Planowanie certyfikatów infrastruktury kluczy publicznych w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Configuration Manager używa certyfikatów cyfrowych opartych na infrastrukturze kluczy publicznych (PKI), jeśli są dostępne. Użycie tych certyfikatów jest zalecane w celu zwiększenia bezpieczeństwa, ale nie jest wymagane w większości scenariuszy. Należy wdrożyć te certyfikaty i zarządzać nimi niezależnie od Configuration Manager.
Ten artykuł zawiera informacje o certyfikatach infrastruktury kluczy publicznych w Configuration Manager, które ułatwiają planowanie implementacji. Aby uzyskać bardziej ogólne informacje na temat używania certyfikatów w Configuration Manager, zobacz Certyfikaty w Configuration Manager.
Odwołanie certyfikatu infrastruktury kluczy publicznych
Jeśli używasz certyfikatów infrastruktury kluczy publicznych z Configuration Manager, zaplanuj użycie listy odwołania certyfikatów (CRL). Urządzenia używają listy CRL do weryfikowania certyfikatu na komputerze łączącym. Listę CRL to plik, który tworzy i podpisuje urząd certyfikacji. Zawiera listę certyfikatów wystawionych przez urząd certyfikacji, ale odwołanych. Gdy administrator certyfikatu odwołuje certyfikaty, jego odcisk palca jest dodawany do listy CRL. Jeśli na przykład wystawiony certyfikat jest znany lub podejrzewany o naruszenie zabezpieczeń.
Ważna
Ponieważ lokalizacja listy CRL jest dodawana do certyfikatu podczas wystawiania go przez urząd certyfikacji, przed wdrożeniem jakichkolwiek certyfikatów infrastruktury kluczy publicznych, które Configuration Manager używane, należy zaplanować listę CRL.
Usługi IIS zawsze sprawdzają listę CRL pod kątem certyfikatów klienta i nie można zmienić tej konfiguracji w Configuration Manager. Domyślnie Configuration Manager klienci zawsze sprawdzają listę CRL pod kątem systemów lokacji. Wyłącz to ustawienie, określając właściwość lokacji i określając właściwość CCMSetup.
Komputery, które używają sprawdzania odwołania certyfikatów, ale nie mogą zlokalizować listy CRL, zachowują się tak, jakby wszystkie certyfikaty w łańcuchu certyfikacji zostały odwołane. To zachowanie jest spowodowane tym, że nie mogą sprawdzić, czy certyfikaty znajdują się na liście odwołania certyfikatów. W tym scenariuszu wszystkie połączenia kończą się niepowodzeniem, które wymagają certyfikatów i obejmują sprawdzanie listy CRL. Podczas sprawdzania, czy listę CRL można uzyskać, przechodząc do lokalizacji HTTP, należy pamiętać, że klient Configuration Manager działa jako LOKALNY SYSTEM. Testowanie ułatwień dostępu crl za pomocą przeglądarki internetowej w kontekście użytkownika może zakończyć się powodzeniem, ale konto komputera może zostać zablokowane podczas próby nawiązania połączenia HTTP z tym samym adresem URL listy CRL. Na przykład można go zablokować z powodu wewnętrznego rozwiązania do filtrowania sieci Web, takiego jak serwer proxy. Dodaj adres URL listy CRL do listy zatwierdzonych dla wszystkich rozwiązań do filtrowania sieci Web.
Sprawdzanie listy CRL za każdym razem, gdy jest używany certyfikat, zapewnia większe bezpieczeństwo przed użyciem certyfikatu, który został odwołany. Wprowadza opóźnienie połączenia i więcej przetwarzania na kliencie. Twoja organizacja może wymagać tego sprawdzania zabezpieczeń klientów w Internecie lub niezaufanej sieci.
Przed podjęciem decyzji, czy klienci Configuration Manager muszą sprawdzić listę CRL, skontaktuj się z administratorami infrastruktury kluczy publicznych. Jeśli oba poniższe warunki są spełnione, rozważ włączenie tej opcji w Configuration Manager:
Infrastruktura infrastruktury infrastruktury kluczy publicznych obsługuje listę CRL i jest publikowana tam, gdzie mogą ją zlokalizować wszyscy klienci Configuration Manager. Klienci ci mogą obejmować urządzenia w Internecie i urządzenia w niezaufanych lasach.
