dat is geconfigureerd voor het gebruik van een PKI-certificaat is groter dan de volgende vereisten:

    • Snellere verbindingen
    • Efficiënte verwerking op de client
    • Het risico dat clients geen verbinding kunnen maken met servers als ze de CRL niet kunnen vinden

Vertrouwde PKI-basiscertificaten

Als uw IIS-sitesystemen PKI-clientcertificaten gebruiken voor clientverificatie via HTTP of voor clientverificatie en versleuteling via HTTPS, moet u mogelijk basis-CA-certificaten importeren als site-eigenschap. Dit zijn de twee scenario's:

  • U implementeert besturingssystemen met behulp van Configuration Manager en de beheerpunten accepteren alleen HTTPS-clientverbindingen.

  • U gebruikt PKI-clientcertificaten die niet zijn gekoppeld aan een basiscertificaat dat de beheerpunten vertrouwen.

    Opmerking

    Wanneer u PKI-clientcertificaten uitgeeft vanuit dezelfde CA-hiërarchie die de servercertificaten uitgeeft die u gebruikt voor beheerpunten, hoeft u dit basis-CA-certificaat niet op te geven. Als u echter meerdere CA-hiërarchieën gebruikt en u niet zeker weet of ze elkaar vertrouwen, importeert u de basis-CA voor de CA-hiërarchie van de clients.

Als u basis-CA-certificaten voor Configuration Manager wilt importeren, exporteert u deze van de verlenende CA of van de clientcomputer. Als u het certificaat exporteert van de verlenende CA die ook de basis-CA is, exporteert u de persoonlijke sleutel niet. Sla het geëxporteerde certificaatbestand op een veilige locatie op om manipulatie te voorkomen. U hebt toegang tot het bestand nodig wanneer u de site instelt. Als u het bestand via het netwerk opent, moet u ervoor zorgen dat de communicatie is beveiligd tegen manipulatie met behulp van IPsec.

Als een basis-CA-certificaat dat u importeert, wordt vernieuwd, importeert u het vernieuwde certificaat.

Deze geïmporteerde basis-CA-certificaten en het basis-CA-certificaat van elk beheerpunt maken de lijst met certificaatverleners. Configuration Manager computers gebruiken deze lijst op de volgende manieren:

  • Wanneer clients verbinding maken met beheerpunten, controleert het beheerpunt of het clientcertificaat is gekoppeld aan een vertrouwd basiscertificaat in de lijst met certificaatverleners van de site. Als dit niet het probleem is, wordt het certificaat geweigerd en mislukt de PKI-verbinding.

  • Wanneer clients een PKI-certificaat selecteren en een lijst met certificaatverleners hebben, selecteren ze een certificaat dat is gekoppeld aan een vertrouwd basiscertificaat in de lijst met certificaatverleners. Als er geen overeenkomst is, selecteert de client geen PKI-certificaat. Zie PKI-clientcertificaat selecteren voor meer informatie.

Selectie van PKI-clientcertificaat

Als uw IIS-sitesystemen PKI-clientcertificaten gebruiken voor clientverificatie via HTTP of voor clientverificatie en versleuteling via HTTPS, moet u plannen hoe Windows-clients het certificaat selecteren dat moet worden gebruikt voor Configuration Manager.

Opmerking

Sommige apparaten bieden geen ondersteuning voor een certificaatselectiemethode. In plaats daarvan selecteren ze automatisch het eerste certificaat dat voldoet aan de certificaatvereisten. Clients op macOS-computers en mobiele apparaten bieden bijvoorbeeld geen ondersteuning voor een certificaatselectiemethode.

In veel gevallen zijn de standaardconfiguratie en het standaardgedrag voldoende. De Configuration Manager-client op Windows-computers filtert meerdere certificaten met behulp van deze criteria in deze volgorde:

  1. De lijst met certificaatverleners: de certificaatketens zijn gekoppeld aan een basis-CA die wordt vertrouwd door het beheerpunt.

