Planeación de la seguridad en Configuration ManagerPlan for security in Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

En este artículo se describen los conceptos para tener en cuenta al planear la seguridad con la implementación de Configuration Manager.This article describes the concepts for you to consider when planning for security with your Configuration Manager implementation. Se incluyen las secciones siguientes:It includes the following sections:

Planear certificados (autofirmados y PKI)Plan for certificates (self-signed and PKI)

Configuration Manager usa una combinación de certificados autofirmados y certificados de infraestructura de clave pública (PKI).Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Use los certificados PKI siempre que sea posible.Use PKI certificates whenever possible. Para obtener más información, vea Requisitos de certificados PKI.For more information, see PKI certificate requirements. Cuando Configuration Manager solicita los certificados PKI durante la inscripción de dispositivos móviles, se debe usar Active Directory Domain Services y una entidad de certificación empresarial.When Configuration Manager requests PKI certificates during enrollment for mobile devices, you must use Active Directory Domain Services and an enterprise certification authority. Los demás certificados PKI se deben implementar y administrar independientemente de Configuration Manager.For all other PKI certificates, deploy and manage them independently from Configuration Manager.

Los certificados PKI son necesarios cuando los equipos cliente se conectan a sistemas de sitio basados en internet.PKI certificates are required when client computers connect to internet-based site systems. En algunos escenarios con Cloud Management Gateway y el punto de distribución de nube también se requieren los certificados PKI.Some scenarios with the cloud management gateway and cloud distribution point also require PKI certificates. Para más información, vea Administrar clientes en Internet.For more information, see Manage clients on the internet.

Cuando usa PKI, también puede usar IPsec para proteger la comunicación de servidor a servidor entre sistemas de sitio en un sitio, entre sitios, y para otras transferencias de datos entre equipos.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. La implementación de IPsec es independiente de Configuration Manager.Implementation of IPsec is independent from Configuration Manager.

Si no hay certificados PKI disponibles, Configuration Manager genera certificados autofirmados de forma automática.When PKI certificates aren't available, Configuration Manager automatically generates self-signed certificates. Algunos certificados de Configuration Manager siempre son autofirmados.Some certificates in Configuration Manager are always self-signed. En la mayoría de los casos, Configuration Manager administra automáticamente los certificados autofirmados y no es necesario tomar medidas adicionales.In most cases, Configuration Manager automatically manages the self-signed certificates, and you don't have to take additional action. Un ejemplo es el certificado de firma de servidor de sitio.One example is the site server signing certificate. Este certificado siempre es autofirmado.This certificate is always self-signed. Se asegura de que las directivas que los clientes descargan del punto de administración se enviaron desde el servidor de sitio y no se han alterado.It makes sure that the policies that clients download from the management point were sent from the site server and weren't tampered with.

Certificados Cryptography: Next Generation (CNG)Cryptography: Next Generation (CNG) certificates

Configuration Manager admite los certificados Cryptography: Next Generation (CNG).Configuration Manager supports Cryptography: Next Generation (CNG) certificates. Los clientes de Configuration Manager pueden usar un certificado de autenticación del cliente PKI con clave privada en el proveedor de almacenamiento de claves (KSP) de CNG.Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Gracias a la compatibilidad con KSP, los clientes de Configuration Manager admiten una clave privada basada en hardware, como el KSP de TPM para los certificados de autenticación de cliente PKI.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates. Para obtener más información, consulte Introducción a los certificados CNG.For more information, see CNG certificates overview.

HTTP mejoradoEnhanced HTTP

Se recomienda usar la comunicación HTTPS para todas las vías de comunicación de Configuration Manager, pero puede ser un reto para algunos clientes debido a la sobrecarga de administración de los certificados PKI.Using HTTPS communication is recommended for all Configuration Manager communication paths, but is challenging for some customers due to the overhead of managing PKI certificates. La introducción de la integración de Azure Active Directory (Azure AD) reduce algunos requisitos de certificado, pero no todos.The introduction of Azure Active Directory (Azure AD) integration reduces some but not all of the certificate requirements. A partir de la versión 1806, puede habilitar el sitio para usar HTTP mejorado.Starting in version 1806, you can enable the site to use Enhanced HTTP. Esta configuración admite HTTPS en los sistemas de sitio mediante una combinación de certificados autofirmados y Azure AD.This configuration supports HTTPS on site systems by using a combination of self-signed certificates and Azure AD. No requiere PKI.It doesn't require PKI. Para obtener más información, vea HTTP mejorado.For more information, see Enhanced HTTP.

Certificados para CMG y CDPCertificates for CMG and CDP

La administración de clientes en Internet a través de Cloud Management Gateway (CMG) y el punto de distribución de nube (CDP) requiere el uso de certificados.Managing clients on the internet via the cloud management gateway (CMG) and cloud distribution point (CDP) requires the use of certificates. El número y tipo de certificados varía en función de cada escenario.The number and type of certificates varies depending upon your specific scenarios. Vea los siguientes artículos para más información:For more information, see the following articles:

Planificación del certificado de firma de servidor de sitio (autofirmado)Plan for the site server signing certificate (self-signed)

