介紹 Configuration Manager 中的憑證設定檔
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題中的資訊適用於 System Center 2012 R2 Configuration Manager 和 System Center 2012 R2 Configuration Manager SP1。 |
System Center 2012 Configuration Manager 中的憑證設定檔會與 Active Directory 憑證服務和網路裝置註冊服務角色搭配運作,以佈建受管理裝置的驗證憑證,如此使用者就能順利存取公司資源。 例如,您可以建立和部署憑證設定檔,以提供必要的憑證讓使用者起始 VPN 和無線網路連線。
Configuration Manager 中的憑證設定檔提供下列管理功能:
為執行 iOS、Windows 8.1、Windows RT 8.1 和 Android 的裝置註冊憑證以及從企業憑證授權單位 (CA) 更新憑證。然後,這些憑證就可以用於 Wi-Fi 和 VPN 連線。
部署信任根 CA 憑證和中繼 CA 憑證,以便在需要伺服器驗證時在裝置上針對 VPN 和 Wi-Fi 連線設定信任鏈結。
監視和報告已安裝的憑證。
憑證設定檔可以自動設定使用者裝置,如此不需要手動安裝憑證或使用超出訊號範圍的程序,就能存取 Wi-Fi 網路和 VPN 伺服器等公司資源。 憑證設定檔也有助於維持公司資源的安全性,因為您可以使用更多您的企業公開金鑰基礎結構 (PKI) 支援的安全設定。 例如,您可以對所有 Wi-Fi 和 VPN 連線進行伺服器驗證,因為您已在受管理的裝置上佈建所需的憑證。
**範例:**所有員工都必須可以連線到多個公司位置中的 Wi-Fi 熱點。 若要完成此動作,您可以部署進行 Wi-Fi 連線所需的憑證,並且在參照要使用的正確憑證的 Configuration Manager 中部署 Wi-Fi 設定檔,如此使用者就能順暢的進行 Wi-Fi 連線。
**範例:**您已備妥 PKI,而且想改用更具彈性且更安全的方法來佈建憑證,讓使用者能從個人裝置存取公司資源,又不會危及安全性。 若要完成這項作業,您可以使用特定裝置平台所支援的設定和通訊協定來設定憑證設定檔。 裝置之後可以自動向網際網路對向註冊伺服器要求這些憑證。 您可以將 VPN 設定檔設定為使用這些憑證使裝置可以存取公司資源。
憑證設定檔的類型
您可以在 Configuration Manager 中建立兩種類型的憑證設定檔:
受信任 CA 憑證 - 可讓您部署受信任根 CA 或中繼 CA 憑證,以在裝置必須驗證伺服器時形成憑證信任鏈。
簡單憑證註冊通訊協定 (SCEP) 設定 - 可讓您要求裝置或使用者的憑證,方法是在執行 Windows Server 2012 R2 的伺服器上使用 SCEP 通訊協定和網路裝置註冊服務。
注意事項您必須先建立 [信任的 CA 憑證] 類型的憑證設定檔,才能夠建立 [簡單憑證註冊通訊協定 (SCEP) 設定] 類型的憑證設定檔。
需求和支援的平台
若要部署使用簡單憑證註冊通訊協定的憑證設定檔,您必須在管理中心網站或主要網站中的網站系統伺服器上,安裝憑證登錄點。 您也必須以 Active Directory 憑證服務角色和需要憑證的裝置可存取的作用中網路裝置註冊服務,將用於網路裝置註冊服務的原則模組 (即 Configuration Manager 原則模組) 安裝在執行 Windows Server 2012 R2 的伺服器上。 若是由 Microsoft Intune 註冊的裝置,則需要可以從網際網路存取的網路裝置註冊服務,例如遮蔽式子網路 (也稱為 DMZ)。
如需網路裝置註冊服務如何支援原則模組,讓 Configuration Manager 可以部署憑證的詳細資訊,請參閱 Using a Policy Module with the Network Device Enrollment Service (使用原則模組搭配網路裝��註冊服務)。
Configuration Manager 支援根據需求以及裝置類型和作業系統將憑證部署至不同的憑證存放區。 支援下列裝置和作業系統:
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
.jpeg "System_CAPS_warning")
警告若要支援 Windows Phone 8.1,您必須安裝選用的 Windows Phone 8.1 擴充功能。 如需如何安裝擴充功能的相關資訊,請參閱規劃在 Configuration Manager 中使用擴充功能。
iOS
Android
注意事項如需使用者在執行 Android 的裝置上安裝憑證時必須採取的動作的詳細資訊,請參閱如何在 Configuration Manager 中將憑證安裝在 Android 裝置上。
.jpeg "System_CAPS_important") 重要事項 |
|---|
