Plano para certificados PKI no Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
O Gestor de Configuração utiliza certificados digitais baseados em infraestruturas de chaves públicas (PKI) quando disponível. A utilização destes certificados é recomendada para uma maior segurança, mas não é necessária para a maioria dos cenários. Tem de implementar e gerir estes certificados de forma independente do Gestor de Configurações.
Este artigo fornece informações sobre certificados PKI no Gestor de Configuração para ajudá-lo a planear a sua implementação. Para obter informações mais gerais sobre a utilização de certificados no Gestor de Configuração, consulte Certificados no Gestor de Configuração.
Revogação do certificado PKI
Quando utilizar certificados PKI com o Gestor de Configuração, planeie a utilização de uma lista de revogação de certificados (CRL). Os dispositivos utilizam o CRL para verificar o certificado no computador de ligação. O CRL é um ficheiro que uma autoridade de certificados (CA) cria e assina. Tem uma lista de certificados que a AC emitiu mas revogada. Quando um administrador de certificado revoga os certificados, a sua impressão digital é adicionada ao CRL. Por exemplo, se um certificado emitido for conhecido ou se suspeitar de estar comprometido.
Importante
Como a localização do CRL é adicionada a um certificado quando um CA o emite, certifique-se de que planeia o CRL antes de implementar quaisquer certificados PKI que o Gestor de Configuração utilize.
O IIS verifica sempre o CRL para obter certificados de cliente, e não é possível alterar esta configuração no Gestor de Configuração. Por predefinição, os clientes do Gestor de Configuração verificam sempre o CRL para obter sistemas de site. Desative esta definição especificando uma propriedade do site e especificando uma propriedade CCMSetup.
Os computadores que utilizam a verificação de revogação de certificados mas não conseguem localizar o CRL comportam-se como se todos os certificados da cadeia de certificação fossem revogados. Este comportamento deve-se ao facto de não poderem verificar se os certificados estão na lista de revogação do certificado. Neste cenário, todas as ligações falham que requerem certificados e incluem verificação de CRL. Ao validar que o seu CRL está acessível navegando para a sua localização HTTP, é importante notar que o cliente Do Gestor de Configuração funciona como SISTEMA LOCAL. Testar a acessibilidade crl com um navegador web em um contexto de utilizador pode ter sucesso, mas a conta do computador pode ser bloqueada ao tentar fazer uma ligação HTTP com o mesmo URL CRL. Por exemplo, pode ser bloqueado por causa de uma solução interna de filtragem web como um proxy. Adicione o URL CRL à lista aprovada para quaisquer soluções de filtragem web.
Verificar o CRL sempre que um certificado é usado oferece mais segurança contra a utilização de um certificado revogado. Introduz um atraso de ligação e mais processamento no cliente. A sua organização poderá necessitar desta verificação de segurança para clientes na internet ou uma rede não fidedqui nem fided pcp.
Consulte os seus administradores PKI antes de decidir se os clientes do Gestor de Configuração precisam de verificar o CRL. Quando ambas as seguintes condições forem verdadeiras, considere manter esta opção ativada no Gestor de Configuração:
A sua infraestrutura PKI suporta um CRL, e é publicada onde todos os clientes do Gestor de Configuração podem localizá-lo. Estes clientes podem incluir dispositivos na internet, e outros em florestas não fidedídas.
A exigência de verificar o CRL para cada ligação a um sistema de site configurado para usar um certificado PKI é maior do que os seguintes requisitos:
- Ligações mais rápidas
- Processamento eficiente no cliente
- O risco de os clientes não se ligarem aos servidores se não conseguirem localizar o CRL
Certificados de raiz fidedignos PKI
Se os seus sistemas de site IIS utilizarem certificados de cliente PKI para autenticação do cliente em HTTP, ou para autenticação e encriptação do cliente em HTTPS, poderá ter de importar certificados de CA raiz como propriedade do site. Aqui estão os dois cenários:
Implementa sistemas operativos utilizando o Gestor de Configuração e os pontos de gestão apenas aceitam ligações ao cliente HTTPS.
Você usa certificados de cliente PKI que não acorrentam a um certificado de raiz que os pontos de gestão confiam.
Nota
Quando emite certificados PKI de clientes da mesma hierarquia ca que emite os certificados de servidor que utiliza para pontos de gestão, não precisa de especificar este certificado de CA raiz. No entanto, se utilizar várias hierarquias de CA e não tiver a certeza se confiam umas nas outras, importe a raiz da CA para a hierarquia da CA dos clientes.
Se precisar de importar certificados de CA de raiz para o Gestor de Configuração, exporte-os a partir da AC emissora ou do computador cliente. Se exportar o certificado da AC que emite que também é a raiz da AC, não exporte a chave privada. Guarde o ficheiro de certificado exportado num local seguro para evitar a adulteração. Precisa de ter acesso ao ficheiro quando configurar o site. Se aceder ao ficheiro através da rede, certifique-se de que a comunicação está protegida contra adulteração utilizando o IPsec.
Se algum certificado de CA de raiz que importa for renovado, importe o certificado renovado.
Estes certificados de CA de raiz importados e o certificado de CA raiz de cada ponto de gestão criam a lista de emitentes de certificados. Os computadores do Gestor de Configuração utilizam esta lista das seguintes formas:
Quando os clientes se ligam a pontos de gestão, o ponto de gestão verifica que o certificado do cliente está acorrentado a um certificado de raiz fidedigno na lista de emitentes de certificados do site. Se não o fizer, o certificado é rejeitado e a ligação PKI falha.
Quando os clientes selecionam um certificado PKI e têm uma lista de emitentes de certificados, selecionam um certificado que acorra a um certificado de raiz fidedigno na lista de emitentes de certificados. Se não houver correspondência, o cliente não seleciona um certificado PKI. Para mais informações, consulte a seleção de certificados de cliente PKI.
Seleção de certificados de cliente PKI
Se os seus sistemas de site IIS utilizarem certificados de cliente PKI para autenticação do cliente em HTTP ou para autenticação e encriptação do cliente em HTTPS, planeie como Windows clientes selecionem o certificado para utilizar para Gestor de Configuração.
Nota
Alguns dispositivos não suportam um método de seleção de certificados. Em vez disso, selecionam automaticamente o primeiro certificado que satisfaz os requisitos do certificado. Por exemplo, os clientes em computadores macOS e dispositivos móveis não suportam um método de seleção de certificados.
Em muitos casos, a configuração e o comportamento predefinidos são suficientes. O cliente Do Gestor de Configuração em Windows computadores filtra vários certificados utilizando estes critérios nesta ordem:
A lista de emitentes de certificados: As cadeias de certificados para uma CA de raiz que é confiada pelo ponto de gestão.
O certificado está no arquivo de certificados predefinido Pessoal.
O certificado é válido, não foi revogado e não expirou. A verificação de validade também verifica se a chave privada está acessível.
O certificado tem capacidade de autenticação do cliente.
O nome do sujeito do certificado contém o nome do computador local como sub-modelação.
O certificado tem o período de validade mais longo.
Configure os clientes para utilizar a lista de emitentes de certificados utilizando os seguintes mecanismos:
Publique-o com informações do site do Gestor de Configuração para serviços de domínio de diretório ativo.
Instale os clientes utilizando o impulso do cliente.
Os clientes descarregam-no do ponto de gestão depois de terem sido designados com sucesso para o seu site.
Especifique-o durante a instalação do cliente como uma propriedade ccMSetup client.msi da CCMCERTISSUERS.
Se os clientes não tiverem a lista de emitentes de certificados quando são instalados pela primeira vez, e ainda não forem designados para o site, ignoram esta verificação. Quando os clientes têm a lista de emitentes de certificados, e não têm um certificado PKI que acorra a um certificado de raiz fidedigno na lista de emitentes de certificados, a seleção de certificados falha. Os clientes não continuam com os outros critérios de seleção de certificados.
Na maioria dos casos, o cliente Do Gestor de Configuração identifica corretamente um certificado PKI único e apropriado. Quando este comportamento não for o caso, em vez de selecionar o certificado com base na capacidade de autenticação do cliente, pode configurar dois métodos de seleção alternativos:
Uma combinação parcial de cordas no nome do sujeito do certificado do cliente. Este método é uma combinação caso-insensível. É apropriado se estiver a usar o nome de domínio totalmente qualificado (FQDN) de um computador no campo do assunto e quiser que a seleção do certificado seja baseada no sufixo de domínio, por exemplo contoso.com. Pode utilizar este método de seleção para identificar qualquer cadeia de caracteres sequenciais no nome do sujeito do certificado que diferencia o certificado de outros na loja de certificados do cliente.
