Inleiding tot certificaatprofielen in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
De informatie in dit onderwerp is van toepassing op System Center 2012 R2 Configuration Manager en System Center 2012 R2 Configuration Manager SP1.
Certificaatprofielen in System Center 2012 Configuration Manager werken met Active Directory Certificate Services en de rol Registratieservice voor netwerkapparaten om verificatiecertificaten voor beheerde apparaten in te richten, zodat gebruikers probleemloos toegang kunnen krijgen tot bedrijfsbronnen. Zo kunt u bijvoorbeeld certificaatprofielen maken en implementeren om gebruikers de benodigde certificaten te geven om VPN-verbindingen en draadloze verbindingen te initiëren.
Certificaatprofielen in Configuration Manager bieden de volgende beheermogelijkheden:
Certificaatregistratie en -vernieuwing vanuit een bedrijfscertificeringsinstantie (CA) voor apparaten waarop iOS, Windows 8.1, Windows RT 8.1 en Android wordt uitgevoerd: deze certificaten kunnen vervolgens worden gebruikt voor Wi-Fi- en VPN-verbindingen.
Implementatie van certificaten van vertrouwde basiscertificeringsinstanties en tussenliggende certificeringsinstanties voor de configuratie van een vertrouwensketen op apparaten voor VPN- en Wi-Fi-verbindingen wanneer serververificatie vereist is.
De geïnstalleerde certificaten bewaken en hierover rapporteren.
Met certificaatprofielen kunnen gebruikersapparaten automatisch worden geconfigureerd, zodat bedrijfsbronnen zoals Wi-Fi-netwerken en VPN-servers toegankelijk zijn zonder handmatig certificaten te hoeven installeren of een buiten-bandproces te hoeven gebruiken. Certificaatprofielen kunnen ook helpen om bedrijfsbronnen veilig te houden, aangezien u veiligere instellingen kunt gebruiken die worden ondersteund door uw zakelijke PKI (Public Key Infrastructure). U kunt bijvoorbeeld serververificatie vereisen voor alle Wi-Fi- en VPN-verbindingen omdat u de vereiste certificaten hebt ingericht op de beheerde apparaten.
Voorbeeld: Alle medewerkers moeten op meerdere bedrijfslocaties verbinding kunnen maken met Wi-Fi-hotspots. Hiervoor kunt u de vereiste certificaten implementeren om de Wi-Fi-verbinding te maken en ook Wi-Fi-profielen in Configuration Manager implementeren die verwijzen naar het correcte certificaat dat moet worden gebruikt, zodat de Wi-Fi-verbinding naadloos tot stand komt voor gebruikers.
Voorbeeld: U gebruikt een PKI en wilt overstappen op een flexibelere en veiligere methode voor het leveren van certificaten waarmee gebruikers toegang tot bedrijfsbronnen krijgen vanaf hun persoonlijke apparaten, zonder beveiligingsrisico's. Hiervoor kunt u certificaatprofielen configureren met instellingen en protocollen die worden ondersteund voor het specifieke apparaatplatform. De apparaten kunnen deze certificaten vervolgens automatisch aanvragen van een inschrijvingsserver op internet. Vervolgens kunt u VPN-profielen voor gebruik van deze certificaten configureren, zodat het apparaat toegang tot bedrijfsbronnen kan krijgen.
Typen certificaatprofielen
U kunt twee typen certificaatprofielen maken in Configuration Manager:
Vertrouwd CA-certificaat - Hiermee kunt u een certificaat van een vertrouwde basiscertificeringsinstantie of een tussenliggende certificeringsinstantie implementeren om een certificaatvertrouwensketen te vormen wanneer het apparaat een server moet verifiëren.
Instellingen voor Simple Certificate Enrollment Protocol (SCEP) - Hiermee kunt u een certificaat voor een apparaat of gebruiker aanvragen door het SCEP-protocol en de registratieservice voor netwerkapparaten te gebruiken op een server waarop Windows Server 2012 R2 wordt uitgevoerd.
Notitie
U moet een certificaatprofiel van het type Vertrouwd CA-certificaat maken voordat u een certificaatprofiel van het type Instellingen voor Simple Certificate Enrollment Protocol (SCEP) kunt maken.
