Pianificare i certificati PKI in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Configuration Manager usa certificati digitali basati su infrastruttura a chiave pubblica (PKI) quando disponibili. L'uso di questi certificati è consigliato per una maggiore sicurezza, ma non per la maggior parte degli scenari. È necessario distribuire e gestire questi certificati in modo indipendente da Configuration Manager.

Questo articolo fornisce informazioni sui certificati PKI in Configuration Manager per pianificare l'implementazione. Per informazioni più generali sull'uso dei certificati in Configuration Manager, vedere Certificati in Configuration Manager.

Revoca del certificato PKI

Quando si usano certificati PKI con Configuration Manager, pianificare l'uso di un elenco di revoche di certificati (CRL). I dispositivi usano l'elenco CRL per verificare il certificato nel computer di connessione. L'elenco CRL è un file creato e firmato da un'autorità di certificazione (CA). Ha un elenco di certificati rilasciati ma revocati dalla CA. Quando un amministratore del certificato revoca i certificati, l'identificazione personale viene aggiunta al CRL. Ad esempio, se è noto o si sospetta che un certificato emesso sia compromesso.

Importante

Poiché la posizione del CRL viene aggiunta a un certificato quando una CA la rilascia, assicurarsi di pianificare l'elenco CRL prima di distribuire eventuali certificati PKI usati Configuration Manager.

IIS controlla sempre l'elenco CRL per i certificati client e non è possibile modificare questa configurazione in Configuration Manager. Per impostazione predefinita, Configuration Manager client verificano sempre l'elenco CRL per i sistemi del sito. Disabilitare questa impostazione specificando una proprietà del sito e specificando una proprietà CCMSetup.

I computer che usano il controllo della revoca del certificato ma non riescono a individuare il CRL si comportano come se tutti i certificati nella catena di certificazione vengano revocati. Questo comportamento è dovuto al fatto che non è possibile verificare se i certificati sono inclusi nell'elenco di revoche di certificati. In questo scenario, tutte le connessioni non riescono che richiedono certificati e includono il controllo CRL. Quando si verifica che il CRL sia accessibile passando alla posizione HTTP, è importante notare che il client Configuration Manager viene eseguito come LOCAL SYSTEM. Il test dell'accessibilità CRL con un Web browser in un contesto utente potrebbe avere esito positivo, ma l'account computer potrebbe essere bloccato quando si tenta di stabilire una connessione HTTP allo stesso URL CRL. Ad esempio, può essere bloccato a causa di una soluzione di filtro Web interna come un proxy. Aggiungere l'URL CRL all'elenco approvato per qualsiasi soluzione di filtro Web.

Il controllo dell'elenco CRL ogni volta che viene usato un certificato offre maggiore sicurezza rispetto all'uso di un certificato revocato. Introduce un ritardo di connessione e una maggiore elaborazione nel client. L'organizzazione potrebbe richiedere questo controllo di sicurezza per i client in Internet o in una rete non attendibile.

Prima di decidere se Configuration Manager client devono controllare l'elenco CRL, consultare gli amministratori PKI. Quando entrambe le condizioni seguenti sono vere, è consigliabile mantenere questa opzione abilitata in Configuration Manager:

  • L'infrastruttura PKI supporta un CRL ed è pubblicata in cui tutti i client Configuration Manager possono individuarlo. Questi client possono includere dispositivi su Internet e quelli in foreste non attendibili.

  • Il requisito di controllare l'elenco CRL per ogni connessione a un sistema del sito configurato per l'uso di un certificato PKI è maggiore dei requisiti seguenti:

    • Connessioni più veloci
    • Elaborazione efficiente nel client
    • Il rischio che i client non riescano a connettersi ai server se non riescono a individuare il CRL

Certificati radice attendibili PKI

Se i sistemi del sito IIS usano certificati client PKI per l'autenticazione client tramite HTTP o per l'autenticazione client e la crittografia tramite HTTPS, potrebbe essere necessario importare i certificati CA radice come proprietà del sito. Ecco i due scenari:

  • I sistemi operativi vengono distribuiti usando Configuration Manager e i punti di gestione accettano solo connessioni client HTTPS.

  • Si usano certificati client PKI che non concatenati a un certificato radice considerato attendibile dai punti di gestione.

