Biztonsági tervezés a System Center Configuration ManagerbenPlan for security in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Tanúsítványok tervezése (önaláírt és PKI)Plan for certificates (self-signed and PKI)

Configuration Manager önaláírt tanúsítványokat és a nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat használ.Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Legjobb biztonsági megoldásként használjon PKI-tanúsítványokat, amikor csak lehetséges.As a security best practice, use PKI certificates whenever possible. PKI-tanúsítványkövetelmények kapcsolatban bővebben lásd: PKI-tanúsítványkövetelmények a System Center Configuration Manager.For more about PKI certificate requirements, see PKI certificate requirements for System Center Configuration Manager. Amikor a Configuration Manager PKI-tanúsítványokat igényel, például a mobileszközök és az Intel Active Management Technology (AMT) átadásához, a regisztráció során kell használnia Active Directory tartományi szolgáltatások és a vállalati hitelesítésszolgáltató.When Configuration Manager requests PKI certificates, such as during enrollment for mobile devices and Intel Active Management Technology (AMT) provisioning, you must use Active Directory Domain Services and an enterprise certification authority. A többi PKI-tanúsítvány akkor kell telepítenie és felügyelnie azokat egymástól függetlenül a Configuration Manager alkalmazásból.For all other PKI certificates, you must deploy and manage them independently from Configuration Manager.

PKI-tanúsítványok is szükségesek, amikor az ügyfélszámítógépek internetalapú helyrendszerekhez csatlakoznak, és azt javasoljuk, hogy PKI-tanúsítványokat használ, amikor az ügyfelek csatlakoznak a helyrendszerekhez, az Internet Information Services (IIS).PKI certificates are also required when client computers connect to Internet-based site systems, and we recommend that you use PKI certificates when clients connect to site systems that run Internet Information Services (IIS). További ügyfél-kommunikáció beállításairól lásd: ügyfél-kommunikációs portok konfigurálása a System Center Configuration Managerben.For more about client communication, see How to configure client communication ports in System Center Configuration Manager.

PKI használata esetén a kiszolgáló-kiszolgáló közötti kommunikáció biztonságossá helyrendszerek helyen, a helyek között, és más számítógépek közötti adatátvitel segítségével is használhatja a IPsec.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. IPsec végrehajtásának nem függ a Configuration Manager alkalmazásból.Implementation of IPsec is independent from Configuration Manager.

A Configuration Manager automatikusan önaláírt tanúsítványokat hozhat létre, amikor nem érhetők el PKI-tanúsítványokat, és néhány tanúsítványa a Configuration Manager mindig saját aláírással.Configuration Manager can automatically generate self-signed certificates when PKI certificates are not available, and some certificates in Configuration Manager are always self-signed. A legtöbb esetben a Configuration Manager automatikusan felügyeli az önaláírt tanúsítványokat, és nincs további teendője.In most cases, Configuration Manager automatically manages the self-signed certificates, and you do not have to take additional action. Az egyetlen lehetséges kivétel a helykiszolgáló aláíró tanúsítványa.One possible exception is the site server signing certificate. A helykiszolgáló aláíró tanúsítványa mindig önaláírt tanúsítvány, és azt igazolja, hogy az ügyfelek által a felügyeleti pontról letöltött ügyfélházirendek a helykiszolgálóról származnak, és nem lettek illetéktelenül módosítva.The site server signing certificate is always self-signed, and it ensures that the client policies that clients download from the management point were sent from the site server and were not tampered with.

A helykiszolgáló aláíró tanúsítványát (önaláírt) tervezésePlan for the site server signing certificate (self-signed)

Az ügyfelek biztonságosan kérheti le a helykiszolgáló aláíró tanúsítványának másolatát, Active Directory tartományi szolgáltatásokból és az ügyfélleküldéses telepítésből.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Ha az ügyfelek nem olvasható be a helykiszolgáló aláíró tanúsítványának másolatát egy ezek a mechanizmusok, biztonsági szempontból ajánlott példányának telepítése a helykiszolgáló aláíró tanúsítványát az ügyfél telepítésekor.If clients cannot get a copy of the site server signing certificate by one of these mechanisms, as a security best practice, install a copy of the site server signing certificate when you install the client. Ez akkor kifejezetten fontos, ha az ügyfél első kommunikációja a hellyel az interneten, mivel a felügyeleti pont nem megbízható hálózathoz csatlakozik, ezért támadásokkal szemben.This is especially important if the client's first communication with the site is from the Internet, because the management point is connected to an untrusted network and, therefore, vulnerable to attack. Ha nem hajtja végre ezt a kiegészítő lépést, az ügyfelek automatikusan letöltik a felügyeleti pontról a helykiszolgáló aláíró tanúsítványának példányát.If you do not take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Ha az ügyfelek biztonságosan nem lehet lekérni a hely kiszolgálói tanúsítvány egy példányát a következők:Scenarios when clients cannot securely get a copy of the site server certificate include the following:

  • Az ügyfelet nem ügyfélleküldéssel telepíti, és igaz az alábbi feltételek bármelyike:You do not install the client by using client push, and any of the following conditions is true:

    • Az Active Directory-séma nincs kibővítve a Configuration Manager számára.The Active Directory schema is not extended for Configuration Manager.

    • Az ügyfél helye nincs közzétéve az Active Directory tartományi szolgáltatásokban.The client's site is not published to Active Directory Domain Services.

    • Az ügyfél nem megbízható erdőhöz vagy munkacsoporthoz tartozik.The client is from an untrusted forest or a workgroup.

  • Akkor telepíti az ügyfelet, amikor az az interneten található.You install the client when it is on the Internet.

Az ügyfelek telepítése a helykiszolgáló aláíró tanúsítványával együttTo install clients with a copy of the site server signing certificate
  1. Keresse meg a helykiszolgáló aláíró tanúsítványát az ügyfél elsődleges hely kiszolgálóján.Locate the site server signing certificate on the client's primary site server. A tanúsítványt a SMS tanúsítványtároló tárolja, a tulajdonos neve helykiszolgáló és a következő felhasználóbarát név helykiszolgáló aláíró tanúsítványa.The certificate is stored in the SMS certificate store and has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exportálja a titkos kulcs nélküli tanúsítványt, és tárolja a fájlt biztonságos helyen férjen hozzá csak biztonságos csatornán, például kiszolgáló-üzenetblokk (SMB) aláírás vagy az IPsec használatával.Export the certificate without the private key, store the file securely, and access it only from a secured channel, for example, by using Server Message Block (SMB) signing or IPsec.

  3. A Client.msi-tulajdonsággal telepítse az ügyfelet *SMSSIGNCERT = x<teljes elérési útja és neve>, ccmsetup.exe.Install the client by using the Client.msi property, SMSSIGNCERT=<Full path and file name>, with CCMSetup.exe.

PKI-tanúsítványok visszavonásának tervezésePlan for PKI certificate revocation

Ha PKI-tanúsítványokat használ a Configuration Managerrel, terv hogyan és kell-e az ügyfelek és kiszolgálók használjanak-e a visszavont tanúsítványok listáját (CRL) a csatlakozó számítógépen lévő tanúsítvány ellenőrzéséhez.When you use PKI certificates with Configuration Manager, plan for how and whether clients and servers will use a certificate revocation list (CRL) to verify the certificate on the connecting computer. A tanúsítvány-visszavonási listát egy fájlt, amely a hitelesítésszolgáltató (CA) hozza létre és bejelentkezhet, és, a hitelesítésszolgáltató kiállított, de visszavont tanúsítványok listáját.The CRL is a file that a certification authority (CA) creates and signs and, it has a list of certificates that the CA has issued but revoked. A Hitelesítésszolgáltatói rendszergazda vissza tudja vonni a tanúsítványokat, például ha a kiállított tanúsítvány tudható vagy gyanítható, megsértik.A CA admin can revoke certificates, for example, if an issued certificate is known or suspected to be compromised.

Fontos

A tanúsítvány-visszavonási lista helyét adja a tanúsítványt, ha egy CA ki azt, mert arra ügyeljen, hogy a visszavont tanúsítványok listájához semmilyen Configuration Manager által használt PKI-tanúsítványok központi telepítése előtt.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager will use.

Alapértelmezés szerint az IIS mindig ellenőrzi az ügyfél-tanúsítványok CRL-t, és a Configuration Manager alkalmazásban ez a konfiguráció nem módosítható.By default, IIS always checks the CRL for client certificates, and you cannot change this configuration in Configuration Manager. Alapértelmezés szerint a Configuration Manager-ügyfelek mindig ellenőrzik a tanúsítvány-visszavonási listát a helyrendszerekhez.By default, Configuration Manager clients always check the CRL for site systems. Ezt a beállítást letilthatja egy helytulajdonság és egy CCMSetup tulajdonság megadásával.You can disable this setting by specifying a site property and by specifying a CCMSetup property. Intel AMT-alapú számítógépek sávon kívüli kezelésekor is engedélyezheti a CRL-ellenőrzés a sávon kívüli szolgáltatási pont és a sávon kívüli felügyeleti konzolt futtató számítógépekre.When you manage Intel AMT-based computers out of band, you can also enable CRL checking for the out-of-band service point and for computers that run the Out of Band Management console.

Számítógépek, amelyek használják a tanúsítvány-visszavonási ellenőrzést, de nem található a tanúsítvány-visszavonási listát fognak működni, mintha a tanúsítványláncban lévő összes tanúsítvány vissza lenne vonva, mert nem lehetett leellenőrizni, ezek hiányában a listából.Computers that use certificate revocation checking but cannot locate the CRL behave as if all certificates in the certification chain are revoked because their absence from the list cannot be verified. Ebben az esetben sikertelen lesz az összes olyan kapcsolat, amely tanúsítványt igényel és tanúsítvány-visszavonási listát használ.In this scenario, all connections that require certificates and use a CRL fail.

A tanúsítvány-visszavonási lista minden alkalommal történő ellenőrzése nagyobb védelmet kínál a visszavont tanúsítványokkal szemben, de csatlakozási késedelmet és feldolgozási többletet eredményez az ügyfélen.Checking the CRL every time that a certificate is used offers more security against using a certificate that has been revoked, but it introduces a connection delay and additional processing on the client. Ezt a kiegészítő biztonsági ellenőrzést akkor érdemes beállítania, ha az ügyfelek az interneten vagy nem megbízható hálózatban vannak.You are more likely to require this additional security check when clients are on the Internet or on an untrusted network.

Tekintse át a nyilvános kulcsokra épülő infrastruktúra rendszergazdái, mielőtt eldönti, hogy a Configuration Manager-ügyfelek kell ellenőrzi a CRL-t, valamint annak megfontolása tartja ezt a beállítást engedélyezve van a Configuration Manager alkalmazásban az alábbi két feltétel teljesülése esetén:Consult your PKI admins before you decide whether Configuration Manager clients must check the CRL, and then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • A nyilvános kulcsokra ÉPÜLŐ infrastruktúra támogatja a visszavont tanúsítványok Listáját, és van közzétéve, ahol az összes Configuration Manager ügyfél meg tudja találni.Your PKI infrastructure supports a CRL, and it is published where all Configuration Manager clients can locate it. Ne feledje, hogy ebbe beletartozhatnak az interneten lévő ügyfelek is, ha internetalapú ügyfélfelügyeletet használ, valamint a nem megbízható erdőkben található ügyfelek is.Remember that this might include clients on the Internet if you are using Internet-based client management, and clients in untrusted forests.

  • Az a követelmény, ellenőrzi a CRL-t minden olyan helyrendszert, amely PKI-tanúsítvány használatára van beállítva kapcsolat érték nagyobb, mint a követelmény a gyorsabb kapcsolatok, hatékony feldolgozás az ügyfél és az ügyfelek nem tudnak csatlakozni kiszolgálók, ha nem találják a CRL-t kockázatát.The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the requirement for faster connections, efficient processing on the client, and the risk of clients failing to connect to servers if they cannot locate the CRL.

Tervezze meg az a nyilvános kulcsokra épülő infrastruktúra megbízható legfelső szintű tanúsítványok és a tanúsítványkibocsátók listájánakPlan for the PKI trusted root certificates and the certificate issuers list

Ha az IIS-helyrendszerei PKI-ügyféltanúsítványokat használnak az ügyfél-hitelesítéshez a HTTP protokollon vagy az ügyfél-hitelesítéshez és a titkosításhoz a HTTPS protokollon, előfordulhat, hogy a hitelesítésszolgáltató főtanúsítványát helytulajdonságként kell importálnia.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Az alábbiakban a két esetben:Here are the two scenarios:

  • Configuration Manager használatával telepít operációs rendszert, és a felügyeleti pontok csak HTTPS-ügyfélkapcsolatokat fogadnak el.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Olyan PKI-ügyféltanúsítványokat használ, amelyek nincsenek hozzákapcsolva a felügyeleti pontokon megbízhatónak minősülő hitelesítésszolgáltatói főtanúsítványhoz.You use PKI client certificates that do not chain to a root certification authority (CA) certificate that is trusted by management points.

    Megjegyzés

    Amikor attól a hitelesítésszolgáltatótól származó PKI-ügyféltanúsítványokat állít ki, amelyik a felügyeleti pontokhoz használt kiszolgálói tanúsítványokat állítja ki, akkor nem kell megadnia ezt a főtanúsítványt.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you do not have to specify this root CA certificate. Azonban több Hitelesítésszolgáltatói hierarchiát használ, és nem biztos abban, hogy hogy ezek megbízhatósági kapcsolat áll fenn, ha importálhatók a legfelső szintű Hitelesítésszolgáltatót az ügyfelek Hitelesítésszolgáltatói hierarchiájába.However, if you use multiple CA hierarchies and you are not sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Ha importálnia kell legfelső szintű hitelesítésszolgáltató tanúsítványának a Configuration Manager számára, exportálja azokat a kiállító Hitelesítésszolgáltatóról vagy az ügyfélszámítógépről.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Ha a tanúsítványt a kiállító hitelesítésszolgáltatóról exportálja, és az egyúttal a legfelső szintű hitelesítésszolgáltató is, ügyeljen arra, hogy a titkos kulcsot ne exportálja.If you export the certificate from the issuing CA that is also the root CA, ensure that the private key is not exported. Az exportált tanúsítványfájlt az illetéktelen biztonságos helyen tárolja.Store the exported certificate file in a secure location to prevent tampering. Érhetik el a fájlt, a hely telepítésekor kell lennie.You must be able to access the file when you set up the site. Ha a hálózaton keresztül éri el a fájlt, győződjön meg arról, hogy a kommunikáció védelméhez használjon SMB-aláírást vagy IPsec védett legyen.If you access the file over the network, ensure that the communication is protected from tampering by using SMB signing or IPsec.

Ha a legfelső szintű Hitelesítésszolgáltatói tanúsítványt importált megújulásakor, importálnia kell a megújított tanúsítvány.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Ezek importált főtanúsítványok és a legfelső szintű Hitelesítésszolgáltatói tanúsítványt az egyes felügyeleti pontok létrehozása a tanúsítványkibocsátók listáját, hogy a Configuration Manager használnak a következőképpen:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Ha az ügyfelek csatlakoznak a felügyeleti pontokhoz, a felügyeleti pont ellenőrzi a, hogy az ügyfél kapcsolódik egy megbízható legfelső szintű tanúsítvány-e a hely tanúsítványkibocsátói listájában.When clients connect to management points, the management point verifies that the client certificate chains to a trusted root certificate in the site's certificate issuers list. Ha nem, akkor a felügyeleti pont elutasítja a tanúsítványt, és nem lehet létrehozni a PKI-kapcsolatot.If it does not, the certificate is rejected, and the PKI connection fails.

  • Ha az ügyfelek PKI-tanúsítványt választanak, és a tanúsítványkibocsátók listájának rendelkezik, olyan tanúsítványt választanak egy megbízható főtanúsítványhoz kapcsolódik a tanúsítványkibocsátók listájának a.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Ha nem találnak ilyen tanúsítványt, az ügyfelek nem választanak PKI-tanúsítványt.If there is no match, the client does not select a PKI certificate. További információt az ügyféltanúsítvány kiválasztásáról tekintse meg a PKI-ügyféltanúsítvány kiválasztásának tervezése című részben.For more about the client certificate process, see the Plan for PKI client certificate selection section in this article.

A webhely-konfigurációból független, előfordulhat, hogy is legfelső szintű Hitelesítésszolgáltatói tanúsítvány importálásához, amikor a mobileszközök beléptetéséhez, léptetnek be Mac számítógépet, és állítsa be az Intel AMT-alapú számítógépek vezeték nélküli hálózatok.Independent from the site configuration, you might also have to import a root CA certificate when you enroll mobile devices, enroll Mac computers, and set up Intel AMT-based computers for wireless networks.

PKI-ügyféltanúsítvány kiválasztásának tervezésePlan for PKI client certificate selection

Ha az IIS-helyrendszerei fog használni PKI-ügyféltanúsítványokat az ügyfél-hitelesítéshez HTTP protokollon és az ügyfél-hitelesítési és titkosítási HTTPS protokollon, tervezze meg a Windows-ügyfelek hogyan válassza ki a Configuration Manager használni kívánt tanúsítványt.If your IIS site systems will use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients will select the certificate to use for Configuration Manager.

Megjegyzés

Egyes eszközök nem támogatják a tanúsítványválasztás módszerét.Some devices do not support a certificate selection method. Ehelyett azok automatikusan válassza ki az első tanúsítvány, amely megfelel a tanúsítványokkal szemben támasztott követelmények.Instead, they automatically select the first certificate that fulfills the certificate requirements. Például a Mac számítógépek és mobileszközök ügyfelek nem támogatják a tanúsítványválasztás módszerét.For example, clients on Mac computers and mobile devices do not support a certificate selection method.

Sok esetben elegendő az alapértelmezett konfiguráció és működés.In many cases, the default configuration and behavior will be sufficient. A Windows rendszerű számítógépekre a Configuration Manager-ügyfél több tanúsítvány feltételek alapján szűri ki ezeket az itt megadott sorrendben:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. A tanúsítványkibocsátók listája: A felügyeleti pont által megbízhatónak minősített főtanúsítványhoz kapcsolódik.The certificate issuers list: The certificate chains to a root CA that is trusted by the management point.

  2. A tanúsítvány az alapértelmezett Személyestanúsítványtárolóban található.The certificate is in the default certificate store of Personal.

