Úvod do profilů certifikátů ve Správci konfigurace
Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Informace v tomto tématu se vztahují pouze k nástroji System Center 2012 R2 Configuration Manager a System Center 2012 R2 Configuration Manager SP1.
Profily certifikátů v nástroji System Center 2012 Configuration Manager spolupracují s rolí služby AD CS (Active Directory Certificate Services) a služby zápisu síťových zařízení při zajišťování ověřovacích certifikátů pro spravovaná zařízení. Uživatelé tak mohou snadno přistupovat k prostředkům společnosti. Můžete například vytvořit a nasadit profily certifikátů, které zajistí uživatelům potřebné certifikáty pro navazování připojení VPN a bezdrátových připojení.
Profily certifikátů v nástroji Configuration Manager nabízí následující možnosti správy:
Zápis a obnova certifikátů od certifikační autority (CA) rozlehlé sítě pro zařízení se systémem iOS, Windows 8.1, Windows RT 8.1 a Android. Tyto certifikáty lze následně použít pro připojení Wi-Fi a VPN.
Nasazení důvěryhodných kořenových certifikátů CA a zprostředkujících certifikátů CA pro konfiguraci řetězu certifikátů, který zařízení používají pro připojení VPN a Wi-Fi v případě, že je požadováno ověřování serveru.
Monitorování a vytváření sestav s informacemi o instalovaných certifikátech.
Profily certifikátů umožňují automatickou konfiguraci zařízení uživatelů, kteří tak mohou přistupovat k sítím Wi-Fi, serverům VPN a dalším prostředkům společnosti bez nutnosti ruční instalace certifikátů nebo používání vzdáleného procesu. Profily certifikátů také mohou přispět k zabezpečení prostředků společnosti, protože umožňují používat bezpečnější nastavení podporovaná infrastrukturou veřejných klíčů (PKI) ve společnosti. Můžete například požadovat ověřování serveru u všech připojení Wi-Fi a VPN, protože jste pro spravovaná zařízení zajistili požadované certifikáty.
Příklad: Všichni zaměstnanci musí mít možnost připojení k Wi-Fi hotspotům v různých sídlech společnosti. Aby to bylo možné, můžete nasadit certifikáty požadované k navázání připojení Wi-Fi a současně v nástroji Configuration Manager nasadit profily sítě Wi-Fi, které se odkazují na správný certifikát. Připojení k síti Wi-Fi je pak pro uživatele velmi snadné.
Příklad: Máte vytvořenou infrastrukturu PKI a chcete přejít na flexibilnější a bezpečnější metodu zajišťování certifikátů, která umožní uživatelům přístup k prostředkům společnosti z jejich osobních zařízení, aniž by tím bylo narušeno zabezpečení. Za tím účelem můžete konfigurovat profily certifikátů obsahující nastavení a protokoly podporované určitými platformami zařízení. Zařízení si pak mohou tyto certifikáty automaticky vyžádat ze serveru zápisu, který je připojen k Internetu. Následně můžete konfigurovat profily VPN, aby používaly tyto certifikáty, a umožnit tak přístup k prostředkům společnosti ze zařízení.
Typy profilů certifikátů
V nástroji Configuration Manager můžete vytvořit dva typy profilů certifikátů:
Certifikát důvěryhodné certifikační autority – umožňuje nasadit důvěryhodný kořenový certifikát CA nebo zprostředkující certifikát CA a vytvořit řetězec certifikátů pro případ, kdy zařízení musí ověřit server.
Nastavení SCEP (Simple Certificate Enrollment Protocol) – umožňuje požadovat certifikát pro zařízení nebo uživatele pomocí protokolu SCEP a služby zápisu síťových zařízení na serveru se systémem Windows Server 2012 R2.
Poznámka
Nejprve musíte vytvořit profil certifikátu typu Certifikát důvěryhodné certifikační autority, teprve pak lze vytvořit profil certifikátu typu Nastavení SCEP (Simple Certificate Enrollment Protocol).
