Introdução aos perfis de certificado no Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
Importante
A partir da versão 2103 do Gestor de Configuração, esta funcionalidade de acesso a recursos da empresa é depreciada. Utilize Microsoft Intune para implementar perfis de acessoa recursos .
Os perfis de certificados funcionam com os Serviços de Certificados de Diretório Ativo e a função do Serviço de Inscrição de Dispositivos de Rede (NDES). Crie e implemente certificados de autenticação para dispositivos geridos para que os utilizadores possam aceder facilmente aos recursos organizacionais. Por exemplo, pode criar e implementar perfis de certificados para fornecer os certificados necessários para que os utilizadores se conectem a ligações VPN e sem fios.
Os perfis de certificados podem configurar automaticamente dispositivos de utilizador para acesso a recursos organizacionais, tais como redes Wi-Fi e servidores VPN. Os utilizadores podem aceder a estes recursos sem instalar manualmente certificados ou utilizar um processo fora de banda. Os perfis de certificados ajudam a garantir recursos porque pode utilizar configurações mais seguras que são suportadas pela sua infraestrutura de chaves públicas (PKI). Por exemplo, requer a autenticação do servidor para todas as ligações Wi-Fi e VPN porque implementou os certificados necessários nos dispositivos geridos.
Os perfis de certificado fornecem as seguintes funcionalidades de gestão:
Inscrição e renovação de certificados de uma autoridade de certificação (CA) para dispositivos que executam diferentes tipos e versões de OS. Estes certificados podem então ser utilizados para ligações Wi-Fi e VPN.
Implantação de certificados de CA de raiz fidedigna e certificados de CA intermédios. Estes certificados configuram uma cadeia de confiança em dispositivos para ligações VPN e Wi-Fi quando é necessária a autenticação do servidor.
Monitorização e criação de relatórios sobre os certificados instalados.
Exemplo 1: Todos os colaboradores precisam de se conectar a Wi-Fi pontos de interesse em vários locais de escritório. Para permitir uma ligação fácil do utilizador, primeiro implemente os certificados necessários para ligar ao Wi-Fi. Em seguida, implemente Wi-Fi perfis que referenciam o certificado.
Exemplo 2: Tem um PKI no lugar. Pretende mover-se para um método mais flexível e seguro de implantação de certificados. Os utilizadores precisam de aceder aos recursos organizacionais a partir dos seus dispositivos pessoais sem comprometer a segurança. Configure perfis de certificados com configurações e protocolos suportados para a plataforma específica do dispositivo. Os dispositivos podem então solicitar automaticamente estes certificados a partir de um servidor de inscrição virado para a Internet. Em seguida, configurar perfis VPN para usar estes certificados para que o dispositivo possa aceder a recursos organizacionais.
Tipos
Existem três tipos de perfis de certificado:
Certificado ca fidedigno: Implementar um certificado ca de raiz fidedigna ou ca intermédio. Estes certificados formam uma cadeia de confiança quando o dispositivo deve autenticar um servidor.
Protocolo de Inscrição simples de Certificado (SCEP): Solicite um certificado para um dispositivo ou utilizador utilizando o protocolo SCEP. Este tipo requer a função do Serviço de Inscrição de Dispositivos de Rede (NDES) num servidor que funciona Windows Server 2012 R2 ou posteriormente.
Para criar um perfil de certificado de inscrição de certificado simples (SCEP), crie primeiro um perfil de certificado de CA Fidedigno.
Troca de informações pessoais (.pfx): Solicite um certificado .pfx (também conhecido como PKCS #12) para um dispositivo ou utilizador. Existem dois métodos para criar perfis de certificado PFX:
- Credenciais de importação a partir de certificados existentes
- Definir uma autoridade de certificados para processar pedidos
Nota
O Gestor de Configuração não ativa esta funcionalidade opcional por predefinição. Deve ativar esta função antes de a utilizar. Para mais informações, consulte Enable optional features from updates.
Pode utilizar a Microsoft ou a Entrust como autoridades de certificados para certificados de intercâmbio de informações pessoais (.pfx).
Requisitos
Para implementar perfis de certificados que utilizem o SCEP, instale o ponto de registo do certificado num servidor do sistema de site. Instale também um módulo de política para o NDES, o Módulo de Política do Gestor de Configuração, num servidor que funciona Windows Server 2012 R2 ou mais tarde. Este servidor requer a função de Serviços de Certificados de Diretório Ativo. Também requer um NDES em funcionamento acessível aos dispositivos que requerem os certificados. Se os seus dispositivos precisarem de se inscrever para certificados a partir da internet, então o seu servidor NDES deve estar acessível a partir da internet. Por exemplo, para ativar com segurança o tráfego para o servidor NDES a partir da internet, pode utilizar o Azure Application Proxy.