  3. A tanúsítvány érvényes, nincs visszavonva és nem járt le.The certificate is valid, not revoked, and not expired. Az érvényesség ellenőrzése ellenőrzi, hogy elérhető-e a titkos kulcsot, és, hogy a tanúsítvány nem jön létre egy 3-as verziójú tanúsítványsablont, amely nem kompatibilis a Configuration Managerrel együtt.The validity check verifies that the private key is accessible and that the certificate is not created with a Version 3 certificate template, which is not compatible with Configuration Manager.

  4. A tanúsítvány rendelkezik ügyfél-hitelesítési funkcióval, vagy a számítógép nevére van kiállítva.The certificate has client authentication capability, or it is issued to the computer name.

  5. A tanúsítvány a leghosszabb érvényességi idővel rendelkezik.The certificate has the longest validity period.

Az ügyfelek a következő műveletekkel állíthatók be a tanúsítványkibocsátók listájának használatára:Clients can be configured to use the certificate issuers list by using the following mechanisms:

  • A Configuration Manager helyinformációkat az Active Directory tartományi szolgáltatásokban van közzétéve.It is published as Configuration Manager site information to Active Directory Domain Services.

  • Az ügyfelek telepítése ügyfélleküldéssel történik.Clients are installed by using client push.

  • Az ügyfelek letöltik a felügyeleti pontról, miután sikeresen hozzá lettek rendelve a helyükhöz.Clients download it from the management point after they are successfully assigned to their site.

  • Ügyféltelepítés ccmcertissuers CCMSetup client.msi tulajdonság van megadva.It is specified during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Ügyfelek, amelyek nem rendelkeznek tanúsítványkibocsátói listával, telepítve legyenek, és még nincsenek hozzárendelve a helyhez kihagyja az ellenőrzést.Clients that do not have the certificate issuers list when they are first installed and are not yet assigned to the site skip this check. Ha az ügyfelek rendelkeznek tanúsítványkibocsátói listával, és nem rendelkeznek a PKI-tanúsítványt, hogy a tanúsítványkibocsátók listájának egy megbízható főtanúsítványhoz kapcsolódik, tanúsítványválasztás sikertelen lesz, és az ügyfelek ne hajtsa végre a többi tanúsítványválasztási feltétellel.When clients do have the certificate issuers list and do not have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails, and clients do not continue with the other certificate selection criteria.

A legtöbb esetben a Configuration Manager-ügyfél helyesen ismeri egyedi és megfelelő PKI-tanúsítványt.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. Azonban ha ez nem sikerül, az ügyfél-hitelesítési funkción alapuló helyett állíthat be két alternatív kiválasztási módszerek:However, when this is not the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Részleges karakterlánc-egyezés a tanúsítvány Tulajdonos neve mezőjében.A partial string match on the client certificate Subject name. Ebben az esetben nem számít különbségnek a kis- és nagybetűs írásmód, és akkor alkalmazható, ha a mezőben egy számítógép teljes tartományneve van megadva, és a tanúsítványválasztáshoz a tartományutótagot szeretné használni, például contoso.com. Ezzel a választási módszerrel bármely olyan karaktersorozatot azonosíthat a tanúsítvány Tulajdonos neve mezőjében lévő értéken belül, amely megkülönbözteti a tanúsítványt a tanúsítványtárolóban lévő többi tanúsítványtól.This is a case-insensitive match that is appropriate if you are using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. However, you can use this selection method to identify any string of sequential characters in the certificate Subject name that differentiate the certificate from others in the client certificate store.

    Megjegyzés

    A részleges karakterlánc-egyeztetés nem használható a Tulajdonos alternatív neve helybeállítással.You cannot use the partial string match with the Subject Alternative Name (SAN) as a site setting. Bár a CCMSetup eszközzel megadhat részleges karakterlánc-egyeztetést a tulajdonos alternatív nevéhez, a hely tulajdonságai ezt a következő esetekben felül fogják írni:Although you can specify a partial string match for the SAN by using CCMSetup, it will be overwritten by the site properties in the following scenarios:

    • Ha az ügyfelek az Active Directory tartományi szolgáltatásokban közzétett helyinformációkat kérnek le.Clients retrieve site information that is published to Active Directory Domain Services.

      • Ha az ügyfelek telepítése ügyfélleküldéssel történik.Clients are installed by using client push installation.

      Használjon részleges karakterlánc-egyeztetést a tulajdonos alternatív nevének, csak akkor, ha az ügyfelek manuális telepítése, és ha azok nem kérhetnek le helyinformációkat az Active Directory tartományi szolgáltatások.Use a partial string match in the SAN only when you install clients manually and when they do not retrieve site information from Active Directory Domain Services. Ilyenek például a csak internetes ügyfelek.For example, these conditions apply to Internet-only clients.

  • Egyeztetés az ügyféltanúsítvány tulajdonosnevének vagy a tulajdonos alternatív nevének attribútumértékeivel.A match on the client certificate Subject name attribute values or the Subject Alternative Name (SAN) attribute values. Ez a kis-és nagybetűket egyezés megfelelő, ha egy X500 használatával megkülönböztető nevét vagy ezzel egyenértékű objektumazonosítóit (OID) RFC 3280 szabványnak, és azt szeretné, hogy a tanúsítványkiválasztás az attribútumértékek alapján.This is a case-sensitive match that is appropriate if you are using an X500 distinguished name or equivalent Object Identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. Csak azokat az attribútumokat és -értékeket kell megadnia, amelyek szükségesek a tanúsítvány egyedi azonosításához vagy érvényesítéséhez, illetve a tanúsítvány megkülönböztetéséhez a tanúsítványtár többi tagjától.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

A következő táblázat az attribútum értékeket, amelyeket a Configuration Manager támogatja az ügyfél-tanúsítvány kiválasztási feltételeinek.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Objektumazonosító attribútumaOID Attribute Megkülönböztető név attribútumaDistinguished name attribute AttribútumdefinícióAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Tartomány-összetevőDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E vagy E-mailE or E-mail E-mail címEmail address
2.5.4.32.5.4.3 CNCN Köznapi névCommon name
2.5.4.42.5.4.4 SNSN Tulajdonos neveSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER SorozatszámSerial number
2.5.4.62.5.4.6 CC OrszágkódCountry code
2.5.4.72.5.4.7 LL HelységLocality
2.5.4.82.5.4.8 S vagy STS or ST Állam vagy megye neveState or province name
2.5.4.92.5.4.9 STREETSTREET Utca, házszámStreet address
2.5.4.102.5.4.10 OO Szervezet neveOrganization name
2.5.4.112.5.4.11 OUOU Szervezeti egységOrganizational unit
2.5.4.122.5.4.12 T vagy TitleT or Title CímTitle
2.5.4.422.5.4.42 G vagy GN vagy GivenNameG or GN or GivenName UtónévGiven name
2.5.4.432.5.4.43 I vagy InitialsI or Initials MonogramInitials
2.5.29.172.5.29.17 (nincs érték)(no value) Tulajdonos alternatív neveSubject Alternative Name

