Wprowadzenie do profili certyfikatów w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Informacje w tym temacie dotyczą programów System Center 2012 R2 Configuration Manager i System Center 2012 R2 Configuration Manager SP1.
Profile certyfikatów w programie System Center 2012 Configuration Manager współpracują z usługami certyfikatów Active Directory i rolą usługi rejestracji urządzeń sieciowych, aby udostępnić zarządzanym urządzeniom certyfikaty uwierzytelniania, dzięki którym użytkownicy mogą uzyskiwać bezproblemowy dostęp do zasobów firmy. Można na przykład utworzyć i wdrożyć profile certyfikatów, aby udostępnić użytkownikom certyfikaty potrzebne do inicjowania połączeń VPN i bezprzewodowych.
Profile certyfikatów w programie Menedżer konfiguracji zapewniają następujące funkcje zarządzania:
Odnawianie i rejestrowanie certyfikatów przy użyciu urzędu certyfikacji przedsiębiorstwa dla urządzeń z systemem iOS, Windows 8.1, Windows RT 8.1 i Android. Tych certyfikatów można następnie używać z połączeniami Wi-Fi i VPN.
Wdrażanie certyfikatów z zaufanego głównego urzędu certyfikacji oraz z pośredniego urzędu certyfikacji w celu konfigurowania łańcucha certyfikatów na urządzeniach w ramach połączeń VPN i Wi-Fi, gdy jest wymagane uwierzytelnianie serwera.
Monitorowanie oraz raporty w zakresie zainstalowanych certyfikatów.
Profile certyfikatów umożliwiają automatyczne konfigurowanie urządzeń użytkowników w taki sposób, aby zasoby firmowe, na przykład sieci Wi-Fi i serwery sieci VPN, były dostępne bez konieczności ręcznego instalowania certyfikatów ani używania procesu obsługi poza pasmem. Profile certyfikatów ułatwiają także ochronę zasobów firmowych, ponieważ umożliwiają korzystanie z bardziej bezpiecznych ustawień, które są obsługiwane przez infrastrukturę kluczy publicznych (PKI) przedsiębiorstwa. Można na przykład wymagać uwierzytelniania serwera w przypadku wszystkich połączeń Wi-Fi i VPN po uprzednim udostępnieniu wymaganych certyfikatów zarządzanym urządzeniom.
Przykład: Wszyscy pracownicy muszą mieć możliwość łączenia się z punktami dostępowymi Wi-Fi w wielu lokalizacjach firmowych. Aby to umożliwić, możesz wdrożyć certyfikaty wymagane do nawiązywania połączeń Wi-Fi oraz wdrożyć w programie Menedżer konfiguracji profile Wi-Fi, które zawierają odniesienia do odnośnego certyfikatu. Dzięki temu z perspektywy użytkownika nawiązywanie połączenia Wi-Fi odbywa się w zwykły sposób.
Przykład: Korzystasz z infrastruktury kluczy publicznych i chcesz zastosować bardziej elastyczną i bezpieczną metodę dostarczania certyfikatów, pozwalającą użytkownikom na dostęp do zasobów firmy z użyciem urządzeń osobistych bez zagrożenia dla bezpieczeństwa. Aby to umożliwić, możesz skonfigurować profile certyfikatów z ustawieniami i protokołami obsługiwanymi przez konkretną platformę urządzenia. Następnie urządzenia mogą automatycznie żądać tych certyfikatów z serwera rejestracji połączonego z Internetem. Możesz wówczas skonfigurować profile sieci VPN tak, aby korzystały z tych certyfikatów, umożliwiając dostęp do zasobów firmy z tych urządzeń.
Typy profilów certyfikatów
W programie Menedżer konfiguracji można tworzyć dwa typy profilów certyfikatów:
Zaufany certyfikat urzędu certyfikacji — umożliwia wdrożenie certyfikatu zaufanego głównego urzędu certyfikacji lub pośredniego urzędu certyfikacji w celu utworzenia łańcucha certyfikatów, gdy urządzenie musi uwierzytelnić serwer.
Ustawienia prostego protokołu rejestrowania certyfikatów (SCEP) — umożliwia zażądanie certyfikatu dla użytkownika lub urządzenia przy użyciu prostego protokołu rejestrowania certyfikatów (SCEP) i usługi rejestracji urządzeń sieciowych na serwerze z systemem Windows Server 2012 R2.
Uwaga
Przed utworzeniem profilu certyfikatu typu Ustawienia prostego protokołu rejestrowania certyfikatów (SCEP) należy utworzyć profil certyfikatu typu Zaufany certyfikat urzędu certyfikacji.
