Configuration Manager'da sertifikalar
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager otomatik olarak imzalanan ve ortak anahtar altyapısı (PKI) dijital sertifikalarının bir birleşimini kullanır.
Mümkün olduğunda PKI sertifikalarını kullanın. Daha fazla bilgi için bkz. PKI sertifika gereksinimleri. mobil cihazlar için kayıt sırasında Configuration Manager PKI sertifikaları istediğinde, Active Directory Domain Services ve kurumsal sertifika yetkilisini kullanın. Diğer tüm PKI sertifikaları için, bunları Configuration Manager bağımsız olarak dağıtın ve yönetin.
İstemci bilgisayarlar internet tabanlı site sistemlerine bağlandığında PKI sertifikaları gereklidir. Bulut yönetimi ağ geçidi için sertifikalar da gerekir. Daha fazla bilgi için bkz. İnternet'te istemcileri yönetme.
PKI kullandığınızda, bir sitedeki site sistemleri arasında, siteler arasında ve bilgisayarlar arasında diğer veri aktarımı için sunucudan sunucuya iletişimin güvenliğini sağlamaya yardımcı olması için IPsec'i de kullanabilirsiniz. IPsec'in uygulanması Configuration Manager bağımsızdır.
PKI sertifikaları kullanılamadığında Configuration Manager otomatik olarak otomatik olarak imzalanan sertifikalar oluşturur. Configuration Manager'deki bazı sertifikalar her zaman otomatik olarak imzalı olur. Çoğu durumda, otomatik olarak imzalanan sertifikaları Configuration Manager otomatik olarak yönetir ve başka bir işlem yapmanız gerekmez. Bir örnek, site sunucusu imzalama sertifikasıdır. Bu sertifika her zaman otomatik olarak imzalanır. İstemcilerin yönetim noktasından indirdiğiniz ilkelerin site sunucusundan gönderilmesini ve üzerinde oynanmamasını sağlar. Başka bir örnek olarak, siteyi Gelişmiş HTTP için etkinleştirdiğinizde, site site sunucusu rollerine otomatik olarak imzalanan sertifikalar gönderir.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
CNG v3 sertifikaları
Configuration Manager Şifrelemeyi destekler: Yeni Nesil (CNG) v3 sertifikaları. Configuration Manager istemcileri, bir CNG Anahtar Depolama Sağlayıcısında (KSP) özel anahtara sahip bir PKI istemci kimlik doğrulama sertifikası kullanabilir. KSP desteğiyle, Configuration Manager istemcileri PKI istemci kimlik doğrulama sertifikaları için TPM KSP gibi donanım tabanlı özel anahtarları destekler.
Daha fazla bilgi için bkz. CNG v3 sertifikalarına genel bakış.
Geliştirilmiş HTTP
HTTPS iletişiminin kullanılması tüm Configuration Manager iletişim yolları için önerilir, ancak PKI sertifikalarını yönetme yükü nedeniyle bazı müşteriler için zorlayıcıdır. Microsoft Entra tümleştirmesinin kullanıma sunulması, sertifika gereksinimlerinin tümünü değil bazılarını azaltır. Bunun yerine siteyi gelişmiş HTTP kullanacak şekilde etkinleştirebilirsiniz. Bu yapılandırma, bazı senaryolar için Microsoft Entra kimliğiyle birlikte otomatik olarak imzalanan sertifikaları kullanarak site sistemlerinde HTTPS'yi destekler. PKI gerektirmez.
Daha fazla bilgi için bkz . Gelişmiş HTTP.
CMG sertifikaları
bulut yönetimi ağ geçidi (CMG) aracılığıyla İnternet'te istemcileri yönetmek için sertifikaların kullanılması gerekir. Sertifikaların sayısı ve türü, belirli senaryolarınıza bağlı olarak değişir.
Daha fazla bilgi için bkz. CMG kurulum denetim listesi.
Not
Bulut tabanlı dağıtım noktası (CDP) kullanım dışıdır. Sürüm 2107'den başlayarak yeni CDP örnekleri oluşturamazsınız. İnternet tabanlı cihazlara içerik sağlamak için CMG'yi etkinleştirerek içeriği dağıtın. Daha fazla bilgi için bkz. Kullanım dışı özellikler.
CDP sertifikaları hakkında daha fazla bilgi için bkz. Bulut dağıtım noktası sertifikaları.
