Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Configuration Manager (branch atual)
Configuration Manager utiliza certificados digitais baseados em infraestruturas de chaves públicas (PKI) quando disponíveis. A utilização destes certificados é recomendada para maior segurança, mas não é necessária para a maioria dos cenários. Tem de implementar e gerir estes certificados independentemente do Configuration Manager.
Este artigo fornece informações sobre certificados PKI no Configuration Manager para o ajudar a planear a sua implementação. Para obter informações mais gerais sobre a utilização de certificados no Configuration Manager, veja Certificados no Configuration Manager.
Revogação do certificado PKI
Quando utilizar certificados PKI com Configuration Manager, planeie a utilização de uma lista de revogação de certificados (CRL). Os dispositivos utilizam a CRL para verificar o certificado no computador de ligação. O CRL é um ficheiro que uma autoridade de certificação (AC) cria e assina. Tem uma lista de certificados que a AC emitiu, mas que foi revogada. Quando um administrador de certificado revoga certificados, o thumbprint é adicionado à CRL. Por exemplo, se um certificado emitido for conhecido ou suspeito de estar comprometido.
Importante
Uma vez que a localização da CRL é adicionada a um certificado quando uma AC o emite, certifique-se de que planeia a CRL antes de implementar os certificados PKI que Configuration Manager utiliza.
O IIS verifica sempre a CRL quanto a certificados de cliente e não pode alterar esta configuração no Configuration Manager. Por predefinição, Configuration Manager clientes marcar sempre a CRL para sistemas de sites. Desative esta definição ao especificar uma propriedade do site e ao especificar uma propriedade CCMSetup.
Os computadores que utilizam a verificação de revogação de certificados, mas não conseguem localizar o CRL, comportam-se como se todos os certificados na cadeia de certificação fossem revogados. Este comportamento deve-se ao facto de não poderem verificar se os certificados estão na lista de revogação de certificados. Neste cenário, todas as ligações falham e requerem certificados e incluem a verificação CRL. Ao validar que a CRL está acessível ao navegar para a respetiva localização HTTP, é importante ter em atenção que o cliente Configuration Manager é executado como SISTEMA LOCAL. Testar a acessibilidade crl com um browser num contexto de utilizador pode ser bem-sucedido, mas a conta de computador pode ser bloqueada ao tentar estabelecer uma ligação HTTP ao mesmo URL de CRL. Por exemplo, pode ser bloqueado devido a uma solução de filtragem Web interna, como um proxy. Adicione o URL de CRL à lista aprovada para quaisquer soluções de filtragem Web.
Verificar a CRL sempre que um certificado é utilizado oferece mais segurança relativamente à utilização de um certificado revogado. Introduz um atraso na ligação e mais processamento no cliente. A sua organização pode exigir este marcar de segurança para clientes na Internet ou numa rede não fidedigna.
Consulte os administradores de PKI antes de decidir se Configuration Manager clientes precisam de marcar CRL. Quando ambas as condições seguintes forem verdadeiras, considere manter esta opção ativada no Configuration Manager:
A sua infraestrutura PKI suporta uma CRL e é publicada onde todos os clientes Configuration Manager podem localizá-la. Estes clientes podem incluir dispositivos na Internet e outros em florestas não fidedignas.
O requisito de marcar CRL para cada ligação a um sistema de sites configurado para utilizar um certificado PKI é superior aos seguintes requisitos:
- Ligações mais rápidas
- Processamento eficiente no cliente
- O risco de os clientes não se ligarem aos servidores se não conseguirem localizar o CRL
Certificados de raiz fidedigna PKI
Se os sistemas de sites do IIS utilizarem certificados de cliente PKI para autenticação de cliente através de HTTP ou para autenticação e encriptação de cliente através de HTTPS, poderá ter de importar certificados de AC de raiz como uma propriedade do site. Eis os dois cenários:
Implementa sistemas operativos com Configuration Manager e os pontos de gestão só aceitam ligações de cliente HTTPS.
Utilize certificados de cliente PKI que não encadeiem a um certificado de raiz em que os pontos de gestão confiam.
Observação
Quando emite certificados PKI de cliente da mesma hierarquia de AC que emite os certificados de servidor que utiliza para pontos de gestão, não tem de especificar este certificado de AC de raiz. No entanto, se utilizar várias hierarquias de AC e não tiver a certeza se estas confiam umas nas outras, importe a AC de raiz para a hierarquia de AC dos clientes.