Ha egynél több megfelelő tanúsítvány található a kiválasztási feltétel alkalmazása után, felülbírálhatja az alapértelmezett konfiguráció a leghosszabb érvényességi időszakkal rendelkező tanúsítvány kiválasztása és, adja meg, hogy nincs tanúsítvány van kiválasztva.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. Ebben a forgatókönyvben az ügyfél nem lesz képes kommunikálni az IIS-helyrendszerei PKI-tanúsítvánnyal.In this scenario, the client will not be able to communicate with IIS site systems with a PKI certificate. Az ügyfél hibaüzenetet küld a hozzárendelt tartalék állapotkezelő pont figyelmezteti a tanúsítványkiválasztás hibájáról, így módosíthatja vagy pontosíthatja a tanúsítványválasztási feltételeket.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. Ebben az esetben az ügyfél viselkedése attól függ, hogy a sikertelen kapcsolódás HTTPS- vagy HTTP-kapcsolaton keresztül történt-e:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Ha a sikertelen kapcsolódás HTTPS protokollal történt: Az ügyfél HTTP-kapcsolaton keresztül csatlakozni próbál, és az ügyfél önaláírt tanúsítványát használja.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Ha a sikertelen kapcsolódás HTTP protokollal történt: Az ügyfél megpróbálja újra HTTP Protokollon keresztül az önaláírt ügyféltanúsítvány használatával.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Egyedi PKI-ügyféltanúsítvány azonosításának megkönnyítésére adja meg az alapértelmezett értéktől eltérő egyéni tárolót személyes a a számítógép tárolja.To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. Azonban létre kell hoznia a tároló egymástól függetlenül a Configuration Manager alkalmazásból, és tanúsítványokat telepítenie az egyéni tárolóba, majd megújítani őket az érvényességi idejük lejárata előtt képesnek kell lennie.However, you must create this store independently from Configuration Manager and must be able to deploy certificates to this custom store and renew them before the validity period expires.

Az ügyféltanúsítványok beállításainak konfigurálásával kapcsolatos további információkért lásd: a beállítások megadása a PKI-ügyféltanúsítványok szakasz a a biztonság konfigurálása a System Center Configuration Managerben cikk.For information about how to configure the settings for client certificates, see the Configure Settings for Client PKI Certificates section in the Configure security in System Center Configuration Manager article.

A PKI-tanúsítványok és az Internet alapú ügyfélfelügyelethez áttérési stratégia tervezésePlan a transition strategy for PKI certificates and Internet-based client management

A rugalmas konfigurációs beállításai a Configuration Manager teszik a fokozatos áttérést ügyfelekkel és a webhely biztonságos ügyfélvégpontok PKI-tanúsítványokat használ.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. PKI-tanúsítványok nagyobb biztonságot, és lehetővé teszik az internetes ügyfelek felügyeletére.PKI certificates provide better security and enable you to manage Internet clients.

Konfigurációs beállításai és lehetőségei a Configuration Manager számát, mert nincs egyetlen mód való áttéréshez egy hely összes ügyfél HTTPS-kapcsolat használata.Because of the number of configuration options and choices in Configuration Manager, there is no single way to transition a site so that all clients use HTTPS connections. Az alábbi lépések ugyanakkor iránymutatásként szolgálhatnak ehhez:However, you can follow these steps as guidance:

  1. A Configuration Manager-helyet telepít, és konfigurálja úgy, hogy a helyrendszerek HTTPS-és HTTP-kapcsolatok fogadására.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Konfigurálja a ügyfélszámítógép-kommunikáció lapon a hely tulajdonságai ezt a helyrendszer beállításai van HTTP vagy HTTPS, és válassza ki használjon PKI-ügyféltanúsítvány (ügyfél-hitelesítési képesség) Ha van ilyen.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. További információkért lásd: a PKI-ügyféltanúsítványok beállításainak konfigurálása szakasz a a biztonság konfigurálása a System Center Configuration Managerben cikk.For more information, see the Configure settings for client PKI certificates section in the Configure security in System Center Configuration Manager article.

  3. Próbaüzemben vezesse be a PKI-ügyféltanúsítványok használatát.Pilot a PKI rollout for client certificates. Telepítését bemutató példát lásd: a központi telepítése a tanúsítvány a Windows ügyfélszámítógépek szakasz a részletes példa a nyilvános kulcsokra épülő infrastruktúra központi telepítése a System Center Configuration Manager tanúsítványok: Windows Server 2008 hitelesítésszolgáltató cikk.For an example deployment, see the Deploying the Client Certificate for Windows Computers section in the Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority article.

  4. Ügyfélleküldéses módszerrel telepítse az ügyfeleket.Install clients by using the client push installation method. További információkért lásd: a Configuration Manager-ügyfelek telepítése Ügyfélleküldés használatával hogyan szakasz a ügyfélszoftverek központi telepítése Windows rendszerű számítógépekre a System Center Configuration Managerben cikk.For more information, see the How to Install Configuration Manager Clients by Using Client Push section in the How to deploy clients to Windows computers in System Center Configuration Manager article.

