Планирование сертификатов PKI в диспетчере конфигурации

Относится к: Configuration Manager (Current Branch)

Диспетчер конфигурации использует цифровые сертификаты на основе общедоступных ключей (PKI) при наличии. Использование этих сертификатов рекомендуется для большей безопасности, но не требуется для большинства сценариев. Эти сертификаты необходимо развертывать и управлять ими независимо от диспетчера конфигурации.

В этой статье данная статья содержит сведения о сертификатах PKI в Configuration Manager, чтобы помочь вам спланировать реализацию. Дополнительные сведения об использовании сертификатов в Диспетчер конфигурации см. в справках в диспетчере конфигурации.

Отзыв сертификата PKI

При использовании сертификатов PKI с помощью диспетчера конфигурации запланируйте использование списка отзыва сертификатов (CRL). Устройства используют CRL для проверки сертификата на подключаемом компьютере. CRL — это файл, который создает и подписывает орган сертификации (CA). Он имеет список сертификатов, которые ЦС выдал, но отозвал. Когда администратор сертификата отзывает сертификаты, его отпечатки пальцев добавляются в CRL. Например, если известно или заподозрено, что выданный сертификат скомпрометирован.

Важно!

Так как расположение CRL добавляется в сертификат, когда ЦС его выдает, убедитесь, что перед развертыванием сертификатов PKI, которые использует диспетчер конфигурации, необходимо запланировать для CRL.

IIS всегда проверяет CRL для клиентских сертификатов, и изменить эту конфигурацию в Configuration Manager нельзя. По умолчанию клиенты Configuration Manager всегда проверяют CRL для систем сайтов. Отключить этот параметр, указав свойство сайта и укажите свойство CCMSetup.

Компьютеры, которые используют проверку отзыва сертификатов, но не могут найти CRL, ведут себя так, будто все сертификаты в цепочке сертификации отозваны. Такое поведение является тем, что они не могут проверить, находятся ли сертификаты в списке отзыва сертификатов. В этом сценарии все подключения сбой, которые требуют сертификатов и включают проверку CRL. При проверке того, что ваш CRL доступен, просматривая его расположение HTTP, важно отметить, что клиент Configuration Manager выполняется как ЛОКАЛИЗОВАННАЯ СИСТЕМА. Тестирование доступности CRL с веб-браузером в контексте пользователя может быть успешным, но учетная запись компьютера может быть заблокирована при попытке подключения HTTP к одному URL-адресу CRL. Например, его можно заблокировать из-за решения внутренней веб-фильтрации, например прокси-сервера. Добавьте URL-адрес CRL в утвержденный список для любых решений веб-фильтрации.

Проверка crL при каждом использовании сертификата обеспечивает больше безопасности от использования отзываемого сертификата. Он вводит задержку подключения и дополнительные обработки на клиенте. Вашей организации может потребоваться эта проверка безопасности для клиентов в Интернете или ненарушенной сети.

Проконсультируйтесь с администраторами PKI перед тем, как решить, нужно ли клиентам Configuration Manager проверять CRL. Если оба следующих условия верны, рассмотрите возможность включения этого параметра в Configuration Manager:

  • Инфраструктура PKI поддерживает crL, и она опубликована, где все клиенты Configuration Manager могут найти ее. Эти клиенты могут включать устройства в Интернете, а также устройства в ненарушеченных лесах.

  • Требование проверить CRL для каждого подключения к системе сайта, настроенной для использования сертификата PKI, превышает следующие требования:

    • Более быстрые подключения
    • Эффективная обработка клиента
    • Риск того, что клиенты не смогут подключиться к серверам, если они не смогут найти crL

Доверенные корневые сертификаты PKI

Если в системах сайтов IIS используются клиентские сертификаты PKI для проверки подлинности клиента через HTTP или для проверки подлинности клиентов и шифрования через HTTPS, может потребоваться импорт корневых сертификатов ЦС в качестве свойства сайта. Вот два сценария:

  • Развертывание операционных систем с помощью диспетчера конфигурации, а точки управления принимают только клиентские подключения HTTPS.

  • Вы используете клиентские сертификаты PKI, которые не приковывания к корневому сертификату, который руководство указывает на доверие.

