Plánování certifikátů PKI v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Configuration Manager používá digitální certifikáty založené na infrastruktuře veřejných klíčů (PKI), pokud jsou k dispozici. Použití těchto certifikátů se doporučuje pro vyšší zabezpečení, ale ve většině scénářů se nevyžaduje. Tyto certifikáty musíte nasadit a spravovat nezávisle na Configuration Manager.
Tento článek obsahuje informace o certifikátech PKI v Configuration Manager, které vám pomůžou naplánovat implementaci. Další obecné informace o používání certifikátů v Configuration Manager najdete v tématu Certifikáty v Configuration Manager.
Odvolání certifikátu PKI
Pokud používáte certifikáty PKI s Configuration Manager, naplánujte použití seznamu odvolaných certifikátů (CRL). Zařízení používají seznam CRL k ověření certifikátu na připojujícím se počítači. Seznam CRL je soubor, který certifikační autorita vytvoří a podepíše. Obsahuje seznam certifikátů, které certifikační autorita vydala, ale odvolala. Když správce certifikátu odvolá certifikáty, přidá se do seznamu CRL jeho kryptografický otisk. Například pokud je vystavený certifikát známý nebo podezřelý z ohrožení zabezpečení.
Důležité
Vzhledem k tomu, že umístění seznamu CRL se přidá do certifikátu, když ho vydá certifikační autorita, ujistěte se, že před nasazením certifikátů PKI, které Configuration Manager používá, naplánování seznamu CRL.
Služba IIS vždy kontroluje seznam CRL pro klientské certifikáty a v Configuration Manager tuto konfiguraci nemůžete změnit. Ve výchozím nastavení Configuration Manager klienti vždy kontrolují seznam CRL pro systémy lokality. Toto nastavení zakažte zadáním vlastnosti lokality a zadáním vlastnosti CCMSetup.
Počítače, které používají kontrolu odvolání certifikátu, ale nemůžou najít seznam CRL, se chovají, jako by byly odvolány všechny certifikáty v certifikačním řetězci. Toto chování je proto, že nemůžou ověřit, jestli jsou certifikáty v seznamu odvolaných certifikátů. V tomto scénáři selžou všechna připojení, která vyžadují certifikáty a zahrnují kontrolu seznamu CRL. Při ověřování, že je seznam CRL přístupný na základě umístění PROTOKOLU HTTP, je důležité si uvědomit, že klient Configuration Manager běží jako MÍSTNÍ SYSTÉM. Testování přístupnosti seznamu CRL pomocí webového prohlížeče v kontextu uživatele může být úspěšné, ale účet počítače může být při pokusu o připojení HTTP ke stejné adrese URL seznamu CRL zablokovaný. Může se například zablokovat kvůli internímu řešení filtrování webu, jako je proxy server. Přidejte adresu URL seznamu CRL do seznamu schválených pro všechna řešení filtrování webů.
Kontrola seznamu CRL při každém použití certifikátu nabízí větší zabezpečení proti použití odvolaných certifikátů. Přináší zpoždění připojení a další zpracování v klientovi. Vaše organizace může tuto kontrolu zabezpečení vyžadovat u klientů na internetu nebo v nedůvěryhodné síti.
Než se rozhodnete, jestli Configuration Manager klienti potřebují zkontrolovat seznam CRL, obraťte se na správce infrastruktury veřejných klíčů. Pokud platí obě následující podmínky, zvažte možnost ponechat v Configuration Manager povolenou:
Vaše infrastruktura infrastruktury veřejných klíčů podporuje seznam CRL a publikuje se tam, kde ho můžou najít všichni klienti Configuration Manager. Mezi tyto klienty můžou patřit zařízení na internetu a zařízení v nedůvěryhodných doménových strukturách.
Požadavek na kontrolu seznamu CRL pro každé připojení k systému lokality, který je nakonfigurovaný tak, aby používal certifikát PKI, je vyšší než následující požadavky:
- Rychlejší připojení
- Efektivní zpracování na klientovi
- Riziko, že se klienti nebudou moct připojit k serverům, pokud nemůžou najít seznam CRL
Důvěryhodné kořenové certifikáty PKI
Pokud systémy lokality služby IIS používají klientské certifikáty PKI pro ověřování klientů přes PROTOKOL HTTP nebo pro ověřování klientů a šifrování přes PROTOKOL HTTPS, možná budete muset importovat certifikáty kořenové certifikační autority jako vlastnost lokality. Tady jsou dva scénáře:
Operační systémy nasazujete pomocí Configuration Manager a body správy přijímají pouze klientská připojení HTTPS.
Používáte klientské certifikáty PKI, které nejsou zřetězenými kořenovým certifikátem, kterému body správy důvěřují.