Wymaganie sprawdzenia listy CRL dla każdego połączenia z systemem lokacji, który jest skonfigurowany do używania certyfikatu PKI, jest większe niż następujące wymagania:
- Szybsze połączenia
- Wydajne przetwarzanie na kliencie
- Ryzyko niepowodzenia połączenia klientów z serwerami, jeśli nie mogą zlokalizować listy CRL
Zaufane certyfikaty główne infrastruktury kluczy publicznych
Jeśli systemy lokacji usług IIS używają certyfikatów klienta infrastruktury kluczy publicznych do uwierzytelniania klienta za pośrednictwem protokołu HTTP lub uwierzytelniania klienta i szyfrowania za pośrednictwem protokołu HTTPS, może być konieczne zaimportowanie certyfikatów głównego urzędu certyfikacji jako właściwości lokacji. Oto dwa scenariusze:
Systemy operacyjne są wdrażane przy użyciu Configuration Manager, a punkty zarządzania akceptują tylko połączenia klienta HTTPS.
Używasz certyfikatów klienta infrastruktury kluczy publicznych, które nie są powiązane z certyfikatem głównym, któremu zarządzanie wskazuje zaufanie.
Uwaga
W przypadku wystawiania certyfikatów PKI klienta z tej samej hierarchii urzędu certyfikacji, która wystawia certyfikaty serwera używane w punktach zarządzania, nie trzeba określać tego certyfikatu głównego urzędu certyfikacji. Jeśli jednak używasz wielu hierarchii urzędu certyfikacji i nie masz pewności, czy ufają sobie nawzajem, zaimportuj główny urząd certyfikacji dla hierarchii urzędu certyfikacji klientów.
Jeśli musisz zaimportować certyfikaty głównego urzędu certyfikacji dla Configuration Manager, wyeksportuj je z urzędu wystawiającego certyfikaty lub z komputera klienckiego. Jeśli wyeksportujesz certyfikat z urzędu wystawiającego certyfikat, który jest również głównym urzędem certyfikacji, nie eksportuj klucza prywatnego. Zapisz wyeksportowany plik certyfikatu w bezpiecznej lokalizacji, aby zapobiec naruszeniu. Podczas konfigurowania witryny potrzebny jest dostęp do pliku. Jeśli uzyskujesz dostęp do pliku za pośrednictwem sieci, upewnij się, że komunikacja jest chroniona przed naruszeniem przy użyciu protokołu IPsec.
Jeśli importowany certyfikat głównego urzędu certyfikacji zostanie odnowiony, zaimportuj odnowiony certyfikat.
Zaimportowane certyfikaty głównego urzędu certyfikacji i certyfikat głównego urzędu certyfikacji każdego punktu zarządzania tworzą listę wystawców certyfikatów. Configuration Manager komputery używają tej listy w następujący sposób:
Gdy klienci łączą się z punktami zarządzania, punkt zarządzania sprawdza, czy certyfikat klienta jest połączony z zaufanym certyfikatem głównym na liście wystawców certyfikatów lokacji. Jeśli tak się nie stanie, certyfikat zostanie odrzucony, a połączenie infrastruktury kluczy publicznych zakończy się niepowodzeniem.
Gdy klienci wybierają certyfikat PKI i mają listę wystawców certyfikatów, wybierają certyfikat, który jest łańcuchem do zaufanego certyfikatu głównego na liście wystawców certyfikatów. Jeśli nie ma dopasowania, klient nie wybiera certyfikatu PKI. Aby uzyskać więcej informacji, zobacz Wybór certyfikatu klienta infrastruktury kluczy publicznych.
Wybór certyfikatu klienta infrastruktury kluczy publicznych
Jeśli systemy lokacji usług IIS używają certyfikatów klienta infrastruktury kluczy publicznych do uwierzytelniania klienta za pośrednictwem protokołu HTTP lub do uwierzytelniania klienta i szyfrowania za pośrednictwem protokołu HTTPS, zaplanuj sposób, w jaki klienci systemu Windows wybierają certyfikat do użycia dla Configuration Manager.
Uwaga
Niektóre urządzenia nie obsługują metody wyboru certyfikatu. Zamiast tego automatycznie wybierają pierwszy certyfikat, który spełnia wymagania dotyczące certyfikatu. Na przykład klienci na komputerach z systemem macOS i urządzeniach przenośnych nie obsługują metody wyboru certyfikatu.
W wielu przypadkach domyślna konfiguracja i zachowanie są wystarczające. Klient Configuration Manager na komputerach z systemem Windows filtruje wiele certyfikatów przy użyciu następujących kryteriów w następującej kolejności:
Lista wystawców certyfikatów: Certyfikat jest łańcuchem do głównego urzędu certyfikacji, któremu ufa punkt zarządzania.
Certyfikat znajduje się w domyślnym magazynie certyfikatów osobistych.
Certyfikat jest prawidłowy, nie został odwołany i nie wygasł. Sprawdzanie ważności sprawdza również, czy klucz prywatny jest dostępny.
Certyfikat ma możliwość uwierzytelniania klienta.
Nazwa podmiotu certyfikatu zawiera nazwę komputera lokalnego jako podciąg.
Certyfikat ma najdłuższy okres ważności.
Skonfiguruj klientów do korzystania z listy wystawców certyfikatów przy użyciu następujących mechanizmów:
Opublikuj ją za pomocą Configuration Manager informacji o witrynie, aby Active Directory Domain Services.
Zainstaluj klientów przy użyciu wypychania klienta.
Klienci pobierają go z punktu zarządzania po pomyślnym przypisaniu ich do lokacji.
Określ ją podczas instalacji klienta jako właściwość CCMSetup client.msi CCMCERTISSUERS.
Jeśli klienci nie mają listy wystawców certyfikatów po pierwszym zainstalowaniu i nie są jeszcze przypisani do lokacji, pomijają tę kontrolę. Gdy klienci mają listę wystawców certyfikatów i nie mają certyfikatu PKI, który jest łańcuchem do zaufanego certyfikatu głównego na liście wystawców certyfikatów, wybór certyfikatu kończy się niepowodzeniem. Klienci nie kontynuują pracy z innymi kryteriami wyboru certyfikatu.
W większości przypadków klient Configuration Manager poprawnie identyfikuje unikatowy i odpowiedni certyfikat PKI. Jeśli takie zachowanie nie występuje, zamiast wybierać certyfikat na podstawie możliwości uwierzytelniania klienta, można skonfigurować dwie alternatywne metody wyboru:
Częściowe dopasowanie ciągu w nazwie podmiotu certyfikatu klienta. Ta metoda jest dopasowaniem bez uwzględniania wielkości liter. Jest to odpowiednie, jeśli używasz w pełni kwalifikowanej nazwy domeny (FQDN) komputera w polu podmiotu i chcesz, aby wybór certyfikatu był oparty na sufiksie domeny, na przykład contoso.com. Za pomocą tej metody wyboru można zidentyfikować dowolny ciąg znaków sekwencyjnych w nazwie podmiotu certyfikatu, który odróżnia certyfikat od innych w magazynie certyfikatów klienta.
Uwaga
Nie można użyć częściowego dopasowania ciągu z alternatywną nazwą podmiotu (SAN) jako ustawienia lokacji. Chociaż można określić częściowe dopasowanie ciągu dla sieci SAN przy użyciu programu CCMSetup, zostanie ono zastąpione przez właściwości witryny w następujących scenariuszach:
- Klienci pobierają informacje o lokacji opublikowane w Active Directory Domain Services.
- Klienci są instalowani przy użyciu instalacji wypychanej klienta.
Częściowe dopasowanie ciągu w sieci SAN jest używane tylko wtedy, gdy ręcznie instalujesz klientów i nie pobierają informacji o lokacji z Active Directory Domain Services. Na przykład te warunki mają zastosowanie do klientów tylko do Internetu.
Dopasowanie wartości atrybutu nazwy podmiotu certyfikatu klienta lub wartości atrybutu alternatywnej nazwy podmiotu (SAN). Ta metoda uwzględnia wielkość liter. Jest to właściwe, jeśli używasz nazwy wyróżnianej X500 lub równoważnych identyfikatorów obiektów (OID) zgodnie z RFC 3280 i chcesz, aby wybór certyfikatu był oparty na wartościach atrybutów. Można określić tylko atrybuty i ich wartości, które są wymagane do unikatowej identyfikacji lub zweryfikowania certyfikatu oraz odróżnienia certyfikatu od innych w magazynie certyfikatów.