Wymogi i obsługiwane platformy
Aby wdrożyć profile certyfikatów korzystające z prostego protokołu rejestrowania certyfikatów, na serwerze systemu lokacji w centralnej lokacji administracyjnej lub lokacji głównej należy zainstalować punkt rejestracji certyfikatu. Dodatkowo na serwerze z systemem Windows Server 2012 R2 i usługą certyfikatów Active Directory oraz rolą usługi rejestracji urządzeń sieciowych, która jest dostępna dla urządzeń wymagających certyfikatów, należy zainstalować moduł zasad dla tej usługi, tj. moduł zasad programu Configuration Manager. Urządzenia zarejestrowane przez usługę Microsoft Intune wymagają dostępności usługi rejestracji urządzeń sieciowych z Internetu, na przykład w podsieci ekranowanej (znanej także jako strefa DMZ).
Więcej informacji o sposobie obsługi usługi rejestracji urządzeń sieciowych przez moduł zasad umożliwiający programowi Menedżer konfiguracji wdrażanie certyfikatów znajduje się w temacie Używanie modułu zasad z usługą rejestracji urządzeń sieciowych.
W zależności od wymogów, typu urządzenia i systemu operacyjnego program Menedżer konfiguracji obsługuje wdrażanie certyfikatów do różnych magazynów certyfikatów. Są obsługiwane następujące urządzenia i systemy operacyjne:
Windows RT 8.1
Windows 8.1
Windows Phone 8,1
.jpeg "System_CAPS_warning")
OstrzeżenieAby zapewnić obsługę systemu Windows Phone 8.1, należy zainstalować opcjonalne rozszerzenie systemu Windows Phone 8.1. Informacje dotyczące instalowania rozszerzenia można znaleźć w temacie Planowane jest używanie rozszerzeń w programie Configuration Manager.
iOS
Android
Uwaga
Informacje o akcjach, które muszą wykonać użytkownicy końcowi podczas instalowania certyfikatu na urządzeniu z systemem Android, znajdują się w temacie Instalowanie certyfikatów na urządzeniach z systemem Android w programie Configuration Manager.
.jpeg "System_CAPS_important"){kind=icon} Ważne |
|---|
Aby móc wdrożyć oprogramowanie na urządzeniach z systemem Android, iOS lub Windows Phone albo na zarejestrowanych urządzeniach z systemem Windows 8.1, musisz zarejestrować te urządzenia w usłudze Microsoft Intune. Aby uzyskać więcej informacji na temat rejestrowania urządzeń, zobacz artykuł Zarządzanie urządzeniami przenośnymi w usłudze Microsoft Intune. |
Typowy scenariusz w programie System Center 2012 Configuration Manager to instalacja zaufanego głównego urzędu certyfikacji w celu uwierzytelniania serwerów sieci Wi-Fi i VPN z połączeniem wykorzystującym protokoły EAP-TLS, EAP-TTLS i PEAP oraz protokoły tunelowania IKEv2, L2TP/IPsec i Cisco IPsec VPN.
Należy dopilnować, aby certyfikat głównego urzędu certyfikacji przedsiębiorstwa został zainstalowany na urządzeniu zanim zażąda ono certyfikatu przy użyciu profilu certyfikatu SCEP.
W profilu certyfikatu SCEP można określić wiele ustawień żądań niestandardowych certyfikatów dla różnych środowisk i wymogów dotyczących połączeń. W Kreatorze tworzenia profilu certyfikatu znajdują się dwie strony z parametrami rejestracji. Pierwsza strona, Rejestrowanie SCEP, zawiera ustawienia dotyczące żądań rejestracji oraz miejsca instalacji certyfikatu. Druga strona, Właściwości certyfikatu, zawiera opis samego żądanego certyfikatu.
Wdrażanie profilów certyfikatów
Podczas wdrażania profilu certyfikatu pliki certyfikatu są instalowane na urządzeniach klienckich. Są także wdrażane wszystkie parametry SCEP, dzięki czemu żądania SCEP będą przetwarzane na urządzeniu klienckim. Profile certyfikatów można wdrażać do kolekcji użytkowników lub kolekcji urządzeń oraz określać magazyn docelowy dla każdego certyfikatu. O możliwości instalowania certyfikatów na urządzeniu decydują zasady stosowania. Gdy profile certyfikatów są wdrażane do kolekcji użytkowników, funkcja koligacji urządzenia użytkownika określa, które z urządzeń użytkownika zainstaluje certyfikaty. Gdy do kolekcji urządzeń są wdrażane profile certyfikatów zawierające certyfikaty użytkownika, domyślnie certyfikaty są instalowane na każdym z urządzeń podstawowych użytkowników. To zachowanie można zmienić na stronie Rejestracja SCEP w Kreatorze profilu tworzenia certyfikatu tak, aby certyfikaty były instalowane na dowolnym urządzeniu użytkownika. Ponadto certyfikaty użytkownika nie są wdrażane do urządzeń, jeśli są to komputery z grupy roboczej.
