Общие сведения о профилях сертификатов в Configuration Manager
Относится к Configuration Manager (Current Branch)
Важно!
Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.
Профили сертификатов работают со службами сертификатов Active Directory и ролью Службы регистрации сетевых устройств (NDES). Создавайте и развертывайте сертификаты проверки подлинности для управляемых устройств, чтобы пользователи могли легко получать доступ к ресурсам организации. Например, можно создать и развернуть профили сертификатов, чтобы предоставить пользователям необходимые сертификаты для подключения к VPN и беспроводным подключениям.
Профили сертификатов могут автоматически настраивать пользовательские устройства для доступа к ресурсам организации, таким как Wi-Fi сети и VPN-серверы. Пользователи могут получить доступ к этим ресурсам, не устанавливая сертификаты вручную или не используя внеполосный процесс. Профили сертификатов помогают защитить ресурсы, так как можно использовать более безопасные параметры, поддерживаемые инфраструктурой открытых ключей (PKI). Например, требовать проверку подлинности сервера для всех Wi-Fi и VPN-подключений, так как вы развернули необходимые сертификаты на управляемых устройствах.
Профили сертификатов предоставляют следующие возможности управления:
Регистрация и продление сертификата из центра сертификации (ЦС) для устройств под управлением различных типов и версий ОС. Затем эти сертификаты можно использовать для Wi-Fi и VPN-подключений.
Развертывание доверенных корневых сертификатов ЦС и промежуточных сертификатов ЦС. Эти сертификаты настраивают цепочку доверия на устройствах для VPN и Wi-Fi подключений, когда требуется проверка подлинности сервера.
Отслеживайте установленные сертификаты и сообщайте об этом.
Пример 1. Всем сотрудникам необходимо подключиться к Wi-Fi горячим точкам в нескольких офисах. Чтобы обеспечить простое подключение пользователей, сначала разверните сертификаты, необходимые для подключения к Wi-Fi. Затем разверните Wi-Fi профили, которые ссылаются на сертификат.
Пример 2. У вас есть PKI. Вы хотите перейти на более гибкий и безопасный метод развертывания сертификатов. Пользователям требуется доступ к ресурсам организации со своих личных устройств без ущерба для безопасности. Настройте профили сертификатов с параметрами и протоколами, которые поддерживаются для конкретной платформы устройства. Затем устройства могут автоматически запрашивать эти сертификаты с сервера регистрации с выходом в Интернет. Затем настройте профили VPN для использования этих сертификатов, чтобы устройство пользовалось доступом к ресурсам организации.
Типы
Существует три типа профилей сертификатов:
Сертификат доверенного ЦС. Развертывание доверенного корневого ЦС или промежуточного сертификата ЦС. Эти сертификаты образуют цепочку доверия, когда устройство должно пройти проверку подлинности сервера.
Простой протокол регистрации сертификатов (SCEP): запрос сертификата для устройства или пользователя с помощью протокола SCEP. Для этого типа требуется роль службы регистрации сетевых устройств (NDES) на сервере, работающем Windows Server 2012 R2 или более поздней версии.
Чтобы создать профиль сертификата SCEP , сначала создайте профиль сертификата доверенного ЦС .
Обмен личной информацией (PFX): запросите PFX-сертификат (также известный как PKCS No 12) для устройства или пользователя. Существует два метода создания профилей сертификатов PFX:
- Импорт учетных данных из существующих сертификатов
- Определение центра сертификации для обработки запросов
Примечание.
Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.
Вы можете использовать Майкрософт или Entrust в качестве центров сертификации для сертификатов обмена персональными данными (PFX).
Требования
Чтобы развернуть профили сертификатов, использующие SCEP, установите точку регистрации сертификатов на сервере системы сайта. Также установите модуль политики для NDES( модуль политики Configuration Manager) на сервере, который работает Windows Server 2012 R2 или более поздней версии. Для этого сервера требуется роль служб сертификатов Active Directory. Для этого также требуется рабочий NDES, доступный для устройств, которым требуются сертификаты. Если устройства должны регистрироваться для получения сертификатов из Интернета, ваш сервер NDES должен быть доступен из Интернета. Например, чтобы безопасно включить трафик на сервер NDES из Интернета, можно использовать приложение Azure Proxy.
