Введение в профили сертификатов в Configuration Manager
Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Примечание |
|---|
Сведения, приведенные в этой статье, относятся к System Center 2012 R2 Configuration Manager и System Center 2012 R2 Configuration Manager с пакетом обновления 1 (SP1). |
Профили сертификатов в System Center 2012 Configuration Manager работают со службами сертификатов Active Directory и ролью службы регистрации сертификатов для сетевых устройств, предоставляя сертификаты проверки подлинности для управляемых устройств, чтобы получение доступа к ресурсам компании проходило незаметно для пользователей. Например, можно создать и развернуть профили сертификатов для предоставления пользователям сертификатов, необходимых для инициирования беспроводных и VPN-подключений.
Профили сертификатов в Configuration Manager предоставляют следующие возможности управления.
Регистрация и возобновление действия сертификатов центра сертификации (ЦС) предприятия для устройств под управлением iOS, Windows 8.1, Windows RT 8.1 и Android. В дальнейшем эти сертификаты могут использоваться для Wi-Fi- и VPN-подключений.
Развертывание сертификатов доверенных корневых ЦС и промежуточных ЦС для настройки на устройствах цепочки сертификатов для VPN- и Wi-Fi-подключений, если требуется проверка подлинности сервера.
Мониторинг и создание отчетов об установленных сертификатах.
Профили сертификатов могут автоматически настраивать устройства пользователей, чтобы для доступа к ресурсам компании, таким как сети Wi-Fi и VPN-серверы, не требовалось вручную устанавливать сертификаты или использовать внешний процесс. Профили сертификатов могут также обеспечить безопасность ресурсов компании, поскольку позволяют использовать более безопасные параметры, поддерживаемые инфраструктурой открытых ключей (PKI) вашей организации. Например, можно потребовать проверку подлинности сервера для всех подключений Wi-Fi и VPN-подключений, так как на управляемых устройствах подготовлены необходимые сертификаты.
Пример: Все сотрудники должны иметь возможность подключения к хот-спотам Wi-Fi в разных корпоративных местоположениях. Для этого можно развернуть сертификаты, необходимые для установки Wi-Fi-подключения, а также развернуть в Configuration Manager профили Wi-Fi, ссылающиеся на соответствующий сертификат, который должен использоваться для того, чтобы установка Wi-Fi-подключения происходила незаметно для пользователей.
Пример: У вас есть PKI, и вы хотите перейти на более гибкий и безопасный метод подготовки сертификатов, который позволяет пользователям получать доступ к ресурсам компании со своих личных устройств без риска для безопасности. Для этого можно настроить профили сертификатов с помощью параметров и протоколов, поддерживаемых конкретной платформой устройств. После этого устройства смогут автоматически запрашивать эти сертификаты с сервера регистрации с выходом в Интернет. Затем можно настроить профили VPN для использования этих сертификатов, чтобы устройство могло осуществлять доступ к ресурсам компании.
Типы профилей сертификатов
В Configuration Manager можно создавать профили сертификатов двух типов.
Доверенный сертификат ЦС — позволяет развернуть доверенный корневой сертификат или промежуточный сертификат ЦС для формирования цепочки сертификатов, если устройство должно проверять подлинность сервера.
Параметры SCEP — позволяют запросить сертификат для устройства или пользователя с помощью протокола SCEP и службы регистрации сертификатов для сетевых устройств на сервере под управлением Windows Server 2012 R2.
ПримечаниеЧтобы можно было создать профиль сертификата типа Параметры протокола SCEP, сначала необходимо создать профиль сертификата типа Сертификат доверенного ЦС.
Требования и поддерживаемые платформы
Для развертывания профилей сертификатов, в которых используется протокол SCEP, необходимо установить точку регистрации сертификатов на сервере системы сайта в сайте центра администрирования или первичном сайте. Также необходимо установить модуль политики для службы регистрации сертификатов для сетевых устройств (модуль политики Configuration Manager) на сервере под управлением Windows Server 2012 R2 с ролью служб сертификатов Active Directory и работающей службой регистрации сертификатов для сетевых устройств, доступной для устройств, которым требуются сертификаты. Для устройств, регистрируемых Microsoft Intune, служба регистрации сертификатов для сетевых устройств должна быть доступна через Интернет, например, в сети периметра (также называемой DMZ).
Дополнительные сведения о том, как реализована поддержка модуля политики службой регистрации сертификатов для сетевых устройств, обеспечивающая возможность развертывания сертификатов с помощью Configuration Manager, см. в статье Using a Policy Module with the Network Device Enrollment Service (Использование модуля политики со службой регистрации сертификатов для сетевых устройств).
Configuration Manager поддерживает развертывание сертификатов в различных хранилищах сертификатов, в зависимости от требования, а также типа устройства и операционной системы. Поддерживаются следующие устройства и операционные системы:
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
.jpeg "System_CAPS_warning")
ПредупреждениеДля поддержки Windows Phone 8.1 необходимо установить необязательное расширение Windows Phone 8.1. Сведения о том, как установить это расширение, см. в разделе Планирование использования расширений в Configuration Manager.
iOS
Android
ПримечаниеСведения о действиях, которые должны выполнить пользователи при установке сертификата на устройстве Android, см. в статье Установка сертификатов на устройствах Android в Configuration Manager.
