Plánování certifikátů PKI v Správce konfigurace

Platí pro: Správce konfigurace (aktuální větev)

Správce konfigurace digitální certifikáty založené na infrastruktuře veřejných klíčů (PKI), pokud jsou dostupné. Použití těchto certifikátů se doporučuje pro větší zabezpečení, ale není nutné pro většinu scénářů. Tyto certifikáty musíte nasadit a spravovat nezávisle na Správce konfigurace.

Tento článek obsahuje informace o certifikátech PKI v Správce konfigurace, které vám pomůžou naplánovat implementaci. Další obecné informace o použití certifikátů v Správce konfigurace najdete v tématu Certifikáty v Správce konfigurace.

Odvolání certifikátu PKI

Pokud používáte certifikáty PKI s Správce konfigurace, naplánujte použití seznamu odvolaných certifikátů (CRL). Zařízení používají seznam CRL k ověření certifikátu na připojující se počítači. Seznam odvolaných certifikátů je soubor, který vytvoří a podepíše certifikační autorita. Obsahuje seznam certifikátů, které certifikační autorita vydala, ale odvolala. Když správce certifikátu odvolal certifikáty, přidá se jeho otisk do seznamu odvolaných certifikátů. Pokud je třeba vystavený certifikát známý nebo je podezření, že je ohrožený.

Důležité

Vzhledem k tomu, že umístění seznamu odvolaných certifikátů se přidá k certifikátu, když ho certifikační autorita vydá, před nasazením certifikátů PKI, které Správce konfigurace používat, se ujistěte, že plánujete seznam crl.

Služba IIS vždy vyhledá v seznamu crl klientské certifikáty a tuto konfiguraci v Správce konfigurace. Ve výchozím nastavení Správce konfigurace klienti vždy kontrolu seznamu crl pro systémy lokality. Toto nastavení můžete zakázat zadáním vlastnosti webu a zadáním vlastnosti CCMSetup.

Počítače, které používají kontrolu odvolaných certifikátů, ale neschová seznam CRL, se chovají, jako by byly odvolány všechny certifikáty v certifikačním řetězci. Toto chování je proto, že nemůže ověřit, jestli jsou certifikáty v seznamu odvolaných certifikátů. V tomto scénáři se nezdaří všechna připojení, která vyžadují certifikáty a zahrnují kontrolu seznamu odvolaných certifikátů. Při ověřování, že seznam CRL je přístupný procházením jeho umístění HTTP, je důležité si uvědomit, že Správce konfigurace klient běží jako LOCAL SYSTEM. Testování přístupnosti seznamů CRL pomocí webového prohlížeče v kontextu uživatele může být úspěšné, ale při pokusu o vytvoření připojení HTTP ke stejné adrese URL seznamu crl může být účet počítače zablokovaný. Může být například zablokovaný kvůli internímu řešení filtrování webů, jako je proxy server. Přidejte adresu URL seznamu odvolaných certifikátů do schváleného seznamu pro jakákoli řešení filtrování webu.

Kontrola seznamu odvolaných certifikátů při každém použití certifikátu nabízí větší zabezpečení před použitím certifikátu, který je odvolán. Zavádí zpoždění připojení a další zpracování na straně klienta. Vaše organizace může vyžadovat tuto kontrolu zabezpečení pro klienty na internetu nebo v nedůvěryhodné síti.

Než se rozhodnete, jestli Správce konfigurace klienti musí seznam CRL zkontrolovat, obraťte se na správce infrastruktury veřejných klíčů. Pokud platí obě následující podmínky, zvažte možnost, která je povolená v Správce konfigurace:

  • Infrastruktura pki podporuje seznam CRL a publikoval se tam, kde ho Správce konfigurace klienti. Tito klienti můžou zahrnovat zařízení na internetu a zařízení v nedůvěryhodných doménových strukturách.

  • Požadavek na kontrolu seznamu odvolaných certifikátů pro každé připojení k systému webu, který je nakonfigurovaný na použití certifikátu PKI, je větší než následující požadavky:

    • Rychlejší připojení
    • Efektivní zpracování na straně klienta
    • Riziko, že se klienti nepřipojí k serverům, pokud se jim nedaří najít seznam CRL

Důvěryhodné kořenové certifikáty PKI

Pokud vaše systémy webu SLUŽBY IIS používají klientské certifikáty PKI pro ověřování klientů přes protokol HTTP nebo pro ověřování a šifrování klientů přes protokol HTTPS, budete možná muset importovat kořenové certifikáty certifikační autority jako vlastnost webu. Tady jsou dva scénáře:

  • Nasazujete operační systémy pomocí Správce konfigurace a body správy přijímají jenom připojení klientů HTTPS.

