Aracılığıyla paylaş


Configuration Manager'da PKI sertifikalarını planlama

Uygulama hedefi: Configuration Manager (güncel dalı)

Configuration Manager kullanılabilir olduğunda ortak anahtar altyapısı (PKI) tabanlı dijital sertifikalar kullanır. Bu sertifikaların daha fazla güvenlik için kullanılması önerilir, ancak çoğu senaryo için gerekli değildir. Bu sertifikaları Configuration Manager bağımsız olarak dağıtmanız ve yönetmeniz gerekir.

Bu makalede, uygulamanızı planlamanıza yardımcı olmak için Configuration Manager'daki PKI sertifikaları hakkında bilgi sağlanır. Configuration Manager'da sertifikaların kullanımı hakkında daha fazla genel bilgi için bkz. Configuration Manager'de sertifikalar.

PKI sertifika iptali

Configuration Manager ile PKI sertifikaları kullandığınızda, sertifika iptal listesinin (CRL) kullanımını planlayın. Cihazlar, bağlanan bilgisayardaki sertifikayı doğrulamak için CRL'yi kullanır. CRL, bir sertifika yetkilisinin (CA) oluşturduğu ve imza verdiği bir dosyadır. CA tarafından verilen ancak iptal edilen sertifikaların bir listesi vardır. Sertifika yöneticisi sertifikaları iptal ettiğinde, parmak izi CRL'ye eklenir. Örneğin, verilen bir sertifika biliniyorsa veya güvenliği aşıldığından şüpheleniliyorsa.

Önemli

CA sertifikayı verdikten sonra CRL'nin konumu bir sertifikaya eklendiğinden, Configuration Manager tarafından kullanılan PKI sertifikalarını dağıtmadan önce CRL'yi planladığınıza emin olun.

IIS her zaman istemci sertifikaları için CRL'yi denetler ve Configuration Manager'da bu yapılandırmayı değiştiremezsiniz. Varsayılan olarak, Configuration Manager istemcileri her zaman site sistemleri için CRL'yi denetler. Bir site özelliği belirterek ve bir CCMSetup özelliği belirterek bu ayarı devre dışı bırakın.

Sertifika iptal denetimini kullanan ancak CRL'yi bulamayıp sertifika zincirindeki tüm sertifikalar iptal edilmiş gibi davranan bilgisayarlar. Bu davranış, sertifikaların sertifika iptal listesinde olup olmadığını doğrulayamadığındandır. Bu senaryoda, sertifika gerektiren ve CRL denetimi içeren tüm bağlantılar başarısız olur. CRL'nizin HTTP konumuna göz atarak erişilebilir olduğunu doğrularken, Configuration Manager istemcisinin YEREL SİSTEM olarak çalıştığını unutmayın. CrL erişilebilirliğini kullanıcı bağlamı altındaki bir web tarayıcısıyla test etmek başarılı olabilir, ancak aynı CRL URL'sine HTTP bağlantısı kurmaya çalışırken bilgisayar hesabı engellenebilir. Örneğin, ara sunucu gibi bir iç web filtreleme çözümü nedeniyle engellenebilir. Tüm web filtreleme çözümleri için CRL URL'sini onaylananlar listesine ekleyin.

Sertifika her kullanıldığında CRL'yi denetlemek, iptal edilen bir sertifikayı kullanmaya karşı daha fazla güvenlik sağlar. İstemcide bir bağlantı gecikmesi ve daha fazla işlemeye neden olur. Kuruluşunuz, internet veya güvenilmeyen bir ağdaki istemciler için bu güvenlik denetimini gerektirebilir.

Configuration Manager istemcilerinin CRL'yi denetlemesi gerekip gerekmediğine karar vermeden önce PKI yöneticilerinize başvurun. Aşağıdaki koşulların her ikisi de doğru olduğunda, bu seçeneği Configuration Manager etkin tutmayı göz önünde bulundurun:

  • PKI altyapınız bir CRL'yi destekler ve tüm Configuration Manager istemcilerinin onu bulabileceği bir yerde yayımlanır. Bu istemciler İnternet'teki cihazları ve güvenilmeyen ormanlardaki cihazları içerebilir.

