证书管理最佳方案

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

如果使用 Microsoft System Center Configuration Manager 2007 纯模式,则您正在使用的证书由 PKI 创建。如果您正在使用移动设备或正在管理自定义的软件更新,则还可能正在使用 PKI 证书。

仔细规划 PKI 并保护其安全    如果您现在有 PKI,Configuration Manager 2007 应该能使用其颁发的证书。但是,如果没有现有的 PKI 并且要实施 PKI 以支持 Configuration Manager 2007,您必须非常仔细地规划 PKI 的实施。例如,如果不能为 PKI 层次结构中的安全根 CA 做好充分规划,则可能泄露由 CA 颁发的每个证书。此外,设计一个支持某应用程序的 PKI 而不考虑将来可能的 PKI 要求,则可能强制您拆下并重新部署 PKI,而这样可能损害 Configuration Manager 2007 的安全性和可用性。有关规划 PKI 并保护其安全的信息,请参阅 PKI 供应商提供的文档。

遵循适用于证书管理的行业和组织最佳实践    Configuration Manager 2007 不具有特定的证书管理要求。例如,Configuration Manager 2007 不推荐最小的密钥长度、最大证书到期日或保险策略。

启用 **纯模式客户端上的 CRL 检查    **证书可以由证书颁发机构的管理员调用 — 例如,如果颁发的证书已知或怀疑已被泄露。在客户端上启用证书吊销检查 (CRL) 会更加安全,虽然这样会产生其他性能和管理开销。有关详细信息,请参阅确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)

备注

默认为在 IIS 中启用 CRL 检查,因此,对于纯模式下的 Configuration Manager 2007 站点系统不需要其他操作。

保护客户端身份验证证书的完整性    Configuration Manager 2007 可以使用任何证书存储中的客户端身份验证证书。如果证书存储的权限允许访问低权限用户,则低权限用户可以使用该证书访问 Configuration Manager 2007 策略并获得网络访问帐户和任务序列编辑器域加入帐户的凭据信息。低权限用户还可以擅改由该客户端计算机发送的状态、状况和清单信息。

使用证书信任列表定义受信任的根证书颁发机构     证书信任列表 (CTL) 是定义的受信任的根证书颁发机构列表。默认情况下,Windows 操作系统配置为信任一些已知证书颁发机构证书,如 VeriSign 和 Thawte,因为在操作系统中预先安装了其证书颁发机构证书。如果没有明确定义 CTL,则具有这些预安装证书颁发机构颁发的客户端身份验证证书的所有客户端将接受为有效的 Configuration Manager 客户端。如果配置 CTL,则 Configuration Manager 将只信任 CTL 中指定的受信任的根证书颁发机构。有关详细信息,请参阅确定是否需要使用 IIS 配置证书信任列表 (CTL)(纯模式)

使用 Active Directory 域服务部署站点服务器签名证书    为了使客户端接收站点服务器签名证书,下列选项可用:

  • 使用 SMSSIGNCERT 参数安装

  • 查询 Active Directory 域服务

  • 从管理点自动获取

通过管理点自动部署证书是最不安全的解决方案,如果对管理点的安全性有任何怀疑,则不应使用。例如,驻留在外围网络中、接受来自 Internet 的连接以实现基于 Internet 的客户端管理的管理点没有在 Intranet 中只接受来自 Intranet 客户端的连接的管理点安全。但是,如果管理点只接受来自 Intranet 客户端的连接,而您不希望存在手动部署的管理开销,则通过管理点自动部署站点服务器签名证书的副本可能是合适的解决方案。有关详细信息,请参阅决定如何将站点服务器签名证书部署到客户端(纯模式)

保证站点服务器签名证书的安全     如果站点服务器签名证书被泄露,则层次结构中的所有策略将受到怀疑。即使在纯模式下,攻击者也可能创建其选择的策略并利用对所有 Configuration Manager 2007 客户端的高权限运行它。验证站点服务器签名证书是否已安全备份。执行 PKI 安全最佳方案以管理关键证书。例如,为您的环境考虑合适的颁发策略并为证书的安全部署制定计划。

续订站点服务器签名证书时使用新的密钥对     保持原始密钥对减少管理开销,并且不会中断 Configuration Manager 2007 站点功能,但是,这让攻击者有更多时间尝试解密密钥。如果新的站点服务器签名证书与前一个站点服务器签名证书链接到同一个受信任的根颁发机构,则 Configuration Manager 2007 客户端将自动从 Active Directory 域服务或管理点下载新站点服务器签名证书的副本。随后,客户端会对由新站点服务器签名证书签署的策略进行验证并继续运行。这可能会延迟客户端接收新策略,特别是有大量客户端需要检索新证书时。有关详细信息,请参阅续订或更改站点服务器签名证书

备注

如果站点服务器签名证书将在 10 天后过期,Configuration Manager 2007 会每天发送一次状态消息 5112。接收 5112 时,您可以创建状态筛选规则以触发操作。例如,您可能配置一个状态筛选规则以发送文本消息,通知您证书将要过期。

验证所有证书是否保存在安全证书存储中     默认情况下,Configuration Manager 2007 在仅限管理员访问的本地计算机个人存储中查找其客户端身份验证证书。但是,可以使用来自任何计算机证书存储中的客户端证书。如果不能充分保证客户端身份验证证书存储的安全,则可能允许低权限用户获得对证书的控制权。

另请参阅

其他资源

Configuration Manager 安全最佳方案

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。