• Artikel

Krav för certifikatprofiler i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObs!

Informationen i det här ämnet gäller enbart System Center 2012 R2 Configuration Manager.

Certifikatprofiler i System Center 2012 Configuration Manager har externa beroenden och beroenden inom produkten.

Beroenden utanför Configuration Manager

Beroende

Mer information

En företagscertifikatutfärdare som kör Active Directory Certificate Services (AD CS).

För att kunna återkalla certifikat måste certifikatutfärdaren ha behörigheten Utfärda och hantera certifikat för platsservern högst upp i hierarkin.

System_CAPS_noteObs!

Det finns stöd för hanterargodkännande av certifikatförfrågningar. Certifikatmallar som används för att utfärda certifikat måste dock vara konfigurerade med inställningen Anges i begäran i certifikatämnet, så att Configuration Manager kan ange värdet automatiskt.

Mer information om Active Directory Certificate Services finns i följande Windows Server-dokumentation:

Rolltjänsten Registreringstjänsten för nätverksenheter för Active Directory-certifikattjänster, som körs på Windows Server 2012 R2.

Dessutom:

  • Andra portnummer än TCP 443 (för HTTPS) eller TCP 80 (för HTTP) stöds inte för kommunikationen mellan klienten och registreringstjänsten för nätverksenheter.

  • Registreringstjänsten för nätverksenheter måste köras på en annan server än den där certifikatutfärdaren körs.

Configuration Manager kommunicerar med registreringstjänsten för nätverksenheter i Windows Server 2012 R2, för att generera och verifiera SCEP-förfrågningar (Simple Certificate Enrollment Protocol).

Om du tänker utfärda certifikat till användare eller enheter som ansluter från Internet, till exempel från mobila enheter som hanteras av Microsoft Intune, måste sådana enheter kunna ansluta (via Internet) till den server där registreringstjänsten för nätverksenheter körs. Du kan till exempel installera servern i ett perimeternätverk (ett s.k. DMZ (demilitarized zone) eller ”bevakat undernät”).

Om det finns en brandvägg mellan certifikatutfärdaren och den server som kör registreringstjänsten för nätverksenheter, måste du konfigurera att brandväggen ska tillåta kommunikationstrafiken (DCOM) mellan de två servrarna. Ovanstående brandväggskrav gäller också för den server där Configuration Manager-platsservern och certifikatutfärdaren körs, så att Configuration Manager kan återkalla certifikat.

Om registreringstjänsten för nätverksenheter är konfigurerad för att begära SSL – vilket är en rekommenderad säkerhetsrutin – måste du säkerställa att de anslutande enheterna kan verifiera servercertifikatet genom att ha åtkomst till listan över återkallade certifikat.

Mer information om registreringstjänsten för nätverksenheter i Windows Server 2012 R2 finns i Använda en principmodul med registreringstjänsten för nätverksenheter.

Om certifikatutfärdaren kör Windows Server 2008 R2 måste servern ha en snabbkorrigering för SCEP-förfrågningar om certifikatförnyelse.

Installera snabbkorrigeringen om den inte är installerad på certifikatutfärdardatorn. Mer information finns i artikeln 2483564: Renewal request for an SCEP certificate fails in Windows Server 2008 R2 if the certificate is managed by using NDES (Begäran om certifikatförnyelse för ett SCEP-certifikat misslyckas i Windows Server 2008 R2 om certifikatet hanteras med NDES) i Microsoft Knowledge Base.

Ett PKI-klientautentiseringscertifikat och exporterat certifikat från rotcertifikatutfärdare.

Med det här certifikatet autentiseras den server som kör registreringstjänsten för nätverksenheter för Configuration Manager.

Mer information finns i PKI-certifikatkrav för Configuration Manager.

Enhetsoperativsystem som stöds.

Du kan distribuera certifikatprofiler till enheter som kör något av operativsystemen iOS, Windows 8.1, Windows RT 8.1 och Android.

Configuration Manager-beroenden

Beroende

Mer information

Platssystemroll för certifikatregistrering

Innan du kan använda certifikatprofiler måste du installera platssystemrollen för certifikatregistrering. Rollen kommunicerar med Configuration Manager-databasen, Configuration Manager-platsservern och Configuration Manager-principmodulen.

Mer information om systemkrav för den här platssystemrollen och var den ska installeras i hierarkin finns på följande platser:

System_CAPS_importantViktigt

Certifikatregistreringsplatsen får inte vara installerad på den server som kör registreringstjänsten för nätverksenheter.

Configuration Manager-principmodulen som är installerad på den server som kör rolltjänsten Registreringstjänst för nätverksenheter för Active Directory Certificate Services

Om du ska distribuera certifikatprofiler måste du installera Configuration Manager-principmodulen. Principmodulen finns på Configuration Manager-installationsmediet.

Identifieringsdata

Värdena för certifikatämnet och alternativt namn för certifikatmottagare anges av Configuration Manager och hämtas från information som samlas in vid identifieringen.

  • För användarcertifikat: Identifiering av Active Directory-användare

  • För datorcertifikat: Identifiering av Active Directory-system och nätverksidentifiering

Mer information om identifiering finns i Planera identifiering i Configuration Manager.

Specifika säkerhetsbehörigheter för hantering av certifikatprofiler

Du måste ha följande säkerhetsbehörigheter för att kunna hantera inställningar för åtkomst av företagsresurser, exempelvis certifikatprofiler, Wi-Fi-profiler och VPN-profiler:

  • Visa och hantera aviseringar och rapporter för certifikatprofiler: Skapa, Ta bort, Ändra, Ändra rapport, Läsa och Köra rapport för objektet Aviseringar.

  • Skapa och hantera certifikatprofiler: Skribentpolicy, Ändra rapport, Läs och Kör rapport för objektet Certifikatprofil.

  • Hantera Wi-Fi, certifikat och VPN-profildistributioner: Distribuera konfigurationsprinciper, Ändra varning för klientstatus, Läs och Läs resurs för objektet Samling.

  • Hantera alla konfigurationsprinciper: Skapa, Ta bort, Ändra, Läs och Ange säkerhetsomfattningar för objektet Konfigurationsprincip.

  • Köra frågor relaterade till certifikatprofiler: Läs-behörighet för objektet Fråga.

  • Visa certifikatprofilinformation i Configuration Manager-konsolen: Läs-behörighet för objektet Plats.

  • Visa statusmeddelanden om certifikatprofiler: Läs-behörighet för objektet Statusmeddelanden.

  • Skapa och ändra certifikatprofilen för en betrodd certifikatutfärdare: Skribentpolicy, Ändra rapport, Läs och Kör rapport för objektet Certifikatprofil för betrodd certifikatutfärdare.

  • Skapa och hantera VPN-profiler: Skribentpolicy, Ändra rapport, Läs och Kör rapport för objektet VPN-profil.

  • Skapa och hantera WiFi-profiler: Skribentpolicy, Ändra rapport, Läs och Kör rapport för objektet Wi-Fi-profil.

Säkerhetsrollen Åtkomsthanterare för företagsresurs innefattar de behörigheter som krävs för att hantera certifikatprofiler i Configuration Manager. Mer information finns i avsnittet Konfigurera rollbaserad administration i artikeln Konfigurera säkerhet för Configuration Manager.