Certifikat i Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Configuration Manager använder en kombination av självsignerade och digitala PKI-certifikat (Public Key Infrastructure).
Använd PKI-certifikat när det är möjligt. Mer information finns i PKI-certifikatkrav. När Configuration Manager begär PKI-certifikat under registreringen för mobila enheter använder du Active Directory Domain Services och en företagscertifikatutfärdare. För alla andra PKI-certifikat distribuerar och hanterar du dem oberoende av Configuration Manager.
PKI-certifikat krävs när klientdatorer ansluter till Internetbaserade platssystem. Molnhanteringsgatewayen kräver även certifikat. Mer information finns i Hantera klienter på Internet.
När du använder en PKI kan du också använda IPsec för att skydda server-till-server-kommunikationen mellan platssystem på en plats, mellan platser och för annan dataöverföring mellan datorer. Implementeringen av IPsec är oberoende av Configuration Manager.
När PKI-certifikat inte är tillgängliga genererar Configuration Manager automatiskt självsignerade certifikat. Vissa certifikat i Configuration Manager är alltid självsignerade. I de flesta fall hanterar Configuration Manager automatiskt de självsignerade certifikaten och du behöver inte vidta någon annan åtgärd. Ett exempel är platsserverns signeringscertifikat. Det här certifikatet är alltid självsignerat. Den ser till att de principer som klienter laddar ned från hanteringsplatsen har skickats från platsservern och inte manipulerats. När du till exempel aktiverar platsen för utökad HTTP utfärdar webbplatsen självsignerade certifikat till platsserverroller.
Viktigt
Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.
CNG v3-certifikat
Configuration Manager stöder kryptografi: CNG v3-certifikat (Nästa generation). Configuration Manager klienter kan använda ett PKI-klientautentiseringscertifikat med privat nyckel i en CNG-nyckellagringsprovider (KSP). Med KSP-stöd stöder Configuration Manager klienter maskinvarubaserade privata nycklar, till exempel TPM KSP för PKI-klientautentiseringscertifikat.
Mer information finns i översikten över CNG v3-certifikat.
Förbättrad HTTP
Https-kommunikation rekommenderas för alla Configuration Manager kommunikationsvägar, men det är svårt för vissa kunder på grund av omkostnaderna för att hantera PKI-certifikat. Införandet av Microsoft Entra integrering minskar vissa men inte alla certifikatkrav. Du kan i stället aktivera webbplatsen för att använda utökad HTTP. Den här konfigurationen stöder HTTPS på platssystem med hjälp av självsignerade certifikat, tillsammans med Microsoft Entra-ID för vissa scenarier. Det kräver inte PKI.
Mer information finns i Förbättrad HTTP.
Certifikat för CMG
Hantering av klienter på Internet via molnhanteringsgatewayen (CMG) kräver användning av certifikat. Antalet och typen av certifikat varierar beroende på dina specifika scenarier.
Mer information finns i checklistan för konfiguration av CMG.
Obs!
Den molnbaserade distributionsplatsen (CDP) är inaktuell. Från och med version 2107 kan du inte skapa nya CDP-instanser. Om du vill tillhandahålla innehåll till Internetbaserade enheter aktiverar du CMG:en för att distribuera innehåll. Mer information finns i Inaktuella funktioner.
Mer information om certifikat för en CDP finns i Certifikat för molndistributionsplatsen.
Platsserverns signeringscertifikat
Platsservern skapar alltid ett självsignerat certifikat. Det använder det här certifikatet för flera syften.
Klienter kan på ett säkert sätt hämta en kopia av platsserverns signeringscertifikat från Active Directory Domain Services och från push-installation av klienter. Om klienterna inte kan hämta en kopia av det här certifikatet med någon av dessa metoder installerar du det när du installerar klienten. Den här processen är särskilt viktig om klientens första kommunikation med platsen sker med en Internetbaserad hanteringsplats. Eftersom den här servern är ansluten till ett ej betrott nätverk är den mer sårbar för angrepp. Om du inte tar det här andra steget laddar klienter automatiskt ned en kopia av platsserverns signeringscertifikat från hanteringsplatsen.
Klienter kan inte på ett säkert sätt hämta en kopia av platsservercertifikatet i följande scenarier:
Du installerar inte klienten med hjälp av push-överföring av klienter och:
Du har inte utökat Active Directory-schemat för Configuration Manager.
Du har inte publicerat klientens plats för att Active Directory Domain Services.
Klienten kommer från en obetrodd skog eller en arbetsgrupp.
Du använder Internetbaserad klienthantering och installerar klienten när den är på Internet.
Mer information om hur du installerar klienter med en kopia av platsserverns signeringscertifikat finns i kommandoradsegenskapen SMSSIGNCERT . Mer information finns i Om klientinstallationsparametrar och egenskaper.
Maskinvarubunden nyckellagringsprovider
Configuration Manager använder självsignerade certifikat för klientidentitet och för att skydda kommunikationen mellan klient- och platssystemen. När du uppdaterar platsen och klienterna till version 2107 eller senare lagrar klienten sitt certifikat från platsen i en maskinvarubunden nyckellagringsprovider (KSP). Denna KSP är vanligtvis den betrodda plattformsmodulen (TPM) minst version 2.0. Certifikatet är också markerat som icke-exportbart.
Om klienten också har ett PKI-baserat certifikat fortsätter den att använda certifikatet för TLS HTTPS-kommunikation. Den använder sitt självsignerade certifikat för att signera meddelanden med webbplatsen. Mer information finns i PKI-certifikatkrav.
Obs!
För klienter som också har ett PKI-certifikat visar Configuration Manager-konsolen egenskapen Klientcertifikat som Självsignerad. Klientkontrollpanelen Klientcertifikategenskapen visar PKI.
När du uppdaterar till version 2107 eller senare återskapar klienter med PKI-certifikat självsignerade certifikat, men registreras inte på nytt med webbplatsen. Klienter utan PKI-certifikat registreras på nytt med platsen, vilket kan orsaka extra bearbetning på platsen. Se till att processen för att uppdatera klienter tillåter slumpmässighet. Om du uppdaterar många klienter samtidigt kan det orsaka kvarvarande uppgifter på platsservern.
Configuration Manager använder inte TPM:er som är kända sårbara. TPM-versionen är till exempel tidigare än 2.0. Om en enhet har en sårbar TPM återgår klienten till att använda en programvarubaserad KSP. Certifikatet kan fortfarande inte exporteras.
Operativsystemdistributionsmedia använder inte maskinvarubundna certifikat, utan fortsätter att använda självsignerade certifikat från platsen. Du skapar mediet på en enhet som har -konsolen, men sedan kan det köras på valfri klient.
Om du vill felsöka certifikatbeteenden använder du CertificateMaintenance.log på klienten.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för