  • PKI sertifikası kullanmak üzere yapılandırılmış bir site sistemine yapılan her bağlantı için CRL'yi denetleme gereksinimi aşağıdaki gereksinimlerden daha büyüktür:

    • Daha hızlı bağlantılar
    • İstemcide verimli işleme
    • İstemcilerin CRL'yi bulamamaları durumunda sunuculara bağlanamaması riski

PKI güvenilen kök sertifikaları

IIS site sistemleriniz HTTP üzerinden istemci kimlik doğrulaması veya HTTPS üzerinden istemci kimlik doğrulaması ve şifreleme için PKI istemci sertifikalarını kullanıyorsa, kök CA sertifikalarını site özelliği olarak içeri aktarmanız gerekebilir. İki senaryo şunlardır:

  • İşletim sistemlerini Configuration Manager kullanarak dağıtırsınız ve yönetim noktaları yalnızca HTTPS istemci bağlantılarını kabul eder.

  • Yönetim noktalarının güvendiği bir kök sertifikaya zincirleme olmayan PKI istemci sertifikalarını kullanırsınız.

    Not

    Yönetim noktaları için kullandığınız sunucu sertifikalarını veren aynı CA hiyerarşisinden istemci PKI sertifikaları verdiğinizde, bu kök CA sertifikasını belirtmeniz gerekmez. Ancak, birden çok CA hiyerarşisi kullanıyorsanız ve birbirlerine güvenip güvenmediklerinden emin değilseniz, istemcilerin CA hiyerarşisi için kök CA'yı içeri aktarın.

Configuration Manager için kök CA sertifikalarını içeri aktarmanız gerekiyorsa, bunları veren CA'dan veya istemci bilgisayardan dışarı aktarın. Sertifikayı veren CA'dan aynı zamanda kök CA olan sertifikayı dışarı aktarırsanız, özel anahtarı dışarı aktarmayın. Kurcalama önlemek için dışarı aktarılan sertifika dosyasını güvenli bir konumda depolayın. Siteyi ayarlarken dosyaya erişmeniz gerekir. Dosyaya ağ üzerinden erişiyorsanız, iletişimin IPsec kullanarak kurcalamaya karşı korunduğundan emin olun.

İçeri aktardığınız herhangi bir kök CA sertifikası yenilenirse, yenilenen sertifikayı içeri aktarın.

Bu içeri aktarılan kök CA sertifikaları ve her yönetim noktasının kök CA sertifikası sertifika verenler listesini oluşturur. Configuration Manager bilgisayarlar bu listeyi aşağıdaki yollarla kullanır:

  • İstemciler yönetim noktalarına bağlandığında, yönetim noktası istemci sertifikasının sitenin sertifika verenler listesindeki güvenilir bir kök sertifikaya zincirlendiğini doğrular. Aksi takdirde sertifika reddedilir ve PKI bağlantısı başarısız olur.

  • İstemciler bir PKI sertifikası seçtiğinde ve sertifika verenler listesine sahip olduğunda, sertifika verenler listesinde güvenilir bir kök sertifikaya zincirleyen bir sertifika seçer. Eşleşme yoksa istemci bir PKI sertifikası seçmez. Daha fazla bilgi için bkz. PKI istemci sertifikası seçimi.

PKI istemci sertifikası seçimi

IIS site sistemleriniz HTTP üzerinden istemci kimlik doğrulaması veya HTTPS üzerinden istemci kimlik doğrulaması ve şifreleme için PKI istemci sertifikalarını kullanıyorsa, Windows istemcilerinin Configuration Manager için kullanılacak sertifikayı nasıl seçtiğini planlayın.

Not

Bazı cihazlar sertifika seçim yöntemini desteklemez. Bunun yerine, sertifika gereksinimlerini karşılayan ilk sertifikayı otomatik olarak seçer. Örneğin, macOS bilgisayarlarda ve mobil cihazlardaki istemciler bir sertifika seçim yöntemini desteklemez.

Çoğu durumda varsayılan yapılandırma ve davranış yeterlidir. Windows bilgisayarlardaki Configuration Manager istemcisi, bu ölçütleri şu sırayla kullanarak birden çok sertifikayı filtreler:

  1. Sertifika verenler listesi: Sertifika, yönetim noktası tarafından güvenilen bir kök CA'ya zincirler.

  2. Sertifika, Kişisel'in varsayılan sertifika deposundadır.

  3. Sertifika geçerli, iptal edilmemiş ve süresi dolmamış. Geçerlilik denetimi, özel anahtarın erişilebilir olduğunu da doğrular.

