Úvod do profilů certifikátů v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Důležité

Od verze 2203 se tato funkce přístupu k prostředkům společnosti už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.

Profily certifikátů fungují se službou Active Directory Certificate Services a rolí Služby zápisu síťových zařízení (NDES). Vytvořte a nasaďte ověřovací certifikáty pro spravovaná zařízení, aby uživatelé mohli snadno přistupovat k prostředkům organizace. Můžete například vytvořit a nasadit profily certifikátů, které uživatelům poskytnou potřebné certifikáty pro připojení k síti VPN a bezdrátovým připojením.

Profily certifikátů můžou automaticky konfigurovat uživatelská zařízení pro přístup k prostředkům organizace, jako jsou Wi-Fi sítě a servery VPN. Uživatelé mají přístup k těmto prostředkům bez ruční instalace certifikátů nebo použití vzdáleného procesu. Profily certifikátů pomáhají zabezpečit prostředky, protože můžete použít bezpečnější nastavení podporovaná infrastrukturou veřejných klíčů (PKI). Například vyžadovat ověření serveru pro všechna připojení Wi-Fi a VPN, protože jste nasadili požadované certifikáty na spravovaná zařízení.

Profily certifikátů poskytují následující možnosti správy:

  • Registrace a obnovení certifikátu z certifikační autority (CA) pro zařízení s různými typy a verzemi operačního systému Tyto certifikáty se pak dají použít pro Wi-Fi a připojení VPN.

  • Nasazení certifikátů důvěryhodné kořenové certifikační autority a zprostředkujících certifikátů certifikační autority Tyto certifikáty konfigurují řetěz důvěryhodnosti na zařízeních pro síť VPN a Wi-Fi připojení, když se vyžaduje ověřování serveru.

  • Monitorování a hlášení o nainstalovaných certifikátech

Příklad 1: Všichni zaměstnanci se musí připojit k Wi-Fi hotspotům ve více pobočkách. Abyste umožnili snadné připojení uživatelů, nasaďte nejprve certifikáty potřebné pro připojení k Wi-Fi. Pak nasaďte Wi-Fi profily, které odkazují na certifikát.

Příklad 2: Máte zavedenou infrastrukturu veřejných klíčů. Chcete přejít na flexibilnější a bezpečnější metodu nasazení certifikátů. Uživatelé potřebují přístup k prostředkům organizace ze svých osobních zařízení, aniž by to ohrozilo zabezpečení. Nakonfigurujte profily certifikátů pomocí nastavení a protokolů podporovaných pro konkrétní platformu zařízení. Zařízení pak můžou tyto certifikáty automaticky požadovat od serveru zápisu s připojením k internetu. Potom nakonfigurujte profily SÍTĚ VPN tak, aby tyto certifikáty používaly, aby zařízení bylo mít přístup k prostředkům organizace.

Typy

Existují tři typy profilů certifikátů:

  • Certifikát důvěryhodné certifikační autority: Nasaďte důvěryhodnou kořenovou certifikační autoritu nebo certifikát zprostředkující certifikační autority. Tyto certifikáty tvoří řetěz důvěryhodnosti, když zařízení musí ověřit server.

  • SCEP (Simple Certificate Enrollment Protocol): Žádost o certifikát pro zařízení nebo uživatele pomocí protokolu SCEP. Tento typ vyžaduje roli Služby zápisu síťových zařízení (NDES) na serveru se systémem Windows Server 2012 R2 nebo novějším.

    Pokud chcete vytvořit profil certifikátu SCEP (Simple Certificate Enrollment Protocol), nejprve vytvořte profil certifikátu důvěryhodné certifikační autority .

  • Výměna osobních informací (.pfx): Vyžádejte si certifikát .pfx (označovaný také jako PKCS #12) pro zařízení nebo uživatele. Existují dvě metody vytvoření profilů certifikátů PFX:

    Poznámka

    Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.

    Můžete použít Microsoft nebo Pověřit jako certifikační autority pro certifikáty .pfx (Personal Information Exchange).

Požadavky

Pokud chcete nasadit profily certifikátů, které používají SCEP, nainstalujte bod registrace certifikátu na server systému lokality. Na server, na kterém běží Windows Server 2012 R2 nebo novější, nainstalujte také modul zásad pro NDES( modul zásad Configuration Manager). Tento server vyžaduje roli Active Directory Certificate Services. Vyžaduje také funkční NDES, které je přístupné pro zařízení, která vyžadují certifikáty. Pokud vaše zařízení potřebují registrovat certifikáty z internetu, musí být server NDES přístupný z internetu. Pokud například chcete bezpečně povolit provoz na server NDES z internetu, můžete použít Aplikace Azure Proxy.

