Configuration Manager 中的证书

项目
11/18/2023

适用于: Configuration Manager(current branch)

Configuration Manager结合使用自签名基础结构和公钥基础结构 (PKI) 数字证书。

尽可能使用 PKI 证书。有关详细信息，请参阅 PKI 证书要求。当Configuration Manager在移动设备注册期间请求 PKI 证书时，请使用 Active Directory 域服务和企业证书颁发机构。对于所有其他 PKI 证书，请独立于Configuration Manager部署和管理它们。

客户端计算机连接到基于 Internet 的站点系统时，需要 PKI 证书。云管理网关还需要证书。有关详细信息，请参阅管理 Internet 上的客户端。

使用 PKI 时，还可以使用 IPsec 来帮助保护站点中站点系统之间的服务器到服务器的通信、站点之间的通信以及计算机之间的其他数据传输。 IPsec 的实现独立于Configuration Manager。

PKI 证书不可用时，Configuration Manager自动生成自签名证书。 Configuration Manager中的某些证书始终是自签名证书。在大多数情况下，Configuration Manager会自动管理自签名证书，无需执行其他操作。站点服务器签名证书就是一个示例。此证书始终是自签名证书。它确保客户端从管理点下载的策略是从站点服务器发送的，并且不会被篡改。另一个示例是，为增强型 HTTP 启用站点时，站点会向站点服务器角色颁发自签名证书。

重要

从 Configuration Manager 版本 2103 开始，将弃用允许 HTTP 客户端通信的站点。为 HTTPS 或增强 HTTP 配置站点。有关详细信息，请参阅为仅 HTTPS 或增强的 HTTP 启用站点。

CNG v3 证书

Configuration Manager支持加密：下一代 (CNG) v3 证书。 Configuration Manager客户端可以在 CNG 密钥存储提供程序 (KSP) 中使用具有私钥的 PKI 客户端身份验证证书。借助 KSP 支持，Configuration Manager客户端支持基于硬件的私钥，例如用于 PKI 客户端身份验证证书的 TPM KSP。

有关详细信息，请参阅 CNG v3 证书概述。

增强型 HTTP

建议对所有Configuration Manager通信路径使用 HTTPS 通信，但对于某些客户来说，由于管理 PKI 证书的开销，因此具有挑战性。引入Microsoft Entra集成可减少部分（但不是全部）证书要求。可以改为启用站点以使用 增强的 HTTP。对于某些方案，此配置通过使用自签名证书以及Microsoft Entra ID 支持站点系统上的 HTTPS。它不需要 PKI。

有关详细信息，请参阅增强型 HTTP。

CMG 证书

通过云管理网关 (CMG) 管理 Internet 上的客户端需要使用证书。证书的数量和类型因特定方案而异。

有关详细信息，请参阅 CMG 设置清单。

注意

基于云的分发点 (CDP) 已弃用。从版本 2107 开始，无法创建新的 CDP 实例。若要向基于 Internet 的设备提供内容，请启用 CMG 以分发内容。有关详细信息，请参阅已弃用的功能。

有关 CDP 证书的详细信息，请参阅云分发点的证书。

站点服务器签名证书

站点服务器始终创建自签名证书。它将此证书用于多种目的。

客户端可以从Active Directory 域服务和客户端请求安装中安全地获取站点服务器签名证书的副本。如果客户端无法通过以下机制之一获取此证书的副本，请在安装客户端时安装它。如果客户端与站点的第一次通信是使用基于 Internet 的管理点，则此过程尤其重要。由于此服务器连接到不受信任的网络，因此更容易受到攻击。如果不执行其他步骤，客户端会自动从管理点下载站点服务器签名证书的副本。

在以下情况下，客户端无法安全地获取站点服务器证书的副本：

不使用客户端请求安装客户端，并且：
- 尚未扩展用于Configuration Manager的 Active Directory 架构。
- 尚未将客户端站点发布到Active Directory 域服务。
- 客户端来自不受信任的林或工作组。
使用基于 Internet 的客户端管理，并在客户端在 Internet 上时安装客户端。

有关如何使用站点服务器签名证书副本安装客户端的详细信息，请使用 SMSSIGNCERT 命令行属性。有关详细信息，请参阅关于客户端安装参数和属性。

硬件绑定密钥存储提供程序

Configuration Manager对客户端标识使用自签名证书，并帮助保护客户端和站点系统之间的通信。将站点和客户端更新到版本 2107 或更高版本时，客户端会将站点中的证书存储在硬件绑定密钥存储提供程序中， (KSP) 。此 KSP 通常是受信任的平台模块， (TPM) 至少版本 2.0。证书还标记为不可导出。

如果客户端还具有基于 PKI 的证书，它将继续使用该证书进行 TLS HTTPS 通信。它使用自签名证书对站点的消息进行签名。有关详细信息，请参阅 PKI 证书要求。

注意

对于也具有 PKI 证书的客户端，Configuration Manager控制台将“客户端证书”属性显示为“自签名”。客户端控制面板 “客户端证书 ”属性显示 PKI。

更新到版本 2107 或更高版本时，具有 PKI 证书的客户端将重新创建自签名证书，但不会在站点中重新注册。没有 PKI 证书的客户端将在站点中重新注册，这可能会导致站点上的额外处理。确保更新客户端的过程允许随机化。如果同时更新大量客户端，可能会导致站点服务器上的积压工作。

Configuration Manager不使用已知易受攻击的 TPM。例如，TPM 版本早于 2.0。如果设备具有易受攻击的 TPM，则客户端会回退到使用基于软件的 KSP。证书仍不可导出。

OS 部署媒体不使用硬件绑定证书，它继续使用站点中的自签名证书。在具有主机的设备上创建媒体，但随后它可以在任何客户端上运行。

若要排查证书行为问题，请在客户端上使用 CertificateMaintenance.log 。

通过