W poniższej tabeli przedstawiono wartości atrybutów, które Configuration Manager obsługują kryteria wyboru certyfikatu klienta:
Atrybut OID | Atrybut nazwy wyróżniania | Definicja atrybutu |
---|---|---|
0.9.2342.19200300.100.1.25 | DC | Składnik domeny |
1.2.840.113549.1.9.1 | E lub e-mail | Adres e-mail |
2.5.4.3 | CN | Nazwa pospolita |
2.5.4.4 | SN | Nazwa podmiotu |
2.5.4.5 | NUMER SERYJNY | Numer seryjny |
2.5.4.6 | C | Kod kraju |
2.5.4.7 | L | Miejscowości |
2.5.4.8 | S lub ST | Nazwa stanu lub prowincji |
2.5.4.9 | STREET | Ulica |
2.5.4.10 | O | Nazwa organizacji |
2.5.4.11 | OU | Jednostka organizacyjna |
2.5.4.12 | T lub tytuł | Tytuł |
2.5.4.42 | G lub GN lub GivenName | Imię i nazwisko |
2.5.4.43 | I lub Inicjały | Inicjały |
2.5.29.17 | (brak wartości) | Alternatywna nazwa podmiotu |
Uwaga
Jeśli skonfigurujesz jedną z powyższych alternatywnych metod wyboru certyfikatu, nazwa podmiotu certyfikatu nie musi zawierać nazwy komputera lokalnego.
Jeśli po zastosowaniu kryteriów wyboru znajduje się więcej niż jeden odpowiedni certyfikat, możesz zastąpić konfigurację domyślną, aby wybrać certyfikat o najdłuższym okresie ważności. Zamiast tego można określić, że nie wybrano żadnego certyfikatu. W tym scenariuszu klient nie może komunikować się z systemami lokacji usług IIS przy użyciu certyfikatu PKI. Klient wysyła komunikat o błędzie do przypisanego rezerwowego punktu stanu, aby powiadomić Cię o niepowodzeniu wyboru certyfikatu. Następnie można zmienić lub uściślić kryteria wyboru certyfikatu.
Zachowanie klienta zależy od tego, czy połączenie zakończone niepowodzeniem było za pośrednictwem protokołu HTTPS, czy HTTP:
Jeśli połączenie zakończone niepowodzeniem było za pośrednictwem protokołu HTTPS: klient próbuje nawiązać połączenie za pośrednictwem protokołu HTTP i używa certyfikatu z podpisem własnym klienta.
Jeśli połączenie zakończone niepowodzeniem było za pośrednictwem protokołu HTTP: klient próbuje ponownie nawiązać połączenie za pośrednictwem protokołu HTTP przy użyciu certyfikatu klienta z podpisem własnym.
Aby ułatwić identyfikację unikatowego certyfikatu klienta infrastruktury kluczy publicznych, można również określić magazyn niestandardowy inny niż domyślny osobisty w magazynie komputera . Utwórz niestandardowy magazyn certyfikatów poza Configuration Manager. Musisz mieć możliwość wdrożenia certyfikatów w tym magazynie niestandardowym i odnowienia ich przed upływem okresu ważności.
Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień certyfikatów PKI klienta.
Strategia przejścia dla certyfikatów infrastruktury kluczy publicznych
Elastyczne opcje konfiguracji w Configuration Manager umożliwiają stopniowe przenoszenie klientów i lokacji do używania certyfikatów infrastruktury kluczy publicznych w celu zabezpieczenia punktów końcowych klienta. Certyfikaty infrastruktury kluczy publicznych zapewniają lepsze zabezpieczenia i umożliwiają zarządzanie klientami internetowymi.
Ten plan najpierw wprowadza certyfikaty PKI do uwierzytelniania tylko za pośrednictwem protokołu HTTP, a następnie uwierzytelniania i szyfrowania za pośrednictwem protokołu HTTPS. Postępujące zgodnie z tym planem, aby stopniowo wprowadzać te certyfikaty, zmniejsza się ryzyko, że klienci staną się niezarządzani. Skorzystasz również z najwyższych zabezpieczeń, które Configuration Manager obsługuje.
Ze względu na liczbę opcji konfiguracji i opcji w Configuration Manager nie ma jednego sposobu przejścia lokacji, aby wszyscy klienci korzystali z połączeń HTTPS. Poniższe kroki zawierają ogólne wskazówki:
Zainstaluj lokację Configuration Manager i skonfiguruj ją tak, aby systemy lokacji akceptować połączenia klienckie za pośrednictwem protokołu HTTPS i HTTP.
Skonfiguruj kartę Zabezpieczenia komunikacji we właściwościach witryny. Ustaw pozycję Ustawienia systemu lokacji na HTTP lub HTTPS i wybierz pozycję Użyj certyfikatu klienta PKI (możliwość uwierzytelniania klienta), jeśli jest dostępna. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień certyfikatów PKI klienta.
Pilotażowe wdrażanie infrastruktury kluczy publicznych dla certyfikatów klienta. Przykład wdrożenia można znaleźć w temacie Deploy the client certificate for Windows computers (Wdrażanie certyfikatu klienta dla komputerów z systemem Windows).