  • Používáte klientské certifikáty PKI, které nejsou řetězové s kořenovým certifikátem, který odkazuje na důvěryhodnost správy.

    Poznámka

    Při vydávání klientských certifikátů PKI ze stejné hierarchie certifikační autority, která vydává certifikáty serveru, které používáte pro body správy, nemusíte tento kořenový certifikát certifikační autority zadat. Pokud ale používáte více hierarchií certifikační autority a nevíte, jestli si vzájemně důvěřují, naimportujte kořenovou certifikační autoritu pro hierarchii ca klientů.

Pokud potřebujete importovat kořenové certifikáty ca pro Správce konfigurace, vyexportujte je z vystavující certifikační autority nebo z klientského počítače. Pokud exportujete certifikát z vystavující certifikační autority, která je také kořenovou certifikační autoritou, neexportujte soukromý klíč. Uložte exportovaný soubor certifikátu do zabezpečeného umístění, abyste zabránili manipulaci. Při nastavení webu potřebujete k souboru přístup. Pokud k souboru přistupujete přes síť, ujistěte se, že je komunikace chráněná před neoprávněnou manipulací pomocí protokolu ISec.

Pokud se obnoví nějaký certifikát kořenové certifikační autority, který importujete, naimportujte obnovený certifikát.

Tyto importované kořenové certifikáty ca a kořenový certifikát ca každého bodu správy vytvářejí seznam vystavitelů certifikátů. Správce konfigurace počítače používají tento seznam následujícími způsoby:

  • Když se klienti připojí k bodům správy, bod správy ověří, že klientský certifikát je zřetězovaný s důvěryhodným kořenovým certifikátem v seznamu vystavitelů certifikátů webu. Pokud tomu tak není, certifikát se odmítne a připojení PKI se nezdaří.

  • Když klienti vyberou certifikát PKI a mají seznam vystavitelů certifikátů, vyberou certifikát, který se zřetězuje s důvěryhodným kořenovým certifikátem v seznamu vystavitelů certifikátů. Pokud není žádná shoda, klient nevybere certifikát PKI. Další informace najdete v tématu Výběr klientského certifikátu PKI.

Výběr klientského certifikátu PKI

Pokud systémy webu služby IIS používají klientské certifikáty PKI pro ověřování klientů přes protokol HTTP nebo pro ověřování Windows šifrování klientů přes protokol HTTPS, naplánujte, jak klienti Windows vybrat certifikát, který chcete použít pro Správce konfigurace.

Poznámka

Některá zařízení nepodporují metodu výběru certifikátu. Místo toho automaticky vyberou první certifikát, který splňuje požadavky na certifikát. Například klienti na počítačích s macOS a mobilních zařízeních nepodporují metodu výběru certifikátů.

V mnoha případech je výchozí konfigurace a chování dostačující. Klient Správce konfigurace v Windows počítače filtruje více certifikátů pomocí těchto kritérií v tomto pořadí:

  1. Seznam vystavitelů certifikátů: Certifikát se zřetězuje do kořenové certifikační autority, které bod správy důvěřuje.

  2. Certifikát je ve výchozím úložiště certifikátů Osobní .

  3. Certifikát je platný, není odvolán a nevyšel. Kontrola platnosti také ověří, že je soukromý klíč přístupný.

  4. Certifikát má možnost ověřování klienta.

  5. Název předmětu certifikátu obsahuje název místního počítače jako podřetězec.

  6. Certifikát má nejdelší dobu platnosti.

Nakonfigurujte klienty tak, aby seznam vystavitelů certifikátů používejte pomocí následujících mechanizmů:

Pokud klienti nemají seznam vystavitelů certifikátů při jejich první instalaci a ještě nejsou k webu přiřazeni, přeskočí tuto kontrolu. Pokud klienti mají seznam vystavitelů certifikátů a nemají certifikát PKI, který se v seznamu vystavitelů certifikátů zřetězuje s důvěryhodným kořenovým certifikátem, výběr certifikátu se nezdaří. Klienti neposoudí další kritéria výběru certifikátu.