Se precisar de importar certificados de AC de raiz para Configuration Manager, exporte-os da AC emissora ou do computador cliente. Se exportar o certificado da AC emissora que também é a AC de raiz, não exporte a chave privada. Armazene o ficheiro de certificado exportado numa localização segura para impedir a adulteração. Precisa de acesso ao ficheiro quando configurar o site. Se aceder ao ficheiro através da rede, certifique-se de que a comunicação está protegida contra adulteração através do IPsec.
Se qualquer certificado de AC de raiz que importar for renovado, importe o certificado renovado.
Estes certificados de AC de raiz importados e o certificado de AC de raiz de cada ponto de gestão criam a lista de emissores de certificados. Configuration Manager computadores utilizam esta lista das seguintes formas:
Quando os clientes se ligam a pontos de gestão, o ponto de gestão verifica se o certificado de cliente está ligado a um certificado de raiz fidedigna na lista de emissores de certificados do site. Caso contrário, o certificado é rejeitado e a ligação PKI falha.
Quando os clientes selecionam um certificado PKI e têm uma lista de emissores de certificados, selecionam um certificado que está encorrentado a um certificado de raiz fidedigna na lista de emissores de certificados. Se não houver correspondência, o cliente não seleciona um certificado PKI. Para obter mais informações, veja Seleção de certificados de cliente PKI.
Seleção de certificado de cliente PKI
Se os sistemas de sites IIS utilizarem certificados de cliente PKI para autenticação de cliente através de HTTP ou para autenticação e encriptação de cliente através de HTTPS, planeie a forma como os clientes do Windows selecionam o certificado a utilizar para Configuration Manager.
Observação
Alguns dispositivos não suportam um método de seleção de certificados. Em vez disso, selecionam automaticamente o primeiro certificado que cumpre os requisitos de certificado. Por exemplo, os clientes em computadores macOS e dispositivos móveis não suportam um método de seleção de certificados.
Em muitos casos, a configuração e o comportamento predefinidos são suficientes. O cliente Configuration Manager em computadores Windows filtra vários certificados através destes critérios pela seguinte ordem:
A lista de emissores de certificados: o certificado é encorrentado a uma AC de raiz fidedigna pelo ponto de gestão.
O certificado está no arquivo de certificados predefinido de Pessoal.
O certificado é válido, não foi revogado e não expirou. A validade marcar também verifica se a chave privada está acessível.
O certificado tem a capacidade de autenticação de cliente.
O Nome do Requerente do certificado contém o nome do computador local como subcadeia.
O certificado tem o período de validade mais longo.
Configure os clientes para utilizarem a lista de emissores de certificados com os seguintes mecanismos:
Publique-a com Configuration Manager informações do site para Active Directory Domain Services.
Instale clientes com push de cliente.
Os clientes transferem-no a partir do ponto de gestão depois de serem atribuídos com êxito ao respetivo site.
Especifique-o durante a instalação do cliente como uma propriedade ccMSetup client.msi de CCMCERTISSUERS.
Se os clientes não tiverem a lista de emissores de certificados quando são instalados pela primeira vez e ainda não estiverem atribuídos ao site, ignoram este marcar. Quando os clientes têm a lista de emissores de certificados e não têm um certificado PKI que encoste a um certificado de raiz fidedigna na lista de emissores de certificados, a seleção de certificados falha. Os clientes não continuam com os outros critérios de seleção de certificados.
Na maioria dos casos, o cliente Configuration Manager identifica corretamente um certificado PKI exclusivo e adequado. Quando este comportamento não é o caso, em vez de selecionar o certificado com base na capacidade de autenticação de cliente, pode configurar dois métodos de seleção alternativos:
Uma correspondência parcial de cadeia no nome do requerente do certificado de cliente. Este método é uma correspondência não sensível a maiúsculas e minúsculas. É apropriado se estiver a utilizar o nome de domínio completamente qualificado (FQDN) de um computador no campo do assunto e quiser que a seleção do certificado seja baseada no sufixo de domínio, por exemplo , contoso.com. Pode utilizar este método de seleção para identificar qualquer cadeia de carateres sequenciais no nome do requerente do certificado que diferencia o certificado de outras pessoas no arquivo de certificados de cliente.
