Certyfikaty w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Configuration Manager używa kombinacji certyfikatów cyfrowych z podpisem własnym i infrastruktury kluczy publicznych (PKI).
W miarę możliwości używaj certyfikatów infrastruktury kluczy publicznych. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych. Gdy Configuration Manager żąda certyfikatów PKI podczas rejestracji urządzeń przenośnych, użyj Active Directory Domain Services i urzędu certyfikacji przedsiębiorstwa. W przypadku wszystkich innych certyfikatów infrastruktury kluczy publicznych wdróż je i zarządzaj nimi niezależnie od Configuration Manager.
Certyfikaty infrastruktury kluczy publicznych są wymagane, gdy komputery klienckie łączą się z internetowymi systemami lokacji. Brama zarządzania chmurą wymaga również certyfikatów. Aby uzyskać więcej informacji, zobacz Zarządzanie klientami w Internecie.
W przypadku korzystania z infrastruktury kluczy publicznych można również użyć protokołu IPsec, aby zabezpieczyć komunikację między serwerem a serwerem między systemami lokacji w lokacji, między lokacjami i na potrzeby innego transferu danych między komputerami. Implementacja protokołu IPsec jest niezależna od Configuration Manager.
Gdy certyfikaty infrastruktury kluczy publicznych nie są dostępne, Configuration Manager automatycznie generuje certyfikaty z podpisem własnym. Niektóre certyfikaty w Configuration Manager są zawsze podpisywane samodzielnie. W większości przypadków Configuration Manager automatycznie zarządza certyfikatami z podpisem własnym i nie trzeba podejmować kolejnej akcji. Jednym z przykładów jest certyfikat podpisywania serwera lokacji. Ten certyfikat jest zawsze z podpisem własnym. Zapewnia ona, że zasady pobierane przez klientów z punktu zarządzania zostały wysłane z serwera lokacji i nie zostały naruszone. W innym przykładzie po włączeniu lokacji dla rozszerzonego protokołu HTTP lokacja wystawia certyfikaty z podpisem własnym dla ról serwera lokacji.
Ważna
Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.
Certyfikaty CNG w wersji 3
Configuration Manager obsługuje kryptografię: certyfikaty nowej generacji (CNG) w wersji 3. Configuration Manager klienci mogą używać certyfikatu uwierzytelniania klienta infrastruktury kluczy publicznych z kluczem prywatnym w dostawcy magazynu kluczy CNG( KSP). Dzięki obsłudze dostawcy KSP klienci Configuration Manager obsługują sprzętowe klucze prywatne, takie jak dostawca KSP modułu TPM dla certyfikatów uwierzytelniania klienta infrastruktury kluczy publicznych.
Aby uzyskać więcej informacji, zobacz CNG v3 certificates overview (Omówienie certyfikatów CNG w wersji 3).
Rozszerzony protokół HTTP
Korzystanie z komunikacji HTTPS jest zalecane dla wszystkich Configuration Manager ścieżek komunikacyjnych, ale jest trudne dla niektórych klientów ze względu na obciążenie związane z zarządzaniem certyfikatami infrastruktury kluczy publicznych. Wprowadzenie integracji Microsoft Entra zmniejsza niektóre, ale nie wszystkie wymagania dotyczące certyfikatów. Zamiast tego można włączyć witrynę do używania rozszerzonego protokołu HTTP. Ta konfiguracja obsługuje protokół HTTPS w systemach lokacji przy użyciu certyfikatów z podpisem własnym oraz identyfikator Microsoft Entra w niektórych scenariuszach. Nie wymaga infrastruktury kluczy publicznych.
Aby uzyskać więcej informacji, zobacz Rozszerzony protokół HTTP.
Certyfikaty dla cmg
Zarządzanie klientami w Internecie za pośrednictwem bramy zarządzania chmurą (CMG) wymaga użycia certyfikatów. Liczba i typ certyfikatów różnią się w zależności od konkretnych scenariuszy.
Aby uzyskać więcej informacji, zobacz cmg skonfigurować listę kontrolną.
Uwaga
Chmurowy punkt dystrybucji (CDP) jest przestarzały. Począwszy od wersji 2107, nie można tworzyć nowych wystąpień usługi CDP. Aby udostępnić zawartość urządzeniom internetowym, włącz dystrybucję zawartości przez grupę cmg. Aby uzyskać więcej informacji, zobacz Przestarzałe funkcje.