Požadavky a podporované platformy
Chcete-li nasadit profily certifikátů používající protokol SCEP (Simple Certificate Enrollment Protocol), musíte nainstalovat bod registrace certifikátu na systémovém serveru lokality centrální správy nebo v primární lokalitě. Musíte také nainstalovat modul zásad pro službu zápisu síťových zařízení a modul zásad nástroje Configuration Manager na serveru se systémem Windows Server 2012 R2 s rolí služby AD CS (Active Directory Certificate Services) a funkční službu zápisu síťových zařízení přístupnou zařízením, která certifikáty požadují. U zařízení zapsaných službou Microsoft Intune je k tomu třeba, aby služba zápisu síťových zařízení byla přístupná z Internetu, například v monitorované podsíti (známé také jako demilitarizovaná zóna (DMZ)).
Další informace o tom, jak služba zápisu síťových zařízení podporuje modul zásad a umožňuje tak nástroji Configuration Manager nasazovat certifikáty, naleznete v tématu Using a Policy Module with the Network Device Enrollment Service (Použití modulu zásad se službou zápisu síťových zařízení).
Configuration Manager podporuje nasazení certifikátů do různých úložišť certifikátů v závislosti na požadavcích, na typu zařízení a operačním systému. Jsou podporovány následující zařízení a operační systémy:
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
.jpeg "System_CAPS_warning")
UpozorněníJako podporu Windows Phone 8.1 musíte nainstalovat volitelné rozšíření Windows Phone 8.1. Informace o tom, jak rozšíření nainstalovat, najdete v tématu Plánování, jak používat rozšíření v Configuration Manageru.
iOS
Android
Poznámka
Informace o akcích, které musí koncoví uživatelé provést při instalaci certifikátu do zařízení se systémem Android, naleznete v tématu Instalace certifikátů v zařízeních se systémem Android v nástroji Configuration Manager.
.jpeg "System_CAPS_important") Důležité |
|---|
Abyste mohli nasadit profily do zařízení Android, iOS, Windows Phone a zaregistrovaných zařízení Windows 8.1, musí být tato zařízení zaregistrovaná ve službě Microsoft Intune. Informace o registraci vašeho zařízení najdete v tématu Správa mobilních zařízení v Microsoft Intune. |
Typický scénář v nástroji System Center 2012 Configuration Manager zahrnuje instalaci důvěryhodných kořenových certifikátů CA pro ověřování serverů sítí Wi-Fi a VPN, když připojení používá ověřovací protokoly EAP-TLS, EAP-TTLS a PEAP a tunelové protokoly IKEv2, L2TP/IPsec a Cisco IPsec pro síť VPN.
Než může zařízení požadovat certifikáty pomocí profilu certifikátu SCEP, musíte zajistit, aby do něj byl nainstalován kořenový certifikát CA rozlehlé sítě.
V profilu certifikátu SCEP můžete zadat řadu nastavení upravujících vyžadování přizpůsobených certifikátů pro různá prostředí nebo požadavky na připojení.Průvodce vytvořením profilu certifikátu obsahuje dvě stránky parametrů zápisu. První s názvem Zápis SCEP obsahuje nastavení požadavku na zápis a místa instalace certifikátu. Druhá s názvem Vlastnosti certifikátu popisuje vlastní požadovaný certifikát.
Nasazení profilů certifikátů
Když nasadíte profil certifikátu, soubory certifikátu obsažené v profilu jsou nainstalovány do klientských zařízení. Proběhne rovněž nasazení parametrů SCEP a klientské zařízení bude zpracovávat požadavky SCEP. Profily certifikátů můžete nasadit do kolekcí uživatelů nebo zařízení a zadat cílové úložiště pro každý certifikát. Možnost instalace certifikátů do zařízení je dána pravidly použitelnosti. Nasadíte-li profily certifikátů do kolekcí uživatelů, rozhoduje o cílových zařízeních instalace certifikátů funkce spřažení uživatelských zařízení. Při nasazení profilů certifikátů obsahujících uživatelské certifikáty do kolekcí zařízení jsou certifikáty ve výchozím nastavení nainstalovány do primárních zařízení jednotlivých uživatelů. Chcete-li toto chování změnit, můžete certifikát nainstalovat do libovolných zařízení uživatele pomocí stránky Zápis SCEP v rámci Průvodce vytvořením profilu certifikátu. Certifikáty uživatelů dále nejsou nasazovány do počítačů v pracovních skupinách.