Los clientes pueden obtener de forma segura una copia del certificado de firma de servidor de sitio a través de Active Directory Domain Service y de la instalación de inserción de cliente.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Si los clientes no pueden obtener una copia de este certificado mediante uno de estos mecanismos, instálelo al instalar el cliente.If clients can't get a copy of this certificate by one of these mechanisms, install it when you install the client. Este proceso es especialmente importante si la primera comunicación del cliente se establece con un punto de administración basado en Internet.This process is especially important if the client's first communication with the site is with an internet-based management point. Como este servidor está conectado a una red de confianza, es más vulnerable a los ataques.Because this server is connected to an untrusted network, it's more vulnerable to attack. Si no se realiza este paso adicional, los clientes descargan automáticamente una copia del certificado de firma de servidor de sitio desde el punto de administración.If you don't take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Los clientes no pueden obtener de forma segura una copia del certificado de servidor de sitio en los escenarios siguientes:Clients can't securely get a copy of the site server certificate in the following scenarios:

  • No se instala el cliente mediante la inserción del cliente, y:You don't install the client by using client push, and:

    • No se ha ampliado el esquema de Active Directory para Configuration Manager.You haven't extended the Active Directory schema for Configuration Manager.

    • No se ha publicado el sitio del cliente en Active Directory Domain Services.You haven't published the client's site to Active Directory Domain Services.

    • El cliente pertenece a un grupo de trabajo o un bosque que no es de confianza.The client is from an untrusted forest or a workgroup.

  • Se usa la administración de clientes basada en Internet y el cliente se instala cuando está en Internet.You're using internet-based client management and you install the client when it's on the internet.

Para instalar clientes con una copia del certificado de firma de servidor de sitioTo install clients with a copy of the site server signing certificate

  1. Busque el certificado de firma de servidor de sitio en el servidor de sitio primario.Locate the site server signing certificate on the primary site server. El certificado se almacena en el almacén de certificados SMS de Windows.The certificate is stored in the SMS certificate store of Windows. Tiene el nombre de sujeto Servidor de sitio y el nombre descriptivo Certificado de firma de servidor de sitio.It has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exporte el certificado sin la clave privada, almacene el archivo de forma segura y acceda a él solo desde un canal seguro.Export the certificate without the private key, store the file securely, and access it only from a secured channel.

  3. Instale el cliente con la propiedad de client.msi siguiente: SMSSIGNCERT=<full path and file name>Install the client by using the following client.msi property: SMSSIGNCERT=<full path and file name>

Planear la revocación de certificados PKIPlan for PKI certificate revocation

Cuando se usan certificados PKI con Configuration Manager, planifique el uso de una lista de revocación de certificados (CRL).When you use PKI certificates with Configuration Manager, plan for use of a certificate revocation list (CRL). Los dispositivos usan la CRL para comprobar el certificado en el equipo que realiza la conexión.Devices use the CRL to verify the certificate on the connecting computer. La CRL es un archivo creado y firmado por una entidad de certificación (CA).The CRL is a file that a certificate authority (CA) creates and signs. Tiene una lista de certificados que la entidad de certificación ha emitido pero revocado.It has a list of certificates that the CA has issued but revoked. Cuando un administrador de certificados revoca los certificados, su huella digital se agrega a la CRL.When a certificate administrator revokes certificates, its thumbprint is added to the CRL. Por ejemplo, si se sabe o se sospecha que un certificado emitido se ha puesto en peligro.For example, if an issued certificate is known or suspected to be compromised.

Importante

Como la ubicación de la CRL se agrega al certificado cuando lo emite la CA, asegúrese de planificar la CRL antes de implementar los certificados PKI que usa Configuration Manager.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager uses.

IIS comprueba siempre la CRL de los certificados de cliente, y esta configuración no se puede cambiar en Configuration Manager.IIS always checks the CRL for client certificates, and you can't change this configuration in Configuration Manager. De forma predeterminada, los clientes de Configuration Manager siempre comprueban la CRL para sistemas de sitio.By default, Configuration Manager clients always check the CRL for site systems. Para deshabilitar esta configuración, especifique una propiedad del sitio y una propiedad de CCMSetup.Disable this setting by specifying a site property and by specifying a CCMSetup property.

Los equipos en los que se usa la comprobación de revocación de certificados pero que no pueden encontrar la CRL se comportan como si todos los certificados de la cadena de certificación estuvieran revocados.Computers that use certificate revocation checking but can't locate the CRL behave as if all certificates in the certification chain are revoked. Esto se debe a que no pueden comprobar que los certificados estén en la lista de revocación de certificados.This behavior is due to the fact that they can't verify if the certificates are in the certificate revocation list. En este escenario, se produce un error en todas las conexiones que requieren certificados e incorporan la comprobación de la CRL.In this scenario, all connections fail that require certificates and include CRL checking. Al validar que la CRL esté disponible navegando hasta su ubicación HTTP, es importante tener en cuenta que el cliente de Configuration Manager se ejecuta como sistema local.When validating that your CRL is accessible by browsing to its http location, it is important to note that the Configuration Manager client runs as LOCAL SYSTEM. Por lo tanto, la prueba de accesibilidad de la CRL con un navegador web ejecutado en el contexto del usuario puede realizarse correctamente, aunque es posible que la cuenta del ordenador se bloquee al intentar realizar una conexión HTTP a la misma URL de CRL debido a la solución de filtrado web interna.Therefore, testing CRL accessibility with a web browser running under user context may succeed, however the computer account may be blocked when attempting to make an http connection to the same CRL URL due to the internal web filtering solution. En esta situación, puede que deba agregar la URL de la CRL a la lista de direcciones permitidas de todas las soluciones de filtrado web.Whitelisting the CRL URL on any web filtering solutions may be necessary in this situation.