    Примечание

    При выдаче клиентских сертификатов PKI из той же иерархии ЦС, которая выдает серверные сертификаты, которые используются для точек управления, не нужно указывать этот корневой сертификат ЦС. Однако если вы используете несколько иерархий ЦС и не уверены, доверяют ли они друг другу, импортировать корневой ЦС для иерархии ЦС клиентов.

Если вам необходимо импортировать корневые сертификаты ЦС для Configuration Manager, экспортировать их с выдачи ЦС или с клиентского компьютера. Если вы экспортируете сертификат из ЦС, который также является корневым ЦС, не экспортировать закрытый ключ. Храним экспортируемой файл сертификата в безопасном расположении, чтобы предотвратить фальсификацию. Вам необходим доступ к файлу при настройках сайта. При доступе к файлу по сети убедитесь, что сообщение защищено от фальсификации с помощью IPsec.

Если какой-либо корневой сертификат ЦС, который вы импортируете, обновляется, импортировать обновленный сертификат.

Эти импортируемые корневые сертификаты ЦС и корневой сертификат ЦС каждой точки управления создают список эмитентов сертификатов. Компьютеры Configuration Manager используют этот список следующим образом:

  • Когда клиенты подключаются к пунктам управления, пункт управления проверяет, что клиентский сертификат прикован к надежному корневому сертификату в списке эмитентов сертификатов сайта. Если этого не сделать, сертификат отклоняется, а подключение PKI не удается.

  • Когда клиенты выбирают сертификат PKI и имеют список эмитентов сертификатов, они выбирают сертификат, который цепится к надежному корневому сертификату в списке эмитентов сертификатов. Если нет совпадения, клиент не выбирает сертификат PKI. Дополнительные сведения см. в подборке клиентских сертификатов PKI.

Выбор клиентского сертификата PKI

Если в системах сайтов IIS используются клиентские сертификаты PKI для проверки подлинности клиентов через HTTP или для проверки подлинности клиентов и шифрования через HTTPS, запланируйте, как Windows клиенты выбирают сертификат для использования для Configuration Manager.

Примечание

Некоторые устройства не поддерживают метод выбора сертификата. Вместо этого они автоматически выбирают первый сертификат, который выполняет требования сертификата. Например, клиенты на компьютерах macOS и мобильных устройствах не поддерживают метод выбора сертификатов.

Во многих случаях достаточно конфигурации и поведения по умолчанию. Клиент Configuration Manager на Windows фильтрует несколько сертификатов с помощью этих критериев в этом порядке:

  1. Список эмитентов сертификатов: цепочки сертификатов к корневому ЦС, которому доверяет точка управления.

  2. Сертификат находится в хранилище сертификатов по умолчанию Personal.

  3. Сертификат действителен, не отменяется и не истек. Проверка подлинности также проверяет доступность закрытого ключа.

  4. Сертификат имеет возможность проверки подлинности клиента.

  5. Имя субъекта сертификата содержит локальное имя компьютера в качестве подстройки.

  6. Сертификат имеет самый длительный срок действия.

Настройте клиентов на использование списка эмитентов сертификатов с помощью следующих механизмов:

  • Опубликуй ее с сведениями о сайте Configuration Manager в службы домена Active Directory.

  • Установка клиентов с помощью клиентского push.

  • Клиенты загружают его из точки управления после успешного присвоения сайта.

  • Укажите его во время установки клиента в качестве свойства CCMSetup client.msi CCMCERTISSUERS.

Если клиенты не имеют список эмитентов сертификатов при первом установке и еще не назначены сайту, они пропускают эту проверку. Если у клиентов есть список эмитентов сертификатов и нет сертификата PKI, который цепится к надежному корневому сертификату в списке эмитентов сертификатов, выбор сертификатов не удается. Другие критерии отбора сертификатов не продолжаются.

В большинстве случаев клиент Configuration Manager правильно определяет уникальный и соответствующий сертификат PKI. Если такое поведение не так, вместо выбора сертификата на основе возможности проверки подлинности клиента можно настроить два альтернативных метода выбора:

  • Частичное совпадение строк в имени субъекта сертификата клиента. Этот метод является совпадением, нечувствительным к делу. Это уместно, если вы используете полное доменное имя (FQDN) компьютера в поле субъекта и хотите, чтобы выбор сертификата был основан на суффиксе домена, например contoso.com . Этот метод выбора можно использовать для определения любой строки последовательного символа в имени субъекта сертификата, который отличает сертификат от других в хранилище сертификатов клиента.

