Tanúsítványok a Configuration Manager-ben
A következőre vonatkozik: Configuration Manager (aktuális ág)
Configuration Manager önaláírt és nyilvános kulcsú infrastruktúra (PKI) digitális tanúsítványainak kombinációját használja.
Amikor csak lehetséges, használjon PKI-tanúsítványokat. További információ: PKI-tanúsítványkövetelmények. Amikor Configuration Manager PKI-tanúsítványokat kér a mobileszközök regisztrációja során, használja a Active Directory tartományi szolgáltatások és egy vállalati hitelesítésszolgáltatót. Az összes többi PKI-tanúsítvány esetében a Configuration Manager függetlenül helyezze üzembe és kezelje őket.
PKI-tanúsítványokra akkor van szükség, ha az ügyfélszámítógépek internetalapú helyrendszerekhez csatlakoznak. A felhőfelügyeleti átjáróhoz tanúsítványokra is szükség van. További információ: Ügyfelek kezelése az interneten.
PKI használata esetén az IPsec segítségével biztonságossá teheti a helyek helyrendszerei közötti, a helyek közötti és a számítógépek közötti egyéb adatátvitelt. Az IPsec megvalósítása független a Configuration Manager.
Ha a PKI-tanúsítványok nem érhetők el, Configuration Manager automatikusan önaláírt tanúsítványokat hoz létre. A Configuration Manager egyes tanúsítványai mindig önaláírtak. A legtöbb esetben a Configuration Manager automatikusan kezeli az önaláírt tanúsítványokat, és nem kell újabb műveletet végeznie. Ilyen például a helykiszolgáló aláíró tanúsítványa. Ez a tanúsítvány mindig önaláírt. Gondoskodik arról, hogy az ügyfelek által a felügyeleti pontról letöltött házirendek a helykiszolgálóról legyenek elküldve, és ne legyenek illetéktelenül módosítva. Egy másik példa, amikor engedélyezi a webhelyet a bővített HTTP-hez, a hely önaláírt tanúsítványokat ad ki a helykiszolgálói szerepköröknek.
Fontos
A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
CNG v3-tanúsítványok
Configuration Manager támogatja a Cryptography: Next Generation (CNG) v3 tanúsítványokat. Configuration Manager-ügyfelek PKI-ügyfélhitelesítő tanúsítványt használhatnak titkos kulccsal egy CNG-kulcstároló szolgáltatóban (KSP). A KSP-támogatással Configuration Manager-ügyfelek támogatják a hardveralapú titkos kulcsokat, például a PKI ügyfél-hitelesítési tanúsítványaihoz használható TPM KSP-t.
További információ: CNG v3-tanúsítványok áttekintése.
Bővített HTTP
A HTTPS-kommunikáció használata ajánlott minden Configuration Manager kommunikációs útvonalhoz, de egyes ügyfelek számára kihívást jelent a PKI-tanúsítványok kezelésével kapcsolatos többletterhelés. A Microsoft Entra integráció bevezetése csökkenti a tanúsítványkövetelmények egy részét, de nem mindegyikét. Ehelyett engedélyezheti, hogy a webhely továbbfejlesztett HTTP-t használjon. Ez a konfiguráció támogatja a HTTPS-t a helyrendszereken önaláírt tanúsítványok és bizonyos forgatókönyvek Microsoft Entra azonosítója használatával. Nincs szükség PKI-re.
További információ: Bővített HTTP.
Tanúsítványok CMG-hez
Az ügyfelek felhőfelügyeleti átjárón (CMG) keresztüli internetes kezeléséhez tanúsítványokra van szükség. A tanúsítványok száma és típusa az adott forgatókönyvtől függően változik.
További információt a CMG beállítási ellenőrzőlistájában talál.
Megjegyzés:
A felhőalapú terjesztési pont (CDP) elavult. A 2107-es verziótól kezdődően nem hozhat létre új CDP-példányokat. Ha tartalmat szeretne biztosítani az internetes eszközöknek, engedélyezze a CMG-nek a tartalom terjesztését. További információ: Elavult funkciók.
További információ a CDP-tanúsítványokról: Tanúsítványok a felhőbeli terjesztési ponthoz.
A helykiszolgáló aláíró tanúsítványa
A helykiszolgáló mindig létrehoz egy önaláírt tanúsítványt. Ezt a tanúsítványt több célra használja.