La comprobación de la CRL cada vez que se usa un certificado proporciona mayor seguridad que usar un certificado que se ha revocado.Checking the CRL every time that a certificate is used offers more security against using a certificate that's revoked. Pero supone un retraso en la conexión y procesamiento adicional en el cliente.Although it introduces a connection delay and additional processing on the client. Es posible que la organización requiera esta comprobación de seguridad adicional para los clientes que están en Internet o en una red que no es de confianza.Your organization may require this additional security check for clients on the internet or an untrusted network.

Consulte con los administradores de PKI antes de decidir si los clientes de Configuration Manager deben comprobar la CRL.Consult your PKI administrators before you decide whether Configuration Manager clients must check the CRL. Después, considere la posibilidad de mantener esta opción habilitada en Configuration Manager cuando se cumplan las dos condiciones siguientes:Then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • La infraestructura de PKI admite una CRL, y está publicada donde todos los clientes de Configuration Manager puedan encontrarla.Your PKI infrastructure supports a CRL, and it's published where all Configuration Manager clients can locate it. Es posible que estos clientes incluyan dispositivos en Internet y en bosques que no son de confianza.These clients might include devices on the internet, and ones in untrusted forests.

  • El requisito de comprobar la CRL para cada conexión a un sistema de sitio que está configurado para usar un certificado PKI es mayor que los requisitos siguientes:The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the following requirements:

    • Conexiones más rápidasFaster connections
    • Procesamiento eficaz en el clienteEfficient processing on the client
    • El riesgo de que los clientes no puedan conectarse a los servidores si no se puede encontrar la CRLThe risk of clients failing to connect to servers if the CRL cannot be located

Planear los certificados raíz de confianza PKI y la lista de emisores de certificadosPlan for the PKI trusted root certificates and the certificate issuers list

Si en los sistemas de sitio de IIS se usan certificados de cliente PKI para la autenticación de cliente a través de HTTP, o bien para la autenticación de cliente y el cifrado a través de HTTPS, es posible que tenga que importar los certificados de CA raíz como una propiedad de sitio.If your IIS site systems use PKI client certificates for client authentication over HTTP, or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Estos son los dos escenarios:Here are the two scenarios:

  • Se implementan los sistemas operativos mediante el uso de Configuration Manager y los puntos de administración solo aceptan conexiones de cliente HTTPS.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Se usan certificados de cliente PKI que no están vinculados a un certificado raíz de confianza para los puntos de administración.You use PKI client certificates that don't chain to a root certificate that the management points trust.

    Nota

    Cuando se emiten certificados PKI de cliente desde la misma jerarquía de CA que emite los certificados de servidor que se usan para los puntos de administración, no es necesario especificar este certificado de CA raíz.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you don't have to specify this root CA certificate. Pero si usa varias jerarquías de CA y no está seguro de si tienen confianza mutua, importe la CA raíz de la jerarquía de entidades de certificación de los clientes.However, if you use multiple CA hierarchies and you aren't sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Si debe importar los certificados de CA raíz para Configuration Manager, expórtelos desde la CA emisora o desde el equipo cliente.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Si exporta el certificado desde la CA emisora que también es la CA raíz, asegúrese de que no exporta la clave privada.If you export the certificate from the issuing CA that's also the root CA, make sure you don't export the private key. Almacene el archivo de certificado exportado en una ubicación segura para evitar que sea alterado.Store the exported certificate file in a secure location to prevent tampering. Necesita acceso al archivo al configurar el sitio.You need access to the file when you set up the site. Si accede al archivo a través de la red, asegúrese de que la comunicación está protegida contra alteraciones mediante IPsec.If you access the file over the network, make sure the communication is protected from tampering by using IPsec.

Si cualquier certificado de CA raíz que importa se renueva, debe importar el certificado renovado.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Estos certificados de CA raíz importados y el certificado de CA raíz de cada punto de administración forman la lista de emisores de certificados que los equipos de Configuration Manager usan de las siguientes maneras:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Cuando los clientes se conectan a puntos de administración, el punto de administración comprueba que el certificado de cliente esté vinculado a un certificado raíz de confianza de la lista de emisores de certificados del sitio.When clients connect to management points, the management point verifies that the client certificate is chained to a trusted root certificate in the site's certificate issuers list. Si no es así, se rechaza el certificado y se produce un error en la conexión de PKI.If it doesn't, the certificate is rejected, and the PKI connection fails.

  • Cuando los clientes seleccionan un certificado PKI y tienen una lista de emisores de certificados, seleccionan un certificado vinculado a un certificado raíz de confianza de la lista de emisores de certificados.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Si no hay ninguna coincidencia, el cliente no selecciona un certificado PKI.If there's no match, the client doesn't select a PKI certificate. Para obtener más información, vea Planificación de la revocación de certificados PKI.For more information, see Plan for PKI client certificate selection.

Planear la selección de certificados de cliente PKIPlan for PKI client certificate selection

Si en los sistemas de sitio de IIS se usan certificados de cliente PKI para la autenticación de cliente a través de HTTP o para la autenticación de cliente y el cifrado a través de HTTPS, planifique cómo seleccionan los clientes de Windows el certificado que se va a usar para Configuration Manager.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients select the certificate to use for Configuration Manager.

