Configuration Manager中的憑證

發行項
04/04/2023

適用於：Configuration Manager (目前的分支)

Configuration Manager使用自我簽署和公開金鑰基礎結構 (PKI) 數位憑證的組合。

盡可能使用 PKI 憑證。如需詳細資訊，請參閱 PKI 憑證需求。當Configuration Manager在行動裝置註冊期間要求 PKI 憑證時，請使用Active Directory 網域服務和企業憑證授權單位單位。針對所有其他 PKI 憑證，請從Configuration Manager獨立部署和管理這些憑證。

當用戶端電腦連線到以網際網路為基礎的月臺系統時，需要 PKI 憑證。雲端管理閘道也需要憑證。如需詳細資訊，請參閱管理網際網路上的用戶端。

當您使用 PKI 時，您也可以使用 IPsec 來協助保護月臺中月臺系統之間的伺服器對伺服器通訊、月臺之間的通訊，以及電腦之間的其他資料傳輸。 IPsec 的實作與Configuration Manager無關。

當 PKI 憑證無法使用時，Configuration Manager會自動產生自我簽署憑證。 Configuration Manager中的某些憑證一律會自我簽署。在大部分情況下，Configuration Manager會自動管理自我簽署憑證，而您不需要採取其他動作。其中一個範例是月臺伺服器簽署憑證。此憑證一律為自我簽署。它可確保用戶端從管理點下載的原則是從月臺伺服器傳送，而且不會遭到竄改。另一個範例是，當您啟用增強式 HTTP的月臺時，月臺會向月臺伺服器角色發出自我簽署憑證。

重要事項

從 Configuration Manager 2103 版開始，允許 HTTP 用戶端通訊的網站已被取代。設定 HTTPS 或增強式 HTTP 的網站。如需詳細資訊，請參閱啟用僅限 HTTPS 或增強 HTTP 的網站。

CNG v3 憑證

Configuration Manager支援密碼編譯：新一代 (CNG) v3 憑證。 Configuration Manager用戶端可以在 CNG 金鑰儲存體提供者 (KSP) 中使用 PKI 用戶端驗證憑證與私密金鑰。透過 KSP 支援，Configuration Manager用戶端支援硬體型私密金鑰，例如適用于 PKI 用戶端驗證憑證的 TPM KSP。

如需詳細資訊，請參閱 CNG v3 憑證概觀。

增強的 HTTP

建議針對所有Configuration Manager通訊路徑使用 HTTPS 通訊，但由於管理 PKI 憑證的額外負荷，對某些客戶而言是一項挑戰。引進Microsoft Entra整合可減少部分但並非所有憑證需求。您可以改為讓網站使用 增強的 HTTP。此設定支援月臺系統上的 HTTPS，方法是使用自我簽署憑證，以及某些案例的Microsoft Entra識別碼。它不需要 PKI。

如需詳細資訊，請參閱增強 HTTP。

CMG 的憑證

透過雲端管理閘道 (CMG) 管理網際網路上的用戶端需要使用憑證。憑證的數目和類型會根據您的特定案例而有所不同。

如需詳細資訊，請參閱 CMG 設定檢查清單。

注意事項

雲端式發佈點 (CDP) 已被取代。從 2107 版開始，您無法建立新的 CDP 實例。若要將內容提供給以網際網路為基礎的裝置，請讓 CMG 發佈內容。如需詳細資訊，請參閱已被取代的功能。

如需 CDP 憑證的詳細資訊，請參閱雲端發佈點的憑證。

月臺伺服器簽署憑證

月臺伺服器一律會建立自我簽署憑證。它會將此憑證用於數個用途。

用戶端可以安全地從Active Directory 網域服務和用戶端推入安裝取得月臺伺服器簽署憑證的複本。如果用戶端無法透過其中一個機制取得此憑證的複本，請在安裝用戶端時加以安裝。如果用戶端與網站的第一次通訊是與以網際網路為基礎的管理點進行通訊，此程式特別重要。因為此伺服器連線到不受信任的網路，所以更容易遭受攻擊。如果您未採取這個其他步驟，用戶端會自動從管理點下載月臺伺服器簽署憑證的複本。

在下列案例中，用戶端無法安全地取得月臺伺服器憑證的複本：

您不會使用用戶端推入來安裝用戶端，而且：
- 您尚未擴充 Configuration Manager 的 Active Directory 架構。
- 您尚未將用戶端的網站發佈至 Active Directory 網域服務。
- 用戶端來自不受信任的樹系或工作組。
您使用以網際網路為基礎的用戶端管理，並在用戶端位於網際網路上時安裝用戶端。

如需如何使用月臺伺服器簽署憑證複本安裝用戶端的詳細資訊，請使用 SMSSIGNCERT 命令列屬性。如需詳細資訊，請參閱關於用戶端安裝參數和屬性。

硬體系結金鑰儲存提供者

Configuration Manager使用自我簽署憑證進行用戶端身分識別，並協助保護用戶端與月臺系統之間的通訊。當您將月臺和用戶端更新為 2107 版或更新版本時，用戶端會將其來自月臺的憑證儲存在硬體系結金鑰儲存提供者 (KSP) 中。此 KSP 通常是受信任的平臺模組， (TPM) 至少 2.0 版。憑證也標示為不可匯出。

如果用戶端也有 PKI 型憑證，它會繼續使用該憑證進行 TLS HTTPS 通訊。它會使用其自我簽署憑證來簽署網站的訊息。如需詳細資訊，請參閱 PKI 憑證需求。

注意事項

對於也有 PKI 憑證的用戶端，Configuration Manager主控台會將[用戶端憑證] 屬性顯示為[自我簽署]。用戶端控制台 用戶端憑證 屬性會顯示 PKI。

當您更新至 2107 版或更新版本時，具有 PKI 憑證的用戶端將會重新建立自我簽署憑證，但不會向網站重新註冊。沒有 PKI 憑證的用戶端會向月臺重新註冊，這可能會在月臺造成額外的處理。請確定更新用戶端的程式允許隨機化。如果您同時更新許多用戶端，可能會在月臺伺服器上造成待辦專案。

Configuration Manager不會使用已知易受攻擊的 TPM。例如，TPM 版本早于 2.0。如果裝置有易受攻擊的 TPM，用戶端會回復為使用以軟體為基礎的 KSP。憑證仍然無法匯出。

OS 部署媒體不會使用硬體系結的憑證，它會繼續使用來自月臺的自我簽署憑證。您可以在具有主控台的裝置上建立媒體，但該媒體可以在任何用戶端上執行。

若要針對憑證行為進行疑難排解，請使用用戶端上的 CertificateMaintenance.log 。