Поделиться через


Планирование PKI-сертификатов в Configuration Manager

Относится к Configuration Manager (Current Branch)

Configuration Manager использует цифровые сертификаты на основе инфраструктуры открытых ключей (PKI), если они доступны. Использование этих сертификатов рекомендуется для повышения безопасности, но не требуется в большинстве сценариев. Эти сертификаты необходимо развертывать и управлять ими независимо от Configuration Manager.

В этой статье содержатся сведения о PKI-сертификатах в Configuration Manager, которые помогут вам спланировать реализацию. Дополнительные общие сведения об использовании сертификатов в Configuration Manager см. в разделе Сертификаты в Configuration Manager.

Отзыв PKI-сертификата

При использовании PKI-сертификатов с Configuration Manager запланируйте использование списка отзыва сертификатов (CRL). Устройства используют список отзыва сертификатов для проверки сертификата на подключаемом компьютере. Список отзыва сертификатов — это файл, который центр сертификации (ЦС) создает и подписывает. Он содержит список сертификатов, которые ЦС выдал, но отозвал. Когда администратор сертификата отзывает сертификаты, его отпечаток добавляется в список отзыва сертификатов. Например, если выданный сертификат известен или подозревается в компрометации.

Важно!

Так как расположение списка отзыва сертификатов добавляется к сертификату при его выпуске ЦС, перед развертыванием всех PKI-сертификатов, которые Configuration Manager использует, необходимо запланировать список отзыва сертификатов.

IIS всегда проверяет список отзыва сертификатов на наличие сертификатов клиента, и вы не можете изменить эту конфигурацию в Configuration Manager. По умолчанию клиенты Configuration Manager всегда проверка список отзыва сертификатов для систем сайта. Отключите этот параметр, указав свойство сайта и указав свойство CCMSetup.

Компьютеры, которые используют проверку отзыва сертификатов, но не могут найти список отзыва сертификатов, ведут себя так, как если бы все сертификаты в цепочке сертификации были отозваны. Это связано с тем, что они не могут проверить, находятся ли сертификаты в списке отзыва сертификатов. В этом сценарии все подключения завершаются сбоем, для которых требуются сертификаты, и выполняется проверка списка отзыва сертификатов. При проверке доступности списка отзыва сертификатов путем перехода к его расположению HTTP важно отметить, что клиент Configuration Manager работает как LOCAL SYSTEM. Проверка специальных возможностей списка отзыва сертификатов в веб-браузере в контексте пользователя может завершиться успешно, но учетная запись компьютера может быть заблокирована при попытке установить HTTP-подключение к тому же URL-адресу списка отзыва сертификатов. Например, его можно заблокировать из-за внутреннего решения веб-фильтрации, например прокси-сервера. Добавьте URL-адрес списка отзыва сертификатов в список утвержденных для любых решений веб-фильтрации.

Проверка списка отзыва сертификатов при каждом использовании сертификата обеспечивает большую безопасность при использовании отозванного сертификата. Это приводит к задержке подключения и большей обработке на клиенте. Вашей организации может потребоваться эта проверка безопасности для клиентов в Интернете или ненадежной сети.

Проконсультируйтесь с администраторами PKI, прежде чем решать, нужно ли Configuration Manager клиентам проверка список отзыва сертификатов. Если выполняются оба следующих условия, рекомендуется оставить этот параметр включенным в Configuration Manager.

  • Инфраструктура PKI поддерживает список отзыва сертификатов и публикуется там, где все клиенты Configuration Manager могут найти его. К таким клиентам могут относиться устройства в Интернете и в ненадежных лесах.

  • Требование проверка списка отзыва сертификатов для каждого подключения к системе сайта, настроенной на использование PKI-сертификата, превышает следующие требования:

    • Более быстрые подключения
    • Эффективная обработка на клиенте
    • Риск того, что клиенты не смогут подключиться к серверам, если они не могут найти список отзыва сертификатов

Доверенные корневые сертификаты PKI

Если системы сайта IIS используют PKI-сертификаты клиента для проверки подлинности клиента по протоколу HTTP или для проверки подлинности клиента и шифрования по протоколу HTTPS, может потребоваться импортировать сертификаты корневого ЦС в качестве свойства сайта. Ниже приведены два сценария.

  • Операционные системы развертываются с помощью Configuration Manager, а точки управления принимают только клиентские подключения HTTPS.