  4. Sertifikanın istemci kimlik doğrulama özelliği vardır.

  5. Sertifika Konu Adı, alt dize olarak yerel bilgisayar adını içerir.

  6. Sertifika en uzun geçerlilik süresine sahiptir.

aşağıdaki mekanizmaları kullanarak istemcileri sertifika verenler listesini kullanacak şekilde yapılandırın:

İstemciler ilk yüklendiklerinde sertifika verenler listesine sahip değilse ve henüz siteye atanmamışsa, bu denetimi atlarlar. İstemciler sertifika verenler listesine sahip olduğunda ve sertifika verenler listesindeki güvenilir bir kök sertifikaya zincirleyen bir PKI sertifikasına sahip olmadığında, sertifika seçimi başarısız olur. İstemciler diğer sertifika seçim ölçütlerine devam etmez.

Çoğu durumda, Configuration Manager istemcisi benzersiz ve uygun bir PKI sertifikasını doğru şekilde tanımlar. Bu davranış söz konusu olmadığında, istemci kimlik doğrulama özelliğine göre sertifikayı seçmek yerine iki alternatif seçim yöntemi ayarlayabilirsiniz:

  • İstemci sertifikası konu adında kısmi dize eşleşmesi. Bu yöntem büyük/küçük harfe duyarlı olmayan bir eşleşmedir. Konu alanında bir bilgisayarın tam etki alanı adını (FQDN) kullanıyorsanız ve sertifika seçiminin etki alanı sonekini (örneğin contoso.com) temel alarak olmasını istiyorsanız uygundur. Sertifika konu adındaki, sertifikayı istemci sertifika deposundaki diğerlerinden ayıran sıralı karakter dizelerini tanımlamak için bu seçim yöntemini kullanabilirsiniz.

    Not

    Kısmi dize eşleşmesini konu alternatif adıyla (SAN) site ayarı olarak kullanamazsınız. CCMSetup kullanarak SAN için kısmi dize eşleşmesi belirtebilse de, aşağıdaki senaryolarda site özellikleri tarafından üzerine yazılır:

    • İstemciler, Active Directory Domain Services yayımlanan site bilgilerini alır.
    • İstemciler istemci anında yükleme kullanılarak yüklenir.

    SAN'da kısmi dize eşleşmesini yalnızca istemcileri el ile yüklediğinizde ve Active Directory Domain Services site bilgilerini almadığında kullanın. Örneğin, bu koşullar yalnızca İnternet istemcileri için geçerlidir.

  • İstemci sertifikası konu adı öznitelik değerlerinde veya konu alternatif adı (SAN) öznitelik değerlerinde eşleşme. Bu yöntem büyük/küçük harfe duyarlı bir eşleşmedir. RFC 3280 ile uyumlu bir X500 ayırt edici ad veya eşdeğer nesne tanımlayıcıları (OID) kullanıyorsanız ve sertifika seçiminin öznitelik değerlerine dayalı olmasını istiyorsanız uygundur. Yalnızca sertifikayı benzersiz olarak tanımlamak veya doğrulamak ve sertifikayı sertifika deposundaki diğerlerinden ayırt etmek için ihtiyacınız olan öznitelikleri ve değerlerini belirtebilirsiniz.

Aşağıdaki tabloda, Configuration Manager istemci sertifikası seçim ölçütleri için desteklediği öznitelik değerleri gösterilmektedir:

OID Özniteliği Ayırt edici ad özniteliği Öznitelik tanımı
0.9.2342.19200300.100.1.25 DC Etki alanı bileşeni
1.2.840.113549.1.9.1 E veya E-posta E-posta adresi
2.5.4.3 CN Ortak ad
2.5.4.4 SN Konu adı
2.5.4.5 SERİALNUMBER Seri numarası
2.5.4.6 C Ülke kodu
2.5.4.7 L Yer
2.5.4.8 S veya ST Eyalet veya bölge adı
2.5.4.9 STREET Sokak adresi   
2.5.4.10 O Kuruluş adı
2.5.4.11 OU Kuruluş birimi   
2.5.4.12 T veya Başlık Başlık
2.5.4.42 G veya GN ya da GivenName Verilen ad
2.5.4.43 I veya Initials Baş harf -leri
2.5.29.17 (değer yok) Konu Alternatif Adı

Not

Yukarıdaki alternatif sertifika seçim yöntemlerinden birini yapılandırıyorsanız, sertifika Konu Adı'nın yerel bilgisayar adını içermesi gerekmez.