Observação
Não pode utilizar a correspondência de cadeia parcial com o nome alternativo do requerente (SAN) como uma definição de site. Embora possa especificar uma correspondência de cadeia parcial para a SAN através do CCMSetup, esta será substituída pelas propriedades do site nos seguintes cenários:
- Os clientes obtêm informações do site publicadas no Active Directory Domain Services.
- Os clientes são instalados através da instalação push do cliente.
Utilize uma correspondência de cadeia parcial na SAN apenas quando instalar clientes manualmente e quando estes não obtiverem informações do site de Active Directory Domain Services. Por exemplo, estas condições aplicam-se a clientes apenas da Internet.
Uma correspondência nos valores do atributo do nome do requerente do certificado de cliente ou nos valores de atributo do nome alternativo do requerente (SAN). Este método é uma correspondência sensível às maiúsculas e minúsculas. É apropriado se estiver a utilizar um nome único X500 ou identificadores de objetos equivalentes (OIDs) em conformidade com o RFC 3280 e quiser que a seleção do certificado se baseie nos valores de atributo. Pode especificar apenas os atributos e os respetivos valores que necessita para identificar ou validar exclusivamente o certificado e diferenciar o certificado de outros no arquivo de certificados.
A tabela seguinte mostra os valores de atributo que Configuration Manager suporta para os critérios de seleção do certificado de cliente:
| Atributo OID | Atributo de nome único | Definição de atributo |
|---|---|---|
| 0.9.2342.19200300.100.1.25 | DC | Componente de domínio |
| 1.2.840.113549.1.9.1 | E ou E-mail | Endereço de email |
| 2.5.4.3 | CN | Nome comum |
| 2.5.4.4 | SN | Nome da entidade |
| 2.5.4.5 | SERIALNUMBER | Número de série |
| 2.5.4.6 | C | Código do país |
| 2.5.4.7 | L | Localidade |
| 2.5.4.8 | S ou ST | Nome do estado ou da província |
| 2.5.4.9 | RUA | Endereço |
| 2.5.4.10 | O | Nome da organização |
| 2.5.4.11 | UO | Unidade organizacional |
| 2.5.4.12 | T ou Título | Título |
| 2.5.4.42 | G, GN ou GivenName | Nome indicado |
| 2.5.4.43 | I ou Iniciais | Iniciais |
| 2.5.29.17 | (sem valor) | Nome Alternativo do Requerente |
Observação
Se configurar um dos métodos de seleção de certificado alternativos acima, o Nome do Requerente do certificado não precisa de conter o nome do computador local.
Se estiver localizado mais do que um certificado adequado após a aplicação dos critérios de seleção, pode substituir a configuração predefinida para selecionar o certificado que tem o período de validade mais longo. Em vez disso, pode especificar que não está selecionado nenhum certificado. Neste cenário, o cliente não consegue comunicar com sistemas de sites IIS com um certificado PKI. O cliente envia uma mensagem de erro para a contingência atribuída status apontar para alertá-lo para a falha de seleção do certificado. Em seguida, pode alterar ou refinar os critérios de seleção do certificado.
Em seguida, o comportamento do cliente depende se a ligação falhada foi feita através de HTTPS ou HTTP:
Se a ligação falhada tiver sido efetuada através de HTTPS: o cliente tenta ligar através de HTTP e utiliza o certificado autoassinado do cliente.
Se a ligação falhada tiver sido efetuada através de HTTP: o cliente tenta ligar novamente através de HTTP com o certificado de cliente autoassinado.
Para ajudar a identificar um certificado de cliente PKI exclusivo, também pode especificar um arquivo personalizado que não seja a predefinição Pessoal no Arquivo de computadores . Crie um arquivo de certificados personalizado fora do Configuration Manager. Tem de conseguir implementar certificados neste arquivo personalizado e renová-los antes de o período de validade expirar.
Para obter mais informações, veja Configurar definições para certificados PKI de cliente.
Estratégia de transição para certificados PKI
As opções de configuração flexíveis no Configuration Manager permitem-lhe fazer a transição gradual de clientes e do site para utilizar certificados PKI para ajudar a proteger os pontos finais do cliente. Os certificados PKI proporcionam uma melhor segurança e permitem-lhe gerir clientes da Internet.
Este plano introduz primeiro certificados PKI para autenticação apenas através de HTTP e, em seguida, para autenticação e encriptação através de HTTPS. Quando segue este plano para introduzir gradualmente estes certificados, reduz o risco de os clientes ficarem sem gestão. Também beneficiará da maior segurança que Configuration Manager suporta.