  5. A Configuration Manager konzol segítségével jelentéseivel és információival figyelje az ügyfél központi telepítését és állapotát.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Az Eszközök csomópont Eszközök és megfelelőség munkaterületén az Ügyféltanúsítvány oszlopban kísérje figyelemmel, hogy hány ügyfél használ PKI-tanúsítványt.Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Is telepítheti a Configuration Manager HTTPS Readiness Assessment eszközt (cmHttpsReadiness.exe) számítógépek és a jelentéseken megtekintheti, hogy hány számítógépen használhatja egy ügyfél PKI ügyféltanúsítványt a Configuration Managerrel.You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers and use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Megjegyzés

    A Configuration Manager-ügyfél telepítésekor, a cmHttpsReadiness.exe eszköz telepítve van a %windir%\CCM mappát.When the Configuration Manager client is installed, the cmHttpsReadiness.exe tool is installed in the %windir%\CCM folder. Amikor ügyfélen futtatja az eszközt, az alábbi kapcsolókat használhatja:When you run this tool on clients, you can specify the following options:

  7. Ha meggyőződött arról, hogy elegendő számú ügyfél sikeresen használ a PKI-ügyféltanúsítványt a hitelesítéshez HTTP Protokollon keresztül, kövesse az alábbi lépéseket:When you are confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Telepítsen webkiszolgálói PKI-tanúsítványt egy tagkiszolgálóra, amely kiegészítő felügyeleti pontot fog futtatni a helyhez, majd konfigurálja a tanúsítványt az IIS-ben.Deploy a PKI web server certificate to a member server that will run an additional management point for the site, and configure that certificate in IIS. További információkért lásd: a a webkiszolgáló-tanúsítvány telepítése a Helyrendszerekhez, hogy futtassa IIS szakasz a részletes példa a nyilvános kulcsokra épülő infrastruktúra központi telepítése a System Center Configuration Manager tanúsítványok: Windows Server 2008 hitelesítésszolgáltató cikk.For more information, see the Deploying the Web Server Certificate for Site Systems that Run IIS section in the Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority article.

    2. Telepítse a felügyeleti pont szerepkört ezen a kiszolgálón, majd a felügyeleti pont tulajdonságai között állítsa az Ügyfélkapcsolatok beállítást HTTPSértékre.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Győződjön meg arról, hogy a PKI-tanúsítvánnyal rendelkező ügyfelek az új felügyeleti pontot használják HTTPS-kapcsolaton keresztül.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. Ennek ellenőrzéséhez használhatja az IIS naplóit vagy teljesítményszámlálóit.You can use IIS logging or performance counters to verify this.

  9. Konfigurálja újra a többi helyrendszerszerepkört HTTPS-alapú ügyfélkapcsolatok használatára.Reconfigure other site system roles to use HTTPS client connections. Ha az interneten szeretné felügyelni az ügyfeleket, győződjön meg arról, hogy a helyrendszerek internetes teljes tartománynévvel (FQDN) rendelkeznek, és konfiguráljon külön felügyeleti és terjesztési pontokat az internetről érkező ügyfélkapcsolatok fogadására.If you want to manage clients on the Internet, ensure that site systems have an Internet FQDN and configure individual management points and distribution points to accept client connections from the Internet.

    Fontos

    Helyrendszer-szerepkörök beállítása az internetről érkező kapcsolatok fogadására, előtt olvassa el a tervezési információkat és az internetalapú ügyfélfelügyelet előfeltételei.Before you set up site system roles to accept connections from the Internet, review the planning information and prerequisites for Internet-based client management. További információkért lásd: a System Center Configuration Managerben végpontok közötti kommunikáció.For more information, see Communications between endpoints in System Center Configuration Manager.

  10. Kiterjeszti a PKI-tanúsítványok bevezetését az ügyfeleken és a helyrendszeren, amelyet az IIS-t futtató, és állítsa be a helyrendszerszerepköröket HTTPS-ügyfélkapcsolatok és internetes kapcsolatok, szükség szerint.Extend the PKI certificate rollout for clients and for site systems that run IIS, and set up the site system roles for HTTPS client connections and Internet connections, as required.

  11. A maximális biztonság: Ha meggyőződött arról, hogy minden ügyfél PKI-tanúsítványt használ hitelesítésre és titkosításra, módosítsa a hely tulajdonságait csak HTTPS PROTOKOLLT használja.For the highest security: When you are confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Kövesse a terv fokozatosan kívánja bevezetni a PKI-tanúsítványokat, amikor először a hitelesítéshez csak a HTTP Protokollon keresztül, majd a hitelesítéshez és a titkosításhoz a HTTPS PROTOKOLLOKON keresztül csökken a kockázata, hogy az ügyfelek felügyelet nélküli ügyfelekké válnak.When you follow this plan to gradually introduce PKI certificates, first for authentication only over HTTP and then for authentication and encryption over HTTPS, you reduce the risk that clients will become unmanaged. Emellett a Configuration Manager által támogatott legmagasabb biztonsági élvezheti.In addition, you will benefit from the highest security that Configuration Manager supports.

A megbízható legfelső szintű kulcs tervezésePlan for the trusted root key

A Configuration Manager megbízható legfelső szintű kulcs lehetővé teszi a Configuration Manager-ügyfelekre, ellenőrizhetik, hogy helyrendszerek saját hierarchiájukhoz tartoznak-e.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify that site systems belong to their hierarchy. Minden helykiszolgáló generál egy helycserekulcsot a többi hellyel való kommunikációhoz.Every site server generates a site exchange key to communicate with other sites. A megbízható legfelső szintű kulcs a hierarchia legfelső szintű helyétől származó helycserekulcs.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

A függvény a megbízható legfelső szintű kulcs a Configuration Manager főtanúsítványára hasonlít a nyilvános kulcsú infrastruktúra abban, hogy a megbízható legfelső szintű kulcs titkos kulcsával aláírt minden elem megbízhatóvá válik a hierarchia valamennyi.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure in that anything signed by the private key of the trusted root key is trusted further down the hierarchy. Például a felügyeleti pont tanúsítványának aláírása a megbízható legfelső szintű kulcspár titkos kulcsával, és a megbízható legfelső szintű kulcspár nyilvános kulcs másolatával elérhetővé teszi az ügyfelek számára, ügyfelek képesek megkülönböztetni a hierarchiában lévő felügyeleti pontok és felügyeleti pontok, amelyek nincsenek a hierarchiában.For example, by signing the management point certificate with the private key of the trusted root key pair, and by making a copy of the public key of the trusted root key pair available to clients, clients can differentiate between management points that are in their hierarchy and management points that are not in their hierarchy. Az ügyfelek a Windows Management Instrumentation (WMI) segítségével tárolják a megbízható legfelső szintű kulcs másolatát a root\ccm\locationservices névtér.Clients use Windows Management Instrumentation (WMI) to store a copy of the trusted root key in the root\ccm\locationservices namespace.