    Примечание

    Частичное совпадение строк с альтернативным именем субъекта (SAN) нельзя использовать в качестве параметра сайта. Хотя частичное совпадение строк для SAN можно указать с помощью CCMSetup, свойства сайта будут перезаписаны в следующих сценариях:

    • Клиенты извлекали сведения о сайте, опубликованные в службы домена Active Directory.
    • Клиенты устанавливаются с помощью клиентской push-установки.

    Использование частичного совпадения строк в САН только при установке клиентов вручную и если они не извлекали сведения о сайте из служб домена Active Directory. Например, эти условия применяются к клиентам только для Интернета.

  • Совпадение значений атрибута атрибута имени субъекта сертификата клиента или значений атрибута альтернативного имени субъекта (SAN). Этот метод является совпадением, чувствительным к делу. Это уместно, если вы используете отличительное имя или эквивалентные идентификаторы объектов X500 в соответствии с RFC 3280, и необходимо, чтобы выбор сертификата основывался на значениях атрибутов. Вы можете указать только атрибуты и их значения, необходимые для уникальной идентификации или проверки сертификата и отличия сертификата от других в хранилище сертификатов.

В следующей таблице показаны значения атрибутов, поддерживаемые диспетчером конфигурации для критериев выбора сертификата клиента:

Атрибут OID Атрибут Distinguished name Определение атрибута
0.9.2342.19200300.100.1.25 DC Компонент домена
1.2.840.113549.1.9.1 Электронная или электронная почта адрес электронной почты;
2.5.4.3 CN Общее имя
2.5.4.4 SN Имя субъекта
2.5.4.5 SERIALNUMBER Серийный номер
2.5.4.6 В код страны,
2.5.4.7 L Локальность
2.5.4.8 S или ST Имя штата или провинции
2.5.4.9 STREET Адрес (улица, дом)
2.5.4.10 O Название организации
2.5.4.11 OU Организационный блок
2.5.4.12 T или Title Title
2.5.4.42 G или GN или GivenName Заданное имя
2.5.4.43 I или Initials Initials
2.5.29.17 (без значения) Альтернативное имя subject

Примечание

Если настроить один из вышеуказанных альтернативных методов выбора сертификата, имя субъекта сертификата не будет содержать локальное имя компьютера.

Если после примененных критериев выбора будет расположено несколько соответствующих сертификатов, можно переопредить конфигурацию по умолчанию, чтобы выбрать сертификат с самым длительным сроком действия. Вместо этого можно указать, что сертификат не выбран. В этом случае клиент не может общаться с системами сайтов IIS с помощью сертификата PKI. Клиент отправляет сообщение об ошибке в назначенную точку состояния отката, чтобы предупредить вас о сбое выбора сертификата. Затем можно изменить или уточнить критерии выбора сертификата.

Поведение клиента зависит от того, было ли сбойное подключение более HTTPS или HTTP:

  • Если сбойное подключение было более HTTPS: клиент пытается подключиться к HTTP и использует самозаверяемый сертификат клиента.

  • Если сбойное подключение было более HTTP: клиент пытается подключиться снова через HTTP с помощью самозаверяемого клиентского сертификата.

Чтобы помочь определить уникальный клиентский сертификат PKI, можно также указать настраиваемый магазин, помимо по умолчанию Personal в магазине Computer. Создание настраиваемого магазина сертификатов за пределами диспетчера конфигурации. Необходимо иметь возможность развернуть сертификаты в этом настраиваемом хранилище и обновить их до истечения срока действия.

Дополнительные сведения см. в перенастройке параметров для клиентских сертификатов PKI.

Стратегия перехода для сертификатов PKI

Гибкие параметры конфигурации в Configuration Manager помогают постепенно перенаправлению клиентов и сайта на использование сертификатов PKI для защиты конечных точек клиента. Сертификаты PKI обеспечивают лучшую безопасность и позволяют управлять интернет-клиентами.

Этот план сначала вводит сертификаты PKI для проверки подлинности только через HTTP, а затем для проверки подлинности и шифрования через HTTPS. При постепенном внедрении этих сертификатов при ведении этого плана снижается риск того, что клиенты станут неугодными. Вы также сможете воспользоваться преимуществами самой высокой безопасности, поддерживаемой диспетчером конфигурации.

