Introduktion till certifikatprofiler i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObs!

Informationen i den här artikeln gäller för System Center 2012 R2 Configuration Manager och System Center 2012 R2 Configuration Manager SP1.

Certifikatprofiler i System Center 2012 Configuration Manager arbetar med Active Directory-certifikattjänster och rolltjänsten Registreringstjänsten för nätverksenheter för att förse hanterade enheter med autentiseringscertifikat så att användare kan få smidig åtkomst till företagsresurser. Till exempel kan du skap och distribuera certifikatprofiler för att tillhandahålla nödvändiga certifikat för användare att initiera VPN- och trådlösa anslutningar.

Certifikatprofiler i Configuration Manager ger följande hanteringsmöjligheter:

  • Certifikatregistrering och förnyelse från en företagscertifikatutfärdare (CA) för enheter som kör iOS, Windows 8.1, Windows RT 8.1 och Android. Dessa certifikat kan sedan användas för Wi-Fi- och VPN-anslutningar.

  • Distribution av betrodda rot-CA-certifikat och certifikat från en mellanliggande certifikatutfärdare för att konfigurera en certifikatkedja på enheter för VPN- och Wi-Fi-anslutningar när serverautentisering krävs.

  • Övervaka och rapportera om installerade certifikat.

Certifikatprofiler kan automatiskt konfigurera användarenheter så att du kommer åt företagsresurser som Wi-Fi-nätverk och VPN-servrar utan att behöva installera certifikat manuellt eller använda en out-of-band--process. Certifikatprofiler kan även hjälpa till att säkra företagsresurser eftersom du kan använda fler säkra inställningar som stöds av ditt företags offentliga nyckelinfrastruktur (PKI). Till exempel kan du kräva serverautentisering för alla Wi-Fi- och VPN-anslutningar eftersom du har etablerat de nödvändiga certifikaten på de hanterade enheterna.

Exempel: Alla anställda måste kunna ansluta till Wi-Fi-anslutningar på flera företagsplatser. Du kan åstadkomma detta genom att distribuera de certifikat som krävs för att etablera Wi-Fi-anslutningen och även distribuera Wi-Fi-profiler i Configuration Manager som refererar till rätt certifikat att använda så att Wi-Fi-anslutningen uppstår sömlöst för användarna.

Exempel: Du har en PKI på plats och vill flytta till en mer flexibel, säker metod att etablera certifikat där användarna har behörighet till företagsresurser från sina personliga enheter utan att säkerheten äventyras. För att åstadkomma detta kan du konfigurera certifikatprofiler med inställningar och protokoll som stöds för den specifika enhetsplattformen. Enheterna kan därefter automatiskt begära dessa certifikat från en internetansluten registreringsserver. Du kan därefter konfigurera VPN-profiler för att använda dessa certifikat så att enheten kommer åt företagsresurser.

Certifikatprofiltyper

Du kan skapa två typer av certifikatprofiler i Configuration Manager:

  • Certifikat för betrodd certifikatutfärdare – Gör att du kan distribuera ett certifikat från en betrodd certifikatutfärdare eller certifikat från en mellanliggande certifikatutfärdare för att bilda en certifikatkedja med förtroenden när enheten måste autentisera en server.

  • SCEP-inställningar (Simple Certificate Enrollment Protocol) – Gör att du kan begära ett certifikat för en enhet eller en användare genom att använda SCEP-protokollet och registreringstjänsten för nätverksenheter på en server som kör Windows Server 2012 R2.

    System_CAPS_noteObs!

    Du måste skapa en certifikatprofil av typen Certifikat för betrodd certifikatutfärdare innan du kan skapa en certifikatprofil av typen SCEP-inställningar (Simple Certificate Enrollment Protocol).

Krav och plattformar som stöds

För att distribuera certifikatprofiler som använder SCEP måste du installera certifikatregistreringsplatsen på en platssystemserver på den centrala administrationsplatsen eller på en primär plats. Du måste även installera en principmodul för registreringstjänsten för nätverksenheter, Configuration Manager-principmodulen, på en server som kör Windows Server 2012 R2 med Active Directory-certifikattjänstrollen och en fungerande registreringstjänst för nätverksenheter som är tillgänglig för de enheter som kräver certifikaten. För de enheter som registreras av Microsoft Intune kräver detta att registreringstjänsten för nätverksenheter är tillgänglig från Internet, till exempel i ett bevakat undernät (kallas även DMZ).

Mer information om hur registreringstjänsten för nätverksenheter stöder en principmodul så att Configuration Manager kan distribuera certifikat finns i Använda en principmodul med registreringstjänsten för nätverksenheter.

Configuration Manager stöder distribution av certifikat till olika certifikatarkiv, beroende på krav, samt även på enhetstyp och operativsystem. Följande enheter och operativsystem stöds:

System_CAPS_importantViktigt

För att distribuera profiler till Android, iOS, Windows Phone och registrerade Windows 8.1-enheter, måste dessa enheter registreras i Microsoft Intune. Information om hur du registrerar enheter finns i Hantera mobila enheter med Microsoft Intune.

