Introdução aos perfis de certificado no System Center Configuration ManagerIntroduction to certificate profiles in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Perfis de certificado trabalham com os serviços de certificados do Active Directory e a função de serviço de inscrição de dispositivos de rede para certificados de autenticação aprovisionar dispositivos geridos para que os utilizadores possam aceder perfeitamente a recursos da empresa.Certificate profiles work with Active Directory Certificate Services and the Network Device Enrollment Service role to provision authentication certificates for managed devices so that users can seamlessly access company resources. Por exemplo, pode criar e implementar perfis de certificado para fornecer os certificados necessários para que os utilizadores iniciem as ligações VPN e sem fios.For example, you can create and deploy certificate profiles to provide the necessary certificates for users to initiate VPN and wireless connections.

Os perfis de certificado podem configurar automaticamente dispositivos de utilizadores para que seja possível aceder aos recursos da empresa, como redes Wi-Fi e servidores VPN, sem necessidade de instalar certificados manualmente ou utilizar um processo fora da banda.Certificate profiles can automatically configure user devices so that company resources such as Wi-Fi networks and VPN servers can be accessed without having to install certificates manually or use an out of band process. Além disso, os perfis de certificado ajudam a manter protegidos os recursos da empresa, na medida em que pode utilizar definições mais seguras que são suportadas pela infraestrutura de chaves públicas (PKI) da sua empresa.Certificate profiles can also help to keep company resources secure because you can use more secure settings that are supported by your enterprise public key infrastructure (PKI). Por exemplo, pode requerer a autenticação de servidor para todas as ligações VPN e Wi-Fi porque aprovisionou os certificados necessários nos dispositivos geridos.For example, you can require server authentication for all Wi-Fi and VPN connections because you have provisioned the required certificates on the managed devices.

Perfis de certificado fornecem as seguintes capacidades de gestão:Certificate profiles provide the following management capabilities:

  • Inscrição de certificados e renovação de uma autoridade de certificação (AC) empresarial para dispositivos que executam o iOS, Windows 8.1, Windows RT 8.1, Windows 10 Desktop e Mobile e Android.Certificate enrollment and renewal from an enterprise certification authority (CA) for devices that run iOS, Windows 8.1, Windows RT 8.1, Windows 10 Desktop and Mobile, and Android. Estes certificados, em seguida, podem ser utilizados para ligações de VPN e Wi-Fi.These certificates can then be used for Wi-Fi and VPN connections.

  • Implementação de certificados de AC de raiz fidedigna e de certificados de AC intermediária para configurar uma cadeia de fidedignidade em dispositivos para ligações VPN e Wi-Fi quando é necessária a autenticação de servidor.Deployment of trusted root CA certificates and intermediate CA certificates to configure a chain of trust on devices for VPN and Wi-Fi connections when server authentication is required.

  • Monitorização e criação de relatórios sobre os certificados instalados.Monitor and report about the installed certificates.

Exemplo: Todos os funcionários tem de conseguir estabelecer ligação a hotspots Wi-Fi em várias localizações empresariais.Example: All employees must be able to connect to Wi-Fi hotspots in multiple corporate locations. Implementar os certificados necessários para estabelecer ligação ao Wi-Fi e implementar perfis de Wi-Fi que referenciam o certificado para ativar a ligação de utilizador totalmente integrada.Deploy the certificates needed to connect to Wi-Fi, and deploy Wi-Fi profiles that reference the certificate to enable seamless user connection.

Exemplo: Tem um PKI ativo e pretende mover para um método mais flexível e seguro de aprovisionamento de certificados que permite que os utilizadores aceder a recursos da empresa dos respetivos dispositivos pessoais sem comprometer a segurança.Example: You have a PKI in place and want to move to a more flexible, secure method of provisioning certificates that lets users access company resources from their personal devices without compromising security. Configure perfis de certificado com definições e protocolos que são suportados para a plataforma de dispositivo específico.Configure certificate profiles with settings and protocols that are supported for the specific device platform. Os dispositivos podem, então, pedir estes certificados automaticamente a partir de um servidor de inscrição com acesso à Internet.The devices can then automatically request these certificates from an Internet-facing enrollment server. Em seguida, configure perfis VPN para utilizar estes certificados, de modo a que o dispositivo pode aceder a recursos da empresa.Then, configure VPN profiles to use these certificates so that the device can access company resources.

Tipos de perfis de certificadoTypes of certificate profiles

Existem três tipos de perfis de certificado:There are three types of certificate profiles:

  • Certificado de AC fidedigna -permite-lhe implementar uma AC de raiz fidedigna ou certificado de AC intermediária para formar uma cadeia de fidedignidade de certificados quando o dispositivo tem de autenticar um servidor.Trusted CA certificate - Lets you deploy a trusted root CA or intermediate CA certificate to form a certificate chain of trust when the device must authenticate a server.

