Tanúsítványprofilok ismertetése a System Center Configuration ManagerbenIntroduction to certificate profiles in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A tanúsítványprofilok működik, az Active Directory tanúsítványszolgáltatások és a hálózati eszközök tanúsítványigénylési szolgáltatás (NDES) szerepkör.Certificate profiles work with Active Directory Certificate Services and the Network Device Enrollment Service (NDES) role. Létrehozhat és telepíthet a felügyelt eszközöknek tanúsítványhitelesítést biztosítsanak úgy, hogy a felhasználók egyszerűen hozzáférhessenek a vállalati erőforrásokhoz.Create and deploy authentication certificates for managed devices so that users can easily access company resources. Például hozzon létre, és biztosítsa a felhasználók csatlakoznak a VPN és vezetéknélküli kapcsolatokat a szükséges tanúsítványokat tanúsítványprofilok központi telepítése.For example, you can create and deploy certificate profiles to provide the necessary certificates for users to connect to VPN and wireless connections.

Tanúsítványprofilokkal automatikusan konfigurálhatók a felhasználói eszközök.Certificate profiles can automatically configure user devices. Felhasználók férhetnek hozzá a vállalati erőforrásokba, például Wi-Fi-hálózatok és a VPN-kiszolgálók tanúsítványok manuális telepítése vagy egy sávon kívüli folyamat használata nélkül.Users access company resources such as Wi-Fi networks and VPN servers without manually installing certificates or using an out-of-band process. Tanúsítvány-profilok hozzájárul ahhoz, hogy a vállalati erőforrások biztosítani, mert nagyobb biztonságot nyújt a vállalati nyilvános kulcsú infrastruktúra (PKI) által támogatott beállítások is használhatja.Certificate profiles help to keep company resources secure because you can use more secure settings that are supported by your enterprise public key infrastructure (PKI). Például kiszolgálói hitelesítés szükséges minden Wi-Fi és VPN-kapcsolatok, mert a felügyelt eszközöket a szükséges tanúsítványok telepítése után.For example, require server authentication for all Wi-Fi and VPN connections because you've deployed the required certificates on the managed devices.

A tanúsítványprofilok a következő felügyeleti képességeket biztosítják:Certificate profiles provide the following management capabilities:

  • Tanúsítványigénylés és -megújítás egy vállalati hitelesítésszolgáltató (CA) iOS, Windows 8.1, Windows RT 8.1, Windows 10 asztali és mobil és Android rendszerű eszközökhöz.Certificate enrollment and renewal from an enterprise certification authority (CA) for devices that run iOS, Windows 8.1, Windows RT 8.1, Windows 10 Desktop and Mobile, and Android. Ezek a tanúsítványok használható a Wi-Fi és VPN-kapcsolatok.These certificates can then be used for Wi-Fi and VPN connections.

  • A megbízható legfelső szintű Hitelesítésszolgáltatói tanúsítványok és köztes Hitelesítésszolgáltatói tanúsítványok központi telepítése.Deployment of trusted root CA certificates and intermediate CA certificates. Ezek a tanúsítványok konfigurálása egy megbízhatósági láncot eszközökön, hogy VPN és Wi-Fi-kapcsolatok, ha kiszolgálói hitelesítésre szükség.These certificates configure a chain of trust on devices for VPN and Wi-Fi connections when server authentication is required.

  • A telepített tanúsítványok figyelése, és jelentések készítéseMonitor and report about the installed certificates.

Példa: Minden alkalmazott csatlakozhat a vállalat különböző helyszínein a Wi-Fi elérési pontokhoz való kell lennie.Example: All employees must be able to connect to Wi-Fi hotspots in multiple corporate locations. Ahhoz, hogy könnyen felhasználói kapcsolat, központi telepítése a tanúsítványok, Wi-Fi való kapcsolódáshoz szükséges.To enable easy user connection, first deploy the certificates needed to connect to Wi-Fi. Ezután telepíti a Wi-Fi profilok, amely hivatkozik a tanúsítványra.Then deploy Wi-Fi profiles that reference the certificate.

Példa: A nyilvános kulcsokra épülő infrastruktúra érvényben van.Example: You have a PKI in place. Egy olyan rugalmasabb, biztonságosabb módjára tanúsítványait áthelyezni kívánt.You want to move to a more flexible, secure method of deploying certificates. Kell, hogy a felhasználók férhessenek hozzá a vállalati erőforrásokhoz a személyes eszközeikről biztonság csökkenése nélkül.Users should be able to access company resources from their personal devices without compromising security. Tanúsítványprofilok konfigurálása olyan beállításokkal és protokollokkal, amelyek támogatják az adott eszközplatform számára.Configure certificate profiles with settings and protocols that are supported for the specific device platform. A készülékek ezt követően automatikusan lekérhetik ezeket a tanúsítványokat egy internetes elérésű beléptetési kiszolgálótól.The devices can then automatically request these certificates from an Internet-facing enrollment server. Ezt követően konfigurálja a VPN-profilokat a tanúsítványok használatára, hogy az eszköz a vállalati erőforrások eléréséhez.Then, configure VPN profiles to use these certificates so that the device can access company resources.

Tanúsítványprofilok típusaiTypes of certificate profiles

Háromféle típusú tanúsítványprofil van:There are three types of certificate profiles:

  • Megbízható Hitelesítésszolgáltatói tanúsítvány – megbízható legfelső szintű hitelesítésszolgáltató vagy köztes Hitelesítésszolgáltatói tanúsítványt telepít.Trusted CA certificate - Deploy a trusted root CA or intermediate CA certificate. Ezeket a tanúsítványokat egy megbízhatósági láncot alkotnak, amikor az eszköznek kiszolgálót kell hitelesíteni.These certificates form a chain of trust when the device must authenticate a server.

  • Egyszerű tanúsítványigénylési protokoll (SCEP) -eszköz vagy felhasználó számára tanúsítványt igényelni a SCEP protokoll használatával.Simple Certificate Enrollment Protocol (SCEP) - Request a certificate for a device or user by using the SCEP protocol. Ez a típus igényel a hálózati eszközök tanúsítványigénylési szolgáltatás (NDES) szerepkör, Windows Server 2012 R2-t futtató kiszolgálón vagy újabb.This type requires the Network Device Enrollment Service (NDES) role on a server running Windows Server 2012 R2 or later.

    Létrehozásához egy egyszerű tanúsítványigénylési protokoll (SCEP) tanúsítványprofilt, először létre kell hoznia egy megbízható Hitelesítésszolgáltatói tanúsítvány profil.To create a Simple Certificate Enrollment Protocol (SCEP) certificate profile, first create a Trusted CA certificate profile.

  • Személyes információcsere (.pfx) -eszköz vagy felhasználó számára (más néven a PKCS #12) .pfx tanúsítvány igénylése.Personal information exchange (.pfx) - Request a .pfx (also known as PKCS #12) certificate for a device or user.

    Létrehozhat PFX-tanúsítványprofilok vagy hitelesítő adatok importálása meglévő tanúsítványból származó, illetve ha tanúsítvány meghatározása hatóság a kérelmek feldolgozását.You may create PFX certificate profiles by either importing credentials from existing certificates or by defining a certificate authority to process requests.

    Megjegyzés

    A Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót.Configuration Manager doesn't enable this optional feature by default. Használat előtt engedélyeznie kell ezt a szolgáltatást.You must enable this feature before using it. További információkért lásd: a frissítések választható funkcióinak engedélyezése.For more information, see Enable optional features from updates.

    1706 verziójától kezdve, használhatja a Microsoft vagy Entrust a hitelesítésszolgáltatók személyes információcsere (.pfx) tanúsítványokat.Starting with version 1706, you can use Microsoft or Entrust as certificate authorities for Personal information exchange (.pfx) certificates.