Monitorowanie profilów certyfikatów
Wdrożenia profilów certyfikatów można monitorować w węźle Wdrożenia obszaru roboczego Monitorowanie w konsoli programu Menedżer konfiguracji.
Profile certyfikatów można również monitorować za pomocą jednego z następujących raportów programu Menedżer konfiguracji:
Historia certyfikatów wystawionych przez punkt rejestracji certyfikatów
Lista zasobów według stanu wystawienia certyfikatu dla certyfikatów zarejestrowanych przez punkt rejestracji certyfikatu
Lista zasobów z certyfikatami, które wkrótce wygasną
Automatyczne odwołanie certyfikatów
Program Menedżer konfiguracji automatycznie odwołuje certyfikaty użytkowników i komputerów, które zostały wdrożone za pomocą profilów w następujących przypadkach:
Urządzenie zostało wycofane z zarządzania w programie Menedżer konfiguracji.
Urządzenie zostało wybiórczo wyczyszczone.
Urządzenie jest zablokowane względem hierarchii programu Menedżer konfiguracji.
Aby odwołać certyfikaty, serwer lokacji wysyła polecenie odwołania do urzędu wystawiającego certyfikaty. Przyczyna odwołania to Zaprzestanie działania.
Co nowego w programie System Center 2012 R2 Configuration Manager
Uwaga
Informacje podane w tej części występują również w— przewodnik Wprowadzenie do programu System Center 2012 Configuration Manager.
Profile certyfikatów to nowość w programie System Center 2012 R2 Configuration Manager. Zapewniają poniższe możliwości i mają różne konfiguracje zależne:
Wdrażanie certyfikatów użytkowników i urządzeń dla zarządzanych urządzeń za pomocą prostego protokołu rejestrowania certyfikatów (SCEP). Tych certyfikatów można używać do obsługi połączeń Wi-Fi i VPN.
Obsługiwane są urządzenia z systemami operacyjnymi iOS, Windows 8.1 i Windows RT 8.1 oraz Android.
Wdrażanie certyfikatów głównego urzędu certyfikacji i pośredniego urzędu certyfikacji, tak aby urządzenia mogły tworzyć łańcuchy certyfikatów, gdy w ramach połączeń sieciowych używają uwierzytelniania serwera.
W centralnej lokacji administracyjnej lub lokacji głównej musi być wdrożony punkt rejestracji certyfikatu, a na serwerze z systemem Windows Server 2012 R2 i usługą certyfikatów Active Directory oraz rolą usługi rejestracji urządzeń sieciowych musi być zainstalowany moduł zasad programu Configuration Manager. Ten serwer musi być dostępny z Internetu oraz komunikować się z urzędem certyfikacji przedsiębiorstwa w celu wydawania certyfikatów. Więcej informacji o zmianach usługi rejestracji urządzeń sieciowych wymaganych w ramach tego scenariusza znajduje się w temacie What's New in Certificate Services in Windows Server 2012 R2 (Co nowego w usługach certyfikatów w systemie Windows Server 2012 R2).
Co nowego w programie System Center 2012 Configuration Manager SP2
Program Configuration Manager 2012 SP2 umożliwia inicjowanie obsługi plików wymiany informacji osobowych (pfx) na urządzeniach użytkowników. Pliki PFX mogą służyć do generowania certyfikatów specyficznych dla użytkownika w celu obsługi szyfrowanej wymiany danych. Certyfikaty PFX można tworzyć w programie Configuration Manager oraz importować. Program Configuration Manager 2012 SP2 umożliwia wdrażanie zaimportowanych i nowych certyfikatów PFX na urządzeniach z systemem iOS, Android, Windows 8.1 lub nowszym, a także na urządzeniach z systemem Windows Phone 8.1 lub nowszym. Następnie te pliki mogą być wdrażane na wielu urządzeniach w celu obsługi komunikacji PKI w oparciu o użytkowników. Więcej informacji można znaleźć w artykule .No text is shown for link '1151e4ef-647e-4a8c-ae37-d5f0972dc4da'. The title of the linked topic might be empty.