Planera för PKI-certifikat i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Configuration Manager använder PKI-baserade (Public Key Infrastructure) digitala certifikat när de är tillgängliga. Användning av dessa certifikat rekommenderas för större säkerhet, men krävs inte för de flesta scenarier. Du måste distribuera och hantera dessa certifikat oberoende av Configuration Manager.
Den här artikeln innehåller information om PKI-certifikat i Configuration Manager som hjälper dig att planera implementeringen. Mer allmän information om användningen av certifikat i Configuration Manager finns i Certifikat i Configuration Manager.
Återkallande av PKI-certifikat
När du använder PKI-certifikat med Configuration Manager ska du planera för användning av en lista över återkallade certifikat (CRL). Enheter använder CRL för att verifiera certifikatet på den anslutande datorn. CRL är en fil som en certifikatutfärdare (CA) skapar och signerar. Den har en lista över certifikat som certifikatutfärdare har utfärdat men återkallat. När en certifikatadministratör återkallar certifikat läggs tumavtrycket till i listan över återkallade certifikat. Till exempel om ett utfärdat certifikat är känt eller misstänks vara komprometterat.
Viktigt
Eftersom platsen för listan över återkallade certifikat läggs till i ett certifikat när en certifikatutfärdare utfärdar den, måste du planera för listan över återkallade certifikat innan du distribuerar PKI-certifikat som Configuration Manager använder.
IIS kontrollerar alltid CRL för klientcertifikat och du kan inte ändra den här konfigurationen i Configuration Manager. Som standard kontrollerar Configuration Manager klienter alltid listan över återkallade certifikat för platssystem. Inaktivera den här inställningen genom att ange en webbplatsegenskap och genom att ange en CCMSetup-egenskap.
Datorer som använder kontroll av certifikatåterkallning men inte kan hitta listan över återkallade certifikat fungerar som om alla certifikat i certifieringskedjan återkallas. Det beror på att de inte kan kontrollera om certifikaten finns i listan över återkallade certifikat. I det här scenariot misslyckas alla anslutningar som kräver certifikat och inkluderar CRL-kontroll. När du verifierar att din CRL är tillgänglig genom att bläddra till dess HTTP-plats är det viktigt att observera att Configuration Manager-klienten körs som LOKALT SYSTEM. Det kan gå att testa tillgängligheten för CRL med en webbläsare under en användarkontext, men datorkontot kan blockeras när du försöker upprätta en HTTP-anslutning till samma CRL-URL. Det kan till exempel blockeras på grund av en intern webbfiltreringslösning som en proxy. Lägg till CRL-URL:en i listan över godkända webbfiltreringslösningar.
Att kontrollera listan över återkallade certifikat varje gång ett certifikat används ger större säkerhet mot att använda ett certifikat som har återkallats. Det medför en anslutningsfördröjning och mer bearbetning på klienten. Din organisation kan kräva den här säkerhetskontrollen för klienter på Internet eller ett ej betrott nätverk.
Kontakta PKI-administratörerna innan du bestämmer dig för om Configuration Manager klienter behöver kontrollera listan över återkallade certifikat. När båda följande villkor är uppfyllda bör du överväga att behålla det här alternativet aktiverat i Configuration Manager:
PKI-infrastrukturen stöder en CRL och publiceras där alla Configuration Manager klienter kan hitta den. Dessa klienter kan innehålla enheter på Internet och sådana i ej betrodda skogar.
Kravet på att kontrollera listan över återkallade certifikat för varje anslutning till ett platssystem som är konfigurerat att använda ett PKI-certifikat är större än följande krav:
- Snabbare anslutningar
- Effektiv bearbetning på klienten
- Risken för att klienter inte kan ansluta till servrar om de inte kan hitta listan över återkallade certifikat
PKI-betrodda rotcertifikat
Om dina IIS-platssystem använder PKI-klientcertifikat för klientautentisering via HTTP, eller för klientautentisering och kryptering via HTTPS, kan du behöva importera rotcertifikatutfärdarcertifikat som en platsegenskap. Här är de två scenarierna:
Du distribuerar operativsystem med hjälp av Configuration Manager och hanteringsplatserna accepterar endast HTTPS-klientanslutningar.
Du använder PKI-klientcertifikat som inte kedjas till ett rotcertifikat som hanteringsplatserna litar på.
Obs!