.jpeg "System_CAPS_important") Важно |
|---|
Для развертывания профилей на устройствах Android, iOS, Windows Phone и зарегистрированных устройствах Windows 8.1 эти устройства должны быть зарегистрированы в Microsoft Intune. Сведения о том, как зарегистрировать устройства, см. в разделе Управление мобильными устройствами с помощью Microsoft Intune. |
Типичный сценарий для System Center 2012 Configuration Manager предусматривает установку сертификатов доверенных корневых ЦС для проверки подлинности Wi-Fi- и VPN-серверов, если для подключения используются такие протоколы проверки подлинности, как EAP-TLS, EAP-TTLS и PEAP, и такие протоколы туннелирования VPN, как IKEv2, L2TP/IPsec и Cisco IPsec.
Прежде чем устройство сможет запрашивать сертификаты с использованием профиля сертификата SCEP, необходимо убедиться, что на нем установлен сертификат корневого ЦС предприятия.
В профиле сертификата SCEP можно задать множество параметров для запроса специальных сертификатов для различных сред или требований к подключению.Мастер создания профиля сертификата содержит две страницы с параметрами регистрации. Первая страница, Регистрация SCEP, содержит параметры запроса на регистрацию и места установки сертификата. Вторая страница, Свойства сертификата, содержит описание самого запрашиваемого сертификата.
Развертывание профилей сертификатов
При развертывании профиля сертификата файлы сертификата для этого профиля устанавливаются на клиентских устройствах. На клиентских устройствах также развертываются все параметры SCEP и обрабатываются запросы SCEP. Профили сертификатов можно развернуть в коллекциях пользователей или устройств и указать конечное хранилище для каждого сертификата. Правила применимости определяют, можно ли установить сертификаты на устройстве. При развертывании профилей сертификатов в коллекциях пользователей сопоставление пользователей и устройств определяет, на какие устройства пользователей будут установлены сертификаты. При развертывании профилей сертификатов, содержащих сертификаты пользователей, в коллекциях устройств сертификаты по умолчанию устанавливаются на всех основных устройствах пользователей. На странице Регистрация SCEP в мастере создания профиля сертификата этот режим работы можно изменить таким образом, чтобы сертификат устанавливался на всех устройствах пользователей. Кроме того, сертификаты пользователей не развертываются на устройствах, если те являются компьютерами рабочей группы.
Мониторинг профилей сертификатов
Для мониторинга развертываний профилей сертификатов можно использовать узел Развертывания рабочей области Мониторинг в консоли Configuration Manager.
Профили сертификатов также можно отслеживать с помощью одного из следующих отчетов Configuration Manager:
Журнал выдачи сертификатов
Список активов по состоянию выдачи сертификата
Список активов с сертификатами, для которых приближается истечение срока действия
Автоматический отзыв сертификатов
Configuration Manager автоматически отзывает сертификаты пользователей и компьютеров, которые были развернуты с помощью профилей сертификатов, в следующих случаях.
Устройство больше не используется и не находится под управлением Configuration Manager.
Устройство выборочно очищено.
Устройство заблокировано в иерархии Configuration Manager.
Чтобы отозвать сертификаты, сервер сайта отправляет команду отзыва в выдающий центр сертификации. Причиной отзыва является Прекращение работы.
Новые возможности System Center 2012 R2 Configuration Manager
| Примечание |
|---|
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager. |
Профили сертификатов впервые представлены в System Center 2012 R2 Configuration Manager. Они обеспечивают следующие возможности и имеют некоторые зависимые конфигурации.
Развертывание сертификатов пользователей и устройств для управляемых устройств с помощью протокола SCEP. Эти сертификаты можно использовать для поддержки Wi-Fi и VPN-подключений.
К поддерживаемым устройствам относятся устройства под управлением iOS, Windows 8.1, Windows RT 8.1 и Android.
Развертывание сертификатов корневого и промежуточного центров сертификации дает возможность устройствам создавать цепочки сертификатов при использовании проверки подлинности серверов для сетевых подключений.
Точка регистрации сертификатов должна быть развернута в сайте центра администрирования или в первичном сайте, а модуль политики Configuration Manager должен быть установлен на сервере, работающем под управлением Windows Server 2012 R2, со службами сертификатов Active Directory и ролью службы регистрации сертификатов для сетевых устройств. Этот сервер должен быть доступен из Интернета и взаимодействовать с ЦС предприятия для выдачи сертификатов. Дополнительные сведения об изменениях в службе регистрации сертификатов для сетевых устройств, внесенных с целью поддержки данного сценария, см. в статье What's New in Certificate Services in Windows Server 2012 R2 (Новые возможности служб сертификатов в Windows Server 2012 R2).
Новые возможности System Center 2012 Configuration Manager с пакетом обновления 2 (SP2)
Configuration Manager 2012 с пакетом обновления 2 (SP2) позволяет подготовить файлы обмена личной информацией (PFX) для устройств пользователей. PFX-файлы можно использовать для создания пользовательских сертификатов с целью поддержки обмена зашифрованными данными. Сертификаты PFX можно создать в Configuration Manager или импортировать. При наличии Configuration Manager 2012 с пакетом обновления 2 (SP2) импортированные или новые сертификаты PFX можно развертывать на устройствах iOS, Android, Windows 8.1 и более поздних версий, а также на устройствах Windows Phone 8.1 и более поздних версий. Эти файлы можно развернуть на нескольких устройствах для поддержки связи между пользователями на основе PKI. Дополнительные сведения см. в разделе Создание профилей сертификатов PFX в Configuration Manager.