Az ügyfelek biztonságosan lekérhetik a helykiszolgáló aláíró tanúsítványának másolatát a Active Directory tartományi szolgáltatások és az ügyfélleküldéses telepítésből. Ha az ügyfelek nem tudják lekérni a tanúsítvány másolatát ezen mechanizmusok egyikével, telepítse azt az ügyfél telepítésekor. Ez a folyamat különösen fontos, ha az ügyfél első kommunikációja a hellyel egy internetes felügyeleti ponttal történik. Mivel ez a kiszolgáló nem megbízható hálózathoz csatlakozik, sebezhetőbb a támadással szemben. Ha nem teszi meg ezt a lépést, az ügyfelek automatikusan letöltik a helykiszolgáló aláíró tanúsítványának másolatát a felügyeleti pontról.
Az ügyfelek a következő esetekben nem tudják biztonságosan lekérni a helykiszolgáló tanúsítványának másolatát:
Az ügyfelet nem az ügyfél leküldésével telepíti, és:
Nem bővítette ki az Active Directory-sémát Configuration Manager.
Még nem tette közzé az ügyfél webhelyét a Active Directory tartományi szolgáltatások.
Az ügyfél nem megbízható erdőből vagy munkacsoportból származik.
Internetalapú ügyfélfelügyeletet használ, és akkor telepíti az ügyfelet, amikor az az interneten található.
A helykiszolgáló aláíró tanúsítványának másolatával rendelkező ügyfelek telepítésével kapcsolatos további információkért használja az SMSSIGNCERT parancssori tulajdonságot. További információ: Tudnivalók az ügyféltelepítés paramétereiről és tulajdonságairól.
Hardverhez kötött kulcstároló-szolgáltató
Configuration Manager önaláírt tanúsítványokat használ az ügyfélidentitáshoz és az ügyfél- és helyrendszerek közötti kommunikáció védelméhez. Amikor frissíti a helyet és az ügyfeleket a 2107-es vagy újabb verzióra, az ügyfél a helyről tárolja a tanúsítványát egy hardveres kulcstároló-szolgáltatóban (KSP). Ez a KSP általában a platformmegbízhatósági modul (TPM) legalább 2.0-s verziója. A tanúsítvány nem exportálhatóként van megjelölve.
Ha az ügyfél PKI-alapú tanúsítvánnyal is rendelkezik, továbbra is ezt a tanúsítványt használja a TLS HTTPS-kommunikációhoz. Az önaláírt tanúsítványát használja az üzeneteknek a webhelyhez való aláírásához. További információ: PKI-tanúsítványkövetelmények.
Megjegyzés:
PKI-tanúsítvánnyal rendelkező ügyfelek esetén a Configuration Manager-konzol az Ügyféltanúsítvány tulajdonságot önaláírtként jeleníti meg. Az ügyfél vezérlőpultjának Ügyféltanúsítvány tulajdonsága pKI-t jelenít meg.
A 2107-es vagy újabb verzióra való frissítéskor a PKI-tanúsítványokkal rendelkező ügyfelek újra létrehoznak önaláírt tanúsítványokat, de nem regisztrálnak újra a helyhez. A PKI-tanúsítvánnyal nem rendelkező ügyfelek újra regisztrálnak a helyen, ami további feldolgozást okozhat a helyen. Győződjön meg arról, hogy az ügyfelek frissítésének folyamata lehetővé teszi a véletlenszerűsítést. Ha egyszerre sok ügyfelet frissít, az visszatartást okozhat a helykiszolgálón.
Configuration Manager nem használ ismert sebezhető TPM-eket. A TPM-verzió például a 2.0-snál korábbi. Ha egy eszköz sebezhető TPM-et használ, az ügyfél visszaesik egy szoftveralapú KSP használatára. A tanúsítvány továbbra sem exportálható.
Az operációs rendszer központi telepítési adathordozója nem használ hardverhez kötött tanúsítványokat, továbbra is önaláírt tanúsítványokat használ a helyről. Az adathordozót egy olyan eszközön hozza létre, amely rendelkezik a konzollal, de bármely ügyfélen futtatható.
A tanúsítványviselkedés hibaelhárításához használja a CertificateMaintenance.log fájlt az ügyfélen.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: