Introdução aos perfis de certificado no System Center Configuration ManagerIntroduction to certificate profiles in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Perfis de certificado funcionam com os serviços de certificados do Active Directory e a função de serviço de inscrição de dispositivos de rede (NDES).Certificate profiles work with Active Directory Certificate Services and the Network Device Enrollment Service (NDES) role. Criar e implementar certificados de autenticação de dispositivos geridos para que os utilizadores possam aceder facilmente aos recursos da empresa.Create and deploy authentication certificates for managed devices so that users can easily access company resources. Por exemplo, pode criar e implementar perfis de certificado para fornecer os certificados necessários para os utilizadores a ligar a VPN e as ligações sem fios.For example, you can create and deploy certificate profiles to provide the necessary certificates for users to connect to VPN and wireless connections.

Perfis de certificado podem configurar automaticamente dispositivos de utilizador.Certificate profiles can automatically configure user devices. Os utilizadores aceder a recursos da empresa, tais como redes Wi-Fi e servidores VPN sem instalar certificados manualmente ou através de um processo fora de banda.Users access company resources such as Wi-Fi networks and VPN servers without manually installing certificates or using an out-of-band process. Ajudam a manter os recursos da empresa a perfis de certificado seguro porque pode utilizar definições mais seguras que são suportadas pela sua empresa infraestrutura de chaves públicas (PKI).Certificate profiles help to keep company resources secure because you can use more secure settings that are supported by your enterprise public key infrastructure (PKI). Por exemplo, exigir autenticação de servidor para todas as ligações de VPN e Wi-Fi porque implementar os certificados necessários nos dispositivos geridos.For example, require server authentication for all Wi-Fi and VPN connections because you've deployed the required certificates on the managed devices.

Perfis de certificado fornecem as seguintes capacidades de gestão:Certificate profiles provide the following management capabilities:

  • Inscrição de certificados e renovação de uma autoridade de certificação (AC) empresarial para dispositivos que executam o iOS, Windows 8.1, Windows RT 8.1, Windows 10 Desktop e Mobile e Android.Certificate enrollment and renewal from an enterprise certification authority (CA) for devices that run iOS, Windows 8.1, Windows RT 8.1, Windows 10 Desktop and Mobile, and Android. Estes certificados, em seguida, podem ser utilizados para ligações de VPN e Wi-Fi.These certificates can then be used for Wi-Fi and VPN connections.

  • Implementação de certificados de AC de raiz fidedigna e certificados de AC intermediária.Deployment of trusted root CA certificates and intermediate CA certificates. Estes certificados configurar uma cadeia de fidedignidade em dispositivos para ligações VPN e Wi-Fi quando é necessária a autenticação de servidor.These certificates configure a chain of trust on devices for VPN and Wi-Fi connections when server authentication is required.

  • Monitorização e criação de relatórios sobre os certificados instalados.Monitor and report about the installed certificates.

Exemplo: Todos os funcionários tem de conseguir estabelecer ligação a hotspots Wi-Fi em várias localizações empresariais.Example: All employees must be able to connect to Wi-Fi hotspots in multiple corporate locations. Para ativar a ligação de utilizador fácil, primeiro implemente os certificados necessários para estabelecer ligação ao Wi-Fi.To enable easy user connection, first deploy the certificates needed to connect to Wi-Fi. Em seguida, implemente perfis de Wi-Fi que referenciam o certificado.Then deploy Wi-Fi profiles that reference the certificate.

Exemplo: Ter uma PKI no local.Example: You have a PKI in place. Pretende mover para um método mais flexível e seguro de implementação de certificados.You want to move to a more flexible, secure method of deploying certificates. Os utilizadores devem ser capazes de aceder a recursos da empresa dos respetivos dispositivos pessoais sem comprometer a segurança.Users should be able to access company resources from their personal devices without compromising security. Configure perfis de certificado com definições e protocolos que são suportados para a plataforma de dispositivo específico.Configure certificate profiles with settings and protocols that are supported for the specific device platform. Os dispositivos podem, então, pedir estes certificados automaticamente a partir de um servidor de inscrição com acesso à Internet.The devices can then automatically request these certificates from an Internet-facing enrollment server. Em seguida, configure perfis VPN para utilizar estes certificados, de modo a que o dispositivo pode aceder a recursos da empresa.Then, configure VPN profiles to use these certificates so that the device can access company resources.

Tipos de perfis de certificadoTypes of certificate profiles

Existem três tipos de perfis de certificado:There are three types of certificate profiles:

  • Certificado de AC fidedigna -implementar uma AC de raiz fidedigna ou certificado de AC intermediária.Trusted CA certificate - Deploy a trusted root CA or intermediate CA certificate. Estes certificados formam uma cadeia de confiança quando o dispositivo tem de autenticar um servidor.These certificates form a chain of trust when the device must authenticate a server.