Nota

Algunos dispositivos no admiten un método de selección de certificado.Some devices don't support a certificate selection method. En su lugar, seleccionan automáticamente el primer certificado que cumple los requisitos de certificados.Instead, they automatically select the first certificate that fulfills the certificate requirements. Por ejemplo, los clientes de equipos y dispositivos móviles Mac no admiten un método de selección de certificado.For example, clients on Mac computers and mobile devices don't support a certificate selection method.

En muchos casos, la configuración y el comportamiento predeterminados son suficientes.In many cases, the default configuration and behavior is sufficient. El cliente de Configuration Manager en equipos de Windows filtra varios certificados mediante estos criterios en este orden:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. La lista de emisores de certificados: El certificado está vinculado a una CA raíz que es confiable para el punto de administración.The certificate issuers list: The certificate chains to a root CA that's trusted by the management point.

  2. El certificado se encuentra en el almacén de certificados predeterminado Personal.The certificate is in the default certificate store of Personal.

  3. El certificado es válido, no se revocó y no expiró.The certificate is valid, not revoked, and not expired. La comprobación de validez también comprueba que la clave privada es accesible.The validity check also verifies that the private key is accessible.

  4. El certificado tiene capacidad de autenticación de cliente, o se ha emitido con el nombre del equipo.The certificate has client authentication capability, or it's issued to the computer name.

  5. El certificado tiene el periodo de validez más largo.The certificate has the longest validity period.

Configure los clientes para que usen la lista de emisores de certificados mediante los mecanismos siguientes:Configure clients to use the certificate issuers list by using the following mechanisms:

  • Publíquela con información de sitio de Configuration Manager en Active Directory Domain Services.Publish it with Configuration Manager site information to Active Directory Domain Services.

  • Instale los clientes mediante la inserción del cliente.Install clients by using client push.

  • Los clientes la descargan desde el punto de administración después de ser asignados correctamente a su sitio.Clients download it from the management point after they're successfully assigned to their site.

  • Especifíquela durante la instalación del cliente, como una propiedad client.msi CCMSetup de CCMCERTISSUERS.Specify it during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Los clientes que no tienen la lista de emisores de certificados cuando se instalan por primera vez y todavía no están asignados al sitio, omiten esta comprobación.Clients that don't have the certificate issuers list when they're first installed and aren't yet assigned to the site skip this check. Cuando los clientes tienen la lista de emisores de certificados y no tienen un certificado PKI vinculado a un certificado raíz de confianza de la lista de emisores de certificados, se produce un error en la selección del certificado.When clients do have the certificate issuers list and don't have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails. Los clientes no continúan con los demás criterios de selección de certificados.Clients don't continue with the other certificate selection criteria.

En la mayoría de los casos, el cliente de Configuration Manager identifica correctamente un certificado PKI exclusivo y adecuado.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. Pero si este comportamiento no es así, en lugar de seleccionar el certificado en función de la capacidad de autenticación de cliente, puede configurar dos métodos de selección alternativos:However, when this behavior isn't the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Una coincidencia de cadena parcial del nombre de sujeto del certificado de cliente.A partial string match on the client certificate subject name. Este método es una coincidencia que no distingue mayúsculas de minúsculas.This method is a case-insensitive match. Es adecuado si se usa el nombre de dominio completo (FQDN) de un equipo en el campo del asunto y se quiere basar la selección de certificados en el sufijo del dominio, por ejemplo contoso.com.It's appropriate if you're using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. Pero este método de selección se puede usar para identificar cualquier cadena de caracteres secuenciales del nombre de sujeto del certificado que permita distinguirlo de los demás en el almacén de certificados de cliente.However, you can use this selection method to identify any string of sequential characters in the certificate subject name that differentiates the certificate from others in the client certificate store.

    Nota

    No se puede usar la coincidencia de cadena parcial con el nombre alternativo del firmante (SAN) como configuración de sitio.You can't use the partial string match with the subject alternative name (SAN) as a site setting. Aunque se puede especificar una coincidencia de cadena parcial para el SAN mediante CCMSetup, las propiedades de sitio la sobrescribirán en los escenarios siguientes:Although you can specify a partial string match for the SAN by using CCMSetup, it'll be overwritten by the site properties in the following scenarios:

    • Los clientes recuperan información del sitio que está publicada en Active Directory Domain Services.Clients retrieve site information that's published to Active Directory Domain Services.

      • Los clientes se instalan mediante la instalación de inserción de cliente.Clients are installed by using client push installation.

      Use una coincidencia de cadena parcial del SAN solo cuando instale los clientes manualmente y cuando estos no recuperen la información del sitio desde Active Directory Domain Services.Use a partial string match in the SAN only when you install clients manually and when they don't retrieve site information from Active Directory Domain Services. Por ejemplo, estas condiciones se aplican a los clientes solo de Internet.For example, these conditions apply to internet-only clients.

  • Una coincidencia de los valores de atributo del nombre de firmante del certificado de cliente o de los valores de atributo del nombre alternativo del firmante (SAN).A match on the client certificate subject name attribute values or the subject alternative name (SAN) attribute values. Este método es una coincidencia que distingue mayúsculas de minúsculas.This method is a case-sensitive match. Es adecuado si se usan un nombre distintivo X500 o identificadores de objetos (OID) equivalentes conforme a RFC 3280, y se quiere basar la selección de certificados en los valores de atributo.It's appropriate if you're using an X500 distinguished name or equivalent object identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. Puede especificar sólo los atributos, con sus valores, que necesita para identificar de manera exclusiva o validar el certificado y distinguirlo de los demás certificados del almacén de certificados de cliente.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

En la siguiente tabla aparecen los valores de atributo que Configuration Manager admite para los criterios de selección de certificados de cliente.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Atributo OIDOID Attribute Atributo de nombre distintivoDistinguished name attribute Definición de atributoAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Componente de dominioDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E o E-mailE or E-mail Dirección de correo electrónicoEmail address
2.5.4.32.5.4.3 CNCN Nombre comúnCommon name
2.5.4.42.5.4.4 SNSN Nombre de sujetoSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER Número de serieSerial number
2.5.4.62.5.4.6 CC Código de paísCountry code
2.5.4.72.5.4.7 LL LocalidadLocality
2.5.4.82.5.4.8 S o STS or ST Nombre de estado o provinciaState or province name
2.5.4.92.5.4.9 STREETSTREET DirecciónStreet address
2.5.4.102.5.4.10 OO Nombre de la organizaciónOrganization name
2.5.4.112.5.4.11 OUOU Unidad organizativaOrganizational unit
2.5.4.122.5.4.12 T o TitleT or Title TítuloTitle
2.5.4.422.5.4.42 G o GN o GivenNameG or GN or GivenName Nombre dadoGiven name
2.5.4.432.5.4.43 I o InitialsI or Initials InicialesInitials
2.5.29.172.5.29.17 (ningún valor)(no value) Nombre alternativo del sujetoSubject Alternative Name

Si se encuentra más de un certificado adecuado después de aplicar los criterios de selección, se puede invalidar la configuración predeterminada para seleccionar el certificado que tenga el periodo de validez más largo y, en su lugar, especificar que no se seleccione ningún certificado.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. En este escenario, el cliente no podrá comunicarse con los sistemas de sitio de IIS con un certificado PKI.In this scenario, the client won't be able to communicate with IIS site systems with a PKI certificate. El cliente envía un mensaje de error al punto de estado de reserva asignado para alertar acerca del error de selección de certificados de manera que se puedan cambiar o refinar los criterios de selección de certificados.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. El comportamiento del cliente luego dependerá de si la conexión con errores era HTTPS o HTTP:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Si la conexión con errores era HTTPS: El cliente intenta establecer una conexión a través de HTTP y usa el certificado autofirmado del cliente.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Si la conexión con errores era HTTP: El cliente intenta establecer otra conexión a través de HTTP con el certificado autofirmado del cliente.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Para que sea más fácil identificar un certificado de cliente PKI exclusivo, también puede especificar un almacén personalizado distinto al almacén predeterminado Personal del almacén del Equipo.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. Pero debe crear este almacén independientemente de Configuration Manager.However, you must create this store independently from Configuration Manager. Debe poder implementar certificados en este almacén personalizado y renovarlos antes de que expire el periodo de validez.You must be able to deploy certificates to this custom store and renew them before the validity period expires.

Para obtener más información, vea Configurar opciones de certificados PKI de cliente.For more information, see Configure settings for client PKI certificates.

Planificación de una estrategia de transición para certificados PKI y administración de cliente basada en InternetPlan a transition strategy for PKI certificates and internet-based client management

Las opciones de configuración flexible de Configuration Manager permiten llevar a cabo una transición gradual en los clientes y el sitio hacia el uso de los certificados PKI para proteger los extremos de cliente.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. Los certificados PKI proporcionan mejor seguridad y permiten administrar los clientes de Internet.PKI certificates provide better security and enable you to manage internet clients.

Debido al número de opciones de configuración de Configuration Manager, no existe una única manera de llevar a cabo la transición de un sitio para que todos los clientes usen conexiones HTTPS.Because of the number of configuration options and choices in Configuration Manager, there's no single way to transition a site so that all clients use HTTPS connections. Sin embargo, puede seguir estos pasos como guía:However, you can follow these steps as guidance:

  1. Instale el sitio de Configuration Manager y configúrelo para que los sistemas de sitio acepten conexiones de cliente a través de HTTPS y HTTP.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Configure la pestaña Comunicación de equipo cliente de las propiedades del sitio de modo que la Configuración de sistema de sitio sea HTTP o HTTPS, y seleccione Usar un certificado de cliente PKI (capacidad de autenticación de cliente) cuando esté disponible.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. Para obtener más información, vea Configurar opciones de certificados PKI de cliente.For more information, see Configure settings for client PKI certificates.

    Nota

    A partir de la versión 1906, esta pestaña se denomina Communication Security (Seguridad de la comunicación).Starting in version 1906, this tab is called Communication Security.

  3. Lleve a cabo una implementación de PKI para certificados de cliente.Pilot a PKI rollout for client certificates. Para obtener un ejemplo de implementación, vea Implementación del certificado de cliente para equipos Windows.For an example deployment, see Deploy the client certificate for Windows computers.

  4. Instale los clientes mediante el método de instalación de inserción de cliente.Install clients by using the client push installation method. Para obtener más información, vea Cómo instalar clientes de Configuration Manager mediante la inserción de cliente.For more information, see the How to install Configuration Manager clients by using client push.

