Introduzione ai profili certificato in Configuration Manager
Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Le informazioni contenute in questo argomento si applicano a System Center 2012 R2 Configuration Manager e System Center 2012 R2 Configuration Manager SP1.
I profili certificato in System Center 2012 Configuration Manager operano con Servizi certificati Active Directory e il ruolo del servizio Registrazione dispositivi di rete per eseguire il provisioning di certificati di autenticazione per dispositivi gestiti in modo che gli utenti possano accedere senza problemi alle risorse aziendali. Ad esempio, è possibile creare e distribuire profili certificato per fornire i certificati di cui gli utenti hanno bisogno per avviare connessioni VPN e wireless.
I profili certificato in Configuration Manager offrono le seguenti funzionalità di gestione:
Registrazione e rinnovo dei certificati di un autorità di certificazione aziendale (CA) per i dispositivi che eseguono iOS, Windows 8.1, Windows RT 8.1 e Android. Questi certificati possono essere usati per le connessioni Wi-Fi e VPN.
Distribuzione di certificati CA radice attendibili e certificati CA intermedi per configurare una catena di certificati nei dispositivi per le connessioni VPN e Wi-Fi quando è richiesta l'autenticazione del server.
Monitoraggio e creazione di report per i certificati installati.
I profili certificato possono configurare automaticamente i dispositivi utente per accedere alle risorse aziendali, quali reti Wi-Fi e server VPN, senza dover installare manualmente i certificati o usare un processo fuori banda. I profili certificato possono inoltre mantenere sicure le risorse aziendali perché vengono usate più impostazioni di sicurezza supportate dall'infrastruttura a chiave pubblica (PKI) dell'azienda. Ad esempio, è possibile richiedere l'autenticazione server per tutte le connessioni Wi-Fi e VPN perché è stato effettuato il provisioning dei certificati richiesti nei dispositivi gestiti.
Esempio: Tutti i dipendenti devono potersi connettere agli hotspot Wi-Fi in più sedi aziendali. A tale scopo, è possibile distribuire i certificati richiesti per creare la connessione Wi-Fi e distribuire i profili Wi-Fi in Configuration Manager che fanno riferimento al certificato corretto in modo che la connessione Wi-Fi venga eseguita senza problemi per gli utenti.
Esempio: Si dispone di una PKI e si desidera spostare a un metodo più flessibile e sicuro di provisioning di certificati che consente agli utenti accedere alle risorse aziendali dai loro dispositivi personali senza compromettere la protezione. A tale scopo, è possibile configurare profili certificato con le impostazioni e i protocolli supportati per la piattaforma per dispositivi specifica. I dispositivi possono quindi richiedere automaticamente questi certificati a un server di registrazione con connessione Internet. È quindi possibile configurare i profili VPN per usare i certificati affinché il dispositivo possa accedere alle risorse aziendali.
Tipi di profilo certificato
È possibile creare due tipi di profili certificato in Configuration Manager:
Certificato CA attendibile: consente di distribuire un certificato della CA radice attendibile o un certificato CA intermedio in modo da formare una catena di certificati quando il dispositivo deve eseguire l'autenticazione a un server.
Impostazioni di Simple Certificate Enrollment Protocol (SCEP): consente richiedere un certificato per un dispositivo o un utente usando il Simple Certificate Enrollment Protocol e il servizio del ruolo del servizio Registrazione dispositivi di rete in un server che esegue Windows Server 2012 R2.
Nota
È necessario creare un profilo certificato del tipo Certificato CA attendibile prima di poter creare un profilo certificato di tipo Impostazioni di Simple Certificate Enrollment Protocol (SCEP).
Requisiti e piattaforme supportate
Per distribuire i profili certificato che usano Simple Certificate Enrollment Protocol, è necessario installare il punto di registrazione del certificato in un server del sistema del sito nel sito di amministrazione centrale o in un sito primario. È inoltre necessario installare un modulo criteri per il servizio Registrazione dispositivi di rete, il Modulo criteri di Configuration Manager, in un server che esegue Windows Server 2012 R2 con il ruolo Servizi certificati Active Directory e un servizio Registrazione dispositivi di rete in funzione che sia accessibile ai dispositivi che richiedono i certificati. Per i dispositivi registrati da Microsoft Intune, il servizio Registrazione dispositivi di rete deve essere accessibile da Internet, ad esempio, in una rete perimetrale.
Per altre informazioni sulla modalità di supporto del servizio Registrazione dispositivi di rete di un modulo criteri in modo che Configuration Manager possa distribuire certificati, vedere Utilizzo di un Modulo criteri con il servizio Registrazione dispositivi di rete.
Configuration Manager supporta la distribuzione dei certificati in più archivi di certificati, in base al requisito, al tipo di dispositivo e al sistema operativo. Sono supportati i dispositivi e i sistemi operativi seguenti:
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
.jpeg "System_CAPS_warning")
AvvisoPer supportare Windows Phone 8.1, è necessario installare l'estensione facoltativa per Windows Phone 8.1. Per informazioni su come installare l'estensione, vedere Pianificazione dell'uso delle estensioni in Configuration Manager.
iOS
Android
Nota
Per altre informazioni sulle azioni che gli utenti finali devono eseguire in fase di installazione di un certificato su un dispositivo che esegue Android, vedere Come installare i certificati su dispositivi Android in Configuration Manager.
