Configuration Manager'daki Sertifika Profillerine Giriş
Uygulama Alanı: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Not
Bu konudaki bilgiler System Center 2012 R2 Configuration Manager ve System Center 2012 R2 Configuration Manager SP1 için geçerlidir.
System Center 2012 Configuration Manager'deki sertifika profilleri, kullanıcıların sorunsuz bir şekilde şirket kaynaklarına erişebilmeleri için yönetilen cihazlara kimlik doğrulama sertifikaları sağlamak üzere Active Directory Sertifika Hizmetleri ve Ağ Cihazı Kayıt Hizmet rolü ile birlikte çalışır. Örneğin, kullanıcıların VPN bağlantılarını ve kablosuz bağlantıları başlatması için gerekli sertifikaları sağlamak üzere sertifika profilleri oluşturabilir ve dağıtabilirsiniz.
Configuration Manager'deki sertifika profilleri aşağıdaki yönetim özelliklerini sağlar:
iOS, Windows 8.1, Windows RT 8.1 ve Android çalıştıran cihazlar için bir işletme sertifikası yetkilisinden (CA) sertifika kaydı veya yenilemesi, Bu sertifikalar daha sonra Wi-Fi ve VPN bağlantıları için kullanılabilir.
Sunucu kimlik doğrulaması gerektiğinde VPN ve Wi-Fi bağlantıları için cihazlarda bir güven zinciri yapılandırmak üzere güvenilen kök CA sertifikalarının ve ara CA sertifikalarının dağıtımı.
Yüklü sertifikaları izleme ve sertifikalar hakkında rapor gönderme.
Sertifika profilleri, Wi-Fi ağları ve VPN sunucuları gibi şirket kaynaklarının, sertifikaları el ile yüklemek veya bir bant dışı işlem kullanmak zorunda kalmadan erişilebilmesi için kullanıcı cihazlarını otomatik olarak yapılandırabilir. İşletme ortak anahtar altyapınız (PKI) tarafından desteklenen daha güvenli ayarlar kullanabileceğinizden sertifika profilleri, aynı zamanda şirket kaynaklarının güvenli kalmasına yardımcı olur. Örneğin, yönetilen cihazlarda gerekli sertifikaları sağladığınızdan tüm Wi-Fi ve VPN bağlantıları için sunucu kimlik doğrulaması yapmanız gerekebilir.
Örnek: Tüm çalışanların birden fazla kurumsal konumda Wi-Fi noktalarına bağlanabilmesi gerekir. Bunu gerçekleştirmek üzere Wi-Fi bağlantısı yapmak için gereken sertifikaları ve aynı zamanda doğru sertifikaya başvuran Configuration Manager'daki Wi-Fi profillerini dağıtabilirsiniz, böylece Wi-Fi bağlantısı kullanıcılar için sorunsuz bir şekilde gerçekleşir.
Örnek: PKI altyapınız var ve güvenlikten ödün vermeden kullanıcıların şirket kaynaklarına kendi kişisel cihazlarından erişmesine izin veren sertifikaları sağlamak için daha esnek ve güvenli bir yönteme geçmek istiyorsunuz. Bunu gerçekleştirmek için sertifika profillerini, belirli bir cihaz platformu için desteklenen ayarlar ve protokollerle yapılandırabilirsiniz. Cihazlar daha sonra otomatik olarak bu sertifikaları İnternet'e yönelik bir kayıt sunucusundan isteyebilir. Daha sonra, cihazların şirket kaynaklarına erişebilmesi için VPN profillerini bu sertifikaları kullanacak biçimde yapılandırabilirsiniz.
Sertifika Profil Türleri
Configuration Manager'de iki tür sertifika profili oluşturabilirsiniz:
Güvenilen CA sertifikası - Cihazın bir sunucu kimliğini doğrulaması gerektiğinde bir sertifika güven zinciri oluşturmak için güvenilen bir kök CA veya ara CA sertifikasını dağıtmanızı sağlar.
Basit Sertifika Kayıt Protokolü (SCEP) ayarları - Windows Server 2012 R2 çalıştıran bir sunucuda, SCEP protokolünü ve Ağ Cihazı Kayıt Hizmeti'ni kullanarak bir cihaz veya kullanıcı için sertifika istemenizi sağlar.
Not
Basit Sertifika Kayıt Protokolü (SCEP) ayarları türünden bir sertifika profili oluşturmadan önce Güvenilen CA sertifikası türünden bir sertifika profili oluşturmanız gerekir.