  5. Supervise la implementación y el estado de los clientes mediante los informes y la información de la consola de Configuration Manager.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Para realizar el seguimiento del número de clientes que utilizan un certificado PKI de cliente, consulte la columna Certificado de cliente del área de trabajo Activos y compatibilidad , nodo Dispositivos .Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    También puede implementar la herramienta de evaluación de preparación de HTTPS de Configuration Manager (cmHttpsReadiness.exe) en los equipos.You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers. Después, use los informes para ver cuántos equipos pueden usar un certificado PKI de cliente con Configuration Manager.Then use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Nota

    Cuando se instala el cliente de Configuration Manager, se instala la herramienta CMHttpsReadiness.exe en la carpeta %windir%\CCM.When you install the Configuration Manager client, it installs the CMHttpsReadiness.exe tool in the %windir%\CCM folder. Al ejecutar esta herramienta, dispone de las opciones de línea de comandos siguientes:The following command-line options are available when you run this tool:

    • /Store:<name>: esta opción es la misma que la propiedad de client.msi CCMCERTSTORE/Store:<name>: This option is the same as the CCMCERTSTORE client.msi property

    • /Issuers:<list>: esta opción es la misma que la propiedad de client.msi CCMCERTISSUERS/Issuers:<list>: This option is the same as the CCMCERTISSUERS client.msi property

    • /Criteria:<criteria>: esta opción es la misma que la propiedad de client.msi CCMCERTSEL/Criteria:<criteria>: This option is the same as the CCMCERTSEL client.msi property

    • /SelectFirstCert: esta opción es la misma que la propiedad de client.msi CCMFIRSTCERT/SelectFirstCert: This option is the same as the CCMFIRSTCERT client.msi property

      Para obtener más información, vea Información sobre las propiedades de instalación de clientes.For more information, see About client installation properties.

  7. Cuando esté seguro de que un número suficiente de los clientes usa correctamente su certificado PKI de cliente para la autenticación a través de HTTP, siga estos pasos:When you're confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Implemente un certificado de servidor web PKI en un servidor miembro que ejecute un punto de administración adicional para el sitio, y configure ese certificado en IIS.Deploy a PKI web server certificate to a member server that runs an additional management point for the site, and configure that certificate in IIS. Para obtener más información, vea Implementación del certificado de servidor web para sistemas de sitio que ejecutan IIS.For more information, see Deploy the web server certificate for site systems that run IIS.

    2. Instale el rol de punto de administración en este servidor y configure la opción Conexiones de cliente de las propiedades del punto de administración para HTTPS.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Compruebe que los clientes que tienen un certificado PKI utilizan el nuevo punto de administración mediante HTTPS.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. Puede usar el registro de IIS o los contadores de rendimiento para comprobarlo.You can use IIS logging or performance counters to verify.

  9. Vuelva a configurar otros roles de sistema de sitio para utilizar conexiones de cliente HTTPS.Reconfigure other site system roles to use HTTPS client connections. Si quiere administrar clientes en Internet, asegúrese de que los sistemas de sitio tienen un nombre de dominio completo de Internet.If you want to manage clients on the internet, make sure that site systems have an internet FQDN. Configure puntos de administración individuales y puntos de distribución para aceptar conexiones de cliente desde Internet.Configure individual management points and distribution points to accept client connections from the internet.

    Importante

    Antes de configurar los roles de sistema de sitio para que acepten conexiones de Internet, revise la información de planeación y los requisitos previos de la administración de cliente basada en Internet.Before you set up site system roles to accept connections from the internet, review the planning information and prerequisites for internet-based client management. Para obtener más información, vea Communications between endpoints (Comunicaciones entre puntos de conexión).For more information, see Communications between endpoints.

  10. Amplíe la implementación de certificados PKI para clientes y sistemas de sitio que ejecutan IIS.Extend the PKI certificate rollout for clients and for site systems that run IIS. Configure los roles de sistema de sitio para las conexiones de cliente HTTPS y las conexiones a Internet, según sea necesario.Set up the site system roles for HTTPS client connections and internet connections, as required.

  11. Para obtener la máxima seguridad: Cuando esté seguro de que todos los clientes usan un certificado PKI de cliente para la autenticación y el cifrado, cambie las propiedades del sitio para que se use solamente HTTPS.For the highest security: When you're confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Este plan presenta primero los certificados PKI para la autenticación solo a través de HTTP y, después, para la autenticación y el cifrado a través de HTTPS.This plan first introduces PKI certificates for authentication only over HTTP, and then for authentication and encryption over HTTPS. Al seguir este plan para introducir gradualmente estos certificados, se reduce el riesgo de que los clientes se conviertan en no administrados.When you follow this plan to gradually introduce these certificates, you reduce the risk that clients become unmanaged. También se beneficiará de la máxima seguridad que Configuration Manager admite.You'll also benefit from the highest security that Configuration Manager supports.

Planear la clave raíz confiablePlan for the trusted root key

La clave raíz confiable de Configuration Manager proporciona a los clientes de Configuration Manager un mecanismo para comprobar que los sistemas de sitio pertenecen a su jerarquía.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify site systems belong to their hierarchy. Cada servidor de sitio genera una clave de intercambio de sitio para comunicarse con otros sitios.Every site server generates a site exchange key to communicate with other sites. La clave de intercambio de sitio del sitio de nivel superior de la jerarquía se denomina clave raíz confiable.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

La función de la clave raíz confiable en Configuration Manager es similar a un certificado raíz en una infraestructura de clave pública.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure. Todo lo que esté firmado por la clave privada de la clave raíz confiable se considerará confiable en los niveles inferiores de la jerarquía.Anything signed by the private key of the trusted root key is trusted further down the hierarchy. Los clientes almacenan una copia de la clave raíz confiable en el espacio de nombres de WMI root\ccm\locationservices.Clients store a copy of the site's trusted root key in the root\ccm\locationservices WMI namespace.