Certifikáty PFX také vyžadují bod registrace certifikátu. Zadejte také certifikační autoritu (CA) certifikátu a příslušné přihlašovací údaje pro přístup. Můžete zadat Microsoft nebo Pověřit jako certifikační autority.

Další informace o tom, jak NDES podporuje modul zásad, aby Configuration Manager mohli nasazovat certifikáty, najdete v tématu Použití modulu zásad se Službou zápisu síťových zařízení.

V závislosti na požadavcích Configuration Manager podporuje nasazování certifikátů do různých úložišť certifikátů v různých typech zařízení a operačních systémech. Podporují se následující zařízení a operační systémy:

  • Windows 10

  • Windows 10 Mobile

  • Windows 8.1

  • Windows Phone 8.1

Poznámka

Ke správě Windows Phone 8.1 a Windows 10 Mobile použijte Configuration Manager místní MDM. Další informace najdete v tématu Místní správa mobilních zařízení (MDM).

Typickým scénářem pro Configuration Manager je instalace důvěryhodných kořenových certifikátů certifikační autority pro ověřování Wi-Fi a serverů VPN. Typická připojení používají následující protokoly:

  • Ověřovací protokoly: EAP-TLS, EAP-TTLS a PEAP
  • Protokoly tunelového propojení VPN: IKEv2, L2TP/IPsec a Cisco IPsec

Před vyžádáním certifikátů pomocí profilu certifikátu SCEP musí být na zařízení nainstalovaný certifikát podnikové kořenové certifikační autority.

V profilu certifikátu SCEP můžete zadat nastavení pro vyžádání přizpůsobených certifikátů pro různá prostředí nebo požadavky na připojení. Průvodce vytvořením profilu certifikátu má dvě stránky pro parametry zápisu. První, registrace SCEP, obsahuje nastavení pro žádost o registraci a umístění, kam se má certifikát nainstalovat. Druhá, Vlastnosti certifikátu, popisuje samotný požadovaný certifikát.

Nasazení

Když nasadíte profil certifikátu SCEP, klient Configuration Manager zpracuje zásadu. Pak si z bodu správy vyžádá heslo výzvy SCEP. Zařízení vytvoří pár veřejného a privátního klíče a vygeneruje žádost o podepsání certifikátu (CSR). Odešle tento požadavek na server NDES. Server NDES předává požadavek systému lokality bodu registrace certifikátu prostřednictvím modulu zásad NDES. Bod registrace certifikátu ověří požadavek, zkontroluje heslo výzvy SCEP a ověří, že s požadavkem nebylo manipulováno. Pak žádost schválí nebo zamítá. V případě schválení odešle server NDES žádost o podepsání připojené certifikační autoritě (CA) k podepsání. Certifikační autorita žádost podepíše a pak vrátí certifikát do žádajícího zařízení.

Nasaďte profily certifikátů do kolekcí uživatelů nebo zařízení. Cílové úložiště můžete zadat pro každý certifikát. Pravidla použitelnosti určují, jestli zařízení může certifikát nainstalovat.

Když nasadíte profil certifikátu do kolekce uživatelů, spřažení uživatelských zařízení určuje, které zařízení uživatele certifikáty nainstalují. Když nasadíte profil certifikátu s uživatelským certifikátem do kolekce zařízení, nainstalují certifikáty ve výchozím nastavení primární zařízení každého uživatele. Pokud chcete certifikát nainstalovat na libovolné zařízení uživatelů, změňte toto chování na stránce Registrace SCEPv Průvodci vytvořením profilu certifikátu. Pokud jsou zařízení v pracovní skupině, Configuration Manager nenasadí uživatelské certifikáty.

Sledování

Nasazení profilů certifikátů můžete monitorovat zobrazením výsledků dodržování předpisů nebo sestav. Další informace najdete v tématu Monitorování profilů certifikátů.

Automatické odvolání

Configuration Manager automaticky odvolá certifikáty uživatelů a počítačů nasazené pomocí profilů certifikátů za následujících okolností:

  • Zařízení je vyřazeno ze správy Configuration Manager.

  • Zařízení je blokováno z hierarchie Configuration Manager.

Pokud chcete certifikáty odvolat, odešle server lokality vydávající certifikační autoritě příkaz k odvolání. Důvodem odvolání je ukončení operace.

Poznámka

Pro správné odvolání certifikátu potřebuje účet počítače pro lokalitu nejvyšší úrovně v hierarchii oprávnění k vydávání a správě certifikátů v certifikační autoritě.

Kvůli lepšímu zabezpečení můžete také omezit správce certifikační autority na certifikační autoritu. Pak tomuto účtu udělte oprávnění pouze ke konkrétní šabloně certifikátu, kterou používáte pro profily SCEP na webu.

Další kroky