Aby uzyskać więcej informacji na temat certyfikatów dla usługi CDP, zobacz Certyfikaty dla punktu dystrybucji w chmurze.
Certyfikat podpisywania serwera lokacji
Serwer lokacji zawsze tworzy certyfikat z podpisem własnym. Używa tego certyfikatu do kilku celów.
Klienci mogą bezpiecznie uzyskać kopię certyfikatu podpisywania serwera lokacji z Active Directory Domain Services i z instalacji wypychanej klienta. Jeśli klienci nie mogą uzyskać kopii tego certyfikatu za pomocą jednego z tych mechanizmów, zainstaluj go podczas instalowania klienta. Ten proces jest szczególnie ważny, jeśli pierwsza komunikacja klienta z lokacją odbywa się za pomocą internetowego punktu zarządzania. Ponieważ ten serwer jest połączony z niezaufaną siecią, jest bardziej narażony na ataki. Jeśli nie zrobisz tego innego kroku, klienci automatycznie pobierzą kopię certyfikatu podpisywania serwera lokacji z punktu zarządzania.
Klienci nie mogą bezpiecznie uzyskać kopii certyfikatu serwera lokacji w następujących scenariuszach:
Nie instalujesz klienta przy użyciu wypychania klienta i:
Schemat usługi Active Directory dla Configuration Manager nie został rozszerzony.
Witryna klienta nie została opublikowana w Active Directory Domain Services.
Klient pochodzi z niezaufanego lasu lub grupy roboczej.
Używasz internetowego zarządzania klientami i instalujesz klienta, gdy jest on w Internecie.
Aby uzyskać więcej informacji na temat instalowania klientów z kopią certyfikatu podpisywania serwera lokacji, użyj właściwości wiersza polecenia SMSSIGNCERT . Aby uzyskać więcej informacji, zobacz Informacje o parametrach instalacji klienta i właściwościach.
Dostawca magazynu kluczy powiązanych ze sprzętem
Configuration Manager używa certyfikatów z podpisem własnym na potrzeby tożsamości klienta i ułatwia ochronę komunikacji między klientem a systemami lokacji. Po zaktualizowaniu lokacji i klientów do wersji 2107 lub nowszej klient przechowuje swój certyfikat z lokacji w dostawcy magazynu kluczy powiązanych sprzętowo (KSP). Ten dostawca KSP jest zazwyczaj modułem zaufanej platformy (TPM) co najmniej w wersji 2.0. Certyfikat jest również oznaczony jako nieeksportowalny.
Jeśli klient ma również certyfikat oparty na infrastrukturze PKI, nadal używa tego certyfikatu do komunikacji protokołu HTTPS protokołu TLS. Używa certyfikatu z podpisem własnym do podpisywania komunikatów w witrynie. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych.
Uwaga
W przypadku klientów, którzy mają również certyfikat PKI, konsola Configuration Manager wyświetla właściwość certyfikatu klienta jako z podpisem własnym. Właściwość certyfikatu klienta panelu sterowania klienta zawiera infrastrukturę kluczy publicznych.
Po zaktualizowaniu do wersji 2107 lub nowszej klienci z certyfikatami infrastruktury kluczy publicznych będą ponownie tworzyć certyfikaty z podpisem własnym, ale nie zostaną ponownie zarejestrowani w lokacji. Klienci bez certyfikatu PKI zostaną ponownie zarejestrowani w lokacji, co może spowodować dodatkowe przetwarzanie w lokacji. Upewnij się, że proces aktualizacji klientów umożliwia losową. Jeśli jednocześnie zaktualizujesz wielu klientów, może to spowodować zaległości na serwerze lokacji.
Configuration Manager nie używa maszyn TPM, które są znane jako wrażliwe. Na przykład wersja modułu TPM jest wcześniejsza niż 2.0. Jeśli urządzenie ma wrażliwy moduł TPM, klient wraca do korzystania z oprogramowaniaowego dostawcy KSP. Certyfikat nadal nie można wyeksportować.
Nośnik wdrażania systemu operacyjnego nie używa certyfikatów powiązanych ze sprzętem. Nadal używa certyfikatów z podpisem własnym z lokacji. Nośnik można utworzyć na urządzeniu z konsolą, ale następnie można go uruchomić na dowolnym kliencie.
Aby rozwiązać problemy z zachowaniem certyfikatu, użyj pliku CertificateMaintenance.log na kliencie.