  • Вы используете PKI-сертификаты клиента, которые не связаны с корневым сертификатом, которому доверяют точки управления.

    Примечание.

    При выдаче PKI-сертификатов клиента из той же иерархии ЦС, которая выдает сертификаты сервера, используемые для точек управления, указывать этот корневой сертификат ЦС не нужно. Однако если вы используете несколько иерархий ЦС и не уверены, доверяют ли они друг другу, импортируйте корневой ЦС для иерархии ЦС клиентов.

Если вам нужно импортировать сертификаты корневого ЦС для Configuration Manager, экспортируйте их из выдающего ЦС или с клиентского компьютера. При экспорте сертификата из выдающего ЦС, который также является корневым ЦС, не экспортируйте закрытый ключ. Сохраните экспортируемый файл сертификата в безопасном расположении, чтобы предотвратить незаконное изменение. При настройке сайта требуется доступ к файлу. При доступе к файлу по сети убедитесь, что обмен данными защищен от незаконного изменения с помощью IPsec.

Если какой-либо корневой сертификат ЦС, который вы импортируете, обновляется, импортируйте обновленный сертификат.

Импортированные сертификаты корневого ЦС и корневой сертификат ЦС каждой точки управления создают список издателей сертификатов. Configuration Manager компьютеры используют этот список следующими способами:

  • Когда клиенты подключаются к точкам управления, точка управления проверяет, связан ли сертификат клиента с доверенным корневым сертификатом в списке издателей сертификатов сайта. В противном случае сертификат отклоняется, и PKI-подключение завершается ошибкой.

  • Когда клиенты выбирают PKI-сертификат и имеют список издателей сертификатов, они выбирают сертификат, который связан с доверенным корневым сертификатом в списке издателей сертификатов. Если совпадения нет, клиент не выбирает PKI-сертификат. Дополнительные сведения см. в разделе Выбор PKI-сертификата клиента.

Выбор PKI-сертификата клиента

Если системы сайта IIS используют PKI-сертификаты клиента для проверки подлинности клиента по протоколу HTTP или для проверки подлинности клиента и шифрования по протоколу HTTPS, запланируйте, как клиенты Windows выбирают сертификат для Configuration Manager.

Примечание.

Некоторые устройства не поддерживают метод выбора сертификата. Вместо этого они автоматически выбирают первый сертификат, соответствующий требованиям к сертификату. Например, клиенты на компьютерах macOS и мобильных устройствах не поддерживают метод выбора сертификата.

Во многих случаях достаточно конфигурации и поведения по умолчанию. Клиент Configuration Manager на компьютерах Windows фильтрует несколько сертификатов, используя следующие условия в следующем порядке:

  1. Список издателей сертификатов: цепочки сертификатов к корневому ЦС, которому доверяет точка управления.

  2. Сертификат находится в хранилище сертификатов по умолчанию личного.

  3. Сертификат действителен, не отозван и не истек. Действительность проверка также проверяет, доступен ли закрытый ключ.

  4. Сертификат имеет возможность проверки подлинности клиента.

  5. Имя субъекта сертификата содержит имя локального компьютера в качестве подстроки.

  6. Сертификат имеет самый длительный срок действия.

Настройте клиенты для использования списка издателей сертификатов с помощью следующих механизмов:

Если у клиентов нет списка издателей сертификатов при первой установке и они еще не назначены сайту, они пропускают эту проверка. Если у клиентов есть список издателей сертификатов и нет PKI-сертификата, который связан с доверенным корневым сертификатом в списке издателей сертификатов, выбор сертификата завершается ошибкой. Клиенты не продолжают работу с другими критериями выбора сертификата.

В большинстве случаев клиент Configuration Manager правильно определяет уникальный и соответствующий PKI-сертификат. Если это не так, вместо выбора сертификата на основе возможности проверки подлинности клиента можно настроить два альтернативных метода выбора:

  • Частичное совпадение строк в имени субъекта сертификата клиента. Этот метод является совпадением без учета регистра. Это уместно, если вы используете полное доменное имя (FQDN) компьютера в поле субъекта и хотите, чтобы выбор сертификата основывался на суффиксе домена, например contoso.com. Этот метод выбора можно использовать для идентификации любой строки последовательных символов в имени субъекта сертификата, которая отличает сертификат от других в хранилище сертификатов клиента.

    Примечание.

