Delen via


Vereisten voor certificaatprofielen in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.

Voor certificaatprofielen in System Center 2012 Configuration Manager bestaan externe afhankelijkheden en afhankelijkheden binnen het product.

Afhankelijkheden extern aan Configuration Manager

Afhankelijkheid

Meer informatie

Een uitgevende bedrijfscertificeringsinstantie met Active Directory Certificate Services (AD CS).

Certificaten kunnen alleen worden ingetrokken als de uitgevende certificeringsinstantie op het hoogste hiërarchieniveau is geconfigureerd met de machtiging Certificaten uitgeven en beheren voor de siteserver.

Notitie

Managergoedkeuring voor certificaataanvragen wordt ondersteund. De certificaatsjablonen die worden gebruikt om certificaten uit te geven, moeten echter worden geconfigureerd voor Met de aanvraag meeleveren voor het certificaatonderwerp, zodat deze waarde automatisch kan worden meegeleverd door Configuration Manager.

Raadpleeg de Windows Server-documentatie voor meer informatie over Active Directory Certificate Services:

De rolservice Registratieservice voor netwerkapparaten voor Active Directory Certificate Services in Windows Server 2012 R2.

Daarnaast:

  • Andere poortnummers dan TCP 443 (voor HTTPS) of TCP 80 (voor HTTP) worden niet ondersteund voor de communicatie tussen de client en Registratieservice voor netwerkapparaten.

  • Registratieservice voor netwerkapparaten moet zich op een andere server bevinden dan de uitgevende certificeringsinstantie.

Configuration Manager communiceert met Registratieservice voor netwerkapparaten in Windows Server 2012 R2 om SCEP-aanvragen (Simple Certificate Enrollment Protocol) te genereren en te verifiëren.

Als u certificaten uitgeeft voor gebruikers of apparaten die verbinding maken via internet, zoals mobiele apparaten die worden beheerd door Microsoft Intune, moeten die apparaten via internet toegang hebben tot de server waarop Registratieservice voor netwerkapparaten wordt uitgevoerd. Installeer de server bijvoorbeeld in een perimeternetwerk, dat ook wel DMZ (demilitarized zone) of gescreend subnet wordt genoemd.

Als u een firewall gebruikt tussen de server waarop Registratieservice voor netwerkapparaten wordt uitgevoerd en de server met de uitgevende certificeringsinstantie, moet u de firewall zo configureren dat het communicatieverkeer (DCOM) tussen de twee servers is toegestaan. Deze firewallvereiste geldt ook voor de server waarop de Configuration Manager-siteserver en de uitgevende certificeringsinstantie worden uitgevoerd, zodat Configuration Manager certificaten kan intrekken.

Als Registratieservice voor netwerkapparaten zo is geconfigureerd dat SSL, een aanbevolen beveiligingsmethode, vereist is, moet u ervoor zorgen dat verbindende apparaten toegang tot de certificaatintrekkingslijst hebben om het servercertificaat te kunnen valideren.

Raadpleeg Using a Policy Module with the Network Device Enrollment Service (Een beleidsmodule gebruiken met Registratieservice voor netwerkapparaten) voor meer informatie over Registratieservice voor netwerkapparaten in Windows Server 2012 R2.

Als op de server met de uitgevende certificeringsinstantie Windows Server 2008 R2 wordt uitgevoerd, vereist deze server een hotfix voor SCEP-verlengingsaanvragen.

Installeer de hotfix als deze nog niet is geïnstalleerd op de computer met de uitgevende instantie. Raadpleeg het artikel 2483564: Aanvraag voor het vernieuwen van een certificaat SCEP mislukt in Windows Server 2008 R2 als het certificaat wordt beheerd met behulp van NDES in de Microsoft Knowledge Base voor meer informatie.

Een PKI-clientverificatiecertificaat en geëxporteerd basiscertificaat van de certificeringsinstantie.

Met dit certificaat wordt de server geverifieerd waarop Registratieservice voor netwerkapparaten voor Configuration Manager wordt uitgevoerd.

Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie.

Ondersteunde besturingssystemen voor apparaten.

U kunt certificaatprofielen implementeren voor apparaten waarop iOS, Windows 8.1, Windows RT 8.1 of Android wordt uitgevoerd.

Configuration Manager-afhankelijkheden

Afhankelijkheid

Meer informatie

Sitesysteemrol Certificaatregistratiepunt

Voordat u certificaatprofielen kunt gebruiken, moet u de sitesysteemrol Certificaatregistratiepunt installeren. Deze rol communiceert met de Configuration Manager-database, de Configuration Manager-siteserver en de Configuration Manager-beleidsmodule.

Zie de volgende gedeelten voor meer informatie over systeemvereisten voor deze sitesysteemrol en waar u de rol installeert in de hiërarchie:

System_CAPS_importantBelangrijk

Het certificaatregistratiepunt mag niet op dezelfde server zijn geïnstalleerd als de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd.

Configuration Manager-beleidsmodule die is geïnstalleerd op de server waarop de rolservice Registratieservice voor netwerkapparaten wordt uitgevoerd voor Active Directory Certificate Services

Als u certificaatprofielen wilt implementeren, moet u de Configuration Manager-beleidsmodule installeren. U vindt deze beleidsmodule op het Configuration Manager-installatiemedium.

Detectiegegevens

Waarden voor het certificaatonderwerp en de alternatieve naam van het onderwerp worden geleverd door Configuration Manager en opgehaald uit gegevens die worden verzameld tijdens detecties.

  • Voor gebruikerscertificaten: Active Directory-gebruikersdetectie

  • Voor computercertificaten: Detectie Active Directory-systemen en Netwerkdetectie

Zie Detectie plannen in Configuration Manager voor meer informatie over detectie.

Specifieke beveiligingsmachtigingen voor het beheren van certificaatprofielen

U moet over de volgende beveiligingsmachtigingen beschikken om instellingen voor de toegang tot bedrijfsbronnen, zoals certificaatprofielen, Wi-Fi-profielen en VPN-profielen, te beheren:

  • Waarschuwingen en rapporten voor certificaatprofielen weergeven en beheren: Maken, Verwijderen, Wijzigen, Rapport wijzigenLezen en Rapport uitvoeren voor het object Waarschuwingen.

  • Certificaatprofielen maken en beheren: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het object Certificaatprofiel.

  • Implementaties van Wi-Fi-, certificaat- en VPN-profielen beheren: Configuratiebeleid toepassen, Waarschuwing voor wijzigen clientstatus, Lezen en Resource lezen voor het object Verzameling.

  • Alle configuratiebeleidsregels beheren: Maken, Verwijderen, Wijzigen, Lezen en Beveiligingsbereik instellen voor het object Configuratiebeleid.

  • Query's met betrekking tot certificaatprofielen uitvoeren: Lees machtiging voor het Query-object.

  • Certificaatprofielgegevens in de Configuration Manager-console weergeven: Lees machtiging voor het Site-object.

  • Statusberichten voor certificaatprofielen weergeven: Lees machtiging voor het Statusbericht-object.

  • Maken en aanpassen van het certificaatprofiel van de vertrouwde CA: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het object Profiel voor vertrouwd CA-certificaat.

  • VPN-profielen maken en beheren: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het object VPN-profiel.

  • Wi-Fi-profielen maken en beheren: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het object Wi-Fi-profiel.

Aan de beveiligingsrol Toegang tot bedrijfsbronnen beheren zijn de machtigingen toegewezen die nodig zijn voor het beheren van certificaatprofielen in Configuration Manager. Zie het gedeelte Configureer beheer op basis van rollen in het onderwerp Beveiliging configureren voor Configuration Manager voor meer informatie.