若要將設定檔部署到 Android、iOS、Windows Phone 和註冊的 Windows 8.1 裝置,這些裝置必須在 Microsoft Intune 註冊。 如需如何取得已註冊裝置的相關資訊,請參閱使用 Microsoft Intune 管理行動裝置。 |
System Center 2012 Configuration Manager 的常見情況是在連線使用 EAP-TLS、EAP-TTLS 和 PEAP 驗證通訊協定以及 IKEv2、L2TP/IPsec 和 Cisco IPsec VPN 通道通訊協定時,安裝信任的根 CA 憑證以驗證 Wi-Fi 和 VPN 伺服器。
您必須確保企業根 CA 憑證已安裝在裝置上,裝置才能使用 SCEP 憑證設定檔要求憑證。
您可以在 SCEP 憑證設定檔中指定各種設定,以針對不同的環境或連線需求要求自訂的憑證。 [建立憑證設定檔精靈] 中包含兩個頁面的註冊參數。 第一個頁面 [SCEP 註冊] 包含註冊要求以及憑證安裝位置的設定。 第二個頁面 [憑證內容] 則說明要求的憑證本身。
部署憑證設定檔
當您部署憑證設定檔時,設定檔中的憑證檔案會安裝在用戶端裝置上。 系統也會部署任何 SCEP 參數,並且會在用戶端裝置上處理 SCEP 要求。 您可以將憑證設定檔部署至使用者集合或裝置集合,並且指定各個憑證的目的地存放區。 適用性規則會決定是否可以在裝置上安裝憑證。當憑證設定檔部署到使用者集合時,使用者裝置親和性會決定哪些使用者的裝置會安裝憑證。 當含有使用者憑證的憑證設定檔部署至裝置集合時,預設會將憑證安裝在使用者的各個主要裝置上。 您可以在 [建立憑證設定檔精靈] 的 [SCEP 註冊] 頁面上,將此行為修改為安裝憑證至使用者的任何裝置上。 此外,使用者憑證將不會部署至工作群組電腦的裝置。
監視憑證設定檔
您可以從 Configuration Manager 主控台之 [監視] 工作區的 [部署] 節點監視憑證設定檔部署。
您也可以使用下列其中一個 Configuration Manager 報告監視憑證設定檔:
憑證登錄點所發行的憑證歷程記錄
憑證登錄點所註冊憑證的資產清單 (按憑證發行狀態)
憑證即將到期的資產清單
憑證的自動撤銷
在下列情況下,Configuration Manager 會自動撤銷使用憑證設定檔建立的使用者和電腦憑證:
Configuration Manager 管理功能已將裝置淘汰。
已選擇抹除裝置。
Configuration Manager 階層已封鎖裝置。
網站伺服器會傳送撤銷命令到發行憑證授權單位,以撤銷憑證。 撤銷的原因是 [操作停止]。
System Center 2012 R2 Configuration Manager 中的新功能
| 注意事項 |
|---|
本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。 |
System Center 2012 R2 Configuration Manager 中新增了憑證設定檔, 可提供以下功能並且具有一些相依設定:
使用簡單憑證註冊通訊協定 (SCEP) 部署受管理裝置的使用者和裝置憑證。 這些憑證可用來支援 Wi-Fi 和 VPN 連線。
支援的裝置包括執行 iOS、Windows 8.1、Windows RT 8.1 和 Android 的裝置。
部署根憑證授權單位 (CA) 憑證和中繼 CA 憑證,裝置可以藉以在使用伺服器驗證進行網路連線時建立信任鏈結。
憑證登錄點必須部署在管理中心網站或主要網站中,而 Configuration Manager 原則模組必須安裝在執行 Windows Server 2012 R2 的伺服器,其上有 Active Directory 憑證服務和網路裝置註冊服務角色。 此伺服器必須可以從網際網路存取,且必須與企業 CA 通訊,以發行憑證。 如需網路裝置註冊服務中支援此案例的變更的詳細資訊,請參閱 What's New in Certificate Services in Windows Server 2012 R2 (Windows Server 2012 R2 中憑證服務的新功能)。
System Center 2012 Configuration Manager SP2 的新功能
Configuration Manager 2012 SP2 可讓您將個人資訊交換 (.pfx) 檔案佈建到使用者裝置。 PFX 檔案可用以產生特定使用者憑證,以支援加密的資料交換。 您可以在 Configuration Manager 中建立或匯入 PFX 憑證。 使用 Configuration Manager 2012 SP2,匯入的或新的 PFX 憑證可以部署到 iOS 裝置、Android 裝置、Windows 8.1 和更新版本的裝置,以及 Windows Phone 8.1 和更新版本的裝置。 這些檔案接著可以部署到多部裝置來支援以使用者為基礎的 PKI 通訊。 如需 PFX 檔案的詳細資訊,請參閱如何在 Configuration Manager 中建立 PFX 憑證設定檔。