Sdílet prostřednictvím


Certifikáty v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Configuration Manager používá kombinaci digitálních certifikátů infrastruktury veřejných klíčů podepsaných svým držitelem (PKI).

Používejte certifikáty PKI, kdykoli je to možné. Další informace najdete v tématu Požadavky na certifikát PKI. Když Configuration Manager během registrace mobilních zařízení požádá o certifikáty PKI, použijte Active Directory Domain Services a certifikační autoritu organizace. U všech ostatních certifikátů PKI je nasaďte a spravujte nezávisle na Configuration Manager.

Certifikáty PKI se vyžadují, když se klientské počítače připojují k internetovým systémům lokality. Brána pro správu cloudu také vyžaduje certifikáty. Další informace najdete v tématu Správa klientů na internetu.

Při použití infrastruktury veřejných klíčů můžete také použít protokol IPsec k zabezpečení komunikace mezi servery mezi systémy lokality v lokalitě, mezi lokalitami a pro další přenos dat mezi počítači. Implementace protokolu IPsec je nezávislá na Configuration Manager.

Pokud certifikáty PKI nejsou k dispozici, Configuration Manager automaticky vygeneruje certifikáty podepsané svým držitelem. Některé certifikáty v Configuration Manager jsou vždy podepsané svým držitelem. Ve většině případů Configuration Manager automaticky spravuje certifikáty podepsané svým držitelem a nemusíte provádět další akce. Jedním z příkladů je podpisový certifikát serveru lokality. Tento certifikát je vždy podepsaný svým držitelem. Zajišťuje, že zásady, které klienti stahují z bodu správy, byly odeslány ze serveru lokality a nebyly s nimi manipulováno. Dalším příkladem je, že když lokalitě povolíte rozšířený protokol HTTP, vydá tato lokalita pro role serveru lokality certifikáty podepsané svým držitelem.

Důležité

Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.

Certifikáty CNG v3

Configuration Manager podporuje certifikáty Cryptography: Next Generation (CNG) v3. Configuration Manager klienti můžou používat ověřovací certifikát klienta PKI s privátním klíčem ve zprostředkovateli úložiště klíčů CNG (KSP). S podporou KSP Configuration Manager klienti podporují privátní klíče založené na hardwaru, jako je tpm KSP pro certifikáty ověřování klientů PKI.

Další informace najdete v tématu Přehled certifikátů CNG v3.

Rozšířený protokol HTTP

Použití komunikace HTTPS se doporučuje pro všechny Configuration Manager komunikační cesty, ale pro některé zákazníky je náročné kvůli režijním nákladům na správu certifikátů PKI. Zavedení integrace Microsoft Entra snižuje některé, ale ne všechny požadavky na certifikáty. Místo toho můžete webu povolit použití rozšířeného protokolu HTTP. Tato konfigurace podporuje protokol HTTPS v systémech lokality pomocí certifikátů podepsaných svým držitelem a v některých scénářích s ID Microsoft Entra. Nevyžaduje infrastrukturu veřejných klíčů.

Další informace najdete v tématu Rozšířený protokol HTTP.

Certifikáty pro CMG

Správa klientů na internetu prostřednictvím brány pro správu cloudu (CMG) vyžaduje použití certifikátů. Počet a typ certifikátů se liší v závislosti na konkrétních scénářích.

Další informace najdete v tématu Kontrolní seznam nastavení CMG.

Poznámka

Cloudový distribuční bod (CDP) je zastaralý. Od verze 2107 nemůžete vytvářet nové instance CDP. Pokud chcete poskytovat obsah internetovým zařízením, povolte cmg distribuci obsahu. Další informace najdete v tématu Zastaralé funkce.

Další informace o certifikátech pro cdp najdete v tématu Certifikáty pro cloudový distribuční bod.

Podpisový certifikát serveru lokality

Server lokality vždy vytvoří certifikát podepsaný svým držitelem. Tento certifikát používá k několika účelům.

Klienti můžou bezpečně získat kopii podpisového certifikátu serveru lokality z Active Directory Domain Services a z klientské nabízené instalace. Pokud klienti nemůžou získat kopii tohoto certifikátu pomocí některého z těchto mechanismů, nainstalujte ji při instalaci klienta. Tento proces je zvlášť důležitý, pokud první komunikace klienta s lokalitou probíhá s internetovým bodem správy. Vzhledem k tomu, že je tento server připojený k nedůvěryhodné síti, je zranitelnější vůči útokům. Pokud tento další krok neuděláte, klienti automaticky stáhnou kopii podpisového certifikátu serveru lokality z bodu správy.

Klienti nemůžou bezpečně získat kopii certifikátu serveru lokality v následujících scénářích:

  • Klienta nenainstalujete pomocí nabízených oznámení klienta a:

    • Neprodloužili jste schéma služby Active Directory pro Configuration Manager.

    • Nepublikujete lokalitu klienta pro Active Directory Domain Services.

    • Klient pochází z nedůvěryhodné doménové struktury nebo pracovní skupiny.

  • Používáte internetovou správu klientů a klienta nainstalujete, když je na internetu.

Další informace o instalaci klientů s kopií podpisového certifikátu serveru lokality získáte pomocí vlastnosti příkazového řádku SMSSIGNCERT . Další informace najdete v tématu o parametrech a vlastnostech instalace klienta.

Poskytovatel úložiště klíčů vázaný na hardware

Configuration Manager používá certifikáty podepsané svým držitelem pro identitu klienta a k ochraně komunikace mezi klientem a systémy lokality. Když lokalitu a klienty aktualizujete na verzi 2107 nebo novější, klient uloží svůj certifikát z lokality ve zprostředkovateli úložiště klíčů vázaném na hardware (KSP). Tento KSP je obvykle čip TPM (Trusted Platform Module) minimálně verze 2.0. Certifikát je také označen jako neexportovatelný.

Pokud má klient také certifikát založený na infrastruktuře PKI, bude ho dál používat pro komunikaci TLS HTTPS. K podepisování zpráv s webem používá svůj certifikát podepsaný svým držitelem. Další informace najdete v tématu Požadavky na certifikát PKI.

Poznámka

U klientů, kteří mají také certifikát PKI, konzola Configuration Manager zobrazí vlastnost Klientský certifikát jako podepsaný svým držitelem. Na ovládacím panelu klienta Vlastnost Klientského certifikátu se zobrazuje PKI.

Když aktualizujete na verzi 2107 nebo novější, klienti s certifikáty PKI znovu vytvoří certifikáty podepsané svým držitelem, ale znovu se k lokalitě neregistrují. Klienti bez certifikátu PKI se k lokalitě znovu zaregistrují, což může způsobit dodatečné zpracování v lokalitě. Ujistěte se, že proces aktualizace klientů umožňuje randomizaci. Pokud současně aktualizujete velké množství klientů, může to způsobit backlog na serveru lokality.

Configuration Manager nepoužívá čipy TPM, které jsou známé jako zranitelné. Například verze čipu TPM je starší než 2.0. Pokud má zařízení ohrožený čip TPM, klient se vrátí k použití softwarového poskytovatele KSP. Certifikát se stále nedá exportovat.

Médium pro nasazení operačního systému nepoužívá hardwarové certifikáty, ale dál používá certifikáty podepsané svým držitelem z lokality. Médium vytvoříte na zařízení, které má konzolu, ale pak ho můžete spustit na libovolném klientovi.

Při řešení potíží s chováním certifikátů použijte v klientovi soubor CertificateMaintenance.log .

Další kroky