Configuration Manager'da sertifika profillerine giriş
Uygulama hedefi: Configuration Manager (güncel dalı)
Önemli
Sürüm 2203'den itibaren bu şirket kaynak erişimi özelliği artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.
Sertifika profilleri Active Directory Sertifika Hizmetleri ve Ağ Cihazı Kayıt Hizmeti (NDES) rolüyle çalışır. Kullanıcıların kuruluş kaynaklarına kolayca erişebilmesi için yönetilen cihazlar için kimlik doğrulama sertifikaları oluşturun ve dağıtın. Örneğin, kullanıcıların VPN ve kablosuz bağlantılara bağlanması için gerekli sertifikaları sağlamak üzere sertifika profilleri oluşturabilir ve dağıtabilirsiniz.
Sertifika profilleri, Wi-Fi ağları ve VPN sunucuları gibi kuruluş kaynaklarına erişim için kullanıcı cihazlarını otomatik olarak yapılandırabilir. Kullanıcılar sertifikaları el ile yüklemeden veya bant dışı bir işlem kullanmadan bu kaynaklara erişebilir. Ortak anahtar altyapınız (PKI) tarafından desteklenen daha güvenli ayarlar kullanabileceğiniz için sertifika profilleri kaynakların güvenliğini sağlamaya yardımcı olur. Örneğin, gerekli sertifikaları yönetilen cihazlara dağıttığınız için tüm Wi-Fi ve VPN bağlantıları için sunucu kimlik doğrulamasını zorunlu kılın.
Sertifika profilleri aşağıdaki yönetim özelliklerini sağlar:
Farklı işletim sistemi türleri ve sürümleri çalıştıran cihazlar için sertifika yetkilisinden (CA) sertifika kaydı ve yenileme. Bu sertifikalar daha sonra Wi-Fi ve VPN bağlantıları için kullanılabilir.
Güvenilen kök CA sertifikalarının ve ara CA sertifikalarının dağıtımı. Bu sertifikalar, sunucu kimlik doğrulaması gerektiğinde VPN ve Wi-Fi bağlantıları için cihazlarda bir güven zinciri yapılandırıyor.
Yüklü sertifikaları izleyin ve rapor edin.
Örnek 1: Tüm çalışanların birden çok ofis konumundaki Wi-Fi etkin noktalarına bağlanması gerekir. Kolay kullanıcı bağlantısı sağlamak için önce Wi-Fi'ye bağlanmak için gereken sertifikaları dağıtın. Ardından sertifikaya başvuran Wi-Fi profilleri dağıtın.
Örnek 2: Bir PKI'nız var. Sertifikaları dağıtmak için daha esnek ve güvenli bir yönteme geçmek istiyorsunuz. Kullanıcıların güvenlikten ödün vermeden kişisel cihazlarından kuruluş kaynaklarına erişmesi gerekir. Sertifika profillerini, belirli bir cihaz platformu için desteklenen ayarlar ve protokollerle yapılandırın. Cihazlar daha sonra bu sertifikaları İnternet'e yönelik bir kayıt sunucusundan otomatik olarak isteyebilir. Ardından, cihazın kuruluş kaynaklarına erişebilmesi için VPN profillerini bu sertifikaları kullanacak şekilde yapılandırın.
Tür
Üç tür sertifika profili vardır:
Güvenilen CA sertifikası: Güvenilen bir kök CA veya ara CA sertifikası dağıtın. Bu sertifikalar, cihazın bir sunucunun kimliğini doğrulaması gerektiğinde bir güven zinciri oluşturur.
Basit Sertifika Kayıt Protokolü (SCEP):SCEP protokolunu kullanarak bir cihaz veya kullanıcı için sertifika isteyin. Bu tür, R2 veya üzeri Windows Server 2012 çalıştıran bir sunucuda Ağ Cihazı Kayıt Hizmeti (NDES) rolünü gerektirir.
Basit Sertifika Kayıt Protokolü (SCEP) sertifika profili oluşturmak için önce bir Güvenilen CA sertifika profili oluşturun.
Kişisel bilgi değişimi (.pfx): Bir cihaz veya kullanıcı için .pfx (PKCS #12 olarak da bilinir) sertifikası isteyin. PFX sertifika profilleri oluşturmak için iki yöntem vardır:
- Mevcut sertifikalardan kimlik bilgilerini içeri aktarma
- İstekleri işlemek için bir sertifika yetkilisi tanımlama
Not
Configuration Manager bu isteğe bağlı özelliği varsayılan olarak etkinleştirmez. Bu özelliği kullanmadan önce etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Güncelleştirmelerden isteğe bağlı özellikleri etkinleştirme.
Kişisel bilgi değişimi (.pfx) sertifikaları için sertifika yetkilileri olarak Microsoft veya Güven'i kullanabilirsiniz.
Gereksinimler
SCEP kullanan sertifika profillerini dağıtmak için, sertifika kayıt noktasını bir site sistemi sunucusuna yükleyin. Ayrıca R2 veya sonraki Windows Server 2012 çalıştıran bir sunucuya NDES için Configuration Manager İlke Modülü için bir ilke modülü yükleyin. Bu sunucu Active Directory Sertifika Hizmetleri rolünü gerektirir. Ayrıca, sertifika gerektiren cihazlar için erişilebilir çalışan bir NDES gerektirir. Cihazlarınızın İnternet'ten sertifikalar için kaydolması gerekiyorsa NDES sunucunuza İnternet'ten erişilebilir olmalıdır. Örneğin, İnternet'ten NDES sunucusuna gelen trafiği güvenli bir şekilde etkinleştirmek için Azure Uygulaması Proxy'yi kullanabilirsiniz.