Követelmények és támogatott platformokRequirements and supported platforms

SCEP protokollt használó tanúsítványprofilok központi telepítéséhez telepítenie a tanúsítványregisztrációs pont helyrendszer-kiszolgálót.To deploy certificate profiles that use SCEP, install the certificate registration point on a site system server. Is telepíteni az ndes számára, a Configuration Manager házirend moduljának, egy olyan kiszolgálón, amelyen Windows Server 2012 R2 vagy újabb.Also install a policy module for NDES, the Configuration Manager Policy Module, on a server that runs Windows Server 2012 R2 or later. A kiszolgáló igényel, az Active Directory tanúsítványszolgáltatások szerepkör, és egy működő hálózati eszközök Tanúsítványigénylési, amely elérhető a tanúsítványt igénylő eszközök.This server requires the Active Directory Certificate Services role and a working NDES that is accessible to the devices that require the certificates. A Microsoft Intune által beléptetett eszközök esetén a hálózati eszközök Tanúsítványigénylési az internetről elérhetőnek kell lennie.For the devices that are enrolled by Microsoft Intune, the NDES must be accessible from the Internet. Például DMZ-ben a szegélyhálózatban, más néven.For example, in a screened subnet, also known as a DMZ.

PFX-tanúsítványok is szükség lehet egy tanúsítványregisztrációs pontot.PFX certificates also require a certificate registration point. A hitelesítésszolgáltató (CA) a tanúsítvány és a vonatkozó hozzáférési hitelesítő adatokat is megadhat.Also specify the certificate authority (CA) for the certificate and the relevant access credentials. 1706 verziójától kezdve, akkor előfordulhat, hogy adja meg Microsoft vagy Entrust hitelesítésszolgáltatók.Starting with version 1706, you may specify either Microsoft or Entrust as certificate authorities.

További információ a hogyan a hálózati eszközök tanúsítványigénylési szolgáltatása támogatja a házirendmodult úgy, hogy a Configuration Manager tanúsítványok központi telepítésére: házirendmodul használata a hálózati eszközök tanúsítványigénylési szolgáltatása.For more information about how the Network Device Enrollment Service supports a policy module so that Configuration Manager can deploy certificates, see Using a Policy Module with the Network Device Enrollment Service.

A követelményeitől függően a Configuration Manager rendszerbe állítása tanúsítványok különböző tanúsítványtárakba támogatja a különböző eszköztípusok és operációs rendszereken.Depending on the requirements, Configuration Manager supports deploying certificates to different certificate stores on various device types and operating systems. A következő eszközök és operációs rendszerek támogatottak:The following devices and operating systems are supported:

  • Windows RT 8.1Windows RT 8.1

  • Windows 8.1Windows 8.1

  • Windows Phone 8.1Windows Phone 8.1

  • Windows 10 asztali és mobil verziójaWindows 10 Desktop and Mobile

  • iOSiOS

  • AndroidAndroid

Fontos

Android, iOS, Windows Phone és beléptetett Windows 8.1 vagy újabb rendszerű eszközök profilokat telepíteni, ezeket az eszközöket lehet Microsoft Intune-ban regisztrált.To deploy profiles to Android, iOS, Windows Phone, and enrolled Windows 8.1 or later devices, these devices must be enrolled in Microsoft Intune.

A jellemző forgatókönyv a Configuration Manager a rendszer telepíti a megbízható legfelső szintű Hitelesítésszolgáltatói tanúsítványokat telepítenek a Wi-Fi és VPN-kiszolgálót, ha a kapcsolat EAP-TLS, EAP-TTLS, és PEAP hitelesítési protokollt, és az IKEv2, L2TP/IPsec és Cisco IPsec VPN-alagutat használja protokollokat.A typical scenario for Configuration Manager is to install trusted root CA certificates to authenticate Wi-Fi and VPN servers when the connection uses EAP-TLS, EAP-TTLS, and PEAP authentication protocols, and IKEv2, L2TP/IPsec, and Cisco IPsec VPN tunneling protocols.

Egy vállalati legfelső szintű Hitelesítésszolgáltatói tanúsítványt kell az eszköz előtt telepítenie az eszközök tanúsítványokat igényelhetnek SCEP-tanúsítványprofil segítségével.An enterprise root CA certificate must be installed on the device before the device can request certificates by using a SCEP certificate profile.