    Nota

    Quando si emettono certificati PKI client dalla stessa gerarchia ca che rilascia i certificati server usati per i punti di gestione, non è necessario specificare questo certificato CA radice. Tuttavia, se si usano più gerarchie ca e non si è certi che si considerino attendibili, importare la CA radice per la gerarchia ca dei client.

Se è necessario importare i certificati CA radice per Configuration Manager, esportarli dalla CA emittente o dal computer client. Se si esporta il certificato dalla CA emittente che è anche la CA radice, non esportare la chiave privata. Archiviare il file del certificato esportato in un percorso sicuro per evitare manomissioni. È necessario accedere al file quando si configura il sito. Se si accede al file in rete, assicurarsi che la comunicazione sia protetta da manomissioni tramite IPSec.

Se un certificato CA radice importato viene rinnovato, importare il certificato rinnovato.

Questi certificati CA radice importati e il certificato CA radice di ogni punto di gestione creano l'elenco degli emittenti di certificati. Configuration Manager computer usano questo elenco nei modi seguenti:

  • Quando i client si connettono ai punti di gestione, il punto di gestione verifica che il certificato client sia concatenato a un certificato radice attendibile nell'elenco degli emittenti di certificati del sito. In caso contrario, il certificato viene rifiutato e la connessione PKI non riesce.

  • Quando i client selezionano un certificato PKI e hanno un elenco di autorità emittenti di certificati, selezionano un certificato che viene concatenato a un certificato radice attendibile nell'elenco autorità emittenti di certificati. Se non è presente alcuna corrispondenza, il client non seleziona un certificato PKI. Per altre informazioni, vedere Selezione del certificato client PKI.

Selezione del certificato client PKI

Se i sistemi del sito IIS usano certificati client PKI per l'autenticazione client tramite HTTP o per l'autenticazione client e la crittografia tramite HTTPS, pianificare il modo in cui i client Windows selezionano il certificato da usare per Configuration Manager.

Nota

Alcuni dispositivi non supportano un metodo di selezione del certificato. Al contrario, selezionano automaticamente il primo certificato che soddisfa i requisiti del certificato. Ad esempio, i client nei computer macOS e nei dispositivi mobili non supportano un metodo di selezione del certificato.

In molti casi, la configurazione e il comportamento predefiniti sono sufficienti. Il client Configuration Manager nei computer Windows filtra più certificati usando questi criteri in questo ordine:

  1. Elenco autorità di certificazione: il certificato viene concatenato a una CA radice considerata attendibile dal punto di gestione.

  2. Il certificato si trova nell'archivio certificati predefinito personale.

  3. Il certificato è valido, non revocato e non scaduto. Il controllo di validità verifica anche che la chiave privata sia accessibile.

  4. Il certificato ha funzionalità di autenticazione client.

  5. Il nome del soggetto del certificato contiene il nome del computer locale come sottostringa.

  6. Il certificato ha il periodo di validità più lungo.

Configurare i client per l'uso dell'elenco di autorità di certificazione usando i meccanismi seguenti:

  • Pubblicarlo con Configuration Manager informazioni sul sito in Active Directory Domain Services.

  • Installare i client usando il push client.

  • I client lo scaricano dal punto di gestione dopo che sono stati assegnati correttamente al sito.

  • Specificarlo durante l'installazione client come proprietà client.msi CCMSetup di CCMCERTISSUERS.

Se i client non hanno l'elenco degli emittenti di certificati al momento della prima installazione e non sono ancora assegnati al sito, ignorano questo controllo. Quando i client hanno l'elenco degli emittenti di certificati e non hanno un certificato PKI che viene concatenato a un certificato radice attendibile nell'elenco degli emittenti di certificati, la selezione del certificato non riesce. I client non continuano con gli altri criteri di selezione del certificato.

Nella maggior parte dei casi, il client Configuration Manager identifica correttamente un certificato PKI univoco e appropriato. In caso contrario, invece di selezionare il certificato in base alla funzionalità di autenticazione client, è possibile configurare due metodi di selezione alternativi:

  • Corrispondenza di una stringa parziale nel nome del soggetto del certificato client. Questo metodo non fa distinzione tra maiuscole e minuscole. È appropriato se si usa il nome di dominio completo (FQDN) di un computer nel campo dell'oggetto e si vuole che la selezione del certificato sia basata sul suffisso di dominio, ad esempio contoso.com. È possibile utilizzare questo metodo di selezione per identificare qualsiasi stringa di caratteri sequenziali nel nome del soggetto del certificato che differenzia il certificato da altri nell'archivio certificati client.

