Introdução aos perfis de certificado no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Observação |
---|
As informações neste tópico se aplicam apenas ao System Center 2012 R2 Configuration Manager e System Center 2012 R2 Configuration Manager SP1. |
Os perfis de certificado do System Center 2012 Configuration Manager integram-se aos Serviços de Certificados do Active Directory e à função de Serviço de Registro de Dispositivo de Rede para provisionar os dispositivos gerenciados com certificados de autenticação a fim de que os usuários possam acessar os recursos da empresa sem problemas. Por exemplo, você pode criar e implantar perfis de certificado para fornecer os certificados necessários para que os usuários iniciem conexões VPN e sem fio.
Perfis de certificado do Gerenciador de Configurações oferecem os seguintes recursos de gerenciamento:
Registro e renovação de certificado de uma AC (autoridade de certificação) corporativa para dispositivos que executam iOS, Windows 8.1, Windows RT 8.1 e Android. Esses certificados podem ser usados para conexões Wi-Fi e VPN.
Implantação de certificados de autoridade de certificação raiz confiável e certificados de autoridade de certificação intermediários para configurar uma cadeia de confiança em dispositivos para conexões VPN e Wi-Fi, quando a autenticação de servidor for exigida.
Monitorar e emitir relatórios sobre os certificados instalados.
Os perfis de certificado podem configurar automaticamente dispositivos de usuários para que os recursos da empresa, como redes Wi-Fi e servidores VPN, possam ser acessados sem a necessidade de instalar certificados manualmente ou usar um processo fora da banda. Perfis de certificado também podem ajudar a manter os recursos da empresa protegidos, porque você pode usar configurações mais seguras que têm suporte por sua infraestrutura de chave pública (PKI) corporativa. Por exemplo, você pode exigir autenticação de servidor para todas as conexões VPN e Wi-Fi porque provisionou os certificados necessários nos dispositivos gerenciados.
Exemplo: Todos os funcionários devem conseguir se conectar aos pontos de acesso Wi-Fi em vários locais corporativos. Para isso, você pode implantar os certificados necessários para estabelecer a conexão Wi-Fi e também implantar perfis Wi-Fi no Gerenciador de Configurações que façam referência ao certificado correto a ser usado a fim que a conexão Wi-Fi ocorra sem problemas para os usuários.
Exemplo: Você tem uma PKI implementada e desejar mover para um método mais flexível e seguro de provisionamento de certificados que permite aos usuários acessar os recursos da empresa em seus dispositivos pessoais sem comprometer a segurança. Para fazer isso, você pode configurar perfis de certificado com configurações e protocolos com suporte para a plataforma específica do dispositivo. Os dispositivos podem solicitar automaticamente esses certificados de um servidor de registro da Internet. Você pode configurar perfis VPN para usar esses certificados para que o dispositivo possa acessar os recursos da empresa.
Tipos de perfil de certificado
Você pode criar dois tipos de perfis de certificados no Gerenciador de Configurações:
Certificado de AC confiável - Permite implantar uma AC de raiz ou intermediária confiável para formar uma cadeia de certificados de confiança quando o dispositivo precisar autenticar-se em um servidor.
Configurações de protocolo SCEP - Permite solicitar um certificado para um dispositivo ou usuário usando o protocolo SCEP e o Serviço de Registro de Dispositivo de Rede em um servidor que executa o Windows Server 2012 R2.
Observação Você deve criar um perfil de certificado do tipo Certificado de AC confiável para poder criar um perfil de certificado do tipo Configurações do protocolo SCEP.
Requisitos e plataformas com suporte
Para implantar perfis de certificado que usam o protocolo SCEP, você deve instalar o ponto de registro de certificado em um servidor do sistema de site no site de administração central ou em um site primário. Além disso, você deve instalar um módulo de política para o Serviço de Registro de Dispositivo de Rede, o Módulo de Política do Configuration Manager, em um servidor que executa o Windows Server 2012 R2 com a função de Serviços de Certificados do Active Directory e um Serviço de Registro de Dispositivo de Rede operacional que possa ser acessado pelos dispositivos que exigem os certificados. Para dispositivos não registrados pelo Microsoft Intune, isso requer que o Serviço de Registro de Dispositivo de Rede esteja acessível da Internet, por exemplo, em uma sub-rede filtrada (também conhecida como Rede de perímetro).
Para obter mais informações sobre como o Serviço de Registro de Dispositivo de Rede oferece suporte a um módulo de política para que o Gerenciador de Configurações possa implantar certificados, consulte Using a Policy Module with the Network Device Enrollment Service (Usando um módulo de política com o Serviço de Registro de Dispositivo de Rede).
O Gerenciador de Configurações oferece suporte à implantação de certificados em repositórios de certificado diferentes, dependendo do requisito, e também do tipo de dispositivo e sistema operacional. Os seguintes dispositivos e sistemas operacionais têm suporte:
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
Aviso Para oferecer suporte ao Windows Phone 8.1, você deve instalar a extensão opcional do Windows Phone 8.1. Para obter informações sobre como instalar a extensão, consulte Planejando usar extensões no Configuration Manager.
iOS
Android
Observação Para obter informações sobre as ações que os usuários finais devem executar ao instalar um certificado em um dispositivo que executa o Android, consulte How to Install Certificates on Android Devices in Configuration Manager (Como instalar certificados em dispositivos Android no Configuration Manager).
