Požadavky na profily certifikátů v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Profily certifikátů v Configuration Manager mají v produktu externí závislosti a závislosti.
Důležité
Od verze 2203 se tato funkce přístupu k prostředkům společnosti už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.
Závislosti mimo Configuration Manager
| Závislost | Další informace |
|---|---|
| Organizace vydávající certifikační autoritu (CA), na které běží služba Active Directory Certificate Services (AD CS). K odvolání certifikátů vyžaduje účet počítače serveru lokality v horní části hierarchie oprávnění Vydávat a spravovat certifikáty pro každou šablonu certifikátu používanou profilem certifikátu v Configuration Manager. Případně můžete správci certifikátů udělit oprávnění pro všechny šablony certifikátů používané danou certifikační autoritou. Podporuje se schválení nadřízeným pro žádosti o certifikáty. Šablony certifikátů, které se používají k vydávání certifikátů, však musí být nakonfigurovány pro Zadání v žádosti pro subjekt certifikátu, aby Configuration Manager mohly tuto hodnotu automaticky zadat. |
Další informace o službě AD CS (Active Directory Certificate Services) najdete v tématu Přehled služby Active Directory Certificate Services. |
| Pomocí skriptu PowerShellu ověřte a v případě potřeby nainstalujte požadavky pro službu role NDES (Network Device Enrollment Service) a bod registrace certifikátu Configuration Manager. |
Soubor s pokyny, readme_crp.txt, se nachází ve složce ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. Skript PowerShellu, Test-NDES-CRP-Prereqs.ps1, je ve stejném adresáři jako pokyny. Skript PowerShellu musí být spuštěn místně na serveru NDES. |
| Služba role NDES (Network Device Enrollment Service) pro službu Active Directory Certificate Services, která běží na Windows Server 2012 R2. Navíc: Jiná čísla portů než TCP 443 (pro HTTPS) nebo TCP 80 (pro HTTP) nejsou pro komunikaci mezi klientem a Službou zápisu síťových zařízení podporovaná. Server, na kterém běží Služba zápisu síťových zařízení, musí být na jiném serveru než vydávající certifikační autorita. |
Configuration Manager komunikuje se službou zápisu síťových zařízení v Windows Server 2012 R2 za účelem generování a ověřování požadavků protokolu SCEP (Simple Certificate Enrollment Protocol). Pokud budete vydávat certifikáty uživatelům nebo zařízením, která se připojují z internetu, jako jsou mobilní zařízení spravovaná Microsoft Intune, musí mít tato zařízení přístup k serveru, na kterém běží Služba zápisu síťových zařízení, z internetu. Například nainstalujte server do hraniční sítě (označované také jako DMZ, demilitarizovaná zóna a monitorovaná podsíť). Pokud máte bránu firewall mezi serverem, na kterém běží Služba zápisu síťových zařízení, a vydávající certifikační autoritou, musíte bránu firewall nakonfigurovat tak, aby umožňovala komunikační provoz (DCOM) mezi těmito dvěma servery. Tento požadavek brány firewall se vztahuje také na server, na kterém běží server Configuration Manager lokality a vydávající certifikační autorita, aby Configuration Manager mohly odvolat certifikáty. Pokud je služba zápisu síťových zařízení nakonfigurovaná tak, aby vyžadovala protokol SSL, je osvědčeným postupem zabezpečení zajistit, aby připojující se zařízení získala přístup k seznamu odvolaných certifikátů (CRL) a ověřila certifikát serveru. Další informace o Službě zápisu síťových zařízení najdete v tématu Použití modulu zásad se Službou zápisu síťových zařízení. |
| Ověřovací certifikát klienta PKI a exportovaný certifikát kořenové certifikační autority. | Tento certifikát ověří server, na kterém běží Služba zápisu síťových zařízení, aby Configuration Manager. Další informace najdete v tématu Požadavky na certifikát PKI pro Configuration Manager. |
| Podporované operační systémy zařízení. | Profily certifikátů můžete nasadit do zařízení s Windows 8.1, Windows RT 8.1 a Windows 10. |
Závislosti Configuration Manager
| Závislost | Další informace |
|---|---|
| Role systému lokality bodu registrace certifikátu | Před použitím profilů certifikátů je nutné nainstalovat roli systému lokality bodu registrace certifikátu. Tato role komunikuje s databází Configuration Manager, serverem Configuration Manager lokality a modulem zásad Configuration Manager. Další informace o požadavcích na systém pro tuto roli systému lokality a o tom, kam nainstalovat roli v hierarchii, najdete v části Požadavky na systém lokality v článku Podporované konfigurace pro Configuration Manager. Bod registrace certifikátu nesmí být nainstalován na stejném serveru, na kterém běží Služba zápisu síťových zařízení. |
| Configuration Manager modul zásad nainstalovaný na serveru, na kterém je spuštěná služba role Služba zápisu síťových zařízení pro službu AD CS (Active Directory Certificate Services). | Pokud chcete nasadit profily certifikátů, musíte nainstalovat modul zásad Configuration Manager. Tento modul zásad najdete na instalačním médiu Configuration Manager. |
| Data zjišťování | Hodnoty pro subjekt certifikátu a alternativní název subjektu zadává Configuration Manager a načítají se z informací shromážděných při zjišťování: Pro uživatelské certifikáty: Zjišťování uživatelů služby Active Directory Pro certifikáty počítačů: Zjišťování systému služby Active Directory a zjišťování sítě |
| Specifická oprávnění zabezpečení pro správu profilů certifikátů | Ke správě nastavení přístupu k prostředkům společnosti, jako jsou profily certifikátů, profily Wi-Fi a profily VPN, musíte mít následující oprávnění zabezpečení: Zobrazení a správa výstrah a sestav pro profily certifikátů: Vytvoření, odstranění, úprava, úprava, úprava sestavy, čtení a spuštění sestavy pro objekt Alerts . Vytváření a správa profilů certifikátů: Vytvořit zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profil certifikátu . Správa nasazení wi-fi, certifikátů a profilů SÍTĚ VPN: Nasazení zásad konfigurace, úprava upozornění na stav klienta, čtení a čtení prostředku pro objekt kolekce . Správa všech zásad konfigurace: Vytvoření, odstranění, úprava, čtení a nastavení oboru zabezpečení pro objekt zásady konfigurace . Spouštění dotazů souvisejících s profily certifikátů: Oprávnění ke čtení pro objekt Query . Zobrazení informací o profilech certifikátů v konzole Configuration Manager: Oprávnění ke čtení pro objekt Site. Zobrazení stavových zpráv pro profily certifikátů: Oprávnění ke čtení objektu Stavové zprávy . Vytvoření a úprava profilu certifikátu důvěryhodné certifikační autority: Vytvořit zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profil certifikátu důvěryhodné certifikační autority . Vytvoření a správa profilů SÍTĚ VPN: Vytvořit zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profil sítě VPN . Vytvoření a správa profilů Wi-Fi: Vytvořit zásady, Upravit sestavu, Číst a Spustit sestavu pro objekt Profilu Wi-Fi . Role zabezpečení Správce přístupu k prostředkům společnosti zahrnuje tato oprávnění, která jsou potřebná ke správě profilů certifikátů v Configuration Manager. Další informace najdete v části Konfigurace správy na základě rolí v článku Konfigurace zabezpečení . |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro