Поделиться через


Необходимые условия для профилей сертификатов в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Сведения в этом разделе относятся только к версиям System Center 2012 R2 Configuration Manager.

Профили сертификатов в System Center 2012 Configuration Manager имеют как внешние зависимости, так и зависимости в пределах продукта.

Внешние зависимости Configuration Manager

Зависимость                       

Дополнительные сведения

Выдающий центр сертификации (ЦС) предприятия с запущенными службами сертификатов Active Directory.

Для отзыва сертификатов выдающий ЦС должен быть настроен с разрешением на выдачу сертификатов и управление ими для сервера сайта на вершине иерархии.

System_CAPS_noteПримечание

Поддерживается утверждение запросов на сертификаты диспетчером. Однако шаблоны сертификатов, используемые для выдачи сертификатов, должны быть настроены с использованием параметра Предоставляется в запросе для субъекта сертификата, чтобы система Configuration Manager могла автоматически указывать это значение.

Дополнительные сведения о службах сертификатов Active Directory см. в документации по Windows Server.

Служба роли службы регистрации сертификатов для сетевых устройств для служб сертификатов Active Directory, запущенная на компьютере под управлением Windows Server 2012 R2.

Дополнительно

  • Номера TCP-портов, отличные от 443 (для HTTPS) и 80 (для HTTP), не поддерживаются для связи между клиентом и службой регистрации сертификатов для сетевых устройств.

  • Сервер, на котором запущена служба регистрации сертификатов для сетевых устройств, и выдающий ЦС должны находиться на разных компьютерах.

Configuration Manager взаимодействует со службой регистрации сертификатов для сетевых устройств в Windows Server 2012 R2 для создания и проверки запросов SCEP.

Если сертификаты будут выдаваться для пользователей или устройств, которые подключаются через Интернет, таких как мобильные устройства под управлением Microsoft Intune, эти устройства должны иметь доступ к серверу, на котором запущена служба регистрации сертификатов для сетевых устройств, через Интернет. Например, установите сервер в сети периметра (также называемой демилитаризованной зоной или промежуточной подсетью).

Если между сервером, на котором запущена служба регистрации сертификатов для сетевых устройств, и выдающим ЦС имеется брандмауэр, его необходимо настроить, разрешив коммуникационный трафик (DCOM) между этими двумя серверами. Данное требование к брандмауэру также распространяется на сервер, на котором запущен сервер сайта Configuration Manager, и выдающий ЦС, чтобы система Configuration Manager могла отзывать сертификаты.

Если служба регистрации сертификатов для сетевых устройств настроена таким образом, чтобы требовать использования SSL (рекомендация безопасности), убедитесь, что подключающиеся устройства имеют доступ к списку отзыва сертификатов для проверки сертификата сервера.

Дополнительные сведения о службе регистрации сертификатов для сетевых устройств в Windows Server 2012 R2 см. в статье Using a Policy Module with the Network Device Enrollment Service (Использование модуля политики со службой регистрации сертификатов для сетевых устройств).

Если выдающий ЦС работает под управлением Windows Server 2008 R2, этот сервер требует исправления для запросов SCEP на обновление.

Если на компьютере выдающего ЦС еще не установлено исправление, установите его. Дополнительные сведения см. в статье 2483564: Запрос на обновление сертификата SCEP не выполняется в Windows Server 2008 R2, если сертификат управляется с помощью NDES в базе знаний Майкрософт.

PKI-сертификат проверки подлинности клиента и экспортированный сертификат корневого ЦС.

Этот сертификат служит для проверки подлинности сервера, на котором запущена служба регистрации сертификатов для сетевых устройств, в Configuration Manager.

Дополнительные сведения см. в статье Требования к PKI-сертификатам для Configuration Manager.

Поддерживаемые операционные системы устройств.

Профили сертификатов могут быть развернуты на устройствах под управлением операционных систем iOS, Windows 8.1, Windows RT 8.1 и Android.

Зависимости Configuration Manager

Зависимость                       

Дополнительные сведения

Роль системы сайта точки регистрации сертификатов

Перед использованием профилей сертификатов необходимо установить роль системы сайта точки регистрации сертификатов. Эта роль взаимодействует с базой данных Configuration Manager, сервером сайта Configuration Manager и модулем политики Configuration Manager.

Дополнительные сведения о системных требованиях для данной роли системы сайта и месте ее установки в иерархии см. в следующих разделах.

System_CAPS_importantВажно

Точку регистрации сертификатов нельзя устанавливать на том же сервере, на котором запущена служба регистрации сертификатов для сетевых устройств.

Модуль политики Configuration Manager, установленный на сервере, на котором запущена служба роли службы регистрации сертификатов для сетевых устройств для служб сертификатов Active Directory

Для развертывания профилей сертификатов необходимо установить модуль политики Configuration Manager. Этот модуль политики можно найти на установочном носителе Configuration Manager.

Данные обнаружения

Значения субъекта сертификата и альтернативного имени субъекта указываются системой Configuration Manager и извлекаются из данных, собранных при обнаружении.

  • Для сертификатов пользователей: обнаружение пользователей Active Directory

  • Для сертификатов компьютеров: обнаружение систем Active Directory и обнаружение сетевых ресурсов.

Дополнительные сведения об обнаружении см. в статье Планирование обнаружения в Configuration Manager.

Специальные разрешения системы безопасности для управления профилями сертификатов

Для управления параметрами доступа к ресурсам компании, такими как профили сертификатов, профили Wi-Fi и профили VPN, необходимо иметь следующие разрешения системы безопасности.

  • Для просмотра и управления оповещениями и отчетами для профилей сертификатов: Создание, Удаление, Изменение, Изменить отчет, Чтение и Выполнить отчет для объекта Оповещения.

  • Для создания и управления профилями сертификатов: Политика автора, Изменение отчета, Чтение и Выполнение отчета для объекта Профиль сертификата.

  • Для управления развертываниями профилей Wi-Fi, сертификатов и VPN: Развертывание политики конфигурации, Изменение оповещения о состоянии клиента, Чтение и Чтение ресурса для объекта Коллекция.

  • Для управления всеми политиками конфигураций: Создание, Удаление, Изменение, Чтение и Настройка области безопасности для объекта Политика конфигурации.

  • Для выполнения запросов, связанных с профилями сертификатов: разрешение Чтение для объекта Запрос.

  • Для просмотра сведений о профилях сертификатов в консоли Configuration Manager: разрешение чтение для объекта Сайт.

  • Для просмотра сообщений о состоянии для профилей сертификатов: разрешение Чтение для объекта Сообщения об изменении состояния.

  • Для создания и изменения профиля сертификата доверенного центра сертификации: Политика автора, Изменение отчета, Чтение и Выполнение отчета для объекта Профиль сертификата доверенного ЦС.

  • Для создания и управления профилями VPN: Политика автора, Изменение отчета, Чтение и Выполнение отчета для объекта Профиль VPN.

  • Для создания и управления профилями Wi-Fi: Политика автора, Изменение отчета, Чтение и Выполнение отчета для объекта Профиль Wi-Fi.

Роль безопасности Диспетчер доступа к ресурсам компании включает все разрешения, необходимые для управления профилями сертификатов в Configuration Manager. Дополнительные сведения см. в разделе Настройка ролевого администрирования статьи Настройка параметров безопасности Configuration Manager.