Gereksinimler ve Desteklenen Platformlar
Basit Sertifika Kayıt Protokolü'nü kullanan sertifika profillerini dağıtmak için sertifika kayıt noktasını merkezi yönetim sitesindeki veya birincil sitedeki bir site sistem sunucusuna yüklemeniz gerekir. Aynı zamanda, Active Directory Sertifika Hizmetleri rolü ve sertifika gerektiren cihazlar için erişilebilir olan, çalışan bir Ağ Cihazı Kayıt Hizmeti ile birlikte Windows Server 2012 R2 çalıştıran bir sunucuya Ağ Cihazı Kayıt Hizmeti için bir Configuration Manager İlke Modülü yüklemeniz gerekir. Bu durum, Microsoft Intune tarafından kaydedilen cihazlar için Ağ Cihazı Kayıt Hizmeti'nin Internet'ten, örneğin denetlenen bir alt ağdan (çevre ağı olarak da bilinir), erişilebilir olmasını gerektirir.
Configuration Manager'ın sertifikaları dağıtabilmesi için Ağ Cihazı Kayıt Hizmeti'nin bir ilke modülünü nasıl desteklediği hakkında daha fazla bilgi edinmek için, bkz. Ağ Cihazı Kayıt Hizmeti ile bir İlke Modülü Kullanma.
Configuration Manager, gereksinime ve aynı zamanda cihaz türü ile işletim sistemine bağlı olarak farkı sertifika depolarına sertifika dağıtılmasını destekler. Şu cihazlar ve işletim sistemleri desteklenir:
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
.jpeg "System_CAPS_warning")
UyarıWindows Phone 8.1'i desteklemek için, isteğe bağlı Windows Phone 8.1 uzantısını yüklemeniz gerekir. Uzantıyı yükleme hakkında daha fazla bilgi için bkz Configuration Manager'da Uzantı Kullanımını Planlama.
iOS
Android
Not
Android çalıştıran bir cihaza sertifika yüklerken son kullanıcıların gerçekleştirmesi gereken eylemler hakkında bilgi edinmek için, bkz. Configuration Manager'da Android Cihazlara Sertifika Yükleme.
.jpeg "System_CAPS_important") Önemli |
|---|
Android, iOS, Windows Phone ve kayıtlı Windows 8.1 cihazlarına profil dağıtmak için bu cihazların Microsoft Intune kaydının yapılmış olması gerekir. Cihazlarınızı kaydetme hakkında bilgi için bkz. Microsoft Intune ile mobil cihazları yönetme. |
System Center 2012 Configuration Manager için tipik bir senaryo, bağlantı tarafından EAP-TLS, EAP-TTLS, ve PEAP kimlik doğrulama protokolleri ve IKEv2, L2TP/IPsec, ve Cisco IPsec VPN tünelleme protokolleri kullanıldığında Wi-Fi ve VPN sunucuları için kimlik doğrulaması yapmak üzere güvenilen kök CA sertifikaları yüklenmesidir.
Cihazın bir SCEP sertifika profili kullanarak sertifikaları isteyebilmesi için bir işletme kök CA sertifikasının cihaza yüklü olduğundan emin olmanız gerekir.
Farklı ortamlar veya bağlantı gereksinimleri için özelleştirilmiş sertifikalar istemek üzere bir SCEP sertifika profilinde çeşitli ayarları belirtebilirsiniz.Sertifika Profili Oluşturma Sihirbazı kayıt parametreleri için iki sayfa içerir. Bunların ilki olan SCEP Kaydı, kayıt isteği ve sertifikanın nereye yükleneceği ile ilgili ayarları içerir. İkinci sayfa olan Sertifika Özellikleri, istenen sertifikanın kendisini açıklar.
Sertifika Profillerini Dağıtma
Bir sertifika profilini dağıttığınızda profildeki sertifika dosyaları istemci cihazlarına yüklenir. Aynı zamanda tüm SCEP parametreleri de dağıtılır ve SCEP istekleri istemci cihazında işlenir. Sertifika profillerini kullanıcı veya cihaz koleksiyonlarına dağıtabilirsiniz ve her sertifika için hedef depoyu belirtebilirsiniz. Uygulanabilirlik kuralları, sertifikaların cihazlara yüklenip yüklenemeyeceğini belirler. Sertifika profilleri kullanıcı koleksiyonlarına dağıtıldığında, kullanıcı cihazlarından hangisinin sertifikaları yükleyeceğini kullanıcı cihaz benzeşimi belirler. Kullanıcı sertifikalarını içeren sertifika profilleri cihaz koleksiyonlarına dağıtıldığında, varsayılan olarak sertifikalar, kullanıcıların birincil cihazlarının her birine yüklenir. Sertifikayı tüm kullanıcı cihazlarına yüklemek için Sertifika Profili Oluşturma Sihirbazı'nın SCEP Kaydı sayfasında bu davranışı değiştirebilirsiniz. Ayrıca kullanıcı sertifikaları, çalışma grubu bilgisayarları olan cihazlara dağıtılmaz.