  2. Het certificaat bevindt zich in het standaardcertificaatarchief persoonlijk.

  3. Het certificaat is geldig, niet ingetrokken en niet verlopen. De geldigheidscontrole controleert ook of de persoonlijke sleutel toegankelijk is.

  4. Het certificaat heeft de mogelijkheid voor clientverificatie.

  5. De onderwerpnaam van het certificaat bevat de naam van de lokale computer als een subtekenreeks.

  6. Het certificaat heeft de langste geldigheidsperiode.

Configureer clients om de lijst met certificaatverleners te gebruiken met behulp van de volgende mechanismen:

  • Publiceer deze met Configuration Manager site-informatie naar Active Directory Domain Services.

  • Installeer clients met behulp van clientpush.

  • Clients downloaden het van het beheerpunt nadat ze zijn toegewezen aan hun site.

  • Geef deze tijdens de clientinstallatie op als een CCMSetup-client.msi eigenschap van CCMCERTISSUERS.

Als clients de lijst met certificaatverleners niet hebben wanneer ze voor het eerst worden geïnstalleerd en nog niet zijn toegewezen aan de site, slaan ze deze controle over. Wanneer clients wel de lijst met certificaatverleners hebben en geen PKI-certificaat hebben dat is gekoppeld aan een vertrouwd basiscertificaat in de lijst met certificaatverleners, mislukt de certificaatselectie. Clients gaan niet verder met de andere selectiecriteria voor certificaten.

In de meeste gevallen identificeert de Configuration Manager-client een uniek en geschikt PKI-certificaat. Als dit gedrag niet het geval is, kunt u in plaats van het certificaat te selecteren op basis van de clientverificatiefunctie, twee alternatieve selectiemethoden instellen:

  • Een gedeeltelijke tekenreeksovereenkomst voor de onderwerpnaam van het clientcertificaat. Deze methode is een niet-hoofdlettergevoelige overeenkomst. Het is geschikt als u de FQDN (Fully Qualified Domain Name) van een computer in het onderwerpveld gebruikt en de certificaatselectie wilt baseren op het domeinachtervoegsel, bijvoorbeeld contoso.com. U kunt deze selectiemethode gebruiken om een tekenreeks van sequentiële tekens in de onderwerpnaam van het certificaat te identificeren die het certificaat onderscheidt van anderen in het clientcertificaatarchief.

    Opmerking

    U kunt de gedeeltelijke tekenreeksovereenkomst met de alternatieve naam van het onderwerp (SAN) niet gebruiken als site-instelling. Hoewel u een gedeeltelijke tekenreeksovereenkomst voor het SAN kunt opgeven met behulp van CCMSetup, wordt deze in de volgende scenario's overschreven door de site-eigenschappen:

    • Clients halen sitegegevens op die zijn gepubliceerd naar Active Directory Domain Services.
    • Clients worden geïnstalleerd met behulp van clientpushinstallatie.

    Gebruik een gedeeltelijke tekenreeksovereenkomst in het SAN alleen wanneer u clients handmatig installeert en wanneer ze geen site-informatie ophalen uit Active Directory Domain Services. Deze voorwaarden zijn bijvoorbeeld van toepassing op clients die alleen internet gebruiken.

  • Een overeenkomst voor de kenmerkwaarden van de onderwerpnaam van het clientcertificaat of de kenmerkwaarden voor alternatieve naam (SAN). Deze methode is een hoofdlettergevoelige overeenkomst. Dit is geschikt als u een X500 DN-naam of equivalente object-id's (OID's) gebruikt in overeenstemming met RFC 3280 en u wilt dat de certificaatselectie is gebaseerd op de kenmerkwaarden. U kunt alleen de kenmerken en hun waarden opgeven die u nodig hebt om het certificaat uniek te identificeren of te valideren en het certificaat te onderscheiden van anderen in het certificaatarchief.