Nota
Não é possível utilizar a combinação parcial de cordas com o nome alternativo do sujeito (SAN) como configuração do site. Embora possa especificar uma correspondência parcial de cordas para o SAN utilizando o CCMSetup, será substituído pelas propriedades do site nos seguintes cenários:
- Os clientes recuperam informações do site que são publicadas nos Serviços de Domínio do Diretório Ativo.
- Os clientes são instalados utilizando a instalação push do cliente.
Utilize uma combinação parcial de cordas na SAN apenas quando instalar os clientes manualmente e quando não recuperarem informações do site dos Serviços de Domínio do Diretório Ativo. Por exemplo, estas condições aplicam-se apenas aos clientes que apenas se aplicam à Internet.
Uma correspondência no nome do cliente atribui valores de atributo ou o nome alternativo sujeito (SAN) valores de atributo. Este método é uma combinação sensível a casos. É apropriado se estiver a usar um nome distinto X500 ou identificadores de objetos equivalentes (OIDs) em conformidade com o RFC 3280, e pretende que a seleção do certificado seja baseada nos valores do atributo. É possível especificar apenas os atributos e os respetivos valores necessários para identificar ou validar exclusivamente o certificado e distinguir o certificado de outros num arquivo de certificados.
A tabela a seguir mostra os valores de atributo que o Gestor de Configuração suporta para os critérios de seleção do certificado do cliente:
Atributo OID | Atributo de nome único | Definição do atributo |
---|---|---|
0.9.2342.19200300.100.1.25 | DC | Componente do domínio |
1.2.840.113549.1.9.1 | E ou E-mail | Endereço de e-mail |
2.5.4.3 | CN | Nome comum |
2.5.4.4 | SN | Nome do requerente |
2.5.4.5 | SERIALNUMBER | Número de série |
2.5.4.6 | C | Indicativo do país |
2.5.4.7 | L | Localização |
2.5.4.8 | S ou ST | Nome do estado ou distrito |
2.5.4.9 | STREET | Morada |
2.5.4.10 | O | Nome da organização |
2.5.4.11 | OU | Unidade organizacional |
2.5.4.12 | T ou Title | Título |
2.5.4.42 | G ou GN ou GivenName | Nome próprio |
2.5.4.43 | I ou Initials | Iniciais |
2.5.29.17 | (sem valor) | Nome Alternativo do Requerente |
Nota
Se configurar um dos métodos de seleção de certificados alternativos acima, o nome do sujeito do certificado não necessita de conter o nome do computador local.
Se mais de um certificado adequado for localizado após a aplicação dos critérios de seleção, pode anular a configuração padrão para selecionar o certificado que tem o período de validade mais longo. Em vez disso, pode especificar que nenhum certificado é selecionado. Neste cenário, o cliente não pode comunicar com os sistemas de site IIS com um certificado PKI. O cliente envia uma mensagem de erro para o seu ponto de estado de retorno atribuído para alertá-lo para a falha de seleção do certificado. Em seguida, pode alterar ou aperfeiçoar os seus critérios de seleção de certificados.
Em seguida, o comportamento do cliente depende se a falha de ligação falha através de HTTPS ou HTTP:
Se a ligação falhada tiver terminado HTTPS: O cliente tenta ligar-se a HTTP e utiliza o certificado auto-assinado do cliente.
Se a ligação falhada tiver terminado HTTP: O cliente tenta ligar-se novamente através do HTTP utilizando o certificado de cliente auto-assinado.
Para ajudar a identificar um certificado exclusivo do cliente PKI, também pode especificar uma loja personalizada que não seja o padrão de Personal na loja de computadores. Crie uma loja de certificados personalizada fora do Gestor de Configuração. Você precisa ser capaz de colocar certificados nesta loja personalizada e renová-los antes que o prazo de validade expire.
Para obter mais informações, consulte as definições de Configuração para certificados PKI do cliente.
Estratégia de transição para certificados PKI
As opções de configuração flexível no Gestor de Configuração permitem-lhe transitar gradualmente os clientes e o site para usar certificados PKI para ajudar a garantir os pontos finais do cliente. Os certificados PKI proporcionam uma melhor segurança e permitem-lhe gerir clientes de internet.