När du utfärdar PKI-klientcertifikat från samma CA-hierarki som utfärdar de servercertifikat som du använder för hanteringsplatser behöver du inte ange det här rotcertifikatutfärdarcertifikatet. Men om du använder flera CA-hierarkier och du inte är säker på om de litar på varandra, importerar du rotcertifikatutfärdarcertifikatutfärdarna för klienternas CA-hierarki.
Om du behöver importera rotcertifikatutfärdarcertifikat för Configuration Manager exporterar du dem från den utfärdande certifikatutfärdare eller från klientdatorn. Om du exporterar certifikatet från den utfärdande certifikatutfärdare som också är rotcertifikatutfärdare ska du inte exportera den privata nyckeln. Lagra den exporterade certifikatfilen på en säker plats för att förhindra manipulering. Du behöver åtkomst till filen när du konfigurerar webbplatsen. Om du kommer åt filen via nätverket kontrollerar du att kommunikationen skyddas från manipulering med hjälp av IPsec.
Om ett rotcertifikatutfärdarcertifikat som du importerar förnyas importerar du det förnyade certifikatet.
Dessa importerade rotcertifikatutfärdarcertifikat och rotcertifikatutfärdarcertifikatet för varje hanteringsplats skapar listan över certifikatutfärdare. Configuration Manager datorer använder den här listan på följande sätt:
När klienter ansluter till hanteringsplatser verifierar hanteringsplatsen att klientcertifikatet är kopplat till ett betrott rotcertifikat i platsens lista över certifikatutfärdare. Om det inte gör det avvisas certifikatet och PKI-anslutningen misslyckas.
När klienter väljer ett PKI-certifikat och har en lista över certifikatutfärdare väljer de ett certifikat som är kedjat till ett betrott rotcertifikat i listan över certifikatutfärdare. Om det inte finns någon matchning väljer klienten inte ett PKI-certifikat. Mer information finns i val av PKI-klientcertifikat.
Val av PKI-klientcertifikat
Om dina IIS-platssystem använder PKI-klientcertifikat för klientautentisering via HTTP eller för klientautentisering och kryptering via HTTPS, planerar du hur Windows-klienter väljer det certifikat som ska användas för Configuration Manager.
Obs!
Vissa enheter stöder inte en metod för val av certifikat. I stället väljer de automatiskt det första certifikatet som uppfyller certifikatkraven. Klienter på macOS-datorer och mobila enheter stöder till exempel inte en metod för val av certifikat.
I många fall räcker det med standardkonfigurationen och beteendet. Den Configuration Manager klienten på Windows-datorer filtrerar flera certifikat med hjälp av följande kriterier i den här ordningen:
Listan över certifikatutfärdare: Certifikatet kedjas till en rotcertifikatutfärdare som är betrodd av hanteringsplatsen.
Certifikatet finns i standardcertifikatarkivet Personligt.
Certifikatet är giltigt, inte återkallat och har inte upphört att gälla. Giltighetskontrollen verifierar också att den privata nyckeln är tillgänglig.
Certifikatet har funktioner för klientautentisering.
Certifikatets ämnesnamn innehåller det lokala datornamnet som en delsträng.
Certifikatet har den längsta giltighetsperioden.
Konfigurera klienter för att använda listan över certifikatutfärdare med hjälp av följande mekanismer:
Publicera den med Configuration Manager webbplatsinformation för att Active Directory Domain Services.
Installera klienter med hjälp av push-överföring av klienter.
Klienter laddar ned den från hanteringsplatsen när de har tilldelats till sin webbplats.
Ange den under klientinstallationen som en CCMSetup-client.msi egenskap för CCMCERTISSUERS.
Om klienterna inte har listan över certifikatutfärdare när de först installeras och ännu inte har tilldelats platsen hoppar de över den här kontrollen. När klienterna har listan över certifikatutfärdare och inte har något PKI-certifikat som är kedjat till ett betrott rotcertifikat i listan över certifikatutfärdare misslyckas valet av certifikat. Klienterna fortsätter inte med de andra kriterierna för val av certifikat.
I de flesta fall identifierar Configuration Manager klienten korrekt ett unikt och lämpligt PKI-certifikat. När detta inte är fallet kan du konfigurera två alternativa urvalsmetoder i stället för att välja certifikatet baserat på klientautentiseringsfunktionen:
En partiell strängmatchning på klientcertifikatets ämnesnamn. Den här metoden är en skiftlägeskänslig matchning. Det är lämpligt om du använder det fullständigt kvalificerade domännamnet (FQDN) för en dator i ämnesfältet och vill att certifikatvalet ska baseras på domänsuffixet, till exempel contoso.com. Du kan använda den här urvalsmetoden för att identifiera valfri sträng med sekventiella tecken i certifikatets ämnesnamn som skiljer certifikatet från andra i klientcertifikatarkivet.