PFX sertifikaları için de bir sertifika kayıt noktası gerekir. Ayrıca sertifika için sertifika yetkilisini (CA) ve ilgili erişim kimlik bilgilerini belirtin. sertifika yetkilileri olarak Microsoft veya Güven'i belirtebilirsiniz.
NDES'in Configuration Manager sertifika dağıtabilmesi için ilke modülünü nasıl desteklediği hakkında daha fazla bilgi için bkz. Ağ Cihazı Kayıt Hizmeti ile İlke Modülü Kullanma.
Gereksinimlere bağlı olarak, Configuration Manager çeşitli cihaz türlerinde ve işletim sistemlerindeki farklı sertifika depolarına sertifika dağıtmayı destekler. Aşağıdaki cihazlar ve işletim sistemleri desteklenir:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Not
Windows Phone 8.1 ve Windows 10 Mobile yönetmek için Configuration Manager şirket içi MDM kullanın. Daha fazla bilgi için bkz . Şirket içi MDM.
Configuration Manager için tipik bir senaryo, Wi-Fi ve VPN sunucularının kimliğini doğrulamak için güvenilen kök CA sertifikaları yüklemektir. Tipik bağlantılar aşağıdaki protokolleri kullanır:
- Kimlik doğrulama protokolleri: EAP-TLS, EAP-TTLS ve PEAP
- VPN tünel protokolleri: IKEv2, L2TP/IPsec ve Cisco IPsec
Cihazın bir SCEP sertifika profili kullanarak sertifika isteyebilmesi için önce cihaza bir kurumsal kök CA sertifikası yüklenmelidir.
ScEP sertifika profilinde ayarları belirterek farklı ortamlar veya bağlantı gereksinimleri için özelleştirilmiş sertifikalar isteyebilirsiniz. Sertifika Profili Oluşturma Sihirbazı'nın kayıt parametreleri için iki sayfası vardır. İlki olan SCEP Kaydı, kayıt isteğinin ayarlarını ve sertifikanın nereye yükleneceğini içerir. İkincisi, Sertifika Özellikleri, istenen sertifikanın kendisini açıklar.
Dağıtım
Bir SCEP sertifika profili dağıttığınızda, Configuration Manager istemcisi ilkeyi işler. Ardından yönetim noktasından bir SCEP sınama parolası istemektedir. Cihaz bir ortak/özel anahtar çifti oluşturur ve bir sertifika imzalama isteği (CSR) oluşturur. Bu isteği NDES sunucusuna gönderir. NDES sunucusu, isteği NDES ilke modülü aracılığıyla sertifika kayıt noktası site sistemine iletir. Sertifika kayıt noktası isteği doğrular, SCEP sınama parolasını denetler ve isteğin değiştirilmediğini doğrular. Ardından isteği onaylar veya reddeder. Onaylanırsa, NDES sunucusu imzalama isteğini imzalama için bağlı sertifika yetkilisine (CA) gönderir. CA isteği imzalar ve ardından sertifikayı istekte bulunan cihaza döndürür.
Sertifika profillerini kullanıcı veya cihaz koleksiyonlarına dağıtın. Her sertifika için hedef depoyu belirtebilirsiniz. Uygulanabilirlik kuralları, cihazın sertifikayı yükleyip yükleyemeyeceğini belirler.
Bir sertifika profilini bir kullanıcı koleksiyonuna dağıttığınızda, kullanıcı cihaz bencesi , kullanıcıların cihazlarından hangilerinin sertifikaları yüklediğini belirler. Kullanıcı sertifikası olan bir sertifika profilini bir cihaz koleksiyonuna dağıttığınızda, varsayılan olarak kullanıcıların birincil cihazlarından her biri sertifikaları yükler. Sertifikayı kullanıcıların cihazlarından herhangi birine yüklemek için, Sertifika Profili Oluşturma Sihirbazı'nınSCEP Kaydı sayfasında bu davranışı değiştirin. Cihazlar bir çalışma grubundaysa Configuration Manager kullanıcı sertifikalarını dağıtmaz.
Monitör
Uyumluluk sonuçlarını veya raporlarını görüntüleyerek sertifika profili dağıtımlarını izleyebilirsiniz. Daha fazla bilgi için bkz. Sertifika profillerini izleme.
Otomatik iptal
Configuration Manager, aşağıdaki durumlarda sertifika profilleri kullanılarak dağıtılan kullanıcı ve bilgisayar sertifikalarını otomatik olarak iptal eder:
Cihaz Configuration Manager yönetiminden kullanımdan kaldırıldı.
Cihaz Configuration Manager hiyerarşisinden engellenir.
Sertifikaları iptal etmek için site sunucusu, sertifika veren sertifika yetkilisine bir iptal komutu gönderir. İptalin nedeni , İşlemin Durdurulması'dır.
Not
Sertifikayı düzgün bir şekilde iptal etmek için, hiyerarşideki en üst düzey sitenin bilgisayar hesabının CA'da sertifika verme ve yönetme iznine sahip olması gerekir.
Gelişmiş güvenlik için CA'da CA yöneticilerini de kısıtlayabilirsiniz. Ardından bu hesaba yalnızca sitedeki SCEP profilleri için kullandığınız belirli bir sertifika şablonu üzerinde izin verin.