Este plano introduz primeiro certificados PKI para autenticação apenas em HTTP e, em seguida, para autenticação e encriptação em HTTPS. Ao seguir este plano para introduzir gradualmente estes certificados, reduz-se o risco de os clientes ficarem sem gestão. Também beneficiará da segurança mais alta que o Gestor de Configuração suporta.
Devido ao número de opções de configuração e escolhas no Gestor de Configuração, não há uma única maneira de transitar um site para que todos os clientes utilizem ligações HTTPS. Os seguintes passos fornecem orientações gerais:
Instale o site do Gestor de Configurações e configuure-o para que os sistemas de site aceitem ligações do cliente em HTTPS e HTTP.
Configure o separador de Segurança da Comunicação nas propriedades do site. Definir o Sistema de Sítios Definições http ou HTTPS e selecione Use O certificado de cliente PKI (capacidade de autenticação do cliente) quando disponível. Para obter mais informações, consulte as definições de Configuração para certificados PKI do cliente.
Efetue uma implementação PKI para os certificados de cliente. Para uma colocação por exemplo, consulte Implementar o certificado de cliente para Windows computadores.
Instale clientes utilizando o método de instalação push do cliente. Para obter mais informações, consulte os clientes Como instalar o Gestor de Configuração utilizando o impulso do cliente.
Monitorize a implementação e o estado do cliente utilizando os relatórios e informações na consola Do Gestor de Configuração.
Verifique quantos clientes estão a utilizar um certificado PKI de cliente visualizando a coluna Certificado de Cliente na área de trabalho Ativos e Compatibilidade , nó Dispositivos .
Também pode implementar a Ferramenta de Avaliação de Prontidão HTTPS (CMHttpsReadiness.exe) do Gestor de Configuração para computadores. Em seguida, utilize os relatórios para ver quantos computadores podem usar um certificado PKI cliente com o Gestor de Configuração.
Nota
Quando instala o cliente Gestor de Configuração, instala a CMHttpsReadiness.exeferramenta na
%windir%\CCM
pasta. As seguintes opções de linha de comando estão disponíveis quando executar esta ferramenta:/Store:<Certificate store name>
: Esta opção é a mesma que a propriedade client.msi CCMCERTSTORE/Issuers:<Case-sensitive issuer common name>
: Esta opção é a mesma que a propriedade ccmcertissuers client.msi/Criteria:<Selection criteria>
: Esta opção é a mesma que o ccmcertsel client.msi propriedade/SelectFirstCert
: Esta opção é a mesma que o ccmFIRSTCERT client.msi propriedade
A ferramenta produz informações para o cmHttpsReadiness.log no
CCM\Logs
diretório.Para mais informações, consulte sobre as propriedades de instalação do cliente.
Quando estiver confiante de que clientes suficientes estão a utilizar com sucesso o certificado PKI do cliente para autenticação em HTTP, siga estes passos:
Implemente um certificado de servidor web PKI para um servidor de membro que executa outro ponto de gestão para o site, e configuure esse certificado no IIS. Para obter mais informações, consulte implementar o certificado do servidor web para sistemas de site que executam o IIS.
Instale a função de ponto de gestão neste servidor. Configure a opção de ligações ao Cliente nas propriedades do ponto de gestão para HTTPS.
Monitorize e certifique-se de que os clientes que tenham um certificado PKI utilizam o novo ponto de gestão utilizando HTTPS. Pode utilizar contadores de registo iis ou de desempenho para verificar.
Reconfigure as outras funções do sistema de site para utilizar ligações de cliente HTTPS. Se quiser gerir clientes na internet, certifique-se de que os sistemas de sites têm um FQDN de internet. Configure pontos de gestão individuais e pontos de distribuição para aceitar ligações com o cliente a partir da internet.
Importante
Antes de configurar funções do sistema de sites para aceitar ligações a partir da internet, reveja as informações de planeamento e os pré-requisitos para a gestão de clientes baseados na Internet. Para obter mais informações, consulte comunicações entre pontos finais.
Alargar o lançamento do certificado PKI para clientes e para sistemas de site que executam o IIS. Configurar as funções do sistema de site para ligações ao cliente HTTPS e conexões de internet, conforme necessário.
Para maior segurança: Quando estiver confiante de que todos os clientes estão a usar um certificado PKI cliente para autenticação e encriptação, altere as propriedades do site apenas para usar HTTPS.