Obs!
Du kan inte använda den partiella strängmatchningen med det alternativa ämnesnamnet (SAN) som webbplatsinställning. Även om du kan ange en partiell strängmatchning för SAN med hjälp av CCMSetup, skrivs den över av platsegenskaperna i följande scenarier:
- Klienter hämtar webbplatsinformation som har publicerats till Active Directory Domain Services.
- Klienter installeras med hjälp av push-installation av klienter.
Använd endast en partiell strängmatchning i SAN när du installerar klienter manuellt och när de inte hämtar platsinformation från Active Directory Domain Services. Dessa villkor gäller till exempel endast internetklienter.
En matchning av attributvärdena för klientcertifikatets ämnesnamn eller attributvärdena för alternativt ämnesnamn (SAN). Den här metoden är en skiftlägeskänslig matchning. Det är lämpligt om du använder ett unikt X500-namn eller motsvarande objektidentifierare (OID) i enlighet med RFC 3280 och du vill att certifikatvalet ska baseras på attributvärdena. Du kan bara ange de attribut och deras värden som du behöver för att unikt identifiera eller verifiera certifikatet och skilja certifikatet från andra i certifikatarkivet.
Följande tabell visar de attributvärden som Configuration Manager stöder för urvalskriterierna för klientcertifikat:
| OID-attribut | Attribut för unikt namn | Attributdefinition |
|---|---|---|
| 0.9.2342.19200300.100.1.25 | DC | Domänkomponent |
| 1.2.840.113549.1.9.1 | E eller E-mail | E-postadress |
| 2.5.4.3 | CN | Nätverksnamn |
| 2.5.4.4 | SN | Ämnesnamn |
| 2.5.4.5 | SERIALNUMBER | Serienummer |
| 2.5.4.6 | C | Landskod |
| 2.5.4.7 | L | Plats |
| 2.5.4.8 | S eller ST | Land eller region |
| 2.5.4.9 | STREET | Gatuadress |
| 2.5.4.10 | O | Organisationsnamn |
| 2.5.4.11 | OU | Organisationsenhet |
| 2.5.4.12 | T eller Title | Rubrik |
| 2.5.4.42 | G eller GN eller GivenName | Förnamn |
| 2.5.4.43 | I eller Initials | Initialer |
| 2.5.29.17 | (inget värde) | Alternativt ämnesnamn |
Obs!
Om du konfigurerar någon av ovanstående alternativa metoder för val av certifikat behöver certifikatets ämnesnamn inte innehålla det lokala datornamnet.
Om mer än ett lämpligt certifikat finns efter att urvalskriterierna har tillämpats kan du åsidosätta standardkonfigurationen för att välja det certifikat som har den längsta giltighetsperioden. I stället kan du ange att inget certifikat har valts. I det här scenariot kan klienten inte kommunicera med IIS-platssystem med ett PKI-certifikat. Klienten skickar ett felmeddelande till den tilldelade återställningsstatuspunkten för att varna dig om certifikatvalsfelet. Sedan kan du ändra eller förfina kriterierna för val av certifikat.
Klientbeteendet beror sedan på om den misslyckade anslutningen var över HTTPS eller HTTP:
Om den misslyckade anslutningen var över HTTPS: Klienten försöker ansluta via HTTP och använder klientens självsignerade certifikat.
Om den misslyckade anslutningen var över HTTP: Klienten försöker ansluta igen via HTTP med hjälp av det självsignerade klientcertifikatet.
För att identifiera ett unikt PKI-klientcertifikat kan du också ange ett annat anpassat arkiv än standardvärdet Personligt i datorarkivet . Skapa ett anpassat certifikatarkiv utanför Configuration Manager. Du måste kunna distribuera certifikat till det här anpassade arkivet och förnya dem innan giltighetsperioden går ut.
Mer information finns i Konfigurera inställningar för klient-PKI-certifikat.
Övergångsstrategi för PKI-certifikat
Med de flexibla konfigurationsalternativen i Configuration Manager kan du gradvis överföra klienter och platsen till att använda PKI-certifikat för att skydda klientslutpunkter. PKI-certifikat ger bättre säkerhet och gör att du kan hantera Internetklienter.
