在 Configuration Manager 中規劃 PKI 憑證

  • 發行項

適用於:Configuration Manager (目前的分支)

Configuration Manager可用時,會使用公開金鑰基礎結構 (PKI) 型數位憑證。 建議您使用這些憑證來提高安全性,但在大部分情況下則不需要。 您必須獨立部署和管理這些憑證,而不需Configuration Manager。

本文提供 Configuration Manager 中 PKI 憑證的相關資訊,以協助您規劃實作。 如需有關在 Configuration Manager 中使用憑證的一般資訊,請參閱Configuration Manager 中的憑證

PKI 憑證撤銷

當您搭配使用 PKI 憑證與Configuration Manager時,請規劃使用 CRL) (憑證撤銷清單。 裝置會使用 CRL 來驗證連線電腦上的憑證。 CRL 是憑證授權單位單位 (CA) 建立和簽署之檔案。 它具有 CA 已發行但已撤銷的憑證清單。 當憑證管理員撤銷憑證時,其指紋會新增至 CRL。 例如,如果已知或懷疑發行的憑證遭到入侵。

重要事項

由於 CRL 的位置會在 CA 簽發時新增至憑證,因此請先確定您已規劃 CRL,再部署Configuration Manager使用的任何 PKI 憑證。

IIS 一律會檢查 CRL 是否有用戶端憑證,而且您無法在Configuration Manager中變更此設定。 根據預設,Configuration Manager用戶端一律會檢查月臺系統的 CRL。 指定月臺屬性並指定 CCMSetup 屬性,以停用此設定。

使用憑證撤銷檢查但找不到 CRL 的電腦的行為,就如同憑證連結結中的所有憑證都已撤銷一樣。 此行為是因為其無法驗證憑證是否在憑證撤銷清單中。 在此案例中,所有需要憑證且包含 CRL 檢查的連線都會失敗。 驗證您的 CRL 可透過流覽至其 HTTP 位置來存取時,請務必注意,Configuration Manager用戶端會以本機系統執行。 在使用者內容下使用網頁瀏覽器測試 CRL 協助工具可能會成功,但在嘗試建立與相同 CRL URL 的 HTTP 連線時,可能會封鎖電腦帳戶。 例如,可能會因為 Proxy 之類的內部 Web 篩選解決方案而封鎖它。 將 CRL URL 新增至任何 Web 篩選解決方案的核准清單。

每次使用憑證時檢查 CRL,可針對使用已撤銷的憑證提供更多安全性。 這會在用戶端上產生連線延遲和更多處理。 您的組織可能需要針對網際網路上的用戶端或不受信任的網路進行這項安全性檢查。

請先洽詢 PKI 系統管理員,再決定是否Configuration Manager用戶端需要檢查 CRL。 當下列兩個條件都成立時,請考慮在 Configuration Manager 中保持啟用此選項:

  • 您的 PKI 基礎結構支援 CRL,且發佈位置是所有Configuration Manager用戶端都可以找到它的位置。 這些用戶端可能包括網際網路上的裝置,以及不受信任樹系中的裝置。

  • 針對設定為使用 PKI 憑證之月臺系統的每個連線檢查 CRL 的需求大於下列需求:

    • 更快速的連線
    • 在用戶端上有效率的處理
    • 用戶端在找不到 CRL 時無法連線到伺服器的風險

PKI 受信任的根憑證

如果您的 IIS 月臺系統使用 PKI 用戶端憑證透過 HTTP 進行用戶端驗證,或透過 HTTPS 進行用戶端驗證和加密,您可能必須將根 CA 憑證匯入為月臺屬性。 以下是兩種案例:

  • 您可以使用 Configuration Manager 部署作業系統,而管理點只接受 HTTPS 用戶端連線。

  • 您可以使用不會鏈結至管理點信任之根憑證的 PKI 用戶端憑證。

    注意事項

    當您從發行用於管理點之伺服器憑證的相同 CA 階層發出用戶端 PKI 憑證時,您不需要指定此根 CA 憑證。 不過,如果您使用多個 CA 階層,且不確定它們是否彼此信任,請匯入用戶端 CA 階層的根 CA。

如果您需要匯入Configuration Manager的根 CA 憑證,請從發行 CA 或用戶端電腦匯出它們。 如果您從發行 CA 匯出也是根 CA 的憑證,請勿匯出私密金鑰。 將匯出的憑證檔案儲存在安全的位置,以避免遭到竄改。 當您設定網站時,需要存取檔案。 如果您透過網路存取檔案,請確定通訊受到保護,免于使用 IPsec 遭到竄改。

如果您匯入的任何根 CA 憑證已更新,請匯入更新的憑證。

這些匯入的根 CA 憑證和每個管理點的根 CA 憑證都會建立憑證簽發者清單。 Configuration Manager電腦會以下列方式使用此清單:

  • 當用戶端連線到管理點時,管理點會確認用戶端憑證已鏈結至月臺的憑證簽發者清單中受信任的根憑證。 如果沒有,憑證會遭到拒絕,而且 PKI 連線會失敗。

  • 當用戶端選取 PKI 憑證並擁有憑證簽發者清單時,他們會在憑證簽發者清單中選取鏈結至受信任根憑證的憑證。 如果沒有相符專案,用戶端就不會選取 PKI 憑證。 如需詳細資訊,請參閱 PKI 用戶端憑證選取

PKI 用戶端憑證選取

如果您的 IIS 月臺系統使用 PKI 用戶端憑證透過 HTTP 進行用戶端驗證,或透過 HTTPS 進行用戶端驗證和加密,請規劃 Windows 用戶端如何選取要用於Configuration Manager的憑證。

注意事項

有些裝置不支援憑證選取方法。 相反地,他們會自動選取符合憑證需求的第一個憑證。 例如,macOS 電腦和行動裝置上的用戶端不支援憑證選取方法。

在許多情況下,預設組態和行為就已足夠。 Windows 電腦上的Configuration Manager用戶端會依下列順序使用下列準則來篩選多個憑證:

  1. 憑證簽發者清單:憑證鏈結至管理點信任的根 CA。

  2. 憑證位於 個人的預設憑證存放區中。

  3. 憑證有效、未撤銷,且未過期。 有效性檢查也會驗證私密金鑰是否可存取。

  4. 憑證具有用戶端驗證功能。

  5. 憑證主體名稱包含作為子字串的本機電腦名稱稱。

  6. 憑證的有效期間最長。

使用下列機制,將用戶端設定為使用憑證簽發者清單:

如果用戶端在第一次安裝時沒有憑證簽發者清單,而且尚未指派給月臺,則會略過這項檢查。 當用戶端擁有憑證簽發者清單,而且沒有 PKI 憑證鏈結至憑證簽發者清單中受信任的根憑證時,憑證選取會失敗。 用戶端不會繼續其他憑證選取準則。

在大部分情況下,Configuration Manager用戶端會正確識別唯一且適當的 PKI 憑證。 若此行為並非如此,您可以設定兩種替代的選取方法,而不是根據用戶端驗證功能來選取憑證:

  • 用戶端憑證主體名稱的部分字串相符。 這個方法不區分大小寫相符。 如果您在主旨欄位中使用電腦的完整功能變數名稱 (FQDN) ,而且想要根據網域尾碼選取憑證,例如 contoso.com。 您可以使用此選取方法來識別憑證主體名稱中任何循序字元字串,以區別憑證與用戶端憑證存儲中的其他人。

    注意事項

    您無法使用部分字串比對搭配主體別名 (SAN) 作為網站設定。 雖然您可以使用 CCMSetup 指定 SAN 的部分字串相符專案,但在下列案例中,網站屬性將會覆寫它:

    • 用戶端會擷取發佈至 Active Directory 網域服務 的網站資訊。
    • 用戶端是使用用戶端推入安裝來安裝。

    只有在您手動安裝用戶端且用戶端未從 Active Directory 網域服務 擷取月臺資訊時,才在 SAN 中使用部分字串比對。 例如,這些條件適用于僅限網際網路的用戶端。

  • 用戶端憑證主體名稱屬性值或主體別名的相符專案, (SAN) 屬性值。 這個方法是區分大小寫的比對。 如果您使用 X500 辨別名稱或對等物件識別碼, (OID) 符合 RFC 3280,而且您想要根據屬性值選取憑證,則適用此選項。 您只能指定唯一識別或驗證憑證所需的屬性及其值,並區分憑證與憑證存放區中的其他人。

下表顯示用戶端憑證選取準則Configuration Manager支援的屬性值:

OID 屬性 辨別名稱屬性 屬性定義
0.9.2342.19200300.100.1.25 直流 網域元件
1.2.840.113549.1.9.1 電子郵件或電子郵件 電子郵件地址
2.5.4.3 快遞 之 家 一般名稱
2.5.4.4 主體名稱
2.5.4.5 SERIALNUMBER 序號
2.5.4.6 C 國碼
2.5.4.7 L 地區
2.5.4.8 S 或 ST 州或省名稱
2.5.4.9 街道地址
2.5.4.10 O 組織名稱
2.5.4.11 OU 組織單位
2.5.4.12 T 或標題 標題
2.5.4.42 G 或 GN 或 GivenName 指定的名稱
2.5.4.43 I 或 Initials 縮寫
2.5.29.17 (沒有值) 主體別名

注意事項

如果您設定上述任一替代憑證選取方法,憑證主體名稱就不需要包含本機電腦名稱稱。

如果套用選取準則之後有多個適當的憑證,您可以覆寫預設組態,以選取有效期間最長的憑證。 相反地,您可以指定未選取任何憑證。 在此案例中,用戶端無法使用 PKI 憑證與 IIS 月臺系統通訊。 用戶端會將錯誤訊息傳送至其指派的後援狀態點,以警示您憑證選取失敗。 然後,您可以變更或精簡憑證選取準則。

用戶端行為接著取決於失敗的連線是透過 HTTPS 還是 HTTP:

  • 如果失敗的連線是透過 HTTPS:用戶端會嘗試透過 HTTP 連線,並使用用戶端自我簽署憑證。

  • 如果失敗的連線是透過 HTTP:用戶端會嘗試使用自我簽署用戶端憑證再次透過 HTTP 連線。

若要協助識別唯一的 PKI 用戶端憑證,您也可以在[電腦] 存放區中指定 [個人] 預設值以外的自訂存放區。 在Configuration Manager外部建立自訂憑證存放區。 您必須能夠將憑證部署到這個自訂存放區,並在有效期間到期之前加以更新。

如需詳細資訊, 請參閱設定用戶端 PKI 憑證的設定

PKI 憑證的轉換策略

Configuration Manager中的彈性設定選項可讓您逐漸轉換用戶端和月臺,以使用 PKI 憑證來協助保護用戶端端點。 PKI 憑證提供更好的安全性,並可讓您管理網際網路用戶端。

此計畫會先引進僅透過 HTTP 進行驗證的 PKI 憑證,然後再透過 HTTPS 進行驗證和加密。 當您遵循此計畫逐漸引進這些憑證時,可以降低用戶端變成非受控的風險。 您也將受益于Configuration Manager支援的最高安全性。

由於Configuration Manager中的組態選項和選項數目,因此沒有單一方式可以轉換月臺,讓所有用戶端都使用 HTTPS 連線。 下列步驟提供一般指引:

  1. 安裝Configuration Manager月臺並加以設定,讓月臺系統接受透過 HTTPS 和 HTTP 的用戶端連線。

  2. 在網站屬性中設定 [ 通訊安全 性] 索引標籤。 將 [月臺系統設定] 設定[HTTP] 或 [HTTPS ],然後選 取 [使用 PKI 用戶端憑證 (可用時) 用戶端驗證功能] 。 如需詳細資訊, 請參閱設定用戶端 PKI 憑證的設定

  3. 試驗用戶端憑證的 PKI 推出。 如需部署範例,請 參閱部署 Windows 電腦的用戶端憑證

  4. 使用用戶端推入安裝方法來安裝用戶端。 如需詳細資訊,請參閱如何使用用戶端推Configuration Manager安裝客戶端。

  5. 使用 Configuration Manager 主控台中的報表和資訊來監視用戶端部署和狀態。

  6. 檢視 [資產與相容性] 工作區 [裝置] 節點中的 [用戶端憑證] 資料行,以追蹤有多少用戶端正在使用用戶端 PKI 憑

    注意事項

    對於也有 PKI 憑證的用戶端,Configuration Manager主控台會將[用戶端憑證] 屬性顯示為[自我簽署]。 用戶端控制台 用戶端憑證 屬性會顯示 PKI

    您也可以將Configuration Manager HTTPS 整備評估工具 (CMHttpsReadiness.exe) 部署到電腦。 然後使用報告來檢視有多少部電腦可以搭配使用用戶端 PKI 憑證與Configuration Manager。

    注意事項

    當您安裝Configuration Manager用戶端時,它會在 資料夾中 %windir%\CCM 安裝CMHttpsReadiness.exe工具。 當您執行此工具時,可以使用下列命令列選項:

    • /Store:<Certificate store name>:此選項與 CCMCERTSTORE client.msi 屬性相同 - /Issuers:<Case-sensitive issuer common name> : 此選項與 CCMCERTISSUERS client.msi 屬性相同
    • /Criteria:<Selection criteria>:此選項與 CCMCERTSEL client.msi 屬性相同
    • /SelectFirstCert:此選項與 CCMFIRSTCERT client.msi 屬性相同

    此工具會將資訊輸出至目錄中的 CCM\Logs CMHttpsReadiness.log。

    如需詳細資訊,請 參閱關於用戶端安裝屬性

  7. 當您確信有足夠的用戶端成功使用其用戶端 PKI 憑證來透過 HTTP 進行驗證時,請遵循下列步驟:

    1. 將 PKI Web 服務器證書部署到執行月臺另一個管理點的成員伺服器,並在 IIS 中設定該憑證。 如需詳細資訊,請 參閱為執行 IIS 的月臺系統部署 Web 服務器證書

    2. 在此伺服器上安裝管理點角色。 在HTTPS的管理點屬性中設定[用戶端聯機] 選項。

  8. 監視並確認具有 PKI 憑證的用戶端使用 HTTPS 使用新的管理點。 您可以使用 IIS 記錄或效能計數器來驗證。

  9. 重新設定其他月臺系統角色以使用 HTTPS 用戶端連線。 如果您想要管理網際網路上的用戶端,請確定月臺系統具有網際網路 FQDN。 設定個別管理點和發佈點,以接受來自網際網路的用戶端連線。

    重要事項

    在您設定月臺系統角色以接受來自網際網路的連線之前,請先檢閱以網際網路為基礎的用戶端管理規劃資訊和必要條件。 如需詳細資訊,請參閱 端點之間的通訊

  10. 針對用戶端和執行 IIS 的月臺系統,擴充 PKI 憑證推出。 視需要設定 HTTPS 用戶端連線和網際網路連線的月臺系統角色。

  11. 為了達到最高安全性:當您確信所有用戶端都使用用戶端 PKI 憑證進行驗證和加密時,請將月臺屬性變更為僅使用 HTTPS。

後續步驟