Сертификаты в диспетчере конфигураций

Относится к Configuration Manager (Current Branch)

Configuration Manager использует сочетание самозаверяемых и цифровых сертификатов инфраструктуры открытых ключей (PKI).

По возможности используйте PKI-сертификаты. Дополнительные сведения см. в разделе Требования к PKI-сертификатам. Когда Configuration Manager запрашивает PKI-сертификаты во время регистрации для мобильных устройств, используйте доменные службы Active Directory и корпоративный центр сертификации. Для всех остальных PKI-сертификатов развертывайте их и управляйте ими независимо от Configuration Manager.

PKI-сертификаты требуются, когда клиентские компьютеры подключаются к интернет-системам сайта. Шлюзу управления облаком также требуются сертификаты. Дополнительные сведения см. в разделе Управление клиентами в Интернете.

При использовании PKI можно также использовать IPsec для защиты обмена данными между сервером между системами сайта, между сайтами и для передачи данных между компьютерами. Реализация IPsec не зависит от Configuration Manager.

Если PKI-сертификаты недоступны, Configuration Manager автоматически создает самозаверяющие сертификаты. Некоторые сертификаты в Configuration Manager всегда самозаверяются. В большинстве случаев Configuration Manager автоматически управляет самозаверяющей сертификатой, и вам не нужно предпринимать других действий. Одним из примеров является сертификат подписи сервера сайта. Этот сертификат всегда самозаверяющий. Он гарантирует, что политики, скачиваемые клиентами из точки управления, были отправлены с сервера сайта и не были изменены. В качестве другого примера при включении сайта для расширенного HTTP сайт выдает самозаверяемые сертификаты ролям сервера сайта.

Важно!

Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.

Сертификаты CNG версии 3

Configuration Manager поддерживает сертификаты Cryptography: Next Generation (CNG) версии 3. Configuration Manager клиенты могут использовать сертификат проверки подлинности PKI-клиента с закрытым ключом в поставщике хранилища ключей CNG (KSP). Благодаря поддержке KSP клиенты Configuration Manager поддерживают аппаратные закрытые ключи, такие как KSP доверенного платформенного модуля для сертификатов проверки подлинности PKI-клиентов.

Дополнительные сведения см. в статье Обзор сертификатов CNG версии 3.

Расширенный протокол HTTP

Использование обмена данными по протоколу HTTPS рекомендуется для всех Configuration Manager путей связи, но для некоторых клиентов это сложно из-за дополнительных затрат на управление PKI-сертификатами. Внедрение интеграции Microsoft Entra снижает некоторые, но не все требования к сертификатам. Вместо этого можно включить для сайта использование расширенного протокола HTTP. Эта конфигурация поддерживает протокол HTTPS в системах сайта с помощью самозаверяемых сертификатов, а также идентификатора Microsoft Entra в некоторых сценариях. Для этого не требуется PKI.

Дополнительные сведения см. в разделе Расширенный протокол HTTP.

Сертификаты для CMG

Для управления клиентами в Интернете через шлюз управления облачными клиентами (CMG) требуется использование сертификатов. Количество и тип сертификатов зависит от конкретных сценариев.

Дополнительные сведения см. в разделе Контрольный список настройки CMG.

Примечание.

Облачная точка распространения (CDP) не рекомендуется использовать. Начиная с версии 2107, вы не можете создавать новые экземпляры CDP. Чтобы предоставить содержимое интернет-устройствам, включите CMG для распространения содержимого. Дополнительные сведения см. в разделе Устаревшие функции.

Дополнительные сведения о сертификатах для CDP см. в разделе Сертификаты для облачной точки распространения.

Сертификат подписи сервера сайта

Сервер сайта всегда создает самозаверяющий сертификат. Этот сертификат используется для нескольких целей.

Клиенты могут безопасно получить копию сертификата подписи сервера сайта из доменные службы Active Directory и принудительной установки клиента. Если клиенты не могут получить копию этого сертификата одним из этих механизмов, установите ее при установке клиента. Этот процесс особенно важен, если клиент впервые общается с сайтом через интернет-точку управления. Так как этот сервер подключен к ненадежной сети, он более уязвим для атак. Если этот шаг не выполняется, клиенты автоматически скачивают копию сертификата подписи сервера сайта из точки управления.

Клиенты не могут безопасно получить копию сертификата сервера сайта в следующих сценариях:

  • Клиент не устанавливается с помощью принудительной отправки клиента и:

    • Вы не расширили схему Active Directory для Configuration Manager.

    • Вы не опубликовали сайт клиента для доменные службы Active Directory.

    • Клиент находится в недоверенном лесу или рабочей группе.

  • Вы используете управление клиентами через Интернет и устанавливаете клиент, когда он находится в Интернете.

Дополнительные сведения об установке клиентов с копией сертификата подписи сервера сайта см. в свойстве командной строки SMSSIGNCERT . Дополнительные сведения см. в разделе Сведения о параметрах и свойствах установки клиента.

Поставщик хранилища ключей, привязанный к оборудованию

Configuration Manager использует самозаверяющие сертификаты для идентификации клиента и для защиты обмена данными между системами клиента и сайта. При обновлении сайта и клиентов до версии 2107 или более поздней клиент сохраняет свой сертификат с сайта в поставщике хранилища ключей с привязкой к оборудованию (KSP). Этот KSP обычно является доверенным платформенным модулем (TPM) по крайней мере версии 2.0. Сертификат также помечен как не экспортируемый.

Если у клиента также есть сертификат на основе PKI, он продолжает использовать этот сертификат для обмена данными ПО HTTPS по протоколу TLS. Он использует свой самозаверяющий сертификат для подписывания сообщений с сайтом. Дополнительные сведения см. в разделе Требования к PKI-сертификатам.

Примечание.

Для клиентов, которые также имеют PKI-сертификат, консоль Configuration Manager отображает свойство Client certificate как Самозаверяющее. В свойстве сертификата клиента панели управления клиента отображается PKI.

При обновлении до версии 2107 или более поздней клиенты с PKI-сертификатами будут повторно создавать самозаверяемые сертификаты, но не повторно зарегистрировать на сайте. Клиенты без PKI-сертификата повторно зарегистрируются на сайте, что может привести к дополнительной обработке на сайте. Убедитесь, что процесс обновления клиентов допускает рандомизацию. Если одновременно обновить большое количество клиентов, это может привести к невыполненной работы на сервере сайта.

Configuration Manager не использует TTPM, которые являются известными уязвимыми. Например, версия доверенного платформенного платформенного модуля более ранняя, чем 2.0. Если на устройстве есть уязвимый доверенный платформенный модуль, клиент возвращается к использованию программного KSP. Сертификат по-прежнему не экспортируется.

Носитель развертывания ОС не использует привязанные к оборудованию сертификаты, а продолжает использовать самозаверяемые сертификаты с сайта. Носитель создается на устройстве с консолью, но затем он может работать на любом клиенте.

Чтобы устранить неполадки с поведением сертификата, используйте CertificateMaintenance.log на клиенте.

Дальнейшие действия