    Nota

    Non è possibile usare la corrispondenza della stringa parziale con il nome alternativo del soggetto (SAN) come impostazione del sito. Anche se è possibile specificare una corrispondenza di stringa parziale per la SAN usando CCMSetup, verrà sovrascritta dalle proprietà del sito negli scenari seguenti:

    • I client recuperano le informazioni sul sito pubblicate in Active Directory Domain Services.
    • I client vengono installati tramite l'installazione push client.

    Usare una corrispondenza di stringa parziale nella SAN solo quando si installano i client manualmente e quando non recuperano informazioni sul sito da Active Directory Domain Services. Ad esempio, queste condizioni si applicano ai client solo Internet.

  • Corrispondenza dei valori dell'attributo del nome del soggetto del certificato client o dei valori dell'attributo nome alternativo soggetto (SAN). Questo metodo è una corrispondenza con distinzione tra maiuscole e minuscole. È appropriato se si usa un nome distinto X500 o identificatori di oggetto equivalenti (OID) in conformità con RFC 3280 e si vuole che la selezione del certificato sia basata sui valori dell'attributo. È possibile specificare solo gli attributi e i relativi valori necessari per identificare o convalidare in modo univoco il certificato e distinguere il certificato da altri nell'archivio certificati.

La tabella seguente mostra i valori di attributo supportati Configuration Manager per i criteri di selezione del certificato client:

Attributo OID Attributo del nome distinto Definizione dell'attributo
0.9.2342.19200300.100.1.25 DC Componente dominio
1.2.840.113549.1.9.1 Posta elettronica o posta elettronica Indirizzo di posta elettronica
2.5.4.3 CN Nome comune
2.5.4.4 SN Nome soggetto
2.5.4.5 SERIALNUMBER Numero di serie
2.5.4.6 C Codice paese
2.5.4.7 L Località
2.5.4.8 S o ST Nome dello stato o della provincia
2.5.4.9 VIA Indirizzo
2.5.4.10 O Nome dell'organizzazione
2.5.4.11 OU Unità organizzativa
2.5.4.12 T o Titolo Titolo
2.5.4.42 G, GN o GivenName Nome specificato
2.5.4.43 I o Iniziali Iniziali
2.5.29.17 (nessun valore) Nome alternativo soggetto

Nota

Se si configura uno dei metodi di selezione del certificato alternativi precedenti, il nome soggetto del certificato non deve contenere il nome del computer locale.

Se dopo l'applicazione dei criteri di selezione si trovano più certificati appropriati, è possibile sostituire la configurazione predefinita per selezionare il certificato con il periodo di validità più lungo. È invece possibile specificare che non è selezionato alcun certificato. In questo scenario, il client non può comunicare con i sistemi del sito IIS con un certificato PKI. Il client invia un messaggio di errore al punto di stato di fallback assegnato per avvisare l'utente dell'errore di selezione del certificato. È quindi possibile modificare o perfezionare i criteri di selezione del certificato.

Il comportamento del client dipende quindi dal fatto che la connessione non riuscita sia stata eseguita tramite HTTPS o HTTP:

  • Se la connessione non riuscita è stata eseguita tramite HTTPS: il client tenta di connettersi tramite HTTP e usa il certificato autofirmata del client.

  • Se la connessione non riuscita è stata eseguita su HTTP: il client tenta di connettersi nuovamente tramite HTTP usando il certificato client autofirmata.

Per identificare un certificato client PKI univoco, è anche possibile specificare un archivio personalizzato diverso dal valore predefinito Personale nell'archivio computer . Creare un archivio certificati personalizzato all'esterno di Configuration Manager. È necessario essere in grado di distribuire i certificati in questo archivio personalizzato e rinnovarli prima della scadenza del periodo di validità.

Per altre informazioni, vedere Configurare le impostazioni per i certificati PKI client.

Strategia di transizione per i certificati PKI

Le opzioni di configurazione flessibili in Configuration Manager consentono di eseguire gradualmente la transizione dei client e del sito all'uso dei certificati PKI per proteggere gli endpoint client. I certificati PKI offrono una maggiore sicurezza e consentono di gestire i client Internet.