A különböző környezetek vagy kapcsolódási igények szerint testre szabott tanúsítványok kéréséhez SCEP-tanúsítványprofil beállításokat adhat meg.You can specify settings in a SCEP certificate profile to request customized certificates for different environments or connectivity requirements. A Tanúsítványprofil létrehozása varázsló az igénylési paraméterek két lapot tartalmaz.The Create Certificate Profile Wizard has two pages for enrollment parameters. Az első SCEP-igénylés, a beléptetési kérést, és a tanúsítvány telepítési helyének beállításait tartalmazza.The first, SCEP Enrollment, includes settings for the enrollment request and where to install the certificate. A második, a Tanúsítvány tulajdonságaimagát a lekért tanúsítványt ismerteti.The second, Certificate Properties, describes the requested certificate itself.

Tanúsítványprofilok központi telepítéseDeploying certificate profiles

A tanúsítványprofil központi telepítésekor a profil tanúsítványfájljai telepítve lesznek az ügyféleszközökre.When you deploy a certificate profile, the certificate files within the profile are installed on client devices. SCEP esetleges paraméterei is telepít, és az SCEP kérelmei az ügyféleszközön dolgoznak.Any SCEP parameters are also deployed, and the SCEP requests are processed on the client device. Tanúsítványprofilok központi telepítése a felhasználói és eszközcsoportokra, és adja meg az egyes tanúsítványok tárolási célhelye.You can deploy certificate profiles to user or device collections and specify the destination store for each certificate. Az alkalmazhatósági szabályok határozzák meg, hogy a tanúsítványok telepíthetők-e az eszközre.Applicability rules determine whether the certificates can be installed on the device. Amikor a tanúsítványprofilok felhasználógyűjtemények van telepítve, a felhasználó-eszköz kapcsolat határozza meg, mely a felhasználók eszközein a tanúsítványok telepítése.When certificate profiles are deployed to user collections, user device affinity determines which of the users' devices install the certificates. Ha felhasználói tanúsítványokat tartalmazó tanúsítványprofilok eszközgyűjtemények van telepítve, alapértelmezés szerint a tanúsítványok telepítését az egyes a felhasználók elsődleges eszközére.When certificate profiles that include user certificates are deployed to device collections, by default the certificates are installed on each of the users' primary devices. Ez a viselkedés telepíteni tudja a tanúsítványt, a felhasználók eszközökhöz módosíthatja a SCEP-igénylés oldalán a Tanúsítványprofil létrehozása varázsló.You can modify this behavior to install the certificate on any of the users' devices on the SCEP Enrollment page of the Create Certificate Profile Wizard. Ha az eszközök munkacsoport-számítógépeket, a felhasználói tanúsítványok nem igényel telepítést.If the devices are workgroup computers, user certificates are not deployed.

Tanúsítványprofilok figyeléseMonitoring certificate profiles

Tanúsítványprofil-telepítéseket megfelelőségi eredményeit, illetve a jelentések megtekintésével figyelheti.You can monitor certificate profile deployments by viewing compliance results or reports. Ezek a módszerek ismertetett tanúsítványprofilok figyelése.These approaches are described in How to monitor certificate profiles.

Tanúsítványok automatikus visszahívásaAutomatic revocation of certificates

A System Center Configuration Manager automatikusan visszavonja a felhasználói és számítógépi tanúsítványokat, amelyek tanúsítványprofilok használatával a következő körülmények között lettek telepítve:System Center Configuration Manager automatically revokes user and computer certificates that were deployed by using certificate profiles in the following circumstances:

  • Az eszközt kivonják a System Center Configuration Manager felügyelet alól.The device is retired from System Center Configuration Manager management.

  • Az eszköz ki lett törölve szelektíven.The device is selectively wiped.

  • Az eszköz le lesz tiltva, a System Center Configuration Manager hierarchiából.The device is blocked from the System Center Configuration Manager hierarchy.

    A tanúsítvány visszahívásához a helykiszolgáló visszahívási parancsot küld a tanúsítványt kibocsátó tanúsítványszolgáltatónak.To revoke the certificates, the site server sends a revocation command to the issuing certification authority. A visszahívás oka A tevékenység megszűnt.The reason for the revocation is Cease of Operation.