• Articolo

Prerequisiti per i profili certificato in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

Le informazioni contenute in questo argomento si applicano solo alle versioni di System Center 2012 R2 Configuration Manager.

I profili certificati in System Center 2012 Configuration Manager hanno dipendenze esterne e dipendenze nel prodotto.

Dipendenze esterne a Configuration Manager

Dipendenza

Altre informazioni

Un'autorità di certificazione emittente globale (enterprise) che esegue Servizi certificati Active Directory (AD CS).

Per revocare i certificati, la CA emittente deve essere configurata con l'autorizzazione Rilascia e gestisci certificati per il server del sito al livello superiore della gerarchia.

Nota

È supportata l'approvazione manager per richieste certificato. Tuttavia, i modelli di certificato usati per emettere certificati devono essere configurati per Inserisci nella richiesta per il soggetto certificato in modo che Configuration Manager sia in grado di inserire automaticamente questo valore.

Per altre informazioni su Servizi certificati Active Directory, vedere la documentazione di Windows Server:

Il servizio del ruolo del servizio Registrazione dispositivi di rete per Servizi certificati Active Directory, in esecuzione su Windows Server 2012 R2.

Inoltre:

  • Numeri di porta diversi da TCP 443 (per HTTPS) o TCP 80 (HTTP) non sono supportati per la comunicazione tra il client e il servizio Registrazione dispositivi di rete.

  • Il server che esegue il servizio Registrazione dispositivi di rete deve essere in un server diverso dalla CA emittente.

Configuration Manager comunica con il servizio Registrazione dispositivi di rete in Windows Server 2012 R2 per generare e verificare richieste Simple Certificate Enrollment Protocol (SCEP).

Se vengono emessi certificati per utenti o dispositivi che si collegano da Internet, ad esempio dispositivi mobili gestiti da Microsoft Intune, questi dispositivi devono poter accedere al server che esegue il servizio Registrazione dispositivi di rete da Internet. Ad esempio, installare il server in una rete perimetrale (nota anche come subnet schermata).

Se tra il server che esegue il servizio Registrazione dispositivi di rete e la CA emittente è presente un firewall, configurarlo per consentire il traffico di comunicazione (DCOM) tra i due server. Questo requisito firewall è valido anche per il server che esegue il sito del server Configuration Manager e la CA emittente, in modo che Configuration Manager possa revocare i certificati.

Se il servizio Registrazione dispositivi di rete è configurato per richiedere SSL, una procedura consigliata per la protezione, accertarsi che i dispositivi di connessione siano in grado di accedere all'elenco di revoche di certificati (CRL) per convalidare il certificato server.

Per altre informazioni sul servizio Registrazione dispositivi di rete in Windows Server 2012 R2, vedere Utilizzo di un Modulo criteri con il servizio Registrazione dispositivi di rete.

Se la CA emittente esegue Windows Server 2008 R2, questo server richiede un hotfix per le richieste di rinnovo SCEP.

Se l'hotfix non è già installato sul computer della CA emittente, installarlo. Per altre informazioni, vedere l'articolo 2483564: Impossibile rinnovare richiesta per un certificato SCEP in Windows Server 2008 R2 se il certificato viene gestito usando NDES nella Microsoft Knowledge Base.

Un certificato di autenticazione client PKI e un certificato CA radice esportato.

Questo certificato autentica il server che esegue il servizio Registrazione dispositivi di rete in Configuration Manager.

Per altre informazioni, vedere Requisiti dei certificati PKI per Configuration Manager.

Sistemi operativi per i dispositivi supportati.

È possibile distribuire i profili certificato in dispositivi che eseguono sistemi operativi iOS, Windows 8.1, Windows RT 8.1 e Android.

Dipendenze di Configuration Manager

Dipendenza

Altre informazioni

Ruolo del sistema del sito punto di registrazione certificati

Prima di usare profili certificato, è necessario installare il ruolo del sistema del sito del punto di registrazione certificati. Questo ruolo comunica con il database di Configuration Manager, il server del sito di Configuration Manager e il modulo criteri di Configuration Manager.

Per altre informazioni sui requisiti di sistema per questo ruolo del sistema del sito e sul relativo percorso di installazione nella gerarchia, vedere quanto segue:

System_CAPS_importantImportante

Il punto di registrazione certificati non deve essere installato sullo stesso server che esegue il servizio Registrazione dispositivi di rete.

Modulo criteri di Configuration Manager installato sul server che esegue il servizio del ruolo del servizio Registrazione dispositivi di rete per Servizi certificati Active Directory

Per distribuire profili certificati, è necessario installare il modulo criteri di Configuration Manager. È possibile trovare questo modulo criteri nel supporto di installazione di Configuration Manager.

Dati di individuazione

Valori per il soggetto certificato e il nome alternativo dell'oggetto vengono forniti da Configuration Manager e recuperati dalle informazioni raccolte da individuazione.

  • Per certificati utente: individuazione utenti di Active Directory

  • Per certificati computer: Individuazione sistema Active Directory e Individuazione di rete

Per altre informazioni sull'individuazione, vedere Pianificazione dell'individuazione in Configuration Manager.

Autorizzazioni di protezione specifiche per la gestione dei profili certificato

L'utente deve disporre delle seguenti autorizzazioni di sicurezza per gestire le impostazioni di accesso alle risorse aziendali, ad esempio profili certificati, profili VPN e profili Wi-Fi:

  • Per visualizzare e gestire avvisi e report per profili certificati: Crea, Elimina, Modifica, Modifica report, Lettura ed Esegui report per l'oggetto Avvisi.

  • Per creare e gestire i profili certificato: Criteri autore, Modifica report, Lettura ed Esegui report per l'oggetto Profilo certificato.

  • Per gestire le distribuzioni dei profili Wi-Fi, certificato e VPN: Distribuisci criteri di configurazione, Modifica avviso stato client, Lettura e Leggi risorsa per l'oggetto Raccolta.

  • Per gestire tutti i criteri di configurazione: Crea, Elimina, Modifica, Lettura e Imposta ambito di protezione per l'oggetto Criteri di configurazione.

  • Per eseguire le query correlate ai profili certificati: autorizzazione Lettura per l'oggetto Query.

  • Per visualizzare le informazioni relative ai profili certificati nella console di Configuration Manager: autorizzazione Lettura per l'oggetto Sito.

  • Per visualizzare i messaggi di stato per profili certificati: autorizzazione Lettura per l'oggetto Messaggi di stato.

  • Per creare e modificare il profilo certificato CA attendibile: Criteri autore, Modifica report, Lettura ed Esegui report per l'oggetto Profilo certificato CA attendibile.

  • Per creare e gestire i profili VPN: Criteri autore, Modifica report, Lettura ed Esegui report per l'oggetto Profilo VPN.

  • Per creare e gestire i profili Wi-Fi: Criteri autore, Modifica report, Lettura ed Esegui report per l'oggetto Profilo Wi-Fi.

Il ruolo di protezione Manager di accesso alle risorse aziendali include queste autorizzazioni necessarie per gestire i profili certificato in Configuration Manager. Per altre informazioni, vedere la sezione Configurare l'amministrazione basata su ruoli nell'argomento Configurazione della protezione per Configuration Manager.