Poznámka
Pokud vydáváte klientské certifikáty PKI ze stejné hierarchie certifikační autority, která vydává certifikáty serveru, které používáte pro body správy, nemusíte tento certifikát kořenové certifikační autority zadávat. Pokud ale používáte více hierarchií certifikační autority a nejste si jistí, jestli si vzájemně důvěřují, importujte kořenovou certifikační autoritu pro hierarchii certifikačních autorit klientů.
Pokud potřebujete importovat certifikáty kořenové certifikační autority pro Configuration Manager, exportujte je z vydávající certifikační autority nebo z klientského počítače. Pokud exportujete certifikát z vydávající certifikační autority, která je zároveň kořenovou certifikační autoritou, privátní klíč neexportujte. Exportovaný soubor certifikátu uložte do zabezpečeného umístění, abyste zabránili manipulaci. Přístup k souboru potřebujete při nastavování webu. Pokud k souboru přistupujete přes síť, ujistěte se, že je komunikace chráněná před manipulací pomocí protokolu IPsec.
Pokud dojde k prodloužení platnosti certifikátu kořenové certifikační autority, který importujete, importujte obnovený certifikát.
Tyto importované certifikáty kořenové certifikační autority a certifikáty kořenové certifikační autority jednotlivých bodů správy vytvoří seznam vystavitelů certifikátů. Configuration Manager počítače používají tento seznam následujícími způsoby:
Když se klienti připojují k bodům správy, bod správy ověří, že je klientský certifikát zřetězený s důvěryhodným kořenovým certifikátem v seznamu vystavitelů certifikátů lokality. Pokud ne, certifikát se odmítne a připojení PKI selže.
Když klienti vyberou certifikát PKI a mají seznam vystavitelů certifikátů, vyberou certifikát, který se v seznamu vystavitelů certifikátů zřetědí s důvěryhodným kořenovým certifikátem. Pokud neexistuje žádná shoda, klient nevybere certifikát PKI. Další informace najdete v tématu Výběr klientského certifikátu PKI.
Výběr klientského certifikátu PKI
Pokud systémy lokality služby IIS používají klientské certifikáty PKI pro ověřování klientů přes PROTOKOL HTTP nebo pro ověřování klientů a šifrování přes PROTOKOL HTTPS, naplánujte, jak klienti Systému Windows vyberou certifikát, který se mají použít pro Configuration Manager.
Poznámka
Některá zařízení nepodporují metodu výběru certifikátu. Místo toho automaticky vyberou první certifikát, který splňuje požadavky na certifikát. Například klienti na počítačích s macOS a mobilních zařízeních nepodporují metodu výběru certifikátu.
V mnoha případech stačí výchozí konfigurace a chování. Klient Configuration Manager na počítačích s Windows filtruje více certifikátů pomocí těchto kritérií v tomto pořadí:
Seznam vystavitelů certifikátů: Zřetězení certifikátu s kořenovou certifikační autoritou, které bod správy důvěřuje.
Certifikát je ve výchozím úložišti certifikátů Osobní.
Certifikát je platný, neodvolaný a nevypršela jeho platnost. Kontrola platnosti také ověří, že je privátní klíč přístupný.
Certifikát má schopnost ověřování klientů.
Název subjektu certifikátu obsahuje název místního počítače jako podřetěžce.
Certifikát má nejdelší dobu platnosti.
Pomocí následujících mechanismů nakonfigurujte klienty tak, aby používali seznam vystavitelů certifikátů:
Publikujte ho s Configuration Manager informacemi o webu do Active Directory Domain Services.
Nainstalujte klienty pomocí nabízených oznámení klienta.
Klienti si ho po úspěšném přiřazení k lokalitě stáhnou z bodu správy.
Zadejte ji během instalace klienta jako vlastnost CCMSetup client.msi CCMCERTISSUERS.
Pokud klienti při první instalaci nemají seznam vystavitelů certifikátů a ještě nejsou přiřazeni k lokalitě, tuto kontrolu přeskočí. Pokud klienti mají seznam vystavitelů certifikátů a nemají certifikát PKI, který by se řetězil s důvěryhodným kořenovým certifikátem v seznamu vystavitelů certifikátů, výběr certifikátu se nezdaří. Klienti nepokračují s ostatními kritérii pro výběr certifikátu.
Ve většině případů klient Configuration Manager správně identifikuje jedinečný a vhodný certifikát PKI. Pokud tomu tak není, můžete místo výběru certifikátu na základě schopnosti ověřování klienta nastavit dvě alternativní metody výběru:
Částečný řetězec odpovídá názvu subjektu klientského certifikátu. Tato metoda nerozlišuje velká a malá písmena. Je vhodné, pokud v poli předmětu používáte plně kvalifikovaný název domény (FQDN) počítače a chcete, aby byl výběr certifikátu založený na příponě domény, například contoso.com. Tuto metodu výběru můžete použít k identifikaci libovolného řetězce sekvenčních znaků v názvu subjektu certifikátu, který odlišuje certifikát od ostatních v úložišti klientských certifikátů.
