Общие сведения о профилях сертификатов в Configuration Manager

Применяется для: Configuration Manager (Current Branch)

Важно!

Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в часто задаваемых вопросах об устаревании доступа к ресурсам.

Профили сертификатов работают со службами сертификатов Active Directory и ролью службы регистрации сетевых устройств (NDES). Создайте и разверните сертификаты проверки подлинности для управляемых устройств, чтобы пользователи могли легко получать доступ к ресурсам организации. Например, можно создать и развернуть профили сертификатов, чтобы предоставить пользователям необходимые сертификаты для подключения к VPN и беспроводным подключениям.

Профили сертификатов могут автоматически настраивать пользовательские устройства для доступа к ресурсам организации, таким как Wi-Fi сети и VPN-серверы. Пользователи могут получить доступ к этим ресурсам, не устанавливая сертификаты вручную или не используя внештатный процесс. Профили сертификатов помогают защитить ресурсы, так как вы можете использовать более безопасные параметры, поддерживаемые инфраструктурой открытых ключей (PKI). Например, для всех подключений Wi-Fi и VPN требуется проверка подлинности сервера, так как вы развернули необходимые сертификаты на управляемых устройствах.

Профили сертификатов предоставляют следующие возможности управления:

  • Регистрация и продление сертификатов из центра сертификации (ЦС) для устройств под управлением различных типов и версий ОС. Затем эти сертификаты можно использовать для Wi-Fi и VPN-подключений.

  • Развертывание доверенных корневых сертификатов ЦС и промежуточных сертификатов ЦС. Эти сертификаты настраивают цепочку доверия на устройствах для VPN и Wi-Fi подключения, когда требуется проверка подлинности сервера.

  • Мониторинг установленных сертификатов и создание отчетов о них.

Пример 1. Всем сотрудникам необходимо подключиться к Wi-Fi хот-спотам в нескольких офисах. Чтобы обеспечить простое подключение пользователей, сначала разверните сертификаты, необходимые для подключения к Wi-Fi. Затем разверните Wi-Fi, которые ссылаются на сертификат.

Пример 2. У вас есть PKI. Вы хотите перейти к более гибкому и безопасному методу развертывания сертификатов. Пользователям требуется доступ к ресурсам организации с личных устройств без ущерба для безопасности. Настройте профили сертификатов с параметрами и протоколами, которые поддерживаются для конкретной платформы устройств. Затем устройства могут автоматически запрашивать эти сертификаты с сервера регистрации с выходом в Интернет. Затем настройте профили VPN для использования этих сертификатов, чтобы устройство было иметь доступ к ресурсам организации.

Типы

Существует три типа профилей сертификатов:

  • Сертификат доверенного ЦС: развертывание доверенного корневого ЦС или промежуточного сертификата ЦС. Эти сертификаты образуют цепочку доверия, когда устройство должно выполнять проверку подлинности сервера.

  • Простой протокол регистрации сертификатов (SCEP): запрос сертификата для устройства или пользователя с помощью протокола SCEP. Для этого типа требуется роль службы регистрации сетевых устройств (NDES) на сервере под управлением Windows Server 2012 R2 или более поздней версии.

    Чтобы создать профиль сертификата SCEP , сначала создайте профиль сертификата доверенного ЦС .

  • Обмен личной информацией (PFX): запрос PFX-сертификата (также известного как PKCS 12) для устройства или пользователя. Существует два метода создания профилей сертификатов PFX:

    Примечание

    Configuration Manager не включает эту дополнительную функцию по умолчанию. Эту функцию необходимо включить перед ее использованием. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.

    Вы можете использовать Microsoft или Entrust в качестве центров сертификации для сертификатов обмена личной информацией (PFX ).

Требования

Чтобы развернуть профили сертификатов, использующие SCEP, установите точку регистрации сертификатов на сервере системы сайта. Также установите модуль политики для NDES, модуля Configuration Manager политики, на сервере, который работает Windows Server 2012 R2 или более поздней версии. Для этого сервера требуется роль служб сертификатов Active Directory. Для этого также требуется рабочая NDES, доступная для устройств, для которых требуются сертификаты. Если устройства должны регистрироваться для получения сертификатов из Интернета, сервер NDES должен быть доступен из Интернета. Например, чтобы безопасно включить трафик к серверу NDES из Интернета, можно использовать приложение Azure прокси-сервер.

