Certificados em Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
O Gestor de Configuração utiliza uma combinação de certificados digitais de infraestrutura auto-assinada e de chave pública (PKI).
Utilize certificados PKI sempre que possível. Para mais informações, consulte os requisitos do certificado PKI. Quando o Gestor de Configuração solicitar certificados PKI durante a inscrição para dispositivos móveis, utilize serviços de domínio de diretório ativo e uma autoridade de certificação empresarial. Para todos os outros certificados PKI, implemente-os e gere-os independentemente do Gestor de Configuração.
Os certificados PKI são necessários quando os computadores clientes se ligam aos sistemas de sites baseados na Internet. O portal de gestão de nuvens também requer certificados. Para mais informações, consulte Gerir clientes na internet.
Quando utiliza um PKI, também pode utilizar o IPsec para ajudar a proteger a comunicação servidor-servidor entre sistemas de site num site, entre sites e para outra transferência de dados entre computadores. A implementação do IPsec é independente do Gestor de Configuração.
Quando os certificados PKI não estão disponíveis, o Gestor de Configuração gera automaticamente certificados auto-assinados. Alguns certificados no Gestor de Configuração são sempre auto-assinados. Na maioria dos casos, o Gestor de Configuração gere automaticamente os certificados auto-assinados, e não precisa de tomar outra ação. Um exemplo é o certificado de assinatura do servidor do site. Este certificado é sempre auto-assinado. Garante que as políticas que os clientes descarregam a partir do ponto de gestão foram enviadas do servidor do site e não foram adulteradas. Como outro exemplo, quando ativa o site para HTTP Melhorado,o site emite certificados auto-assinados para funções do servidor do site.
Importante
A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.
Certificados CNG v3
O Gestor de Configuração suporta os certificados Cryptography: Next Generation (CNG) v3. Os clientes do Gestor de Configuração podem utilizar um certificado de autenticação do cliente PKI com chave privada num Fornecedor de Armazenamento chave de CNG (KSP). Com suporte KSP, os clientes do Configuration Manager suportam chaves privadas baseadas em hardware, como um KSP TPM para certificados de autenticação de clientes PKI.
Para mais informações, consulte a visão geral dos certificados CNG v3.
HTTP melhorado
A utilização da comunicação HTTPS é recomendada para todas as vias de comunicação do Gestor de Configuração, mas é um desafio para alguns clientes devido à sobrecarga de gestão de certificados PKI. A introdução da integração Azure Ative Directory (Azure AD) reduz alguns, mas não todos os requisitos de certificado. Em vez disso, pode ativar o site para utilizar HTTP melhorado. Esta configuração suporta HTTPS nos sistemas do site utilizando certificados auto-assinados, juntamente com Azure AD para alguns cenários. Não requer PKI.
Para mais informações, consulte HTTP Melhorado.
Certificados para CMG
Gerir clientes na internet através do gateway de gestão de nuvem (CMG) requer a utilização de certificados. O número e tipo de certificados varia consoante os seus cenários específicos.
Para obter mais informações, consulte a CMG configurar a lista de verificação.
Nota
O ponto de distribuição baseado na nuvem (CDP) é depreciado. A partir da versão 2107, não é possível criar novos casos de CDP. Para fornecer conteúdo a dispositivos baseados na Internet, permita que o CMG distribua conteúdo. Para obter mais informações, consulte as funcionalidades Deprecatadas.
Para obter mais informações sobre certificados para um CDP, consulte certificados para o ponto de distribuição da nuvem.
O certificado de assinatura do servidor do site
O servidor do site cria sempre um certificado auto-assinado. Utiliza este certificado para vários fins.
Os clientes podem obter uma cópia segura do certificado de assinatura do servidor do site dos Serviços de Domínio do Diretório Ativo e da instalação push do cliente. Se os clientes não conseguirem obter uma cópia deste certificado por um destes mecanismos, instale-o quando instalar o cliente. Este processo é especialmente importante se a primeira comunicação do cliente com o site for com um ponto de gestão baseado na Internet. Como este servidor está ligado a uma rede não fidedquirísta, é mais vulnerável a ataques. Se não der o outro passo, os clientes descarregam automaticamente uma cópia do certificado de assinatura do servidor do site a partir do ponto de gestão.
Os clientes não conseguem obter uma cópia do certificado do servidor do site nos seguintes cenários:
Não se instala o cliente utilizando o impulso do cliente e:
Não estendeu o esquema do Ative Directory para o Gestor de Configuração.
Não publicou o site do cliente para os Serviços de Domínio do Diretório Ativo.
O cliente pertence a uma floresta ou um grupo de trabalho não fidedigno.
Está a usar a gestão de clientes baseada na Internet e instala o cliente quando está na internet.
Para obter mais informações sobre como instalar clientes com uma cópia do certificado de assinatura do servidor do site, utilize a propriedade da linha de comando SMSSIGNCERT. Para mais informações, consulte sobre os parâmetros e propriedades de instalação do cliente.
Fornecedor de armazenamento de chaves ligado a hardware
O Gestor de Configuração utiliza certificados auto-assinados para a identidade do cliente e para ajudar a proteger a comunicação entre o cliente e os sistemas do site. Quando atualiza o site e os clientes para a versão 2107 ou posterior, o cliente armazena o seu certificado do site num fornecedor de armazenamento de chaves ligado a hardware (KSP). Este KSP é tipicamente o módulo de plataforma fidedigna (TPM). O certificado também está marcado como não exportável.
Se o cliente também tiver um certificado baseado em PKI, continua a utilizar esse certificado para comunicação HTTPS TLS. Utiliza o certificado auto-assinado para a assinatura de mensagens com o site. Para mais informações, consulte os requisitos do certificado PKI.
Nota
Para clientes que também possuam um certificado PKI, a consola Do Gestor de Configuração exibe a propriedade do certificado cliente como auto-assinada. O painel de controlo do cliente A propriedade de certificado de cliente mostra PKI.
Quando atualizar para a versão 2107 ou mais tarde, os clientes com certificados PKI recriarão certificados auto-assinados, mas não se reregistem com o site. Os clientes sem certificado PKI voltarão a registar-se no site, o que pode causar um processamento extra no site. Certifique-se de que o seu processo de atualização de clientes permite a aleatoriedade. Se atualizar simultaneamente muitos clientes, poderá causar um atraso no servidor do site.
O Gestor de Configuração não usa TPMs que são conhecidos como vulneráveis. Se um dispositivo tiver um TPM vulnerável, o cliente volta a utilizar um KSP baseado em software. O certificado ainda não é exportável.
Os meios de implementação do SO não usam certificados ligados a hardware, continua a usar certificados auto-assinados do site. Cria-se o meio de comunicação num dispositivo que tem a consola, mas depois pode funcionar em qualquer cliente.
Para resolver os comportamentos dos certificados, utilize a .log de Certificação no cliente.