Por ejemplo, el sitio emite un certificado para el punto de administración, que lo firma con la clave privada de la clave raíz confiable.For example, the site issues a certificate to the management point, which it signs with the private key of the trusted root key. El sitio comparte con los clientes la clave pública de su clave raíz confiable.The site shares with clients the public key of its trusted root key. Después, los clientes pueden distinguir entre los puntos de administración que están en su jerarquía y los que no.Then clients can differentiate between management points that are in their hierarchy and management points that aren't in their hierarchy.

Los clientes recuperan automáticamente la copia pública de la clave raíz confiable mediante dos mecanismos:Clients automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Se extiende el esquema de Active Directory para Configuration Manager, y el sitio se publica en Active Directory Domain Services.You extend the Active Directory schema for Configuration Manager, and publish the site to Active Directory Domain Services. Después, los clientes recuperan la información de este sitio desde un servidor de catálogo global.Then clients retrieve this site information from a global catalog server. Para más información, vea Preparar Active Directory para la publicación de sitios.For more information, see Prepare Active Directory for site publishing.

  • Al instalar los clientes mediante el método de instalación de inserción de cliente.When you install clients using the client push installation method. Para obtener más información, vea Instalación de inserción de cliente.For more information, see Client push installation.

Si los clientes no pueden recuperar la clave raíz confiable mediante uno de estos mecanismos, confiarán en la clave raíz confiable proporcionada por el primer punto de administración con el que se comuniquen.If clients can't retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that's provided by the first management point that they communicate with. En este escenario, un cliente podría ser dirigido erróneamente al punto de administración de un atacante, donde recibiría una directiva del punto de administración no autorizado.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Esta acción requiere un atacante sofisticado.This action requires a sophisticated attacker. Este ataque se limita al breve periodo antes de que el cliente recupere la clave raíz confiable desde un punto de administración válido.This attack is limited to the short time before the client retrieves the trusted root key from a valid management point. Para reducir el riesgo de que un atacante dirija erróneamente a los clientes a un punto de administración no autorizado, aprovisione los clientes previamente con la clave raíz confiable.To reduce this risk of an attacker misdirecting clients to a rogue management point, pre-provision the clients with the trusted root key.

Use los siguientes procedimientos para aprovisionar previamente un cliente de Configuration Manager y comprobar su clave raíz confiable:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

Aprovisionamiento previo de un cliente con la clave raíz confiable mediante un archivoPre-provision a client with the trusted root key by using a file

  1. En el servidor de sitio, abra el archivo siguiente en un editor de texto: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Busque la entrada, SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Copie la clave de esa línea y cierre el archivo sin realizar ningún cambio.Copy the key from that line, and close the file without any changes.

  3. Cree un nuevo archivo de texto y pegue la información de la clave copiada del archivo mobileclient.tcf.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Guarde el archivo en una ubicación donde todos los equipos tengan acceso a él, pero donde esté protegido para evitar alteraciones.Save the file in a location where all computers can access it, but where the file is safe from tampering.

  5. Instale el cliente mediante cualquier método de instalación que acepte las propiedades de client.msi.Install the client by using any installation method that accepts client.msi properties. Especifique la propiedad siguiente: SMSROOTKEYPATH=<full path and file name>Specify the following property: SMSROOTKEYPATH=<full path and file name>

    Importante

    Cuando se especifica la clave raíz confiable durante la instalación de cliente, especifique también el código de sitio.When you specify the trusted root key during client installation, also specify the site code. Use la propiedad de client.msi siguiente: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Aprovisionamiento previo de un cliente con la clave raíz confiable sin usar un archivoPre-provision a client with the trusted root key without using a file

  1. En el servidor de sitio, abra el archivo siguiente en un editor de texto: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Busque la entrada, SMSPublicRootKey= .Locate the entry, SMSPublicRootKey=. Copie la clave de esa línea y cierre el archivo sin realizar ningún cambio.Copy the key from that line, and close the file without any changes.

  3. Instale el cliente mediante cualquier método de instalación que acepte las propiedades de client.msi.Install the client by using any installation method that accepts client.msi properties. Especifique la propiedad de client.msi siguiente: SMSPublicRootKey=<key> donde <key> es la cadena que se ha copiado de mobileclient.tcf.Specify the following client.msi property: SMSPublicRootKey=<key> where <key> is the string that you copied from mobileclient.tcf.

    Importante

    Cuando se especifica la clave raíz confiable durante la instalación de cliente, especifique también el código de sitio.When you specify the trusted root key during client installation, also specify the site code. Use la propiedad de client.msi siguiente: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Comprobación de la clave raíz confiable de un clienteVerify the trusted root key on a client

  1. Abra una consola de Windows PowerShell como administrador.Open a Windows PowerShell console as an administrator.

  2. Ejecute el comando siguiente:Run the following command:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

La cadena devuelta es la clave raíz confiable.The returned string is the trusted root key. Compruebe que coincide con el valor de SMSPublicRootKey del archivo mobileclient.tcf en el servidor de sitio.Verify that it matches the SMSPublicRootKey value in the mobileclient.tcf file on the site server.

Eliminación o reemplazo de la clave raíz confiableRemove or replace the trusted root key

Quite la clave raíz confiable de un cliente mediante la propiedad de client.msi RESETKEYINFORMATION = TRUE.Remove the trusted root key from a client by using the client.msi property, RESETKEYINFORMATION = TRUE.