Vereisten en ondersteunde platforms
Als u certificaatprofielen wilt implementeren waarin het Simple Certificate Enrollment Protocol wordt gebruikt, moet u het certificaatregistratiepunt installeren op een sitesysteemserver in de centrale beheersite, of in een primaire site. U moet ook een beleidsmodule voor de registratieservice voor netwerkapparaten (de Configuration Manager-beleidsmodule) installeren op een server waarop Windows Server 2012 R2 wordt uitgevoerd met de rol Active Directory Certificate Services en een werkende registratieservice voor netwerkapparaten die toegankelijk is voor apparaten die de certificaten nodig hebben. Voor apparaten die worden geregistreerd met Microsoft Intune betekent dit dat de registratieservice voor netwerkapparaten toegankelijk moet zijn vanaf internet, bijvoorbeeld in een afgeschermd subnet (ook wel een DMZ genoemd).
Raadpleeg Een beleidsmodule gebruiken met Inschrijvingsservice voor netwerkapparaten voor meer informatie over hoe de Inschrijvingsservice voor netwerkapparaten ondersteuning biedt voor een beleidsmodule zodat Configuration Manager certificaten kan implementeren.
Configuration Manager biedt ondersteuning voor de implementatie van certificaten in verschillende certificaatarchieven, afhankelijk van het vereiste en van het apparaattype en besturingssysteem. De volgende apparaten en besturingssystemen worden ondersteund:
Windows RT 8.1
Windows 8.1
Windows Phone 8,1
.jpeg "System_CAPS_warning")
WaarschuwingAls u Windows Phone 8.1 wilt ondersteunen, moet u de optionele uitbreiding voor Windows Phone 8.1 installeren. Zie Plannen voor het gebruik van uitbreidingen in Configuration Manager voor meer informatie over het installeren van de uitbreiding.
iOS
Android
Notitie
Zie Certificaten op Android-apparaten installeren in Configuration Manager voor informatie over acties die eindgebruikers moeten uitvoeren wanneer zij een certificaat installeren op een Android-apparaat.
.jpeg "System_CAPS_important") Belangrijk |
|---|
Om profielen te implementeren op Android-, iOS-, Windows Phone- en ingeschreven Windows 8.1-apparaten moeten deze apparaten worden ingeschreven bij Microsoft Intune. Zie Mobiele apparaten beheren met Microsoft Intune voor meer informatie over het inschrijven van uw apparaten. |
Een typisch scenario voor System Center 2012 Configuration Manager is de installatie van certificaten van vertrouwde basiscertificeringsinstanties om Wi-Fi- en VPN-servers te installeren wanneer voor de verbinding gebruik wordt gemaakt van EAP-TLS-, EAP-TTLS- en PEAP-verificatieprotocollen, en IKEv2-, L2TP/IPsec- en Cisco IPsec VPN-tunnelprotocollen.
U moet zorgen dat er een zakelijk certificaat van een vertrouwde basiscertificeringsinstantie is geïnstalleerd op het apparaat voordat het apparaat certificaten kan aanvragen door een SCEP-certificaatprofiel te gebruiken.
U kunt in een SCEP-certificaatprofiel diverse instellingen opgeven om aangepaste certificaten aan te vragen voor verschillende omgevingen of connectiviteitsvereisten. De Wizard Certificaatprofiel maken bevat twee pagina's voor registratieparameters. De eerste pagina, SCEP-registratie, bevat instellingen voor de registratieaanvraag en voor de installatielocatie van het certificaat. Op de tweede pagina, Certificaateigenschappen, wordt het aangevraagde certificaat zelf beschreven.
Certificaatprofielen implementeren
Wanneer u een certificaatprofiel implementeert, worden de certificaatbestanden binnen het profiel geïnstalleerd op clientapparaten. Ook eventuele SCEP-parameters worden geïmplementeerd, en de SCEP-aanvragen worden verwerkt op het clientapparaat. U kunt certificaatprofielen implementeren in gebruikers- of apparaatverzamelingen en het doelarchief voor elk certificaat opgeven. Aan de hand van regels voor toepasselijkheid wordt bepaald of de certificaten op het apparaat kunnen worden geïnstalleerd. Wanneer certificaatprofielen worden geïmplementeerd in gebruikersverzamelingen, bepaalt de gebruikersaffiniteit van apparaten op welke van de gebruikersapparaten de certificaten worden geïnstalleerd. Wanneer certificaatprofielen die gebruikerscertificaten bevatten, worden geïmplementeerd in apparaatverzamelingen, worden de certificaten standaard geïnstalleerd op het primaire apparaat van elke gebruiker. U kunt dit gedrag wijzigen zodat het certificaat wordt geïnstalleerd op alle gebruikersapparaten op de pagina SCEP-registratie van de Wizard Certificaatprofiel maken. Verder worden gebruikerscertificaten niet geïmplementeerd op apparaten als dit werkgroepcomputers zijn.