Poznámka
Částečnou shodu řetězců s alternativním názvem subjektu (SAN) nemůžete použít jako nastavení webu. I když můžete zadat částečnou shodu řetězců pro síť SAN pomocí CCMSetup, v následujících scénářích se přepíšou vlastnosti lokality:
- Klienti načítají informace o lokalitě publikované do Active Directory Domain Services.
- Klienti se instalují pomocí klientské nabízené instalace.
Částečnou shodu řetězců v síti SAN použijte pouze v případě, že klienty instalujete ručně a nenačítají informace o lokalitě z Active Directory Domain Services. Tyto podmínky platí například pro klienty pouze z internetu.
Shoda hodnot atributu názvu subjektu klientského certifikátu nebo hodnot atributu alternativního názvu subjektu (SAN). Tato metoda rozlišuje velká a malá písmena. Je vhodné, pokud používáte rozlišující název X500 nebo ekvivalentní identifikátory objektů (OID) v souladu s RFC 3280 a chcete, aby byl výběr certifikátu založený na hodnotách atributů. Můžete zadat pouze atributy a jejich hodnoty, které potřebujete k jedinečné identifikaci nebo ověření certifikátu a k odlišení certifikátu od ostatních v úložišti certifikátů.
Následující tabulka uvádí hodnoty atributů, které Configuration Manager podporují kritéria výběru klientského certifikátu:
Atribut OID | Atribut rozlišujícího názvu | Definice atributu |
---|---|---|
0.9.2342.19200300.100.1.25 | DC | Komponenta domény |
1.2.840.113549.1.9.1 | E-mail nebo e-mail | Email adresa |
2.5.4.3 | KN | Běžný název |
2.5.4.4 | SN | Název subjektu |
2.5.4.5 | SÉRIOVÉ ČÍSLO | Sériové číslo |
2.5.4.6 | C | Směrové číslo země |
2.5.4.7 | L | Lokalitě |
2.5.4.8 | S nebo ST | Název státu nebo provincie |
2.5.4.9 | STREET | Ulice: |
2.5.4.10 | O | Název organizace |
2.5.4.11 | OU | Organizační jednotka: |
2.5.4.12 | T nebo Title | Title |
2.5.4.42 | G, GN nebo GivenName | Křestní název |
2.5.4.43 | I nebo iniciály | Iniciály |
2.5.29.17 | (bez hodnoty) | Alternativní název předmětu |
Poznámka
Pokud nakonfigurujete některou z výše uvedených alternativních metod výběru certifikátu, název subjektu certifikátu nemusí obsahovat název místního počítače.
Pokud se po použití kritérií výběru nachází více než jeden vhodný certifikát, můžete přepsat výchozí konfiguraci a vybrat certifikát, který má nejdelší dobu platnosti. Místo toho můžete určit, že není vybraný žádný certifikát. V tomto scénáři nemůže klient komunikovat se systémy lokality služby IIS pomocí certifikátu PKI. Klient odešle do svého přiřazeného záložního stavového bodu chybovou zprávu, která vás upozorní na selhání výběru certifikátu. Pak můžete změnit nebo upřesnit kritéria výběru certifikátu.
Chování klienta pak závisí na tom, jestli připojení, které selhalo, přes protokol HTTPS nebo HTTP:
Pokud došlo k selhání připojení přes PROTOKOL HTTPS: Klient se pokusí připojit přes protokol HTTP a použije certifikát podepsaný svým držitelem.
Pokud došlo k selhání připojení přes protokol HTTP: Klient se pokusí znovu připojit přes protokol HTTP pomocí klientského certifikátu podepsaného svým držitelem.
Pokud chcete pomoct s identifikací jedinečného klientského certifikátu PKI, můžete také v úložišti Počítače zadat jiné vlastní úložiště, než je výchozí osobní. Vytvořte vlastní úložiště certifikátů mimo Configuration Manager. Musíte být schopni nasadit certifikáty do tohoto vlastního úložiště a obnovit je před vypršením doby platnosti.
Další informace najdete v tématu Konfigurace nastavení pro klientské certifikáty PKI.
Strategie přechodu pro certifikáty PKI
Flexibilní možnosti konfigurace v Configuration Manager umožňují postupně převést klienty a lokalitu tak, aby používali certifikáty PKI k zabezpečení koncových bodů klientů. Certifikáty PKI poskytují lepší zabezpečení a umožňují spravovat internetové klienty.
Tento plán nejprve zavádí certifikáty PKI pro ověřování pouze přes PROTOKOL HTTP a pak pro ověřování a šifrování přes HTTPS. Pokud budete postupovat podle tohoto plánu postupného zavedení těchto certifikátů, snížíte riziko, že se klienti stanou nespravovanými. Budete také těžit z nejvyššího zabezpečení, které Configuration Manager podporuje.