  • Certificado de protocolo SCEP (Simple Enrollment) -pedir um certificado para um dispositivo ou utilizador utilizando o protocolo SCEP.Simple Certificate Enrollment Protocol (SCEP) - Request a certificate for a device or user by using the SCEP protocol. Este tipo requer a função de serviço de inscrição de dispositivos de rede (NDES) num servidor com o Windows Server 2012 R2 ou posterior.This type requires the Network Device Enrollment Service (NDES) role on a server running Windows Server 2012 R2 or later.

    Para criar um protocolo simples de inscrição de certificados (SCEP) perfil de certificado, primeiro crie um certificado da AC fidedigna perfil.To create a Simple Certificate Enrollment Protocol (SCEP) certificate profile, first create a Trusted CA certificate profile.

  • A troca de informações pessoais (. pfx) -pedir um certificado. pfx (também conhecido como PKCS #12) para um dispositivo ou utilizador.Personal information exchange (.pfx) - Request a .pfx (also known as PKCS #12) certificate for a device or user.

    Pode criar perfis de certificado PFX, importar credenciais dos certificados existentes ou pelo definir um certificado autoridade para processar pedidos.You may create PFX certificate profiles by either importing credentials from existing certificates or by defining a certificate authority to process requests.

    Nota

    O Configuration Manager não ativar esta funcionalidade opcional por predefinição.Configuration Manager doesn't enable this optional feature by default. Tem de ativar esta funcionalidade antes de o utilizar.You must enable this feature before using it. Para obter mais informações, consulte ativar funcionalidades opcionais de atualizações.For more information, see Enable optional features from updates.

    A partir da versão 1706, pode utilizar o Microsoft ou Entrust como autoridades de certificação para exchange informações pessoais (. pfx) certificados.Starting with version 1706, you can use Microsoft or Entrust as certificate authorities for Personal information exchange (.pfx) certificates.

Requisitos e plataformas suportadasRequirements and supported platforms

Para implementar perfis de certificado que utilizem SCEP, instale o ponto de registo de certificados no servidor de sistema de sites.To deploy certificate profiles that use SCEP, install the certificate registration point on a site system server. Também instalar um módulo de política para o NDES, o módulo de política do Configuration Manager, num servidor que executa o Windows Server 2012 R2 ou posterior.Also install a policy module for NDES, the Configuration Manager Policy Module, on a server that runs Windows Server 2012 R2 or later. Este servidor requer a função de serviços de certificados do Active Directory e um trabalho NDES que esteja acessível aos dispositivos que necessitam dos certificados.This server requires the Active Directory Certificate Services role and a working NDES that is accessible to the devices that require the certificates. Para os dispositivos que são inscritos pelo Microsoft Intune, o NDES tem de ser acessível a partir da Internet.For the devices that are enrolled by Microsoft Intune, the NDES must be accessible from the Internet. Por exemplo, numa sub-rede filtrada, também conhecida como DMZ.For example, in a screened subnet, also known as a DMZ.

Os certificados PFX também necessitam de um ponto de registo de certificados.PFX certificates also require a certificate registration point. Especifique também a autoridade de certificação (AC) para o certificado e as credenciais de acesso relevantes.Also specify the certificate authority (CA) for the certificate and the relevant access credentials. A partir da versão 1706, pode especificar Microsoft ou Entrust como autoridades de certificação.Starting with version 1706, you may specify either Microsoft or Entrust as certificate authorities.

Para obter mais informações sobre como o serviço de inscrição de dispositivos de rede suporta um módulo de política para que o Configuration Manager pode implementar certificados, consulte utilizando um módulo de política com o serviço de inscrição de dispositivos de rede.For more information about how the Network Device Enrollment Service supports a policy module so that Configuration Manager can deploy certificates, see Using a Policy Module with the Network Device Enrollment Service.

Dependendo dos requisitos, o Configuration Manager suporta implementar certificados para vários arquivos de certificados em vários tipos de dispositivos e sistemas operativos.Depending on the requirements, Configuration Manager supports deploying certificates to different certificate stores on various device types and operating systems. São suportados os seguintes dispositivos e sistemas operativos:The following devices and operating systems are supported:

  • Windows RT 8.1Windows RT 8.1

  • Windows 8,1Windows 8.1

  • Windows Phone 8.1Windows Phone 8.1

  • Windows 10 Desktop e MobileWindows 10 Desktop and Mobile

  • iOSiOS

  • AndroidAndroid

Importante

Para implementar perfis para Android, iOS, Windows Phone e inscritos do Windows 8.1 ou posterior inscritos, estes dispositivos têm de ser inscritos no Microsoft Intune.To deploy profiles to Android, iOS, Windows Phone, and enrolled Windows 8.1 or later devices, these devices must be enrolled in Microsoft Intune.