Zainstaluj klientów przy użyciu metody instalacji wypychanej klienta. Aby uzyskać więcej informacji, zobacz How to install Configuration Manager clients by using client push (Jak zainstalować klientów Configuration Manager przy użyciu wypychania klienta).
Monitorowanie wdrożenia i stanu klienta przy użyciu raportów i informacji w konsoli Configuration Manager.
Śledź liczbę klientów korzystających z certyfikatu PKI klienta, wyświetlając kolumnę Certyfikat klienta w obszarze roboczym Zasoby i zgodność w węźle Urządzenia .
Uwaga
W przypadku klientów, którzy mają również certyfikat PKI, konsola Configuration Manager wyświetla właściwość certyfikatu klienta jako z podpisem własnym. Właściwość certyfikatu klienta panelu sterowania klienta zawiera infrastrukturę kluczy publicznych.
Możesz również wdrożyć narzędzie Configuration Manager HTTPS Readiness Assessment Tool (CMHttpsReadiness.exe) na komputerach. Następnie użyj raportów, aby wyświetlić, ile komputerów może używać certyfikatu infrastruktury kluczy publicznych klienta z Configuration Manager.
Uwaga
Po zainstalowaniu klienta Configuration Manager program instaluje narzędzie CMHttpsReadiness.exe w folderze
%windir%\CCM
. Po uruchomieniu tego narzędzia są dostępne następujące opcje wiersza polecenia:-
/Store:<Certificate store name>
: Ta opcja jest taka sama jak właściwość client.msi CCMCERTSTORE —/Issuers:<Case-sensitive issuer common name>
: Ta opcja jest taka sama jak właściwość client.msi CCMCERTISSUERS -
/Criteria:<Selection criteria>
: Ta opcja jest taka sama jak właściwość client.msi CCMCERTSEL -
/SelectFirstCert
: Ta opcja jest taka sama jak właściwość client.msi CCMFIRSTCERT
Narzędzie wyprowadza informacje do pliku CMHttpsReadiness.log w
CCM\Logs
katalogu.Aby uzyskać więcej informacji, zobacz Informacje o właściwościach instalacji klienta.
-
Jeśli masz pewność, że wystarczająca ilość klientów pomyślnie używa certyfikatu PKI klienta do uwierzytelniania za pośrednictwem protokołu HTTP, wykonaj następujące kroki:
Wdróż certyfikat serwera sieci Web infrastruktury kluczy publicznych na serwerze członkowskim, na którym działa inny punkt zarządzania lokacji, i skonfiguruj ten certyfikat w usługach IIS. Aby uzyskać więcej informacji, zobacz Deploy the web server certificate for site systems that run IIS (Wdrażanie certyfikatu serwera internetowego dla systemów lokacji z uruchomionymi usługami IIS).
Zainstaluj rolę punktu zarządzania na tym serwerze. Skonfiguruj opcję Połączenia klienta we właściwościach punktu zarządzania dla protokołu HTTPS.
Monitoruj i sprawdź, czy klienci z certyfikatem PKI używają nowego punktu zarządzania przy użyciu protokołu HTTPS. Do weryfikacji można użyć rejestrowania usług IIS lub liczników wydajności.
Ponownie skonfiguruj inne role systemu lokacji w celu używania połączeń klienta HTTPS. Jeśli chcesz zarządzać klientami w Internecie, upewnij się, że systemy lokacji mają internetową nazwę FQDN. Skonfiguruj poszczególne punkty zarządzania i punkty dystrybucji, aby akceptować połączenia klienta z Internetu.
Ważna
Przed skonfigurowaniem ról systemu lokacji w celu akceptowania połączeń z Internetu zapoznaj się z informacjami o planowaniu i wymaganiami wstępnymi dotyczącymi internetowego zarządzania klientami. Aby uzyskać więcej informacji, zobacz Komunikacja między punktami końcowymi.
Rozszerzanie wdrożenia certyfikatu infrastruktury kluczy publicznych dla klientów i systemów lokacji z uruchomionymi usługami IIS. W razie potrzeby skonfiguruj role systemu lokacji dla połączeń klienckich HTTPS i połączeń internetowych.
Dla najwyższych zabezpieczeń: jeśli masz pewność, że wszyscy klienci używają certyfikatu PKI klienta do uwierzytelniania i szyfrowania, zmień właściwości lokacji tak, aby używały tylko protokołu HTTPS.