Из-за количества параметров конфигурации и выбора в Configuration Manager нет единого способа перехода сайта, чтобы все клиенты использовали подключения HTTPS. В следующих действиях приводится общее руководство:

  1. Установите сайт Configuration Manager и настройте его таким образом, чтобы системы сайтов принимали клиентские подключения через HTTPS и HTTP.

  2. Настройка вкладки Безопасность связи в свойствах сайта. Установите систему Параметры https или HTTPS и выберите клиентский сертификат Use PKI (возможность проверки подлинности клиента) при наличии. Дополнительные сведения см. в перенастройке параметров для клиентских сертификатов PKI.

  3. Пилотная выкатка PKI для клиентских сертификатов. Пример развертывания см. в примере Развертывание клиентского сертификата для Windows компьютеров.

  4. Установка клиентов с помощью метода установки push-установки клиента. Дополнительные сведения см. в "Как установить клиентов Configuration Manager с помощью клиентского push".

  5. Мониторинг развертывания и состояния клиента с помощью отчетов и сведений в консоли Configuration Manager.

  6. Отслеживайте количество клиентов, использующих клиентский сертификат PKI, просматривая столбец клиентского сертификата в рабочей области Assets and Compliance, узел Devices.

    Вы также можете развернуть средство оценки готовности https (CMHttpsReadiness.exe) на компьютерах.**** Затем используйте отчеты, чтобы просмотреть, сколько компьютеров может использовать клиентский сертификат PKI с помощью Configuration Manager.

    Примечание

    При установке клиента Configuration Manager он устанавливаетCMHttpsReadiness.exe в %windir%\CCM папке. При запуске этого средства доступны следующие параметры командной строки:

    • /Store:<Certificate store name>: Этот параметр такой же, как свойство CCMCERTSTORE client.msi
    • /Issuers:<Case-sensitive issuer common name>: Этот параметр такой же, как свойство CCMCERTISSUERS client.msi
    • /Criteria:<Selection criteria>. Этот параметр такой же, как свойство CCMCERTSEL client.msi
    • /SelectFirstCert: Этот параметр такой же, как свойство CCMFIRSTCERT client.msi

    Средство выводит сведения в CMHttpsReadiness.log в CCM\Logs каталоге.

    Дополнительные сведения см. в дополнительных сведениях о свойствах установки клиента.

  7. Если вы уверены, что достаточное количество клиентов успешно используют клиентский сертификат PKI для проверки подлинности по HTTP, выполните следующие действия:

    1. Развертывание сертификата веб-сервера PKI на сервере-члене, который запускает другую точку управления для сайта, и настройте этот сертификат в IIS. Дополнительные сведения см. в странице Развертывание сертификата веб-сервера для систем сайтов, которые запускают IIS.

    2. Установите роль точки управления на этом сервере. Настройка параметра клиентских подключений в свойствах точки управления для HTTPS.

  8. Отслеживайте и убедитесь, что клиенты с сертификатом PKI используют новую точку управления с помощью HTTPS. Для проверки можно использовать счетчики ведения журнала IIS или счетчики производительности.

  9. Перенастройка других ролей системы сайтов для использования клиентских подключений HTTPS. Если вы хотите управлять клиентами в Интернете, убедитесь, что в системах веб-сайтов есть веб-сайт FQDN. Настройте отдельные точки управления и точки распространения, чтобы принимать клиентские подключения из Интернета.

    Важно!

    Прежде чем настроить роли системы сайтов для пользования подключениями из Интернета, просмотрите сведения о планировании и необходимые условия для управления клиентом на основе Интернета. Дополнительные сведения см. в сообщении о связи между конечными точками.

  10. Расширение выкатки сертификата PKI для клиентов и для систем сайтов, которые запускают IIS. Настройка ролей системы веб-сайтов для подключений клиентов HTTPS и подключения к Интернету по мере необходимости.

  11. Для обеспечения наивысшей безопасности. Если вы уверены, что все клиенты используют клиентский сертификат PKI для проверки подлинности и шифрования, измените свойства сайта, чтобы использовать только HTTPS.

Дальнейшие действия