In de volgende tabel ziet u de kenmerkwaarden die Configuration Manager ondersteunt voor de selectiecriteria voor clientcertificaten:

OID-kenmerk DN-naamkenmerk Kenmerkdefinitie
0.9.2342.19200300.100.1.25 DC Domeinonderdeel
1.2.840.113549.1.9.1 E-mail of e-mail E-mailadres
2.5.4.3 CN Algemene naam
2.5.4.4 SN Onderwerpnaam
2.5.4.5 SERIENUMMER Serienummer
2.5.4.6 C Landnummer
2.5.4.7 L Plaats
2.5.4.8 S of ST Naam van staat of provincie
2.5.4.9 STREET Adres   
2.5.4.10 O Organisatienaam
2.5.4.11 OU Organisatie-eenheid   
2.5.4.12 T of Titel Titel
2.5.4.42 G of GN of GivenName Opgegeven naam
2.5.4.43 I of initialen Initialen
2.5.29.17 (geen waarde) Alternatieve naam voor onderwerp

Opmerking

Als u een van de bovenstaande alternatieve certificaatselectiemethoden configureert, hoeft de onderwerpnaam van het certificaat niet de naam van de lokale computer te bevatten.

Als zich meer dan één geschikt certificaat bevindt nadat de selectiecriteria zijn toegepast, kunt u de standaardconfiguratie overschrijven om het certificaat met de langste geldigheidsperiode te selecteren. In plaats daarvan kunt u opgeven dat er geen certificaat is geselecteerd. In dit scenario kan de client niet communiceren met IIS-sitesystemen met een PKI-certificaat. De client verzendt een foutbericht naar het toegewezen terugvalstatuspunt om u te waarschuwen voor de certificaatselectiefout. Vervolgens kunt u uw selectiecriteria voor certificaten wijzigen of verfijnen.

Het clientgedrag is vervolgens afhankelijk van of de mislukte verbinding via HTTPS of HTTP was:

  • Als de mislukte verbinding via HTTPS was: de client probeert verbinding te maken via HTTP en gebruikt het zelfondertekende certificaat van de client.

  • Als de mislukte verbinding via HTTP was: de client probeert opnieuw verbinding te maken via HTTP met behulp van het zelfondertekende clientcertificaat.

Als u wilt helpen bij het identificeren van een uniek PKI-clientcertificaat, kunt u ook een ander aangepast archief opgeven dan de standaardinstelling persoonlijk in het computerarchief . Maak een aangepast certificaatarchief buiten Configuration Manager. U moet certificaten in dit aangepaste archief kunnen implementeren en vernieuwen voordat de geldigheidsperiode verloopt.

Zie Instellingen configureren voor client-PKI-certificaten voor meer informatie.

Overgangsstrategie voor PKI-certificaten

Met de flexibele configuratieopties in Configuration Manager kunt u clients en de site geleidelijk overzetten om PKI-certificaten te gebruiken om clienteindpunten te beveiligen. PKI-certificaten bieden een betere beveiliging en stellen u in staat internetclients te beheren.

In dit plan worden eerst PKI-certificaten geïntroduceerd voor verificatie alleen via HTTP en vervolgens voor verificatie en versleuteling via HTTPS. Wanneer u dit plan volgt om deze certificaten geleidelijk te introduceren, vermindert u het risico dat clients onbeheerd raken. U profiteert ook van de hoogste beveiliging die Configuration Manager ondersteunt.

Vanwege het aantal configuratieopties en keuzes in Configuration Manager, is er geen enkele manier om een site over te schakelen, zodat alle clients HTTPS-verbindingen gebruiken. De volgende stappen bieden algemene richtlijnen:

  1. Installeer de Configuration Manager site en configureer deze zo dat sitesystemen clientverbindingen via HTTPS en HTTP accepteren.

  2. Configureer het tabblad Communicatiebeveiliging in de site-eigenschappen. Stel Sitesysteeminstellingen in op HTTP of HTTPS en selecteer PKI-clientcertificaat gebruiken (clientverificatiemogelijkheid) indien beschikbaar. Zie Instellingen configureren voor client-PKI-certificaten voor meer informatie.

  3. Test een PKI-implementatie voor clientcertificaten. Zie Het clientcertificaat implementeren voor Windows-computers voor een voorbeeldimplementatie.