Questo piano introduce innanzitutto i certificati PKI per l'autenticazione solo tramite HTTP e quindi per l'autenticazione e la crittografia tramite HTTPS. Quando si segue questo piano per introdurre gradualmente questi certificati, si riduce il rischio che i client non vengano gestiti. Si trarrà inoltre vantaggio dalla massima sicurezza supportata da Configuration Manager.

A causa del numero di opzioni di configurazione e scelte in Configuration Manager, non esiste un unico modo per eseguire la transizione di un sito in modo che tutti i client usno connessioni HTTPS. I passaggi seguenti forniscono indicazioni generali:

  1. Installare il sito Configuration Manager e configurarlo in modo che i sistemi del sito accettino connessioni client tramite HTTPS e HTTP.

  2. Configurare la scheda Sicurezza delle comunicazioni nelle proprietà del sito. Impostare Impostazioni del sistema del sito su HTTP o HTTPS e selezionare Usa certificato client PKI (funzionalità di autenticazione client) quando disponibile. Per altre informazioni, vedere Configurare le impostazioni per i certificati PKI client.

  3. Pilotare un'implementazione PKI per i certificati client. Per una distribuzione di esempio, vedere Distribuire il certificato client per i computer Windows.

  4. Installare i client usando il metodo di installazione push client. Per altre informazioni, vedere How to install Configuration Manager clients by using client push (Come installare i client Configuration Manager tramite push client).

  5. Monitorare la distribuzione e lo stato del client usando i report e le informazioni nella console di Configuration Manager.

  6. Tenere traccia del numero di client che usano un certificato PKI client visualizzando la colonna Certificato client nel nodo Dispositivi dell'area di lavoro Asset e conformità.

    Nota

    Per i client che dispongono anche di un certificato PKI, nella console Configuration Manager viene visualizzata la proprietà Certificato client come autofirmati. La proprietà Certificato client del pannello di controllo client mostra L'infrastruttura a chiave pubblica.

    È anche possibile distribuire il Configuration Manager HTTPS Readiness Assessment Tool (CMHttpsReadiness.exe) nei computer. Usare quindi i report per visualizzare il numero di computer che possono usare un certificato PKI client con Configuration Manager.

    Nota

    Quando si installa il client Configuration Manager, viene installato lo strumento CMHttpsReadiness.exe nella %windir%\CCM cartella . Quando si esegue questo strumento, sono disponibili le opzioni della riga di comando seguenti:

    Lo strumento restituisce informazioni al file CMHttpsReadiness.log nella CCM\Logs directory.

    Per altre informazioni, vedere Informazioni sulle proprietà di installazione client.

  7. Quando si è certi che un numero sufficiente di client usa correttamente il certificato PKI client per l'autenticazione tramite HTTP, seguire questa procedura:

    1. Distribuire un certificato del server Web PKI in un server membro che esegue un altro punto di gestione per il sito e configurare tale certificato in IIS. Per altre informazioni, vedere Distribuire il certificato del server Web per i sistemi del sito che eseguono IIS.

    2. Installare il ruolo del punto di gestione in questo server. Configurare l'opzione Connessioni client nelle proprietà del punto di gestione per HTTPS.

  8. Monitorare e verificare che i client che dispongono di un certificato PKI usno il nuovo punto di gestione usando HTTPS. È possibile usare la registrazione IIS o i contatori delle prestazioni per la verifica.

  9. Riconfigurare altri ruoli del sistema del sito per usare le connessioni client HTTPS. Se si desidera gestire i client su Internet, assicurarsi che i sistemi del sito dispongano di un fqdn Internet. Configurare singoli punti di gestione e punti di distribuzione per accettare connessioni client da Internet.

    Importante

    Prima di configurare i ruoli del sistema del sito per accettare connessioni da Internet, esaminare le informazioni di pianificazione e i prerequisiti per la gestione client basata su Internet. Per altre informazioni, vedere Comunicazioni tra endpoint.

  10. Estendere l'implementazione del certificato PKI per i client e i sistemi del sito che eseguono IIS. Configurare i ruoli del sistema del sito per le connessioni client HTTPS e le connessioni Internet, in base alle esigenze.

  11. Per la massima sicurezza: quando si è certi che tutti i client usano un certificato PKI client per l'autenticazione e la crittografia, modificare le proprietà del sito in modo da usare solo HTTPS.

Passaggi successivi