Sertifika Profillerini İzleme
Sertifika profili dağıtımlarını Configuration Manager konsolundaki İzleme çalışma alanında Dağıtımlar düğümünden izleyebilirsiniz.
Sertifika profillerini izlemek için aynı zamanda aşağıdaki Configuration Manager raporlarından birini de kullanabilirsiniz:
Sertifika kayıt noktası tarafından verilen sertifikaların geçmişi
Sertifika kayıt noktası tarafından kaydedilen sertifikalar için sertifika verme durumunun varlıklar listesi
Bitiş tarihine yakın olan sertifikalar ile varlıklar listesi
Sertifikaların Otomatik İptali
Configuration Manager, aşağıdaki durumlarda sertifika profilleri kullanılarak dağıtılan kullanıcı ve bilgisayar sertifikalarını otomatik olarak iptal eder:
Cihaz Configuration Manager yönetiminde devre dışı bırakıldı.
Cihaz titizlikle temizlendi.
Ciaz Configuration Manager hiyerarşisinden engellendi.
Sertifikaları iptal etmek için site sunucusu, sertifikayı veren sertifika yetkilisine bir iptal komutu gönderir. İptal işleminin sebebi İşlemin Sona Ermesi'dir.
System Center 2012 R2 Configuration Manager'deki Yenilikler
Not
Bu bölümdeki bilgiler ayrıca şurada görünür:System Center 2012 Configuration Manager Kullanmaya Başlama kılavuzu.
Sertifika profilleri System Center 2012 R2 Configuration Manager'da yenidir. Aşağıdaki yetenekleri sağlarlar e bazı bağımlı yapılandırmalara sahiptirler:
Basit Sertifika Kayıt Protokolü (SCEP) kullanılarak yönetilen aygıtlar için kullanıcı ve aygıt sertifikalarının dağıtımı. Bu sertifikalar Wi-Fi ve VPN bağlantılarını desteklemek için kullanılabilir.
iOS, Windows 8.1 ve Windows RT 8.1 ve Android çalıştıranlar dahil desteklen aygıtlar.
Aygıtların ağ bağlantısı için sunucu kimlik doğrulaması kullandıklarında bir güven zinciri oluşturabilmesi için kök sertifika yetkilisi (CA) sertifikaları ve ara CA sertifikaları dağıtımı.
Bir sertifika kayıt noktası merkezi yönetim sitesine veya birincil siteye dağıtılmalıdır ve Configuration Manager İlke Modülü, Active Directory Sertifika Hizmetleri ve Ağ Aygıtı Kayıt Hizmeti rolüne sahip Windows Server 2012 R2 çalıştıran bir sunucuya yüklenmelidir. Sertifika verilebilmesi için bu sunucu Internet üzerinden erişilebilir olmalı ve bir kuruluş sertifika yetkilisiyle iletişim kurmalıdır. Ağ Aygıtı Kayıt Hizmetinde bu senaryonun desteklenmesi için yapılan değişiklikler hakkında daha fazla bilgi için bkz. Windows Server 2012 R2'de Sertifika Hizmetlerindeki Yenilikler.
System Center 2012 Configuration Manager SP2'deki Yenilikler
Configuration Manager 2012 SP2, kişisel bilgi değişimi (.pfx) dosyalarını kullanıcının cihazlarına sağlamanıza imkan tanır. PFX dosyaları, şifrelenmiş veri değişimini desteklemek üzere kullanıcıya özgü sertifikalar oluşturmak için kullanılabilir. PFX sertifikaları Configuration Manager içinde oluşturulabilir veya içeri aktarılabilir. Configuration Manager 2012 SP2 ile birlikte içeri aktarılan veya yeni PFX sertifikaları iOS cihazlarına, Android cihazlarına, Windows 8.1 ve daha sonraki cihazlara ve Windows Phone 8.1 ve daha sonraki cihazlara dağıtılabilir. Bu dosyalar kullanıcı tabanlı PKI iletişimini desteklemek için birden çok cihaza dağıtabilir. PFX dosyaları hakkında daha fazla bilgi için bkz. Configuration Manager'da PFX Sertifika Profilleri Oluşturma.