Den här planen introducerar först PKI-certifikat för autentisering endast via HTTP och sedan för autentisering och kryptering via HTTPS. När du följer den här planen för att gradvis introducera dessa certifikat minskar du risken för att klienter blir ohanterade. Du kommer också att dra nytta av den högsta säkerheten som Configuration Manager stöder.
På grund av antalet konfigurationsalternativ och alternativ i Configuration Manager finns det inget enda sätt att överföra en plats så att alla klienter använder HTTPS-anslutningar. Följande steg ger allmän vägledning:
Installera Configuration Manager plats och konfigurera den så att platssystem accepterar klientanslutningar via HTTPS och HTTP.
Konfigurera fliken Kommunikationssäkerhet i webbplatsegenskaperna. Ange Platssysteminställningar till HTTP eller HTTPS och välj Använd PKI-klientcertifikat (klientautentiseringsfunktion) när det är tillgängligt. Mer information finns i Konfigurera inställningar för klient-PKI-certifikat.
Testa en PKI-distribution för klientcertifikat. Ett exempel på distribution finns i Distribuera klientcertifikatet för Windows-datorer.
Installera klienter med hjälp av push-installationsmetod för klienten. Mer information finns i Så här installerar du Configuration Manager klienter med hjälp av klient-push.
Övervaka klientdistribution och status med hjälp av rapporter och information i Configuration Manager-konsolen.
Spåra hur många klienter som använder ett klient-PKI-certifikat genom att visa kolumnen Klientcertifikat på arbetsytan Tillgångar och efterlevnad , noden Enheter .
Obs!
För klienter som också har ett PKI-certifikat visar Configuration Manager-konsolen egenskapen Klientcertifikat som Självsignerad. Klientkontrollpanelen Klientcertifikategenskapen visar PKI.
Du kan också distribuera Configuration Manager HTTPS Readiness Assessment Tool (CMHttpsReadiness.exe) till datorer. Använd sedan rapporterna för att visa hur många datorer som kan använda ett klient-PKI-certifikat med Configuration Manager.
Obs!
När du installerar Configuration Manager-klienten installeras verktygetCMHttpsReadiness.exe i
%windir%\CCMmappen . Följande kommandoradsalternativ är tillgängliga när du kör det här verktyget:/Store:<Certificate store name>: Det här alternativet är detsamma som egenskapen CCMCERTSTORE client.msi -/Issuers:<Case-sensitive issuer common name>: Det här alternativet är samma som CCMCERTISSUERS client.msi egenskapen/Criteria:<Selection criteria>: Det här alternativet är detsamma som egenskapen CCMCERTSEL client.msi/SelectFirstCert: Det här alternativet är samma som egenskapen CCMFIRSTCERT client.msi
Verktyget matar ut information till CMHttpsReadiness.log i
CCM\Logskatalogen.Mer information finns i Om klientinstallationsegenskaper.
När du är säker på att tillräckligt många klienter använder sitt klient-PKI-certifikat för autentisering via HTTP följer du dessa steg:
Distribuera ett PKI-webbservercertifikat till en medlemsserver som kör en annan hanteringsplats för platsen och konfigurera certifikatet i IIS. Mer information finns i Distribuera webbservercertifikatet för platssystem som kör IIS.
Installera hanteringsplatsrollen på den här servern. Konfigurera alternativet Klientanslutningar i hanteringsplatsegenskaperna för HTTPS.
Övervaka och kontrollera att klienter som har ett PKI-certifikat använder den nya hanteringsplatsen med hjälp av HTTPS. Du kan använda IIS-loggning eller prestandaräknare för att verifiera.
Konfigurera om andra platssystemroller för att använda HTTPS-klientanslutningar. Om du vill hantera klienter på Internet kontrollerar du att platssystemen har ett fullständigt domännamn för Internet. Konfigurera enskilda hanteringsplatser och distributionsplatser för att acceptera klientanslutningar från Internet.
Viktigt
Innan du konfigurerar platssystemroller för att acceptera anslutningar från Internet bör du granska planeringsinformationen och förutsättningarna för internetbaserad klienthantering. Mer information finns i Kommunikation mellan slutpunkter.
Utöka distributionen av PKI-certifikat för klienter och för platssystem som kör IIS. Konfigurera platssystemrollerna för HTTPS-klientanslutningar och Internetanslutningar efter behov.
Högsta säkerhet: När du är säker på att alla klienter använder ett PKI-klientcertifikat för autentisering och kryptering ändrar du platsegenskaperna så att de endast använder HTTPS.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för