Um cenário típico para o Configuration Manager é instalar certificados de AC de raiz fidedigna para autenticar servidores VPN e Wi-Fi quando a ligação utiliza EAP-TLS, EAP-TTLS e protocolos de autenticação PEAP e IKEv2, L2TP/IPsec e Cisco IPsec VPN de túnel protocolos.A typical scenario for Configuration Manager is to install trusted root CA certificates to authenticate Wi-Fi and VPN servers when the connection uses EAP-TLS, EAP-TTLS, and PEAP authentication protocols, and IKEv2, L2TP/IPsec, and Cisco IPsec VPN tunneling protocols.

Tem de ser instalado um certificado de AC de raiz empresarial no dispositivo antes do dispositivo pode solicitar certificados utilizando um perfil de certificado SCEP.An enterprise root CA certificate must be installed on the device before the device can request certificates by using a SCEP certificate profile.

Pode especificar definições no perfil de certificado SCEP para solicitar certificados personalizados para vários ambientes ou requisitos de conectividade.You can specify settings in a SCEP certificate profile to request customized certificates for different environments or connectivity requirements. O certificado Assistente para criar perfil tem duas páginas de parâmetros de inscrição.The Create Certificate Profile Wizard has two pages for enrollment parameters. O primeiro inscrição SCEP, inclui definições para o pedido de inscrição e a localização para instalar o certificado.The first, SCEP Enrollment, includes settings for the enrollment request and where to install the certificate. A segunda, Propriedades do Certificado, descreve o certificado pedido.The second, Certificate Properties, describes the requested certificate itself.

Implementar perfis de certificadoDeploying certificate profiles

Quando implementa um perfil de certificado, os ficheiros de certificado no perfil são instalados em dispositivos cliente.When you deploy a certificate profile, the certificate files within the profile are installed on client devices. Quaisquer parâmetros SCEP também são implementados e os pedidos de SCEP são processados no dispositivo cliente.Any SCEP parameters are also deployed, and the SCEP requests are processed on the client device. Pode implementar perfis de certificado para o utilizador ou coleções de dispositivos e especificar o arquivo de destino para cada certificado.You can deploy certificate profiles to user or device collections and specify the destination store for each certificate. As regras de aplicabilidade determinam se os certificados podem ser instalados no dispositivo.Applicability rules determine whether the certificates can be installed on the device. Quando os perfis de certificado são implementados em coleções de utilizadores, a afinidade dispositivo / utilizador determina que dispositivos dos utilizadores a instalar os certificados.When certificate profiles are deployed to user collections, user device affinity determines which of the users' devices install the certificates. Quando os perfis de certificado que incluem certificados de utilizador são implementados em coleções de dispositivos, por predefinição, os certificados estão instalados em cada um dos dispositivos primários dos utilizadores.When certificate profiles that include user certificates are deployed to device collections, by default the certificates are installed on each of the users' primary devices. Pode alterar este comportamento para instalar o certificado em qualquer um dos dispositivos dos utilizadores no inscrição SCEP página do certificado Assistente para criar perfil.You can modify this behavior to install the certificate on any of the users' devices on the SCEP Enrollment page of the Create Certificate Profile Wizard. Se os dispositivos forem computadores de grupo de trabalho, os certificados de utilizador não são implementados.If the devices are workgroup computers, user certificates are not deployed.

Monitorizar perfis de certificadoMonitoring certificate profiles

Pode monitorizar implementações de perfis de certificado ao visualizar os resultados de compatibilidade ou de relatórios.You can monitor certificate profile deployments by viewing compliance results or reports. Estas abordagens descritas como monitorizar perfis de certificado.These approaches are described in How to monitor certificate profiles.

Revogação automática de certificadosAutomatic revocation of certificates

System Center Configuration Manager revoga automaticamente os certificados de utilizador e computador implementados através da utilização de perfis de certificado nas seguintes circunstâncias:System Center Configuration Manager automatically revokes user and computer certificates that were deployed by using certificate profiles in the following circumstances:

  • O dispositivo é retirado da gestão do System Center Configuration Manager.The device is retired from System Center Configuration Manager management.

  • O dispositivo é apagado seletivamente.The device is selectively wiped.

  • O dispositivo está bloqueado na hierarquia do System Center Configuration Manager.The device is blocked from the System Center Configuration Manager hierarchy.

    Para revogar os certificados, o servidor do site envia um comando de revogação à autoridade de certificação emissora.To revoke the certificates, the site server sends a revocation command to the issuing certification authority. O motivo da revogação é Cessar a Operação.The reason for the revocation is Cease of Operation.