.jpeg "System_CAPS_important") Importante |
|---|
Per distribuire i profili nei dispositivi Android, iOS, Windows Phone e nei dispositivi registrati Windows 8.1, tali dispositivi devono essere registrati in Microsoft Intune. Per informazioni su come registrare i dispositivi, vedere Gestire i dispositivi mobili con Microsoft Intune. |
Uno scenario tipico per System Center 2012 Configuration Manager è di installare i certificati CA radice trusted per autenticare i server Wi-Fi e VPN quando la connessione usa i protocolli di autenticazione EAP-TLS, EAP-TTLS e PEAP e i protocolli di tunneling VPN IKEv2, L2TP/IPsec e Cisco IPsec.
È necessario garantire che un certificato CA radice aziendale sia installato nel dispositivo prima che il dispositivo possa richiedere i certificati usando un profilo certificato SCEP.
È possibile specificare una serie di impostazioni in un profilo certificato SCEP per richiedere certificati personalizzati per diversi ambienti o i requisiti di connettività. La Creazione guidata profilo certificato contiene due pagine per i parametri di registrazione. Il primo, Registrazione SCEP, contiene le impostazioni per la richiesta di registrazione e la posizione in cui installare il certificato. Il secondo, Proprietà certificato, descrive il certificato richiesto stesso.
Distribuzione di profili certificato
Quando si distribuisce un profilo certificato, i file certificato contenuti nel profilo vengono installati nei dispositivi client. Verranno distribuiti anche tutti i parametri SCEP e le richieste SCEP verranno elaborate nel dispositivo client. È possibile distribuire i profili certificato nelle raccolte utenti o dispositivi e specificare l'archivio di destinazione per ogni certificato. Le regole di applicabilità determinano se i certificati possono essere installati sul dispositivo. Quando i profili certificato vengono distribuiti nelle raccolte utenti, l'affinità utente-dispositivo determina quale dei dispositivi utente installerà i certificati. Quando i profili certificato che contengono i certificati utente vengono distribuiti nelle raccolte utenti, per impostazione predefinita i certificati verranno installati in tutti i dispositivi primari degli utenti. Nella pagina Registrazione SCEP della Creazione guidata profilo certificato è possibile modificare questo comportamento e installare il certificato in tutti i dispositivi degli utenti. Inoltre, i certificati utente non verranno distribuiti nei dispositivi se sono computer del gruppo di lavoro.
Monitoraggio dei profili certificato
È possibile monitorare le distribuzioni del profilo certificato dal nodo Distribuzioni dell'area di lavoro Monitoraggio nella console di Configuration Manager.
È inoltre possibile usare uno dei seguenti report di Configuration Manager per monitorare i profili certificato:
Cronologia di rilascio dei certificati
Elenco degli asset per stato di rilascio del certificato
Elenco degli asset con certificati prossimi alla scadenza
Revoca automatica dei certificati
Configuration Manager revoca automaticamente i certificati utente e computer che sono stati distribuiti usando profili certificato nelle seguenti circostanze:
Il dispositivo è ritirato dalla gestione di Configuration Manager.
Il dispositivo è stato cancellato in modo selettivo.
Il dispositivo è bloccato dalla gerarchia di Configuration Manager.
Per revocare i certificati, il server del sito invia un comando di revoca all'autorità di certificazione emittente. Il motivo della revoca è Termine operazione.
Novità di System Center 2012 R2 Configuration Manager
Nota
Le informazioni contenute in questa sezione appaiono anche in nella Guida Introduzione a System Center 2012 Configuration Manager.
I profili certificato sono una nuova funzione di System Center 2012 R2 Configuration Manager. Forniscono le seguenti funzionalità e dispongono di alcune configurazioni dipendenti:
Distribuzione di certificati utente e dispositivi per dispositivi gestiti usando Simple Certificate Enrollment Protocol (SCEP). Questi certificati possono essere usati per supportare le connessioni Wi-Fi e VPN.
I dispositivi supportati comprendono quelli che eseguono iOS, Windows 8.1, Windows RT 8.1 e Android.
Distribuzione di certificati autorità di certificazione radice e i certificati CA intermedia, per consentire ai dispositivi di creare una catena di certificati quando usano l'autenticazione server per le connessioni di rete.
Un punto di registrazione certificati deve essere distribuito nel sito di amministrazione centrale o in un sito primario e il modulo criteri di Configuration Manager deve essere installato in un server che esegue Windows Server 2012 R2 con servizi certificati Active Directory e il ruolo del servizio Registrazione dispositivi di rete. Questo server deve essere accessibile da Internet e comunicare con una CA globale (enterprise) per emettere i certificati. Per altre informazioni sulle modifiche nel servizio Registrazione dispositivi di rete al fine di supportare questo scenario, vedere Novità in Servizi certificati in Windows Server 2012 R2.
Novità di System Center 2012 Configuration Manager SP2
Configuration Manager 2012 SP2 consente di eseguire il provisioning di file di scambio di informazioni personali (con estensione pfx) nei dispositivi dell'utente. I file con estensione pfx possono essere usati per generare certificati specifici dell'utente per supportare lo scambio di dati crittografati. I certificati PFX possono essere creati in Configuration Manager o importati. Con Configuration Manager 2012 SP2 i certificati PFX nuovi o importati possono essere distribuiti nei dispositivi iOS, Android, Windows 8.1 e versioni successive, Windows Phone 8.1 e versioni successive. Questi file possono quindi essere distribuiti in più dispositivi per supportare la comunicazione PKI basata sull'utente. I file con estensione pfx possono essere Per altre informazioni, vedere Come creare i profili certificato PFX in Configuration Manager.