Ve většině případů klient Správce konfigurace správně identifikuje jedinečný a vhodný certifikát PKI. Pokud tomu tak není, můžete namísto výběru certifikátu založeného na možnosti ověřování klienta nastavit dvě alternativní metody výběru:

  • Částečná shoda řetězce s názvem předmětu klientského certifikátu Tato metoda je malá a velká písmena. Je vhodné, pokud v poli předmětu používáte plně kvalifikovaný název domény (FQDN) počítače a chcete, aby výběr certifikátu byl založený na příponě domény, například contoso.com. Tuto metodu výběru můžete použít k identifikaci libovolného řetězce sekvenčních znaků v názvu předmětu certifikátu, který odlišuje certifikát od ostatních v klientském úložiště certifikátů.

    Poznámka

    Jako nastavení webu nemůžete použít částečnou shodu řetězce s alternativním názvem předmětu (SAN). I když můžete zadat částečnou shodu řetězce pro san pomocí příkazu CCMSetup, vlastnosti webu se přepíšou v následujících situacích:

    • Klienti načítá informace o webu publikované služba Active Directory Domain Services.
    • Klienti se instaluje pomocí nabízené instalace klienta.

    Částečnou shodu řetězce v síti SAN použijte jenom v případě, že klienty instalujete ručně a když informace o webu ze sítě služba Active Directory Domain Services. Například tyto podmínky platí pro internetové klienty.

  • Shoda hodnot atributů názvů předmětu certifikátu klienta nebo hodnot atributů san (subject alternative name). Tato metoda rozlišuje malá a velká písmena. Je vhodné, pokud používáte rozlišující název X500 nebo ekvivalentní identifikátory objektů (OID) v souladu s dokumentem RFC 3280 a chcete, aby výběr certifikátu byl založený na hodnotách atributů. Můžete zadat jenom atributy a jejich hodnoty, které potřebujete k jedinečné identifikaci nebo ověření certifikátu a k odlišení certifikátu od ostatních v úložiště certifikátů.

Následující tabulka uvádí hodnoty atributů, které Správce konfigurace pro kritéria výběru klientského certifikátu:

Atribut OID Atribut Rozlišující název Definice atributu
0.9.2342.19200300.100.1.25 DC Součást domény
1.2.840.113549.1.9.1 E-mail nebo e-mail E-mailová adresa
2.5.4.3 CN Běžný název
2.5.4.4 SN Název předmětu
2.5.4.5 POŘADOVÉ ČÍSLO Sériové číslo
2.5.4.6 C Kód země
2.5.4.7 L Lokalita
2.5.4.8 S nebo ST Název státu nebo provincie
2.5.4.9 ULICE Ulice:   
2.5.4.10 O Název organizace
2.5.4.11 OU Organizační jednotka:   
2.5.4.12 T nebo Nadpis Title
2.5.4.42 G nebo GN nebo GivenName K danému jménu
2.5.4.43 I nebo Iniciály Iniciály
2.5.29.17 (bez hodnoty) Alternativní název předmětu

Poznámka

Pokud nakonfigurujete některou z výše uvedených alternativních metod výběru certifikátů, název předmětu certifikátu nemusí obsahovat název místního počítače.

Pokud se po použití kritérií výběru nachází více než jeden příslušný certifikát, můžete výchozí konfiguraci přepsat a vybrat certifikát, který má nejdelší dobu platnosti. Místo toho můžete zadat, že není vybraný žádný certifikát. V tomto scénáři klient nemůže komunikovat se systémy webu služby IIS pomocí certifikátu PKI. Klient odešle chybovou zprávu do svého přiřazeného záložního stavového bodu, aby vás upozornil na chybu výběru certifikátu. Potom můžete změnit nebo upřesnit kritéria výběru certifikátu.

Chování klienta pak závisí na tom, jestli se nepovedlo připojení přes HTTPS nebo HTTP:

  • Pokud se nepovedlo připojení přes protokol HTTPS: Klient se pokusí připojit přes protokol HTTP a použije certifikát podepsaný svým držitelem klienta.

  • Pokud se nepodařilo připojit přes protokol HTTP: Klient se pokusí znovu připojit přes protokol HTTP pomocí certifikátu klienta podepsaného svým držitelem.

Pokud chcete pomoct s identifikací jedinečného klientského certifikátu PKI, můžete taky zadat jiné vlastní úložiště, než je výchozí nastavení Osobní v obchodě Počítač. Vytvořte vlastní úložiště certifikátů mimo Správce konfigurace. Musíte mít možnost nasadit certifikáty do tohoto vlastního úložiště a prodloužit je před vypršením doby platnosti.

Další informace najdete v tématu Konfigurace nastavení klientských certifikátů PKI.