Certificaatprofielen bewaken
U kunt de implementatie van certificaatprofielen bewaken vanaf het knooppunt Implementaties van de werkruimte Bewaking in de Configuration Manager-console.
U kunt ook de volgende Configuration Manager-rapporten gebruiken om certificaatprofielen te bewaken:
Geschiedenis van certificaten die worden uitgegeven door het certificaatregistratiepunt
Lijsten van activa op certificaatuitgiftestatus voor certificaten die zijn geregistreerd door het certificaatregistratiepunt
Lijst van activa met certificaten die binnenkort vervallen
Automatische intrekking van certificaten
In Configuration Manager worden gebruikers- en computercertificaten die zijn geïmplementeerd met behulp van certificaatprofielen, in de volgende omstandigheden automatisch ingetrokken:
Het apparaat wordt buiten bedrijf gesteld voor beheer in Configuration Manager.
Het apparaat wordt selectief gewist.
Het apparaat wordt geblokkeerd vanuit de Configuration Manager-hiërarchie.
Om de certificaten in te trekken, wordt er vanaf de siteserver een intrekkingsopdracht verzonden naar de uitgevende certificeringsinstantie. De reden voor de intrekking is Activiteit gestaakt.
Wat is er nieuw in System Center 2012 R2 Configuration Manager
Notitie
De informatie in deze sectie komt ook voor in de gids Getting Started with System Center 2012 Configuration Manager (Aan de slag met System Center 2012 Configuration Manager).
Certificaatprofielen zijn nieuw in System Center 2012 R2 Configuration Manager. Ze bieden de volgende mogelijkheden en hebben enkele afhankelijke configuraties:
Implementatie van gebruikers- en apparaatcertificaten voor beheerde apparaten met behulp van het Simple Certificate Enrollment Protocol (SCEP). Deze certificaten kunnen worden gebruikt om Wi-Fi- en VPN-verbindingen te ondersteunen.
Apparaten die ondersteund worden, zijn apparaten waarop iOS, Windows 8.1 en Windows RT 8.1, of Android wordt uitgevoerd.
Implementatie van certificaten van basiscertificeringsinstanties en tussenliggende certificeringsinstanties, zodat apparaten een vertrouwensketen kunnen maken wanneer ze serververificatie gebruiken voor netwerkverbindingen.
Een certificaatregistratiepunt moet worden geïmplementeerd in de centrale beheersite of een primaire site en de Configuration Manager-beleidsmodule moet worden geïnstalleerd op een server waarop Windows Server 2012 R2 wordt uitgevoerd met Active Directory Certificate Services en de rol Registratieservice voor netwerkapparaten. Deze server moet toegankelijk zijn vanaf internet en moet communiceren met een zakelijke certificeringsinstantie om de certificaten uit te geven. Zie What's New in Certificate Services in Windows Server 2012 R2 (Nieuw in certificaatservices in Windows Server 2012 R2) voor meer informatie over de wijzigingen in de registratieservice voor netwerkapparaten om dit scenario te ondersteunen.
Nieuw in System Center 2012 Configuration Manager SP2
Met Configuration Manager 2012 SP2 kunt u PFX-bestanden (Personal Information Exchange) inrichten op de apparaten van gebruikers. PFX-bestanden kunnen worden gebruikt om gebruikersspecifieke certificaten te maken ter ondersteuning van versleutelde gegevensuitwisseling. U kunt PFX-certificaten maken in Configuration Manager of ze importeren. Met Configuration Manager 2012 SP2 kunnen geïmporteerde of nieuwe PFX-certificaten worden geïmplementeerd op iOS-, Android-, Windows 8.1- en nieuwere apparaten, en op Windows Phone 8.1- en nieuwere apparaten. Deze bestanden kunnen worden geïmplementeerd op meerdere apparaten ter ondersteuning van gebruikersgebaseerde PKI-communicatie. Zie voor meer informatie over PFX-bestanden.No text is shown for link '1151e4ef-647e-4a8c-ae37-d5f0972dc4da'. The title of the linked topic might be empty.