    Вы не можете использовать частичное сопоставление строк с альтернативным именем субъекта (SAN) в качестве параметра сайта. Хотя вы можете указать частичное сопоставление строк для san с помощью CCMSetup, оно будет перезаписано свойствами сайта в следующих сценариях:

    • Клиенты получают сведения о сайте, опубликованные в доменные службы Active Directory.
    • Клиенты устанавливаются с помощью принудительной установки клиента.

    Используйте частичное сопоставление строк в san только при установке клиентов вручную и если они не получают сведения о сайте из доменные службы Active Directory. Например, эти условия применяются к клиентам только в Интернете.

  • Сопоставление значений атрибутов имени субъекта сертификата клиента или значений атрибутов альтернативного имени субъекта (SAN). Этот метод соответствует регистру. Это уместно, если вы используете различающееся имя X500 или эквивалентные идентификаторы объектов (OID) в соответствии с RFC 3280 и хотите, чтобы выбор сертификата основывался на значениях атрибутов. Можно указать только атрибуты и их значения, необходимые для уникальной идентификации или проверки сертификата и отличия сертификата от других в хранилище сертификатов.

В следующей таблице показаны значения атрибутов, которые Configuration Manager поддерживать для условий выбора сертификата клиента:

Атрибут OID Атрибут различающегося имени Определение атрибута
0.9.2342.19200300.100.1.25 DC Компонент домена
1.2.840.113549.1.9.1 Электронная почта или электронная почта Адрес электронной почты
2.5.4.3 CN Общее имя
2.5.4.4 SN Имя субъекта
2.5.4.5 SERIALNUMBER Серийный номер
2.5.4.6 В код страны,
2.5.4.7 L Местности
2.5.4.8 S или ST Название штата или провинции
2.5.4.9 УЛИЦЕ Адрес (улица, дом)
2.5.4.10 O Название организации
2.5.4.11 ПОДРАЗДЕЛЕНИЕ Подразделения
2.5.4.12 T или заголовок Title
2.5.4.42 G, GN или GivenName Заданное имя
2.5.4.43 I или Initials Initials
2.5.29.17 (без значения) Альтернативное имя субъекта

Примечание.

При настройке любого из указанных выше альтернативных методов выбора сертификата имя субъекта сертификата не должно содержать имя локального компьютера.

Если после применения критериев выбора находится несколько соответствующих сертификатов, можно переопределить конфигурацию по умолчанию, чтобы выбрать сертификат с самым длительным сроком действия. Вместо этого можно указать, что сертификат не выбран. В этом сценарии клиент не может взаимодействовать с системами сайта IIS с помощью PKI-сертификата. Клиент отправляет сообщение об ошибке в назначенную ему резервную точку состояния, чтобы предупредить вас о сбое выбора сертификата. Затем можно изменить или уточнить критерии выбора сертификата.

Поведение клиента зависит от того, было ли сбойное подключение по протоколу HTTPS или HTTP:

  • Если произошел сбой подключения по протоколу HTTPS: клиент пытается подключиться по протоколу HTTP и использует самозаверяющий сертификат клиента.

  • Если произошел сбой подключения по протоколу HTTP: клиент пытается снова подключиться по протоколу HTTP с помощью самозаверяющего сертификата клиента.

Чтобы помочь идентифицировать уникальный PKI-сертификат клиента, можно также указать пользовательское хранилище, отличное от значения по умолчанию Персональный , в хранилище компьютеров . Создайте пользовательское хранилище сертификатов за пределами Configuration Manager. Вы должны иметь возможность развертывать сертификаты в этом пользовательском хранилище и продлевать их до истечения срока действия.

Дополнительные сведения см. в разделе Настройка параметров для клиентских PKI-сертификатов.

Стратегия перехода для PKI-сертификатов

Гибкие параметры конфигурации в Configuration Manager позволяют постепенно переходить клиенты и сайт на использование PKI-сертификатов для защиты конечных точек клиентов. PKI-сертификаты обеспечивают лучшую безопасность и позволяют управлять интернет-клиентами.

Этот план сначала вводит PKI-сертификаты для проверки подлинности только по протоколу HTTP, а затем для проверки подлинности и шифрования по протоколу HTTPS. При постепенном внедрении этих сертификатов вы снижаете риск того, что клиенты станут неуправляемыми. Вы также сможете воспользоваться преимуществами самой высокой безопасности, которую Configuration Manager поддерживает.