Monitorování profilů certifikátů
Nasazení profilů certifikátů můžete monitorovat v uzlu Nasazení pracovního prostoru Sledování v konzole nástroje Configuration Manager.
K monitorování profilů certifikátů můžete také použít následující sestavy nástroje Configuration Manager:
Historie certifikátů vydaných bodem registrace certifikátu
Seznam prostředků podle stavu vystavení certifikátu pro certifikáty zapsané bodem registrace certifikátu
Seznam prostředků s certifikáty s blížícím se datem konce platnosti
Automatické odvolávání certifikátů
Configuration Manager automaticky odvolává certifikáty uživatelů a počítačů nasazené s použitím profilů certifikátů v následujících situacích:
Zařízení je vyřazeno ze správy pomocí nástroje Configuration Manager.
Zařízení je selektivně vymazáno.
Zařízení je blokováno v hierarchii nástroje Configuration Manager.
Při odvolání certifikátu server lokality zašle příkaz k odvolání vydávající certifikační autoritě. Jako důvod odvolání je uvedeno Ukončení provádění operací.
Co je nového v nástroji System Center 2012 R2 Configuration Manager
Poznámka
Informace v této části se zobrazují také v – příručka Základy použití nástroje System Center 2012 Configuration Manager.
Profily certifikátů představují novou funkci nástroje System Center 2012 R2 Configuration Manager. Poskytují následující možnosti a mají některé závislé konfigurace:
Nasazení certifikátů uživatelů a zařízení pro spravovaná zařízení pomocí protokolu SCEP (Simple Certificate Enrollment Protocol). Tyto certifikáty lze použít pro podporu připojení Wi-Fi a VPN.
Mezi podporovaná zařízení patří zařízení se systémem iOS, Windows 8.1, Windows RT 8.1 a Android.
Nasazení kořenových certifikátů certifikační autority (CA) a zprostředkujících certifikátů CA, které zařízením umožňují vytvořit řetěz certifikátů pro ověřování serveru u síťových připojení.
Bod registrace certifikátu musí být nasazen v lokalitě centrální správy nebo v primární lokalitě a modul zásad nástroje Configuration Manager musí být instalován na serveru se systémem Windows Server 2012 R2 s rolí služby AD CS (Active Directory Certificate Services) a služby zápisu síťových zařízení. Tento server musí být přístupný z Internetu a komunikovat s certifikační autoritou rozlehlé sítě při vydávání certifikátů. Další informace o změnách ve službě zápisu síťových zařízení souvisejících s podporou tohoto scénáře naleznete v tématu What's New in Certificate Services in Windows Server 2012 R2 (Co je nového v certifikačních službách v systému Windows Server 2012 R2).
Co je nového v nástroji System Center 2012 Configuration Manager SP2
Nástroj Configuration Manager 2012 SP2 umožňuje zřídit soubory ve formátu .pfx (Personal Information Exchange) v zařízeních uživatele. Soubory PFX můžete použít k vygenerování certifikátů uživatele pro podporu výměny šifrovaných dat. Certifikáty PFX lze vytvořit v Configuration Manageru nebo importovat. V Configuration Manageru 2012 SP2 lze importované nebo nové certifikáty PFX nasadit do zařízení iOS, Android, Windows 8.1 a novějších zařízení a Windows Phone 8.1 a novějších zařízení. Tyto soubory jde potom nasadit do více zařízení pro podporu uživatelské komunikace PKI. Informace o souborech PFX najdete v tématu .No text is shown for link '1151e4ef-647e-4a8c-ae37-d5f0972dc4da'. The title of the linked topic might be empty.