Для сертификатов PFX также требуется точка регистрации сертификатов. Также укажите центр сертификации (ЦС) для сертификата и соответствующие учетные данные доступа. В качестве центров сертификации можно указать Майкрософт или Entrust.
Дополнительные сведения о том, как NDES поддерживает модуль политики, чтобы Configuration Manager могли развертывать сертификаты, см. в статье Использование модуля политики со службой регистрации сетевых устройств.
В зависимости от требований Configuration Manager поддерживает развертывание сертификатов в разных хранилищах сертификатов на различных типах устройств и операционных системах. Поддерживаются следующие устройства и операционные системы:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Примечание.
Используйте Configuration Manager локальные MDM для управления Windows Phone 8.1 и Windows 10 Mobile. Дополнительные сведения см. в разделе Локальные MDM.
Типичный сценарий для Configuration Manager — установка доверенных сертификатов корневого ЦС для проверки подлинности Wi-Fi и VPN-серверов. Типичные подключения используют следующие протоколы:
- Протоколы проверки подлинности: EAP-TLS, EAP-TTLS и PEAP
- Протоколы VPN-туннелирования: IKEv2, L2TP/IPsec и Cisco IPsec
Сертификат корпоративного корневого ЦС должен быть установлен на устройстве, прежде чем устройство сможет запрашивать сертификаты с помощью профиля сертификата SCEP.
Вы можете указать параметры в профиле сертификата SCEP, чтобы запросить настраиваемые сертификаты для различных сред или требований к подключению. Мастер создания профиля сертификата содержит две страницы параметров регистрации. Первая, регистрация SCEP, включает параметры для запроса на регистрацию и место установки сертификата. Во втором, Свойства сертификата, описывается сам запрошенный сертификат.
Развертывание
При развертывании профиля сертификата SCEP клиент Configuration Manager обрабатывает политику. Затем он запрашивает пароль запроса SCEP из точки управления. Устройство создает пару открытого и закрытого ключей и создает запрос на подпись сертификата (CSR). Он отправляет этот запрос на сервер NDES. Сервер NDES перенаправляет запрос в систему сайта точки регистрации сертификатов через модуль политики NDES. Точка регистрации сертификата проверяет запрос, проверяет пароль запроса SCEP и проверяет, что запрос не был изменен. Затем он утверждает или отклоняет запрос. В случае утверждения сервер NDES отправляет запрос на подпись в подключенный центр сертификации (ЦС) для подписи. ЦС подписывает запрос, а затем возвращает сертификат на запрашивающее устройство.
Развертывание профилей сертификатов для коллекций пользователей или устройств. Вы можете указать целевое хранилище для каждого сертификата. Правила применимости определяют, может ли устройство установить сертификат.
При развертывании профиля сертификата в коллекции пользователей сопоставление пользователей определяет, какие из устройств пользователей устанавливают сертификаты. При развертывании профиля сертификата с сертификатом пользователя в коллекции устройств по умолчанию каждое из основных устройств пользователей устанавливает сертификаты. Чтобы установить сертификат на любом из устройств пользователей, измените это поведение на странице Регистрация SCEPмастера создания профиля сертификата. Если устройства находятся в рабочей группе, Configuration Manager не развертывает пользовательские сертификаты.
Отслеживать
Вы можете отслеживать развертывания профилей сертификатов, просматривая результаты или отчеты о соответствии требованиям. Дополнительные сведения см. в разделе Мониторинг профилей сертификатов.
Автоматический отзыв
Configuration Manager автоматически отзывает сертификаты пользователей и компьютеров, развернутые с помощью профилей сертификатов, в следующих случаях:
Устройство не используется Configuration Manager управления.
Устройство заблокировано в иерархии Configuration Manager.
Чтобы отозвать сертификаты, сервер сайта отправляет команду отзыва в выдающий центр сертификации. Причиной отзыва является прекращение работы.
Примечание.
Чтобы правильно отозвать сертификат, учетной записи компьютера для сайта верхнего уровня в иерархии требуется разрешение на выдачу сертификатов и управление ими в ЦС.
Для повышения безопасности можно также ограничить диспетчеры ЦС в ЦС. Затем предоставьте этой учетной записи только разрешения на конкретный шаблон сертификата, который используется для профилей SCEP на сайте.