Ett typiskt scenario för System Center 2012 Configuration Manager är att installera betrodda rot-CA-certifikat för att autentisera Wi-Fi- och VPN-servrar när anslutningen använder EAP-TLS-, EAP-TTLS- och PEAP-autentiseringsprotokoll och IKEv2-, L2TP/IPsec- och Cisco IPsec-VPN-tunnelprotokoll.

Du måste se till att ett rot-CA-certifikat för företaget har installerats på enheten innan den kan begära certifikat genom att använda en SCEP-certifikatprofil.

Du kan specificera ett antal inställningar i en SCEP-certifikatprofil för att begära anpassade certifikat för olika miljöer eller anslutningskrav.Guiden Skapa certifikatprofil innehåller två sidor för registreringsparametrar. Den första, SCEP-registrering, innehåller inställningar för autentiseringsbegäran samt var certifikatet ska installeras. Den andra, Certifikategenskaper, beskriver det begärda certifikatet.

Distribuera certifikatprofiler

När du distribuerar en certifikatprofil installeras certifikatfilerna i profilen på klientenheterna. Eventuella SCEP-parametrar distribueras också och SCEP-begärandena bearbetas på klientenheten. Du kan distribuera certifikatprofiler till användarsamlingar eller enhetssamlingar och specificera målarkivet för varje certifikat. Tillämplighetsregler avgör om certifikaten kan installeras på enheten. När certifikatprofilerna distribueras till användarsamlingar avgör mappningen mellan användare och enheter vilken av användarenheterna som ska installera certifikaten. När certifikatprofiler som innehåller användarcertifikat distribueras till enhetssamlingar, installeras certifikaten som standard på varje användares primärenheter. Du kan ändra det här beteendet och installera certifikatet på valfria användarenheter på sidan SCEP-registrering i Guiden Skapa certifikatprofil. Dessutom distribueras inte användarcertifikaten till enheter om de är arbetsgruppdatorer.

Övervaka certifikatprofiler

Du kan övervaka certifikatprofildistributioner från noden Distributioner på arbetsytan Övervakning i Configuration Manager-konsolen.

Du kan också använda en av följande Configuration Manager-rapporter för att övervaka certifikatprofiler:

  • Historik för certifikat som utfärdas av certifikatregistreringsplatsen

  • Lista över tillgångar efter certifikatutfärdandestatus för certifikat som registrerats av certifikatregistreringsplatsen

  • Lista över tillgångar med certifikat som närmar sig utgångsdatum

Automatiskt återkallande av certifikat

Configuration Manager återkallar automatiskt användar- och datorcertifikat som har distribuerats genom att använda certifikatprofiler under följande omständigheter:

  • Enheten pensioneras från Configuration Manager-hanteringen.

  • Enheten rensas selektivt.

  • Enheten blockeras från Configuration Manager-hierarkin.

För att återkalla certifikaten skickar platsservern ett återkallningskommando till certifikatutfärdaren. Orsaken till återkallningen är Åtgärdsavbrott.

Nyheter i System Center 2012 R2 Configuration Manager

System_CAPS_noteObs!

Informationen i det här avsnittet visas även i handboken Komma i gång med System Center 2012 Configuration Manager.

Certifikatprofiler är en nyhet i System Center 2012 R2 Configuration Manager De innehåller följande funktioner och har några beroende konfigurationer:

  • Distribution av användar- och enhetscertifikat för hanterade enheter med hjälp av Simple Certificate Enrollment Protocol (SCEP). Dessa certifikat kan användas som stöd för trådlösa nätverksanslutningar och VPN-anslutningar.

  • De enheter som stöds är de som kör iOS, Windows 8.1, Windows RT 8.1 och Android.

  • Distribution av certifikat från rotcertifikatutfärdare och mellanliggande certifikatutfärdarcertifikat, så att en förtroendekedja kan skapas mellan enheterna vid användning av serverautentisering för nätverksanslutningar.

  • En certifikatregistreringsplats måste distribueras på den centrala administrationsplatsen eller en primär plats och Configuration Manager-principmodulen måste vara installerad på en server som kör Windows Server 2012 R2 med Active Directory-certifikattjänsterna och rollen Registreringstjänsten för nätverksenheter. Den här servern måste vara möjlig att komma åt från Internet och måste kommunicera med en företagscertifikatutfärdare för att utfärda certifikaten. Mer information om ändringarna i Registreringstjänsten för nätverksenheter som stödjer det här scenariot finns i What's New in Certificate Services in Windows Server 2012 R2 (Nyheter i certifikattjänsterna för Windows Server 2012 R2).

Nyheter i System Center 2012 Configuration Manager SP2

Configuration Manager 2012 SP2 gör det möjligt att etablera Personal Information Exchange-filer (.pfx) på användares enheter. PFX-filer kan användas för att generera användarspecifika certifikat som stöd för krypterad datautväxling. PFX-certifikat kan skapas i Configuration Manager eller importeras. Med Configuration Manager 2012 SP2 kan importerade eller nya PFX-certifikat distribueras till iOS-enheter, Android-enheter, Windows 8.1 och senare enheter, och Windows Phone 8.1 och senare enheter. De här filerna kan sedan distribueras till flera enheter som har stöd för användarbaserad PKI-kommunikation. PFX-filer kan vara Mer information finns i Skapa PFX-certifikatprofiler i Configuration Manager.