Для сертификатов PFX также требуется точка регистрации сертификатов. Также укажите центр сертификации (ЦС) для сертификата и соответствующие учетные данные доступа. В качестве центров сертификации можно указать Майкрософт или Entrust.

Дополнительные сведения о том, как NDES поддерживает модуль политики, чтобы Configuration Manager развертывать сертификаты, см. в разделе "Использование модуля политики со службой регистрации сетевых устройств".

В зависимости от требований Configuration Manager поддерживает развертывание сертификатов в разных хранилищах сертификатов на различных типах устройств и операционных системах. Поддерживаются следующие устройства и операционные системы:

  • Windows 10

  • Windows 10 Mobile

  • Windows 8.1

  • Windows Phone 8.1

Примечание

Используйте Configuration Manager локальном MDM для управления Windows Phone 8.1 и Windows 10 Mobile. Дополнительные сведения см. в локальном MDM.

Типичным сценарием для Configuration Manager является установка доверенных корневых сертификатов ЦС для проверки подлинности Wi-Fi и VPN-серверов. Для типичных подключений используются следующие протоколы:

  • Протоколы проверки подлинности: EAP-TLS, EAP-TTLS и PEAP
  • Протоколы туннелирования VPN: IKEv2, L2TP/IPsec и Cisco IPsec

На устройстве должен быть установлен сертификат корневого ЦС предприятия, прежде чем устройство сможет запрашивать сертификаты с помощью профиля сертификата SCEP.

В профиле сертификата SCEP можно указать параметры для запроса настраиваемых сертификатов для разных сред или требований к подключению. Мастер создания профиля сертификата содержит две страницы для параметров регистрации. Первая регистрация SCEP включает параметры запроса на регистрацию и место установки сертификата. Второй — свойства сертификата — описывает сам запрашиваемый сертификат.

Развертывание

При развертывании профиля сертификата SCEP клиент Configuration Manager обрабатывает политику. Затем он запрашивает пароль запроса SCEP из точки управления. Устройство создает пару открытого и закрытого ключей и создает запрос на подпись сертификата (CSR). Он отправляет этот запрос на сервер NDES. Сервер NDES пересылает запрос системе сайта точки регистрации сертификатов через модуль политики NDES. Точка регистрации сертификатов проверяет запрос, проверяет пароль запроса SCEP и проверяет, не был ли запрос изменен. Затем он утверждает или отклоняет запрос. Если этот параметр утвержден, сервер NDES отправляет запрос на подписывание в подключенный центр сертификации (ЦС) для подписи. ЦС подписывает запрос, а затем возвращает сертификат запрашиваемму устройству.

Развертывание профилей сертификатов в коллекциях пользователей или устройств. Для каждого сертификата можно указать целевое хранилище. Правила применимости определяют, может ли устройство установить сертификат.

При развертывании профиля сертификата в коллекции пользователей сопоставление пользователей и устройств определяет, на каких устройствах пользователей устанавливаются сертификаты. При развертывании профиля сертификата с сертификатом пользователя в коллекции устройств по умолчанию все основные устройства пользователей устанавливают сертификаты. Чтобы установить сертификат на любом из устройств пользователей, измените это поведение на странице регистрации SCEP мастера создания профиля сертификата. Если устройства находятся в рабочей группе, Configuration Manager не развертывает сертификаты пользователей.

Отслеживать

Вы можете отслеживать развертывания профилей сертификатов, просматривая результаты соответствия или отчеты. Дополнительные сведения см. в разделе "Мониторинг профилей сертификатов".

Автоматический отзыв

Configuration Manager автоматически отзывает сертификаты пользователей и компьютеров, которые были развернуты с помощью профилей сертификатов в следующих случаях:

  • Устройство больше не используется для Configuration Manager управления.

  • Устройство блокируется из Configuration Manager иерархии.

Чтобы отозвать сертификаты, сервер сайта отправляет команду отзыва в выдающей центр сертификации. Причина отзыва — прекращение работы.

Примечание

Чтобы правильно отозвать сертификат, учетной записи компьютера для сайта верхнего уровня в иерархии требуется разрешение на выдачу сертификатов в ЦС и управление ими.

Для повышения безопасности можно также ограничить руководителей ЦС в ЦС. Затем предоставьте этой учетной записи разрешения только для определенного шаблона сертификата, который используется для профилей SCEP на сайте.

Дальнейшие действия