  • Certificado de protocolo SCEP (Simple Enrollment) -permite-lhe solicitar um certificado para um dispositivo ou utilizador utilizando o protocolo SCEP e o serviço de inscrição de dispositivos de rede num servidor com o Windows Server 2012 R2.Simple Certificate Enrollment Protocol (SCEP) - Lets you request a certificate for a device or user by using the SCEP protocol and the Network Device Enrollment Service on a server running Windows Server 2012 R2.

    Para criar um protocolo simples de inscrição de certificados (SCEP) perfil de certificado, primeiro crie um certificado da AC fidedigna perfil de certificado.To create a Simple Certificate Enrollment Protocol (SCEP) certificate profile, first create a Trusted CA certificate certificate profile.

  • A troca de informações pessoais (. pfx) -permite-lhe solicitar um certificado. pfx (também conhecido como PKCS #12) para um dispositivo ou utilizador.Personal information exchange (.pfx) - Lets you request a .pfx (also known as PKCS #12) certificate for a device or user.

    Pode criar perfis de certificado PFX por ether importar credenciais dos certificados existentes ou pelo definir um certificado autoridade para processar pedidos.You may create PFX certificate profiles by ether importing credentials from existing certificates or by defining a certificate authority to process requests.

    A partir da versão 1706, pode utilizar o Microsoft ou Entrust como autoridades de certificação para exchange informações pessoais (. pfx) certificados.Starting with release 1706, you can use Microsoft or Entrust as certificate authorities for Personal information exchange (.pfx) certificates.

Requisitos e plataformas suportadasRequirements and supported platforms

Para implementar perfis de certificado que utilizem SCEP, tem de instalar o ponto de registo de certificados num servidor de sistema do site, no site de administração central ou num site primário.To deploy certificate profiles that use SCEP, you must install the certificate registration point on a site system server in the central administration site, or in a primary site. Também tem de instalar um módulo de política para o NDES, o módulo de política do Configuration Manager, num servidor que executa o Windows Server 2012 R2 com a função de serviços de certificados do Active Directory e um trabalho NDES que esteja acessível aos dispositivos que necessitam dos certificados.You must also install a policy module for NDES, the Configuration Manager Policy Module, on a server that runs Windows Server 2012 R2 with the Active Directory Certificate Services role and a working NDES that is accessible to the devices that require the certificates. Para os dispositivos que são inscritos pelo Microsoft Intune, é necessário o NDES ser acessível a partir da Internet, por exemplo, numa sub-rede filtrada (também conhecida como DMZ).For the devices that are enrolled by Microsoft Intune, this requires the NDES to be accessible from the Internet, for example, in a screened subnet (also known as a DMZ).

Os certificados PFX também necessitam de um ponto de registo de certificados num servidor de sistema do site, no site de administração central ou num site primário.PFX certificates also require a certificate registration point on a site system server in the central administration site or in a primary site. Também tem de especificar a autoridade de certificação (AC) para o certificado e especificar credenciais relevantes de acesso.You must also specify the Certificate authority (CA) for the certificate and specify relevant access credentials. A partir da versão 1706, pode especificar Microsoft ou Entrust como autoridades de certificação.Starting with version 1706, you may specify either Microsoft or Entrust as certificate authorities.

Para obter mais informações sobre como o serviço de inscrição de dispositivos de rede suporta um módulo de política para que o Configuration Manager pode implementar certificados, consulte utilizando um módulo de política com o serviço de inscrição de dispositivos de rede.For more information about how the Network Device Enrollment Service supports a policy module so that Configuration Manager can deploy certificates, see Using a Policy Module with the Network Device Enrollment Service.

O Configuration Manager suporta a implementação de certificados em vários arquivos de certificados, consoante os requisitos, o tipo de dispositivo e o sistema operativo.Configuration Manager supports deploying certificates to different certificate stores, depending on the requirements, the device type, and the operating system. São suportados os seguintes dispositivos e sistemas operativos:The following devices and operating systems are supported:

  • Windows RT 8.1Windows RT 8.1

  • Windows 8,1Windows 8.1

  • Windows Phone 8.1Windows Phone 8.1

  • Windows 10 Desktop e MobileWindows 10 Desktop and Mobile

  • iOSiOS

  • AndroidAndroid

Importante

Para implementar perfis para Android, iOS, Windows Phone e inscritos do Windows 8.1 ou posterior inscritos, estes dispositivos têm de ser inscritos no Microsoft Intune.To deploy profiles to Android, iOS, Windows Phone, and enrolled Windows 8.1 or later devices, these devices must be enrolled in Microsoft Intune.