Az ügyfelek kétféle módon képesek automatikusan lekérni a megbízható legfelső szintű kulcs nyilvános példányát:Clients can automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Az Active Directory-séma ki van bővítve a Configuration Manager, a helyet közzéteszi az Active Directory tartományi szolgáltatásokban, és az ügyfelek egy globáliskatalógus-kiszolgálóról lekérhetik ezeket a helyinformációkat.The Active Directory schema is extended for Configuration Manager, the site is published to Active Directory Domain Services, and clients can retrieve this site information from a global catalog server.

  • Az ügyfelek telepítése ügyfélleküldéssel történik.Clients are installed by using client push.

Ha az ügyfelek nem tudják lekérni a megbízható legfelső szintű kulcsot a fenti módszerek egyikével, azt a megbízható legfelső szintű kulcsot fogják használni, amelyet a velük először kapcsolatba lépő felügyeleti pont biztosít számukra.If clients cannot retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that is provided by the first management point that they communicate with. Ebben a forgatókönyvben egy ügyfél házirendét egy támadó felügyeleti pontba, amennyiben kapja a rosszindulatú felügyeleti pontról.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Ehhez ugyanakkor igen kifinomult támadás szükséges, amely csak korlátozott ideig mehet végbe, mielőtt az ügyfél egy érvényes felügyeleti pontról lekérné a megbízható legfelső szintű kulcsot.This would likely be the action of a sophisticated attacker and might occur only in a limited time before the client retrieves the trusted root key from a valid management point. Azonban egy támadó irányítsa át az ügyfeleket rosszindulatú felügyeleti ponthoz a kockázatok csökkentése, ha is előre ellátja az ügyfelek a megbízható legfelső szintű kulcsot.However, to reduce this risk of an attacker misdirecting clients to a rogue management point, you can pre-provision the clients with the trusted root key.

Az alábbi eljárásokkal történő előzetes kiépítésére és a Configuration Manager-ügyfelet a megbízható legfelső szintű kulcs ellenőrzése:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

  • Kiépítés előtti ügyfelet a megbízható legfelső szintű kulccsal fájl használatával.Pre-provision a client with the trusted root key by using a file.

  • Kiépítés előtti ügyfelet a megbízható legfelső szintű kulccsal fájl nélkül.Pre-provision a client with the trusted root key without using a file.

  • A megbízható legfelső szintű kulcs ellenőrzése az ügyfélen.Verify the trusted root key on a client.

Megjegyzés

Nincs előre létre az ügyfelet a megbízható legfelső szintű kulcs használatával, ha kaphatnak Ez az Active Directory tartományi szolgáltatásokból, vagy a leküldéses telepítés.You do not have to pre-provision a client by using the trusted root key if they can get this from Active Directory Domain Services or they are installed by using client push. Ezenkívül nem rendelkezik ügyfelek előzetes ellátásához, mert megbízható kapcsolat PKI-tanúsítványok használata a felügyeleti pontok a HTTPS-kommunikációt.In addition, you do not have to pre-provision clients when they use HTTPS communication to management points because trust is established by PKI certificates.

Eltávolíthatja a megbízható legfelső szintű kulcs egy ügyfél a Client.msi-tulajdonsággal RESETKEYINFORMATION = TRUE, ccmsetup.exe.You can remove the trusted root key from a client by using the Client.msi property, RESETKEYINFORMATION = TRUE, with CCMSetup.exe. A megbízható legfelső szintű kulcs cseréjéhez telepítse újra az ügyfelet az új kulccsal, például ügyfélleküldéses módszerrel, vagy az SMSPublicRootKey Client.msi-tulajdonság használatával a CCMSetup.exe eszközzel.To replace the trusted root key, reinstall the client together with the new trusted root key, for example, by using client push, or by specifying the Client.msi SMSPublicRootKey property by using CCMSetup.exe.

Ügyfél előre ellátása a megbízható legfelső szintű kulccsal fájl használatávalTo pre-provision a client with the trusted root key by using a file

  1. Egy szövegszerkesztőben nyissa meg a fájlt, <Configuration Manager-könyvtár>\bin\mobileclient.tcf.In a text editor, open the file, <Configuration Manager directory>\bin\mobileclient.tcf.

  2. Keresse meg a bejegyzést SMSPublicRootKey =, másolja át a kulcsot a sorból, és zárja be a fájlt módosítás nélkül.Locate the entry, SMSPublicRootKey=, copy the key from that line, and close the file without any changes.

  3. Hozzon létre egy új szövegfájlt, és illessze be a kulccsal kapcsolatos adatokat, a mobileclient.tcf fájlból másolt.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Mentse a fájlt, és helyezze a helyen, ahol minden számítógép hozzáférhet, de ha a fájl védett az illetéktelen.Save the file, and place it in a location where all computers can access it, but where the file is secured to prevent tampering.

  5. Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely támogatja a Client.msi-tulajdonságokat, és adja meg a Client.msi-tulajdonsággal *SMSROOTKEYPATH = x<teljes elérési útja és neve>.Install the client by using any installation method that accepts Client.msi properties, and specify the Client.msi property, SMSROOTKEYPATH=<Full path and file name>.

    Fontos

    Ügyfél telepítése során a fokozott biztonság a megbízható legfelső szintű kulcs megadása esetén meg kell adnia a helykódot a Client.msi-tulajdonsággal SMSSITECODE =<Helykód>.When you specify the trusted root key for additional security during client installation, you must also specify the site code by using the Client.msi property, SMSSITECODE=<site code>.

Ügyfél előre ellátása a megbízható legfelső szintű kulccsal fájl nélkülTo pre-provision a client with the trusted root key without using a file

  1. Egy szövegszerkesztőben nyissa meg a fájlt, <Configuration Manager-könyvtár>\bin\mobileclient.tcf.In a text editor, open the file, <Configuration Manager directory>\bin\mobileclient.tcf.

  2. Keresse meg a bejegyzést, SMSPublicRootKey =, vegye figyelembe a kulcsot a sorból, vagy másolja a vágólapra, és zárja be a fájlt módosítás nélkül.Locate the entry, SMSPublicRootKey=, note the key from that line or copy it to the Clipboard, and then close the file without any changes.