Os certificados PFX também requerem um ponto de registo de certificado. Especificar igualmente a autoridade de certificados (CA) para o certificado e as credenciais de acesso relevantes. Pode especificar a Microsoft ou a Entrust como autoridades de certificados.
Para obter mais informações sobre como o NDES suporta um módulo de política para que o Gestor de Configuração possa implementar certificados, consulte utilizar um módulo de política com o Serviço de Inscrição de Dispositivos de Rede.
Dependendo dos requisitos, o Gestor de Configuração suporta a implementação de certificados em diferentes lojas de certificados em vários tipos de dispositivos e sistemas operativos. São suportados os seguintes dispositivos e sistemas operativos:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Nota
Utilize o Gestor de Configuração no local MDM para gerir Windows Phone 8.1 e Windows 10 Mobile. Para mais informações, consulte o MDM no local.
Um cenário típico para o Gestor de Configuração é instalar certificados de CA de raiz fidedigna para autenticar servidores Wi-Fi e VPN. As ligações típicas utilizam os seguintes protocolos:
- Protocolos de autenticação: EAP-TLS, EAP-TTLS e PEAP
- Protocolos de túneis VPN: IKEv2, L2TP/IPsec e Cisco IPsec
Um certificado ca raiz da empresa deve ser instalado no dispositivo antes que o dispositivo possa solicitar certificados utilizando um perfil de certificado SCEP.
Pode especificar as definições num perfil de certificado SCEP para solicitar certificados personalizados para diferentes ambientes ou requisitos de conectividade. O Assistente de Perfil de Certificado criar tem duas páginas para parâmetros de inscrição. A primeira, Inscrição SCEP, inclui definições para o pedido de inscrição e onde instalar o certificado. A segunda, Propriedades do Certificado, descreve o certificado pedido.
Implementar
Quando implementa um perfil de certificado SCEP, o cliente do Gestor de Configuração processa a política. Em seguida, solicita uma palavra-passe de desafio SCEP a partir do ponto de gestão. O dispositivo cria um par de chaves público/privado e gera um pedido de assinatura de certificado (RSE). Envia este pedido para o servidor NDES. O servidor NDES remete o pedido para o sistema de site de ponto de registo de certificados através do módulo de política NDES. O ponto de registo do certificado valida o pedido, verifica a senha de desafio SCEP e verifica que o pedido não foi adulterado. Em seguida, aprova ou nega o pedido. Se for aprovado, o servidor NDES envia o pedido de assinatura à autoridade de certificados ligado (CA) para assinatura. A AC assina o pedido e, em seguida, devolve o certificado ao dispositivo de pedido.
Implementar perfis de certificados para recolhas de utilizadores ou dispositivos. Pode especificar a loja de destino para cada certificado. As regras de aplicabilidade determinam se o dispositivo pode instalar o certificado.
Quando implementa um perfil de certificado numa coleção de utilizador, a afinidade do dispositivo do utilizador determina qual dos dispositivos dos utilizadores instala os certificados. Quando implementa um perfil de certificado com um certificado de utilizador para uma recolha do dispositivo, por padrão cada um dos dispositivos primários dos utilizadores instala os certificados. Para instalar o certificado em qualquer um dos dispositivos dos utilizadores, altere este comportamento na página de Inscrição SCEP do Assistente de Perfil de Certificado. Se os dispositivos estiverem num grupo de trabalho, o Gestor de Configuração não implementa certificados de utilizador.
Monitor
Pode monitorizar as implementações do perfil do certificado visualizando resultados ou relatórios de conformidade. Para obter mais informações, consulte como monitorizar os perfis de certificados.
Revogação automática
O Gestor de Configuração revoga automaticamente os certificados de utilizador e de computador que foram implantados utilizando perfis de certificados nas seguintes circunstâncias:
O dispositivo é retirado da gestão do Gestor de Configuração.
O dispositivo está bloqueado da hierarquia do Gestor de Configuração.
Para revogar os certificados, o servidor do site envia um comando de revogação à autoridade de certificação emissora. O motivo da revogação é Cessar a Operação.
Nota
Para revogar corretamente um certificado, o computador conta para o site de alto nível da hierarquia precisa da permissão para emitir e gerir certificados na AC.
Para uma melhor segurança, também pode restringir os gestores de CA na AC. Em seguida, apenas dê a esta conta permissões no modelo de certificado específico que utiliza para os perfis SCEP no site.