Из-за количества параметров конфигурации и вариантов в Configuration Manager не существует единого способа переноса сайта, чтобы все клиенты использовали HTTPS-подключения. Ниже приведены общие рекомендации.

  1. Установите сайт Configuration Manager и настройте его так, чтобы системы сайта принимали клиентские подключения по протоколам HTTPS и HTTP.

  2. Настройте вкладку Безопасность связи в свойствах сайта. Установите параметры системы сайта в значение HTTP или HTTPS и выберите Использовать PKI-сертификат клиента (возможность проверки подлинности клиента), если это доступно. Дополнительные сведения см. в разделе Настройка параметров для клиентских PKI-сертификатов.

  3. Пилотное развертывание PKI для сертификатов клиента. Пример развертывания см. в разделе Развертывание сертификата клиента для компьютеров Windows.

  4. Установите клиенты с помощью метода принудительной установки клиента. Дополнительные сведения см. в статье Установка клиентов Configuration Manager с помощью принудительной отправки клиентов.

  5. Отслеживайте развертывание и состояние клиента с помощью отчетов и сведений в консоли Configuration Manager.

  6. Отследите, сколько клиентов используют PKI-сертификат клиента, просмотрев столбец Сертификат клиента в рабочей области Активы и соответствие , узел Устройства .

    Примечание.

    Для клиентов, которые также имеют PKI-сертификат, консоль Configuration Manager отображает свойство Client certificate как Самозаверяющее. В свойстве сертификата клиента панели управления клиента отображается PKI.

    Вы также можете развернуть средство оценки готовности Configuration Manager HTTPS (CMHttpsReadiness.exe) на компьютерах. Затем используйте отчеты, чтобы просмотреть, сколько компьютеров может использовать PKI-сертификат клиента с Configuration Manager.

    Примечание.

    При установке клиента Configuration Manager он устанавливает средствоCMHttpsReadiness.exe в папке %windir%\CCM . При запуске этого средства доступны следующие параметры командной строки:

    • /Store:<Certificate store name>: этот параметр совпадает со свойством CCMCERTSTORE client.msi ./Issuers:<Case-sensitive issuer common name> Этот параметр совпадает со свойством CCMCERTISSUERS client.msi.
    • /Criteria:<Selection criteria>: этот параметр совпадает со свойством CCMCERTSEL client.msi.
    • /SelectFirstCert: этот параметр совпадает со свойством CCMFIRSTCERT client.msi.

    Средство выводит сведения в файл CMHttpsReadiness.log в каталоге CCM\Logs .

    Дополнительные сведения см. в разделе Сведения о свойствах установки клиента.

  7. Если вы уверены, что достаточное количество клиентов успешно использует свой PKI-сертификат клиента для проверки подлинности по протоколу HTTP, выполните следующие действия.

    1. Разверните сертификат веб-сервера PKI на рядовом сервере, на котором выполняется другая точка управления для сайта, и настройте этот сертификат в СЛУЖБАх IIS. Дополнительные сведения см. в статье Развертывание сертификата веб-сервера для систем сайта под управлением IIS.

    2. Установите роль точки управления на этом сервере. Настройте параметр Клиентские подключения в свойствах точки управления для HTTPS.

  8. Отслеживайте и убедитесь, что клиенты с PKI-сертификатом используют новую точку управления по протоколу HTTPS. Для проверки можно использовать журналы IIS или счетчики производительности.

  9. Перенастройка других ролей системы сайта для использования клиентских подключений HTTPS. Если вы хотите управлять клиентами в Интернете, убедитесь, что системы сайта имеют полное доменное имя в Интернете. Настройте отдельные точки управления и точки распространения для приема клиентских подключений из Интернета.

    Важно!

    Перед настройкой ролей системы сайта для приема подключений из Интернета ознакомьтесь со сведениями о планировании и предварительными условиями для управления клиентами через Интернет. Дополнительные сведения см. в разделе Связь между конечными точками.

  10. Расширение развертывания PKI-сертификатов для клиентов и систем сайта под управлением IIS. При необходимости настройте роли системы сайта для клиентских подключений HTTPS и подключений к Интернету.

  11. Для обеспечения максимальной безопасности. Если вы уверены, что все клиенты используют PKI-сертификат клиента для проверки подлинности и шифрования, измените свойства сайта, чтобы использовать только HTTPS.

Дальнейшие действия