Seçim ölçütleri uygulandıktan sonra birden fazla uygun sertifika bulunursa, en uzun geçerlilik süresine sahip sertifikayı seçmek için varsayılan yapılandırmayı geçersiz kılabilirsiniz. Bunun yerine, hiçbir sertifikanın seçilmediğini belirtebilirsiniz. Bu senaryoda istemci, PKI sertifikasıyla IIS site sistemleriyle iletişim kuramaz. İstemci, sertifika seçimi hatası konusunda sizi uyarmak için atanan geri dönüş durum noktasına bir hata iletisi gönderir. Ardından sertifika seçim ölçütlerinizi değiştirebilir veya daraltabilirsiniz.

Ardından istemci davranışı, başarısız bağlantının HTTPS veya HTTP üzerinden olup olmadığına bağlıdır:

  • Başarısız bağlantı HTTPS üzerinden yapıldıysa: İstemci HTTP üzerinden bağlanmayı dener ve istemci otomatik olarak imzalanan sertifikayı kullanır.

  • Başarısız bağlantı HTTP üzerinden yapıldıysa: İstemci, otomatik olarak imzalanan istemci sertifikasını kullanarak HTTP üzerinden yeniden bağlanmayı dener.

Benzersiz bir PKI istemci sertifikasını tanımlamaya yardımcı olmak için Bilgisayar deposunda varsayılan Kişisel dışında bir özel depo da belirtebilirsiniz. Configuration Manager dışında özel bir sertifika deposu oluşturun. Geçerlilik süresi dolmadan önce sertifikaları bu özel depoya dağıtabilmeniz ve yenileyebilmeniz gerekir.

Daha fazla bilgi için bkz . İstemci PKI sertifikaları için ayarları yapılandırma.

PKI sertifikaları için geçiş stratejisi

Configuration Manager'deki esnek yapılandırma seçenekleri, istemci uç noktalarının güvenliğini sağlamaya yardımcı olmak için istemcileri ve siteyi PKI sertifikalarını kullanacak şekilde aşamalı olarak geçiş yapmanızı sağlar. PKI sertifikaları daha iyi güvenlik sağlar ve İnternet istemcilerini yönetmenizi sağlar.

Bu plan önce yalnızca HTTP üzerinden kimlik doğrulaması için ve ardından HTTPS üzerinden kimlik doğrulaması ve şifreleme için PKI sertifikalarını tanıtır. Bu sertifikaları aşamalı olarak tanıtmak için bu planı uyguladığınızda, istemcilerin yönetilmeme riskini azaltırsınız. Ayrıca Configuration Manager tarafından desteklenen en yüksek güvenlikten de yararlanacaksınız.

Configuration Manager yapılandırma seçeneklerinin ve seçeneklerinin sayısı nedeniyle, siteyi tüm istemcilerin HTTPS bağlantılarını kullanması için tek bir geçiş yöntemi yoktur. Aşağıdaki adımlar genel rehberlik sağlar:

  1. Configuration Manager sitesini yükleyin ve site sistemlerinin HTTPS ve HTTP üzerinden istemci bağlantılarını kabul edebilmesi için yapılandırın.

  2. Site özelliklerinde İletişim Güvenliği sekmesini yapılandırın. Site Sistem Ayarları'nıHTTP veya HTTPS olarak ayarlayın ve kullanılabilir olduğunda PKI istemci sertifikasını (istemci kimlik doğrulama özelliği) kullan'ı seçin. Daha fazla bilgi için bkz . İstemci PKI sertifikaları için ayarları yapılandırma.

  3. İstemci sertifikaları için bir PKI dağıtımı pilotu yapın. Örnek dağıtım için bkz. Windows bilgisayarlar için istemci sertifikasını dağıtma.