Um cenário típico para o System Center Configuration Manager é instalar certificados de AC de raiz fidedigna para autenticar servidores VPN e Wi-Fi quando a ligação utiliza EAP-TLS, EAP-TTLS e protocolos de autenticação PEAP e IKEv2, L2TP/IPsec e protocolos de túnel Cisco IPsec VPN.A typical scenario for System Center Configuration Manager is to install trusted root CA certificates to authenticate Wi-Fi and VPN servers when the connection uses EAP-TLS, EAP-TTLS, and PEAP authentication protocols, and IKEv2, L2TP/IPsec, and Cisco IPsec VPN tunneling protocols.

Tem de certificar-se de que está instalado um certificado de AC de raiz empresarial no dispositivo para que este possa solicitar certificados utilizando um perfil de certificado de SCEP.You must ensure that an enterprise root CA certificate is installed on the device before the device can request certificates by using a SCEP certificate profile.

Pode especificar uma variedade de definições num perfil de certificado de SCEP para solicitar certificados personalizados para vários ambientes ou requisitos de conectividade.You can specify a variety of settings in a SCEP certificate profile to request customized certificates for different environments or connectivity requirements. O Assistente para Criar Perfil de Certificado contém duas páginas de parâmetros de inscrição.The Create Certificate Profile Wizard contains two pages for enrollment parameters. A primeira, Inscrição SCEP, contém definições para o pedido de inscrição e a localização para instalação do certificado.The first, SCEP Enrollment, contains settings for the enrollment request and where to install the certificate. A segunda, Propriedades do Certificado, descreve o certificado pedido.The second, Certificate Properties, describes the requested certificate itself.

Implementar perfis de certificadoDeploying certificate profiles

Quando implementa um perfil de certificado, os ficheiros de certificado no perfil são instalados em dispositivos cliente.When you deploy a certificate profile, the certificate files within the profile are installed on client devices. Serão também implementados todos os parâmetros de SCEP, e os pedidos de SCEP serão processados no dispositivo cliente.Any SCEP parameters will also be deployed, and the SCEP requests will be processed on the client device. Pode implementar perfis de certificado para o utilizador ou coleções de dispositivos e especificar o arquivo de destino para cada certificado.You can deploy certificate profiles to user or device collections and specify the destination store for each certificate. As regras de aplicabilidade determinam se os certificados podem ser instalados no dispositivo.Applicability rules determine whether the certificates can be installed on the device. Quando os perfis de certificado são implementados em coleções de utilizadores, a afinidade dispositivo / utilizador determina que dispositivos dos utilizadores instalarão os certificados.When certificate profiles are deployed to user collections, user device affinity determines which of the users' devices will install the certificates. Quando os perfis de certificado que contêm os certificados de utilizador são implementados em coleções de dispositivos, por predefinição, os certificados serão instalados em cada um dos dispositivos primários dos utilizadores.When certificate profiles that contain user certificates are deployed to device collections, by default, the certificates will be installed on each of the users' primary devices. Pode alterar este comportamento para instalar o certificado em qualquer um dos dispositivos dos utilizadores no inscrição SCEP página do certificado Assistente para criar perfil.You can modify this behavior to install the certificate on any of the users' devices on the SCEP Enrollment page of the Create Certificate Profile Wizard. Além disso, os certificados de utilizador não serão implementados em dispositivos que forem computadores de grupo de trabalho.In addition, user certificates will not be deployed to devices if they are workgroup computers.

Monitorizar perfis de certificadoMonitoring certificate profiles

Pode monitorizar implementações de perfis de certificado ao visualizar os resultados de compatibilidade ou de relatórios.You can monitor certificate profile deployments by viewing compliance results or reports. Estas abordagens descritas como monitorizar perfis de certificado.These approaches are described in How to monitor certificate profiles.

Revogação automática de certificadosAutomatic revocation of certificates

System Center Configuration Manager revoga automaticamente os certificados de utilizador e computador implementados através da utilização de perfis de certificado nas seguintes circunstâncias:System Center Configuration Manager automatically revokes user and computer certificates that were deployed by using certificate profiles in the following circumstances:

  • O dispositivo é retirado da gestão do System Center Configuration Manager.The device is retired from System Center Configuration Manager management.

  • O dispositivo é apagado seletivamente.The device is selectively wiped.

  • O dispositivo está bloqueado na hierarquia do System Center Configuration Manager.The device is blocked from the System Center Configuration Manager hierarchy.

    Para revogar os certificados, o servidor do site envia um comando de revogação à autoridade de certificação emissora.To revoke the certificates, the site server sends a revocation command to the issuing certification authority. O motivo da revogação é Cessar a Operação.The reason for the revocation is Cease of Operation.