Para reemplazar la clave raíz confiable, vuelva a instalar al cliente junto con la nueva clave raíz confiable.To replace the trusted root key, reinstall the client together with the new trusted root key. Por ejemplo, use la inserción de cliente, o bien especifique la propiedad de client.msi SMSPublicRootKey.For example, use client push, or specify the client.msi property SMSPublicRootKey.

Para obtener más información sobre estas propiedades de instalación, vea Acerca de los parámetros y propiedades de instalación de cliente.For more information on these installation properties, see About client installation parameters and properties.

Planear la firma y el cifradoPlan for signing and encryption

Cuando se usan certificados PKI para todas las comunicaciones de cliente, no es necesario planear la firma y el cifrado para proteger la comunicación de datos de cliente.When you use PKI certificates for all client communications, you don't have to plan for signing and encryption to help secure client data communication. Si configura sistemas de sitio que ejecutan IIS para permitir las conexiones de cliente HTTP, decida cómo proteger la comunicación de cliente del sitio.If you set up any site systems that run IIS to allow HTTP client connections, decide how to help secure the client communication for the site.

Para proteger los datos que los clientes envían a los puntos de administración, puede requerir que los clientes firmen los datos.To help protect the data that clients send to management points, you can require clients to sign the data. También puede requerir el algoritmo SHA-256 para la firma.You can also require the SHA-256 algorithm for signing. Esta configuración es más segura, pero no requiera SHA-256 a menos que todos los clientes lo admitan.This configuration is more secure, but don't require SHA-256 unless all clients support it. Muchos sistemas operativos admiten este algoritmo de forma nativa, pero es posible que en sistemas operativos anteriores se necesite una actualización o revisión.Many operating systems natively support this algorithm, but older operating systems might require an update or hotfix.

Aunque la firma permite proteger los datos contra la manipulación, el cifrado permite protegerlos contra la divulgación de información.While signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Puede habilitar el cifrado 3DES para los mensajes de estado y datos de inventario que los clientes envían a los puntos de administración del sitio.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. No es necesario instalar ninguna actualización en los clientes para admitir esta opción.You don't have to install any updates on clients to support this option. Los clientes y los puntos de administración requieren el uso de CPU adicionales para cifrado y descifrado.Clients and management points require additional CPU usage for encryption and decryption.

Para obtener más información sobre cómo configurar las opciones para la firma y el cifrado, vea Configurar la firma y el cifrado.For more information about how to configure the settings for signing and encryption, see Configure signing and encryption.

Planear la administración basada en rolesPlan for role-based administration

Para obtener más información, vea Aspectos básicos de la administración basada en roles.For more information, see Fundamentals of role-based administration.

Planeación de Azure Active DirectoryPlan for Azure Active Directory

Configuration Manager se integra con Azure Active Directory (Azure AD) para permitir que el sitio y los clientes usen la autenticación moderna.Configuration Manager integrates with Azure Active Directory (Azure AD) to enable the site and clients to use modern authentication. La incorporación del sitio con Azure AD admite los siguientes escenarios de Configuration Manager:Onboarding your site with Azure AD supports the following Configuration Manager scenarios:

ClienteClient

ServidorServer

Para obtener más información sobre cómo conectar el sitio a Azure AD, vea Configuración de servicios de Azure.For more information on connecting your site to Azure AD, see Configure Azure services.

Para obtener más información sobre Azure AD, vea la documentación de Azure Active Directory.For more information about Azure AD, see Azure Active Directory documentation.

Plan para la autenticación del proveedor de SMSPlan for SMS Provider authentication

A partir de la versión 1810, puede especificar el nivel mínimo de autenticación para que los administradores accedan a sitios de Configuration Manager.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Esta característica exige que los administradores inicien sesión en Windows con el nivel requerido.This feature enforces administrators to sign in to Windows with the required level. Se aplica a todos los componentes que acceden al proveedor de SMS.It applies to all components that access the SMS Provider. Por ejemplo, la consola de Configuration Manager, los métodos del SDK y los cmdlets de Windows PowerShell.For example, the Configuration Manager console, SDK methods, and Windows PowerShell cmdlets.

Esta opción es una configuración de toda la jerarquía.This configuration is a hierarchy-wide setting. Antes de cambiar esta configuración, asegúrese de que todos los administradores de Configuration Manager pueden iniciar sesión en Windows con el nivel de autenticación requerido.Before you change this setting, make sure that all Configuration Manager administrators can sign in to Windows with the required authentication level.

Están disponibles los siguientes niveles:The following levels are available:

  • Autenticación de Windows: requiere la autenticación con credenciales de dominio de Active Directory.Windows authentication: Require authentication with Active Directory domain credentials.

  • Autenticación de certificado: requiere la autenticación con un certificado válido emitido por una entidad de certificación PKI de confianza.Certificate authentication: Require authentication with a valid certificate that's issued by a trusted PKI certificate authority.

  • Autenticación de Windows Hello para empresas: requiere la autenticación sólida en dos fases vinculada a un dispositivo y usa biometrías o un PIN.Windows Hello for Business authentication: Require authentication with strong two-factor authentication that's tied to a device and uses biometrics or a PIN.

Para más información, vea Plan for the SMS Provider (Planear el proveedor de SMS).For more information, see Plan for the SMS Provider.

Consulte tambiénSee also