Strategie přechodu pro certifikáty PKI

Flexibilní možnosti konfigurace v Správce konfigurace umožňují postupně přechádovat klienty a web tak, aby k zabezpečení klientských koncových bodů přijímaly certifikáty PKI. Certifikáty PKI poskytují lepší zabezpečení a umožňují spravovat internetové klienty.

Tento plán nejdřív zavádí certifikáty PKI pro ověřování jenom přes PROTOKOL HTTP a pak pro ověřování a šifrování přes protokol HTTPS. Když budete postupovat podle tohoto plánu, abyste postupně zavedli tyto certifikáty, snížíte riziko, že se klienti stanou nespravovanými. Budete také mít prospěch z nejvyššího zabezpečení, které Správce konfigurace podporuje.

Vzhledem k počtu možností a možností konfigurace v Správce konfigurace neexistuje jediný způsob, jak přejít na web tak, aby všichni klienti používejte připojení HTTPS. Následující postup poskytuje obecné pokyny:

  1. Nainstalujte Správce konfigurace a nakonfigurujte ho tak, aby systémy webu přijímaně klientská připojení přes HTTPS a HTTP.

  2. Nakonfigurujte kartu Zabezpečení komunikace ve vlastnostech webu. Nastavte systém Nastavení na HTTP nebo HTTPS a vyberte Použít klientský certifikát PKI (možnost ověřování klientů), pokud je k dispozici. Další informace najdete v tématu Konfigurace nastavení klientských certifikátů PKI.

  3. Pilotní instalace infrastruktury veřejných klíčů pro klientské certifikáty Příklad nasazení najdete v tématu Nasazení klientského certifikátu pro Windows počítače.

  4. Nainstalujte klienty pomocí metody nabízené instalace klienta. Další informace najdete v tématu Jak nainstalovat Správce konfigurace klienty pomocí nabízeného klienta.

  5. Sledujte nasazení a stav klienta pomocí sestav a informací v Správce konfigurace konzole.

  6. Sledujte, kolik klientů používá klientský certifikát PKI, a to zobrazením sloupce Klientský certifikát v pracovním prostoru Prostředky a dodržování předpisů v uzlu Zařízení.

    Můžete taky nasadit nástroj Správce konfigurace https Readiness Assessment Tool (CMHttpsReadiness.exe) do počítačů. Potom pomocí sestav můžete zobrazit, kolik počítačů může používat klientský certifikát PKI s Správce konfigurace.

    Poznámka

    Když nainstalujete Správce konfigurace klienta, nainstaluje CMHttpsReadiness.exe nástroj do %windir%\CCM složky. Při spuštění tohoto nástroje jsou dostupné následující možnosti příkazového řádku:

    Nástroj vy outputs information to the CMHttpsReadiness.log in the CCM\Logs directory.

    Další informace najdete v tématu O vlastnostech instalace klienta.

  7. Pokud jste si jistí, že k ověřování pomocí protokolu HTTP úspěšně používá certifikát PKI klienta dost klientů, postupujte takto:

    1. Nasaďte certifikát webového serveru PKI na členský server, na který běží jiný bod správy webu, a nakonfigurujte tento certifikát ve službě IIS. Další informace najdete v článku Nasazení certifikátu webového serveru pro systémy webu, na které běží služba IIS.

    2. Nainstalujte roli bodu správy na tento server. Nakonfigurujte možnost Připojení klientů ve vlastnostech bodu správy pro protokol HTTPS.

  8. Sledujte a ověřte, jestli klienti, kteří mají certifikát PKI, používají nový bod správy pomocí protokolu HTTPS. K ověření můžete použít protokolování služby IIS nebo čítače výkonu.

  9. Překonfigurovat další role systému webu tak, aby bylo možné používat připojení klientů HTTPS. Pokud chcete spravovat klienty na internetu, ujistěte se, že systémy webu mají plně kvalifikovaný název domény internetu. Nakonfigurujte jednotlivé body správy a distribuční body tak, aby přijímaní klientských připojení z internetu.

    Důležité

    Než nastavíte role systému webu tak, aby přijímaly připojení z internetu, zkontrolujte informace o plánování a předpoklady pro správu internetových klientů. Další informace najdete v tématu Komunikace mezi koncovými body.

  10. Rozšíření role certifikátu PKI pro klienty a pro systémy webu, které provozují službu IIS. Podle potřeby nastavte role systému webu pro připojení klientů HTTPS a připojení k internetu.

  11. Nejvyšší zabezpečení: Pokud si budete jistí, že všichni klienti používají k ověřování a šifrování klientský certifikát PKI, změňte vlastnosti webu tak, aby používejte jenom protokol HTTPS.

Další kroky