Certificados no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Configuration Manager usa uma combinação de certificados digitais PKI (autoassinados e de infraestrutura de chave pública).
Use certificados PKI sempre que possível. Para obter mais informações, confira Requisitos de certificado PKI. Quando Configuration Manager solicita certificados PKI durante o registro para dispositivos móveis, use Active Directory Domain Services e uma autoridade de certificação corporativa. Para todos os outros certificados PKI, implante e gerencie-os independentemente de Configuration Manager.
Certificados PKI são necessários quando computadores cliente se conectam a sistemas de sites baseados na Internet. O gateway de gerenciamento de nuvem também requer certificados. Para obter mais informações, consulte Gerenciar clientes na Internet.
Ao usar um PKI, você também pode usar o IPsec para ajudar a proteger a comunicação servidor a servidor entre sistemas de site em um site, entre sites e para outras transferências de dados entre computadores. A implementação do IPsec é independente de Configuration Manager.
Quando os certificados PKI não estão disponíveis, Configuration Manager gera automaticamente certificados autoassinados. Alguns certificados em Configuration Manager são sempre autoassinados. Na maioria dos casos, Configuration Manager gerencia automaticamente os certificados autoassinados e você não precisa tomar outra ação. Um exemplo é o certificado de assinatura do servidor do site. Esse certificado é sempre autoassinado. Ele garante que as políticas que os clientes baixam do ponto de gerenciamento foram enviadas do servidor do site e não foram adulteradas. Como outro exemplo, quando você habilita o site para HTTP Aprimorado, o site emite certificados autoassinados para funções de servidor de site.
Importante
A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.
Certificados CNG v3
Configuration Manager dá suporte a certificados Cryptography: Next Generation (CNG) v3. Configuration Manager clientes podem usar um certificado de autenticação de cliente PKI com chave privada em um KSP (Provedor de Armazenamento de Chaves CNG). Com suporte para KSP, Configuration Manager clientes dão suporte a chaves privadas baseadas em hardware, como um TPM KSP para certificados de autenticação de cliente PKI.
Para obter mais informações, confira Visão geral dos certificados CNG v3.
HTTP aprimorado
O uso da comunicação HTTPS é recomendado para todos os caminhos de comunicação Configuration Manager, mas é desafiador para alguns clientes devido à sobrecarga do gerenciamento de certificados PKI. A introdução da integração Microsoft Entra reduz alguns, mas não todos os requisitos de certificado. Em vez disso, você pode habilitar o site a usar HTTP aprimorado. Essa configuração dá suporte a HTTPS em sistemas de site usando certificados autoassinados, juntamente com Microsoft Entra ID para alguns cenários. Não requer PKI.
Para obter mais informações, consulte HTTP aprimorado.
Certificados para CMG
Gerenciar clientes na Internet por meio do CMG (gateway de gerenciamento de nuvem) requer o uso de certificados. O número e o tipo de certificados variam dependendo de seus cenários específicos.
Para obter mais informações, consulte CMG configurar lista de verificação.
Observação
O CDP (ponto de distribuição baseado em nuvem) é preterido. A partir da versão 2107, você não pode criar novas instâncias de CDP. Para fornecer conteúdo para dispositivos baseados na Internet, habilite o CMG para distribuir conteúdo. Para obter mais informações, confira Recursos preteridos.
Para obter mais informações sobre certificados para um CDP, consulte Certificados para o ponto de distribuição de nuvem.
O certificado de assinatura do servidor do site
O servidor do site sempre cria um certificado autoassinado. Ele usa esse certificado para várias finalidades.
Os clientes podem obter com segurança uma cópia do certificado de assinatura do servidor do site de Active Directory Domain Services e da instalação de push do cliente. Se os clientes não conseguirem obter uma cópia desse certificado por um desses mecanismos, instale-o quando você instalar o cliente. Esse processo é especialmente importante se a primeira comunicação do cliente com o site for com um ponto de gerenciamento baseado na Internet. Como esse servidor está conectado a uma rede não confiável, ele é mais vulnerável a ataques. Se você não fizer essa outra etapa, os clientes baixarão automaticamente uma cópia do certificado de assinatura do servidor do site do ponto de gerenciamento.
Os clientes não podem obter com segurança uma cópia do certificado do servidor de site nos seguintes cenários:
Você não instala o cliente usando o push do cliente e:
Você não estendeu o esquema do Active Directory para Configuration Manager.
Você não publicou o site do cliente para Active Directory Domain Services.
O cliente é de uma floresta não confiável ou de um grupo de trabalho.
Você está usando o gerenciamento de cliente baseado na Internet e instala o cliente quando ele está na Internet.
Para obter mais informações sobre como instalar clientes com uma cópia do certificado de assinatura do servidor do site, use a propriedade de linha de comando SMSSIGNCERT . Para obter mais informações, consulte Sobre parâmetros e propriedades de instalação do cliente.
Provedor de armazenamento de chaves vinculado ao hardware
Configuration Manager usa certificados autoassinados para identidade do cliente e para ajudar a proteger a comunicação entre os sistemas cliente e site. Quando você atualiza o site e os clientes para a versão 2107 ou posterior, o cliente armazena seu certificado do site em um KSP (provedor de armazenamento de chaves vinculado ao hardware). Esse KSP normalmente é o TPM (módulo de plataforma confiável) pelo menos a versão 2.0. O certificado também é marcado como não exportável.
Se o cliente também tiver um certificado baseado em PKI, ele continuará a usar esse certificado para comunicação HTTPS do TLS. Ele usa seu certificado autoassinado para assinar mensagens com o site. Para obter mais informações, confira Requisitos de certificado PKI.
Observação
Para clientes que também têm um certificado PKI, o console Configuration Manager exibe a propriedade certificado cliente como autoassinada. A propriedade de certificado do cliente do painel de controle do cliente mostra PKI.
Quando você atualizar para a versão 2107 ou posterior, os clientes com certificados PKI recriarão certificados autoassinados, mas não registrarão novamente com o site. Clientes sem certificado PKI serão reregister com o site, o que pode causar processamento extra no site. Verifique se o processo de atualização de clientes permite a randomização. Se você atualizar simultaneamente muitos clientes, isso poderá causar um backlog no servidor do site.
Configuration Manager não usa TPMs conhecidos como vulneráveis. Por exemplo, a versão do TPM é anterior a 2.0. Se um dispositivo tiver um TPM vulnerável, o cliente voltará a usar um KSP baseado em software. O certificado ainda não é exportável.
A mídia de implantação do sistema operacional não usa certificados vinculados ao hardware, continua a usar certificados autoassinados do site. Você cria a mídia em um dispositivo que tem o console, mas ele pode ser executado em qualquer cliente.
Para solucionar problemas de comportamentos de certificado, use o CertificateMaintenance.log no cliente.