Site sunucusu imzalama sertifikası
Site sunucusu her zaman otomatik olarak imzalanan bir sertifika oluşturur. Bu sertifikayı çeşitli amaçlarla kullanır.
İstemciler, site sunucusu imzalama sertifikasının bir kopyasını Active Directory Domain Services ve istemci anında yüklemesinden güvenli bir şekilde alabilir. İstemciler bu mekanizmalardan biri tarafından bu sertifikanın bir kopyasını alamıyorsa, istemciyi yüklerken yükleyin. Bu işlem özellikle istemcinin siteyle ilk iletişiminin İnternet tabanlı bir yönetim noktasıyla olması durumunda önemlidir. Bu sunucu güvenilmeyen bir ağa bağlı olduğundan saldırılara karşı daha savunmasızdır. Bu diğer adımı atamazsanız, istemciler yönetim noktasından site sunucusu imzalama sertifikasının bir kopyasını otomatik olarak indirir.
İstemciler aşağıdaki senaryolarda site sunucusu sertifikasının bir kopyasını güvenli bir şekilde alamaz:
İstemci gönderimini kullanarak istemciyi yüklemezsiniz ve:
Configuration Manager için Active Directory şemasını genişletemediniz.
İstemcinin sitesini Active Directory Domain Services yayımlamadınız.
İstemci güvenilmeyen bir ormandan veya çalışma grubundan.
İnternet tabanlı istemci yönetimi kullanıyorsunuz ve istemci İnternet'teyken yüklüyorsunuz.
Site sunucusu imzalama sertifikasının bir kopyasıyla istemcileri yükleme hakkında daha fazla bilgi için SMSSIGNCERT komut satırı özelliğini kullanın. Daha fazla bilgi için bkz. İstemci yükleme parametreleri ve özellikleri hakkında.
Donanıma bağlı anahtar depolama sağlayıcısı
Configuration Manager, istemci kimliği için otomatik olarak imzalanan sertifikalar kullanır ve istemci ile site sistemleri arasındaki iletişimi korumaya yardımcı olur. Siteyi ve istemcileri 2107 veya sonraki bir sürüme güncelleştirdiğinizde, istemci siteden sertifikasını donanıma bağlı anahtar depolama sağlayıcısında (KSP) depolar. Bu KSP genellikle en az 2.0 sürümü olan güvenilir platform modülüdür (TPM). Sertifika, dışarı aktarılamaz olarak da işaretlenir.
İstemcinin PKI tabanlı bir sertifikası da varsa, TLS HTTPS iletişimi için bu sertifikayı kullanmaya devam eder. Siteyle iletileri imzalamak için otomatik olarak imzalanan sertifikasını kullanır. Daha fazla bilgi için bkz. PKI sertifika gereksinimleri.
Not
PKI sertifikasına sahip istemciler için Configuration Manager konsolu İstemci sertifikası özelliğini Otomatik olarak imzalı olarak görüntüler. İstemci denetim masası İstemci sertifikası özelliği PKI'yı gösterir.
2107 veya sonraki bir sürüme güncelleştirdiğinizde, PKI sertifikaları olan istemciler otomatik olarak imzalanan sertifikaları yeniden oluşturur, ancak siteyle yeniden kaydetmez. PKI sertifikası olmayan istemciler siteyi yeniden kaydeder ve bu da sitede fazladan işlemeye neden olabilir. İstemcileri güncelleştirme işleminizin rastgeleye ayırmaya izin verdiğinden emin olun. Çok sayıda istemciyi aynı anda güncelleştirirseniz, site sunucusunda bir kapsam oluşabilir.
Configuration Manager, güvenlik açığı olduğu bilinen TPM'leri kullanmaz. Örneğin, TPM sürümü 2.0'dan öncedir. Bir cihazda güvenlik açığı olan bir TPM varsa, istemci yazılım tabanlı KSP kullanmaya geri döner. Sertifika yine de dışarı aktarılamaz.
İşletim sistemi dağıtım medyası donanıma bağlı sertifikaları kullanmaz, siteden otomatik olarak imzalanan sertifikaları kullanmaya devam eder. Medyayı konsolu olan bir cihazda oluşturursunuz, ancak daha sonra herhangi bir istemcide çalıştırılabilir.
Sertifika davranışlarıyla ilgili sorunları gidermek için istemcide CertificateMaintenance.log dosyasını kullanın.