  3. Telepítse az ügyfelet bármely olyan telepítési módszerrel, amely támogatja a Client.msi-tulajdonságokat, és adja meg a Client.msi-tulajdonsággal *SMSPublicRootKey = x<kulcs>, ahol < kulcs> van a mobileclient.tcf fájlból másolt karakterláncot.Install the client by using any installation method that accepts Client.msi properties, and specify the Client.msi property, SMSPublicRootKey=<key>, where <key> is the string that you copied from mobileclient.tcf.

    Fontos

    Ügyfél telepítése során a fokozott biztonság a megbízható legfelső szintű kulcs megadása esetén meg kell adnia a helykódot a Client.msi-tulajdonsággal SMSSITECODE =<Helykód>.When you specify the trusted root key for additional security during client installation, you must also specify the site code by using the Client.msi property, SMSSITECODE=<site code>.

A megbízható legfelső szintű kulcs ellenőrzése az ügyfélenTo verify the trusted root key on a client

  1. A a Start menüben válasszon futtatása, és írja be Wbemtest.On the Start menu, choose Run, and then enter Wbemtest.

  2. Az a Windows Management Instrumentation – tesztelés párbeszédpanelen válassza ki Connect.In the Windows Management Instrumentation Tester dialog box, choose Connect.

  3. Az a Connect párbeszédpanel a Namespace adja meg a root\ccm\locationservices, és válassza a Connect.In the Connect dialog box, in the Namespace box, enter root\ccm\locationservices, and then choose Connect.

  4. Az a Windows Management Instrumentation – tesztelés párbeszédpanel a IWbemServices területen válasszon osztályok enumerálása.In the Windows Management Instrumentation Tester dialog box, in the IWbemServices section, choose Enum Classes.

  5. Az a Szuperosztály adatai párbeszédpanelen válassza ki rekurzív, és válassza a OK.In the Superclass Info dialog box, choose Recursive, and then choose OK.

  6. A Lekérdezés eredménye ablakban görgessen a lista végére, majd kattintson duplán a TrustedRootKey () elemre.The Query Result window, scroll to the end of the list, and then double-click TrustedRootKey ().

  7. Az a TrustedRootKey objektumszerkesztője párbeszédpanelen válassza ki példányok.In the Object editor for TrustedRootKey dialog box, choose Instances.

  8. Az új lekérdezés eredménye ablak, amely megjeleníti a példányát TrustedRootKey, kattintson duplán a TrustedRootKey = @.In the new Query Result window that shows the instances of TrustedRootKey, double-click TrustedRootKey=@.

  9. Az a TrustedRootKey objektumszerkesztője = @ párbeszédpanel a tulajdonságok területen görgessen le a TrustedRootKey CIM_STRING.In the Object editor for TrustedRootKey=@ dialog box, in the Properties section, scroll down to TrustedRootKey CIM_STRING. A jobb oldali oszlopban lévő karakterlánc a megbízható legfelső szintű kulcs.The string in the right column is the trusted root key. Győződjön meg arról, hogy megegyezik a SMSPublicRootKey értékét a fájlban, <Configuration Manager-könyvtár>\bin\mobileclient.tcf.Verify that it matches the SMSPublicRootKey value in the file, <Configuration Manager directory>\bin\mobileclient.tcf.

Az aláírási és titkosítási tervPlan for signing and encryption

Amennyiben minden ügyfél-kommunikációhoz PKI-tanúsítványokat használ, nincs szüksége aláírás és titkosítás alkalmazásának megtervezésére az ügyfél-adatkommunikáció védelméhez.When you use PKI certificates for all client communications, you do not have to plan for signing and encryption to help secure client data communication. De ha beállította a HTTP-ügyfélkapcsolatokat engedélyezi az IIS-t futtató helyrendszerek, el kell döntenie, az ügyfél-kommunikációhoz a hely biztonságának.But, if you set up any site systems that run IIS to allow HTTP client connections, you must decide how to help secure the client communication for the site.

Az ügyfelek felügyeleti pontokra küldött adatok védelme érdekében megkövetelheti az adatok aláírását.To help protect the data that clients send to management points, you can require data to be signed. Ezenkívül azt is megkövetelheti, hogy a HTTP protokollt használó ügyfelektől érkező összes aláírt adat az SHA-256 algoritmus használatával legyen aláírva.In addition, you can require that all signed data from clients that use HTTP is signed by using the SHA-256 algorithm. Bár ez egy biztonságosabb beállítás, csak akkor engedélyezze, ha az összes ügyfél támogatja az SHA-256 algoritmust.Although this is a more secure setting, do not enable this option unless all clients support SHA-256. Sok operációs rendszer natív módon támogatja az SHA-256-ot, a régebbi rendszereknél azonban frissítés vagy gyorsjavítás lehet szükséges.Many operating systems natively support SHA-256, but older operating systems might require an update or hotfix. A Windows Server 2003 SP2 rendszert futtató számítógépeken például a 938397-es számú tudásbáziscikkáltal ismertetett gyorsjavítást kell telepíteni.For example, computers that run Windows Server 2003 SP2 must install a hotfix that is referenced in the KB article 938397.

Míg az aláírás az adatok módosítása ellen nyújt védelmet, a titkosítás az információfelfedés ellen védi azokat.Whereas signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Lehetősége van a 3DES titkosítás engedélyezésére a leltáradatok és az ügyfelek által a hely felügyeleti pontjainak küldött állapotüzenetek esetén.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Nincs frissítéseket telepíteni az ügyfeleken, így támogatja ezt a beállítást, de vegye figyelembe a igényel az ügyfelek és a felügyeleti pontot ehhez a titkosítás és visszafejtés megnövekedett processzorhasználatot.You do not have to install any updates on clients to support this option, but consider the additional CPU usage that will be required on clients and the management point to do the encryption and decryption.

További információt az aláírási és titkosítási beállítások konfigurálásáról, tekintse meg a konfigurálása aláírási és titkosítási szakasz a a biztonság konfigurálása a System Center Configuration Managerben cikk.For more about how to configure the settings for signing and encryption, see the Configure Signing and Encryption section in the Configure security in System Center Configuration Manager article.

Szerepköralapú felügyelet tervezésePlan for role-based administration

További információ: szerepkör alapú felügyelet a System Center Configuration Manager – alapok.For this information, see Fundamentals of role-based administration for System Center Configuration Manager.

További információSee also

Titkosítási funkciók technikai útmutató a System Center Configuration Manager.Cryptographic controls technical reference for System Center Configuration Manager.