Vzhledem k počtu možností konfigurace a voleb v Configuration Manager neexistuje jediný způsob, jak lokalitu převést tak, aby všichni klienti používali připojení HTTPS. Následující kroky poskytují obecné pokyny:
Nainstalujte Configuration Manager lokalitu a nakonfigurujte ji tak, aby systémy lokality přijímaly připojení klientů přes protokoly HTTPS a HTTP.
Nakonfigurujte kartu Zabezpečení komunikace ve vlastnostech lokality. Nastavte Nastavení systému lokality na HTTP nebo HTTPS a vyberte Použít klientský certifikát PKI (funkce ověřování klientů), pokud je k dispozici. Další informace najdete v tématu Konfigurace nastavení pro klientské certifikáty PKI.
Pilotní nasazení infrastruktury veřejných klíčů pro klientské certifikáty Příklad nasazení najdete v tématu Nasazení klientského certifikátu pro počítače s Windows.
Nainstalujte klienty pomocí metody nabízené instalace klienta. Další informace najdete v tématu Instalace klientů Configuration Manager pomocí nabízených oznámení klientů.
Monitorování nasazení a stavu klienta pomocí sestav a informací v konzole Configuration Manager.
Sledujte, kolik klientů používá klientský certifikát PKI, a to tak, že si zobrazíte sloupec Klientský certifikát v pracovním prostoru Prostředky a kompatibilita v uzlu Zařízení .
Poznámka
U klientů, kteří mají také certifikát PKI, konzola Configuration Manager zobrazí vlastnost Klientský certifikát jako podepsaný svým držitelem. Na klientském ovládacím panelu Vlastnost Klientský certifikát se zobrazuje PKI.
Do počítačů můžete také nasadit nástroj Configuration Manager HTTPS Readiness Assessment Tool (CMHttpsReadiness.exe). Pak pomocí sestav zobrazíte, kolik počítačů může používat klientský certifikát PKI s Configuration Manager.
Poznámka
Při instalaci klienta Configuration Manager se nástroj CMHttpsReadiness.exe nainstaluje do
%windir%\CCM
složky. Při spuštění tohoto nástroje jsou k dispozici následující možnosti příkazového řádku:-
/Store:<Certificate store name>
: Tato možnost je stejná jako vlastnost CCMCERTSTORE client.msi -/Issuers:<Case-sensitive issuer common name>
: Tato možnost je stejná jako vlastnost client.msi CCMCERTISSUERS . -
/Criteria:<Selection criteria>
: Tato možnost je stejná jako vlastnost client.msi CCMCERTSEL . -
/SelectFirstCert
: Tato možnost je stejná jako vlastnost client.msi CCMFIRSTCERT .
Nástroj vypíše informace do souboru CMHttpsReadiness.log v adresáři
CCM\Logs
.Další informace najdete v tématu Informace o vlastnostech instalace klienta.
-
Pokud jste si jistí, že dostatečný počet klientů úspěšně používá svůj klientský certifikát PKI pro ověřování přes PROTOKOL HTTP, postupujte takto:
Nasaďte certifikát webového serveru PKI na členský server, na kterém běží jiný bod správy pro lokalitu, a nakonfigurujte tento certifikát ve službě IIS. Další informace najdete v tématu Nasazení certifikátu webového serveru pro systémy lokality se službou IIS.
Nainstalujte na tento server roli bodu správy. Nakonfigurujte možnost Připojení klientů ve vlastnostech bodu správy pro HTTPS.
Monitorujte a ověřte, že klienti s certifikátem PKI používají nový bod správy pomocí protokolu HTTPS. K ověření můžete použít protokolování služby IIS nebo čítače výkonu.
Překonfigurujte jiné role systému lokality tak, aby používaly připojení klientů HTTPS. Pokud chcete spravovat klienty na internetu, ujistěte se, že systémy lokality mají internetový plně kvalifikovaný název domény. Nakonfigurujte jednotlivé body správy a distribuční body tak, aby přijímaly připojení klientů z internetu.
Důležité
Než nastavíte role systému lokality tak, aby přijímaly připojení z internetu, projděte si informace o plánování a požadavky pro správu internetových klientů. Další informace najdete v tématu Komunikace mezi koncovými body.
Rozšíření zavedení certifikátu PKI pro klienty a pro systémy lokality, které používají službu IIS. Podle potřeby nastavte role systému lokality pro připojení klientů HTTPS a připojení k internetu.
Zajištění nejvyššího zabezpečení: Pokud máte jistotu, že všichni klienti používají klientský certifikát PKI pro ověřování a šifrování, změňte vlastnosti lokality tak, aby používaly jenom HTTPS.