Importante |
---|
Para implantar perfis em dispositivos Android, iOS, Windows Phone e com Windows 8.1 registrados, esses dispositivos devem ser registrados no Microsoft Intune. Para obter informações sobre como registrar seus dispositivos, veja Gerenciar dispositivos móveis com o Microsoft Intune. |
Um cenário típico para o System Center 2012 Configuration Manager é instalar certificados de autoridade de certificação raiz confiável para autenticar servidores Wi-Fi e VPN quando a conexão usa protocolos de autenticação EAP-TLS, EAP-TTLS e PEAP, além de protocolos de túnel IKEv2, L2TP/IPsec e Cisco IPsec VPN.
Você deve verificar se um certificado de autoridade de certificação raiz corporativo está instalado no dispositivo para que ele possa solicitar certificados usando um perfil de certificado SCEP.
Você pode especificar uma variedade de configurações em um perfil de certificado do protocolo SCEP para solicitar certificados personalizados para diferentes ambientes ou requisitos de conectividade. O Assistente para Criar Perfil de Certificado contém duas páginas de parâmetros de registro. A primeira, Registro de SCEP, contém as configurações da solicitação de registro e o local onde o certificado deve ser instalado. A segunda, Propriedades do Certificado, descreve o certificado solicitado.
Implantando de perfis de certificado
Quando você implanta um perfil de certificado, os arquivos de certificado dentro do perfil são instalados em dispositivos clientes. Todos os parâmetros SCEP também serão implantados, e as solicitações de SCEP serão processadas no dispositivo cliente. Você pode implantar perfis de certificado em coleções de usuários ou coleções de dispositivos e especificar o armazenamento de destino para cada certificado. Regras de aplicabilidade determinam se os certificados podem ser instalados no dispositivo. Quando perfis de certificado são implantados em coleções de usuário, a afinidade de dispositivo de usuário determina quais dos dispositivos dos usuários instalarão os certificados. Quando os perfis de certificado que contêm certificados de usuário são implantados em coleções de dispositivos, por padrão, os certificados serão instalados em cada um dos dispositivos primários dos usuários. Você pode modificar esse comportamento para instalar o certificado em qualquer um dos dispositivos dos usuários na página Registro do protocolo SCEP do Assistente para Criar Perfil de Certificado. Além disso, os certificados de usuário não serão implantados em dispositivos se eles forem computadores de grupo de trabalho.
Monitorando perfis de certificado
Você pode monitorar implantações do perfil de certificado no nó Implantações do espaço de trabalho Monitoramento no console do Gerenciador de Configurações.
Você também pode usar um dos seguintes relatórios do Gerenciador de Configurações para monitorar perfis de certificado:
Histórico de certificados que são emitidos pelo ponto de registro de certificado
Lista de ativos por estado de emissão de certificado para certificados registrados pelo ponto de registro de certificado
Lista de ativos com certificados próximos da data de expiração
Revogação automática de certificados
O Gerenciador de Configurações revogará automaticamente os certificados de usuário e computador implantados com o uso de perfis de certificado nas seguintes circunstâncias:
O dispositivo é retirado do gerenciamento do Gerenciador de Configurações.
O dispositivo é apagado seletivamente.
O dispositivo é bloqueado na hierarquia do Gerenciador de Configurações.
Para revogar os certificados, o servidor do site envia um comando de revogação para a autoridade de certificação emissora. O motivo da revogação é Cessação da Operação.
Novidades no System Center 2012 R2 Configuration Manager
Observação |
---|
As informações nesta seção também aparecem em no guia Introdução ao System Center 2012 Configuration Manager. |
Os perfis de certificado são novos no System Center 2012 R2 Configuration Manager. Eles oferecem os seguintes recursos e têm algumas configurações dependentes:
Implantação de certificados de usuários e dispositivos para dispositivos gerenciados usando o protocolo SCEP. Esses certificados podem ser usados para oferecer suporte a conexões VPN e Wi-Fi.
Os dispositivos com suporte incluem os que executam iOS, Windows 8.1, Windows RT 8.1 e Android.
Implantação de certificados de autoridade de certificação (AC) raiz e certificados de autoridade de certificação intermediários, de modo que os dispositivos possam criar uma cadeia de confiança quando usam autenticação de servidor para conexões de rede.
Um ponto de registro de certificado deve ser implantado no site de administração central ou em um site primário, e o Módulo de Política do Configuration Manager deve ser instalado em um servidor que executa o Windows Server 2012 R2 com os Serviços de Certificados do Active Directory e a função de Serviço de Registro de Dispositivo de Rede. Esse servidor deve estar acessível na Internet e se comunicar com uma autoridade de certificação corporativa para emitir os certificados. Para obter mais informações sobre as alterações efetuadas no Serviço de Registro de Dispositivo de Rede para oferecer suporte a esse cenário, consulte What's New in Certificate Services in Windows Server 2012 R2 (Novidades nos serviços de certificado do Windows Server 2012 R2).
Novidades no System Center 2012 Configuration Manager SP2
O Configuration Manager 2012 SP2 permite provisionar arquivos de troca de informações pessoais (.pfx) para dispositivos do usuário. Os arquivos PFX podem ser usados para gerar certificados específicos do usuário para dar suporte à troca de dados criptografados. Os certificados PFX podem ser criados no Configuration Manager ou importados. Com o Configuration Manager 2012 SP2, os certificados PFX, sejam novos ou importados, podem ser implantados em dispositivos iOS, Android e em dispositivos com Windows 8.1 e posterior, além de dispositivos com Windows Phone 8.1 e posterior. Estes arquivos podem ser implantados em vários dispositivos para dar suporte à comunicação de PKI baseada no usuário. Os arquivos PFX podem ser Para obter mais informações, veja Como criar perfis de certificado PFX no Configuration Manager.