  4. İstemci anında yükleme yöntemini kullanarak istemcileri yükleyin. Daha fazla bilgi için bkz. İstemci gönderimini kullanarak Configuration Manager istemcileri yükleme.

  5. Configuration Manager konsolundaki raporları ve bilgileri kullanarak istemci dağıtımını ve durumunu izleyin.

  6. Varlıklar ve Uyumluluk çalışma alanı Cihazlar düğümündeki İstemci Sertifikası sütununu görüntüleyerek istemci PKI sertifikası kullanan istemci sayısını izleyin.

    Not

    PKI sertifikasına sahip istemciler için Configuration Manager konsolu İstemci sertifikası özelliğini Otomatik olarak imzalı olarak görüntüler. İstemci denetim masası İstemci sertifikası özelliği PKI'yı gösterir.

    Configuration Manager HTTPS Hazırlık Değerlendirme Aracı'nı (CMHttpsReadiness.exe) bilgisayarlara da dağıtabilirsiniz. Ardından, Configuration Manager ile istemci PKI sertifikasını kaç bilgisayarın kullanabileceğini görüntülemek için raporları kullanın.

    Not

    Configuration Manager istemcisini yüklediğinizde, CMHttpsReadiness.exe aracını %windir%\CCM klasörüne yükler. Bu aracı çalıştırdığınızda aşağıdaki komut satırı seçenekleri kullanılabilir:

    • /Store:<Certificate store name>: Bu seçenek CCMCERTSTORE client.msi özelliğiyle aynıdır -/Issuers:<Case-sensitive issuer common name>: Bu seçenek CCMCERTISSUERS client.msi özelliğiyle aynıdır
    • /Criteria:<Selection criteria>: Bu seçenek CCMCERTSEL client.msi özelliğiyle aynıdır
    • /SelectFirstCert: Bu seçenek CCMFIRSTCERT client.msi özelliğiyle aynıdır

    Araç, dizindeki CMHttpsReadiness.log CCM\Logs dosyasına bilgi çıkışı sağlar.

    Daha fazla bilgi için bkz. İstemci yükleme özellikleri hakkında.

  7. Yeterli istemcinin HTTP üzerinden kimlik doğrulaması için istemci PKI sertifikalarını başarıyla kullandığından eminseniz şu adımları izleyin:

    1. Site için başka bir yönetim noktası çalıştıran bir üye sunucuya PKI web sunucusu sertifikası dağıtın ve bu sertifikayı IIS'de yapılandırın. Daha fazla bilgi için bkz . IIS çalıştıran site sistemleri için web sunucusu sertifikasını dağıtma.

    2. Yönetim noktası rolünü bu sunucuya yükleyin. HTTPS için yönetim noktası özelliklerinde İstemci bağlantıları seçeneğini yapılandırın.

  8. PKI sertifikasına sahip istemcilerin HTTPS kullanarak yeni yönetim noktasını kullandığını izleyin ve doğrulayın. Doğrulamak için IIS günlüğünü veya performans sayaçlarını kullanabilirsiniz.

  9. HTTPS istemci bağlantılarını kullanmak için diğer site sistemi rollerini yeniden yapılandırın. İnternet'te istemcileri yönetmek istiyorsanız, site sistemlerinin İnternet FQDN'sine sahip olduğundan emin olun. İnternet'ten istemci bağlantılarını kabul etmek için tek tek yönetim noktalarını ve dağıtım noktalarını yapılandırın.

    Önemli

    İnternet'ten bağlantıları kabul etmek için site sistemi rollerini ayarlamadan önce, İnternet tabanlı istemci yönetimi için planlama bilgilerini ve önkoşulları gözden geçirin. Daha fazla bilgi için bkz. Uç noktalar arasındaki iletişimler.

  10. İstemciler ve IIS çalıştıran site sistemleri için PKI sertifika dağıtımını genişletin. HTTPS istemci bağlantıları ve İnternet bağlantıları için site sistemi rollerini gerektiği gibi ayarlayın.

  11. En yüksek güvenlik için: Tüm istemcilerin kimlik doğrulaması ve şifreleme için bir istemci PKI sertifikası kullandığından eminseniz, site özelliklerini yalnızca HTTPS kullanacak şekilde değiştirin.

Sonraki adımlar