  4. Installeer clients met behulp van de clientpushinstallatiemethode. Zie How to install Configuration Manager clients by using client push (Configuration Manager clients installeren met behulp van clientpush) voor meer informatie.

  5. Bewaak de clientimplementatie en -status met behulp van de rapporten en informatie in de Configuration Manager-console.

  6. Houd bij hoeveel clients een PKI-clientcertificaat gebruiken door de kolom Clientcertificaat weer te geven in de werkruimte Activa en naleving , het knooppunt Apparaten .

    Opmerking

    Voor clients die ook een PKI-certificaat hebben, wordt in de Configuration Manager-console de eigenschap Clientcertificaat weergegeven als Zelfondertekend. In de eigenschap Clientcertificaat van het client configuratiescherm wordt PKI weergegeven.

    U kunt ook de Configuration Manager HTTPS Readiness Assessment Tool (CMHttpsReadiness.exe) implementeren op computers. Gebruik vervolgens de rapporten om te zien hoeveel computers een PKI-clientcertificaat kunnen gebruiken met Configuration Manager.

    Opmerking

    Wanneer u de Configuration Manager-client installeert, wordt het hulpprogrammaCMHttpsReadiness.exe in de %windir%\CCM map geïnstalleerd. De volgende opdrachtregelopties zijn beschikbaar wanneer u dit hulpprogramma uitvoert:

    • /Store:<Certificate store name>: Deze optie is hetzelfde als de eigenschap CCMCERTSTORE client.msi :/Issuers:<Case-sensitive issuer common name> deze optie is hetzelfde als de eigenschap CCMCERTISSUERS client.msi
    • /Criteria:<Selection criteria>: Deze optie is hetzelfde als de eigenschap CCMCERTSEL client.msi
    • /SelectFirstCert: Deze optie is hetzelfde als de eigenschap CCMFIRSTCERT client.msi

    Het hulpprogramma voert informatie uit naar de CMHttpsReadiness.log in de CCM\Logs map.

    Zie Over clientinstallatie-eigenschappen voor meer informatie.

  7. Wanneer u er zeker van bent dat voldoende clients hun client PKI-certificaat gebruiken voor verificatie via HTTP, volgt u deze stappen:

    1. Implementeer een PKI-webservercertificaat op een lidserver waarop een ander beheerpunt voor de site wordt uitgevoerd en configureer dat certificaat in IIS. Zie Het webservercertificaat implementeren voor sitesystemen waarop IIS wordt uitgevoerd voor meer informatie.

    2. Installeer de beheerpuntrol op deze server. Configureer de optie Clientverbindingen in de beheerpunteigenschappen voor HTTPS.

  8. Controleer en controleer of clients met een PKI-certificaat het nieuwe beheerpunt gebruiken met behulp van HTTPS. U kunt IIS-logboekregistratie of prestatiemeteritems gebruiken om dit te controleren.

  9. Configureer andere sitesysteemrollen opnieuw om HTTPS-clientverbindingen te gebruiken. Als u clients op internet wilt beheren, moet u ervoor zorgen dat sitesystemen een internet-FQDN hebben. Afzonderlijke beheerpunten en distributiepunten configureren om clientverbindingen van internet te accepteren.

    Belangrijk

    Voordat u sitesysteemrollen instelt om verbindingen van internet te accepteren, raadpleegt u de planningsgegevens en vereisten voor clientbeheer op internet. Zie Communicatie tussen eindpunten voor meer informatie.

  10. De PKI-certificaatimplementatie uitbreiden voor clients en voor sitesystemen waarop IIS wordt uitgevoerd. Stel de sitesysteemrollen in voor HTTPS-clientverbindingen en internetverbindingen, indien nodig.

  11. Voor de hoogste beveiliging: Als u zeker weet dat alle clients een PKI-clientcertificaat gebruiken voor verificatie en versleuteling, wijzigt u de site-eigenschappen zodat alleen HTTPS wordt gebruikt.

Volgende stappen