Devido ao número de opções e opções de configuração no Configuration Manager, não existe uma única forma de fazer a transição de um site para que todos os clientes utilizem ligações HTTPS. Os passos seguintes fornecem orientações gerais:
Instale o site Configuration Manager e configure-o para que os sistemas de sites aceitem ligações de cliente através de HTTPS e HTTP.
Configure o separador Segurança de Comunicação nas propriedades do site. Defina Definições do Sistema de Sites como HTTP ou HTTPS e selecione Utilizar certificado de cliente PKI (capacidade de autenticação de cliente) quando disponível. Para obter mais informações, veja Configurar definições para certificados PKI de cliente.
Pilote uma implementação PKI para certificados de cliente. Para obter um exemplo de implementação, veja Implementar o certificado de cliente para computadores Windows.
Instale clientes com o método de instalação push do cliente. Para obter mais informações, veja How to install Configuration Manager clients by using client push (Como instalar clientes Configuration Manager com push de cliente).
Monitorize a implementação do cliente e status com os relatórios e informações na consola do Configuration Manager.
Controle quantos clientes estão a utilizar um certificado PKI de cliente ao visualizar a coluna Certificado de Cliente na área de trabalho Ativos e Compatibilidade , nó Dispositivos .
Observação
Para clientes que também têm um certificado PKI, a consola Configuration Manager apresenta a propriedade Certificado de cliente como Autoassinado. A propriedade Certificado de cliente do painel de controlo do cliente mostra PKI.
Também pode implementar o Configuration Manager Ferramenta de Avaliação de Preparação de HTTPS (CMHttpsReadiness.exe) em computadores. Em seguida, utilize os relatórios para ver quantos computadores podem utilizar um certificado PKI de cliente com Configuration Manager.
Observação
Quando instala o cliente Configuration Manager, este instala a ferramenta CMHttpsReadiness.exe na
%windir%\CCMpasta. As seguintes opções da linha de comandos estão disponíveis quando executa esta ferramenta:-
/Store:<Certificate store name>: esta opção é a mesma que a propriedade ccMCERTSTORE client.msi -/Issuers:<Case-sensitive issuer common name>: esta opção é a mesma que a propriedade CCMCERTISSUERS client.msi -
/Criteria:<Selection criteria>: esta opção é a mesma que a propriedade ccMCERTSEL client.msi -
/SelectFirstCert: esta opção é a mesma que a propriedade client.msi CCMFIRSTCERT
A ferramenta produz informações para o CMHttpsReadiness.log no
CCM\Logsdiretório.Para obter mais informações, veja Acerca das propriedades de instalação do cliente.
-
Quando tiver a certeza de que os clientes suficientes estão a utilizar com êxito o respetivo certificado PKI de cliente para autenticação através de HTTP, siga estes passos:
Implemente um certificado de servidor Web PKI num servidor membro que execute outro ponto de gestão para o site e configure esse certificado no IIS. Para obter mais informações, veja Implementar o certificado de servidor Web para sistemas de sites que executam o IIS.
Instale a função de ponto de gestão neste servidor. Configure a opção Ligações de cliente nas propriedades do ponto de gestão para HTTPS.
Monitorize e verifique se os clientes que têm um certificado PKI utilizam o novo ponto de gestão com HTTPS. Pode utilizar o registo do IIS ou os contadores de desempenho para verificar.
Reconfigure outras funções do sistema de sites para utilizar ligações de cliente HTTPS. Se quiser gerir clientes na Internet, certifique-se de que os sistemas de sites têm um FQDN da Internet. Configure pontos de gestão individuais e pontos de distribuição para aceitar ligações de cliente a partir da Internet.
Importante
Antes de configurar funções do sistema de sites para aceitar ligações a partir da Internet, reveja as informações de planeamento e os pré-requisitos para a gestão de clientes baseada na Internet. Para obter mais informações, veja Comunicações entre pontos finais.
Expanda a implementação de certificados PKI para clientes e para sistemas de sites que executam o IIS. Configure as funções do sistema de sites para ligações de cliente HTTPS e ligações à Internet, conforme necessário.
Para maior segurança: quando tiver a certeza de que todos os clientes estão a utilizar um certificado PKI de cliente para autenticação e encriptação, altere as propriedades do site para utilizar apenas HTTPS.