Configuration Manager中的证书配置文件简介
适用于: Configuration Manager(current branch)
重要
从版本 2203 开始,不再支持此公司资源访问功能。 有关详细信息,请参阅 有关弃用资源访问的常见问题。
证书配置文件适用于 Active Directory 证书服务和网络设备注册服务 (NDES) 角色。 为托管设备创建和部署身份验证证书,以便用户可以轻松访问组织资源。 例如,可以创建和部署证书配置文件,为用户提供连接到 VPN 和无线连接所需的证书。
证书配置文件可以自动配置用户设备以访问组织资源,例如Wi-Fi网络和 VPN 服务器。 用户无需手动安装证书或使用带外进程即可访问这些资源。 证书配置文件有助于保护资源,因为可以使用公钥基础结构 (PKI) 支持的更安全的设置。 例如,要求对所有Wi-Fi和 VPN 连接进行身份验证,因为你已在托管设备上部署了所需的证书。
证书配置文件提供以下管理功能:
从证书颁发机构 (CA) 证书注册和续订,适用于运行不同 OS 类型和版本的设备。 然后,这些证书可用于Wi-Fi和 VPN 连接。
部署受信任的根 CA 证书和中间 CA 证书。 当需要服务器身份验证时,这些证书在设备上为 VPN 和Wi-Fi连接配置信任链。
监视和报告已安装的证书。
示例 1:所有员工都需要连接到多个办公室位置中的Wi-Fi热点。 若要启用简单的用户连接,请先部署连接到 Wi-Fi 所需的证书。 然后部署引用证书Wi-Fi配置文件。
示例 2:已有 PKI。 你希望使用更灵活、更安全的证书部署方法。 用户需要从其个人设备访问组织资源,而不会影响安全性。 使用特定设备平台支持的设置和协议配置证书配置文件。 然后,设备可以从面向 Internet 的注册服务器自动请求这些证书。 然后,配置 VPN 配置文件以使用这些证书,以便设备可以访问组织资源。
类型
有三种类型的证书配置文件:
受信任的 CA 证书:部署受信任的根 CA 证书或中间 CA 证书。 当设备必须对服务器进行身份验证时,这些证书会形成信任链。
简单证书注册协议 (SCEP) :使用 SCEP 协议为设备或用户请求证书。 此类型需要在运行 Windows Server 2012 R2 或更高版本的服务器上 (NDES) 角色的网络设备注册服务。
若要 (SCEP) 证书配置文件创建简单证书注册协议 ,请先创建 受信任的 CA 证书 配置文件。
个人信息交换 (.pfx) :请求设备或用户的 .pfx (也称为 PKCS #12) 证书。 可通过两种方法创建 PFX 证书配置文件:
注意
Configuration Manager默认情况下不启用此可选功能。 在使用此功能之前,必须启用此功能。 有关详细信息,请参阅 从更新启用可选功能。
可以使用 Microsoft 或 Entrust 作为证书颁发机构 (.pfx) 证书进行个人信息交换。
要求
若要部署使用 SCEP 的证书配置文件,请在站点系统服务器上安装证书注册点。 此外,在运行 Windows Server 2012 R2 或更高版本的服务器上安装用于 NDES 的策略模块(Configuration Manager策略模块)。 此服务器需要 Active Directory 证书服务角色。 它还需要一个可供需要证书的设备访问的工作 NDES。 如果设备需要从 Internet 注册证书,则必须从 Internet 访问 NDES 服务器。 例如,若要安全地启用从 Internet 发向 NDES 服务器的流量,可以使用 Azure 应用程序 代理。
PFX 证书还需要证书注册点。 此外,为证书指定证书颁发机构 (CA) 以及相关的访问凭据。 可以将 Microsoft 或 Entrust 指定为证书颁发机构。
有关 NDES 如何支持策略模块以便Configuration Manager可以部署证书的详细信息,请参阅将策略模块与网络设备注册服务配合使用。
根据要求,Configuration Manager支持将证书部署到各种设备类型和操作系统上的不同证书存储。 支持以下设备和操作系统:
Windows 10
Windows 10 移动版
Windows 8.1
Windows Phone 8.1
注意
使用Configuration Manager本地 MDM 管理Windows Phone 8.1 和Windows 10 移动版。 有关详细信息,请参阅 本地 MDM。
Configuration Manager的典型方案是安装受信任的根 CA 证书来对Wi-Fi和 VPN 服务器进行身份验证。 典型的连接使用以下协议:
- 身份验证协议:EAP-TLS、EAP-TTLS 和 PEAP
- VPN 隧道协议:IKEv2、L2TP/IPsec 和 Cisco IPsec
必须先在设备上安装企业根 CA 证书,然后设备才能使用 SCEP 证书配置文件请求证书。
可以在 SCEP 证书配置文件中指定设置,以针对不同的环境或连接要求请求自定义证书。 “创建证书配置文件向导”包含两个用于注册参数的页面。 第一个是 SCEP 注册,包括注册请求的设置以及证书的安装位置。 第二个 证书属性描述请求的证书本身。
部署
部署 SCEP 证书配置文件时,Configuration Manager客户端将处理策略。 然后,它从管理点请求 SCEP 质询密码。 设备创建公钥/私钥对,并 (CSR) 生成证书签名请求。 它会将此请求发送到 NDES 服务器。 NDES 服务器通过 NDES 策略模块将请求转发到证书注册点站点系统。 证书注册点验证请求,检查 SCEP 质询密码,并验证请求是否未篡改。 然后,它批准或拒绝请求。 如果获得批准,NDES 服务器会将签名请求发送到连接的证书颁发机构 (CA) 进行签名。 CA 对请求进行签名,然后将证书返回到请求设备。
将证书配置文件部署到用户或设备集合。 可以为每个证书指定目标存储。 适用性规则确定设备是否可以安装证书。
将证书配置文件部署到用户集合时, 用户设备相关性 将确定哪些用户的设备安装证书。 将包含用户证书的证书配置文件部署到设备集合时,默认情况下,每个用户的主设备都会安装证书。 若要在任何用户的设备上安装证书,请在“创建证书配置文件向导”的“SCEP 注册”页上更改此行为。 如果设备位于工作组中,Configuration Manager不会部署用户证书。
监视
可以通过查看符合性结果或报告来监视证书配置文件部署。 有关详细信息,请参阅 如何监视证书配置文件。
自动吊销
Configuration Manager在以下情况下自动撤销使用证书配置文件部署的用户和计算机证书:
设备已从Configuration Manager管理中停用。
设备从Configuration Manager层次结构中被阻止。
若要吊销证书,站点服务器会向颁发证书颁发机构发送吊销命令。 吊销的原因是 停止操作。
注意
若要正确吊销证书,层次结构中顶级站点的计算机帐户需要具有在 CA 上 颁发和管理证书 的权限。
为了提高安全性,还可以限制 CA 上的 CA 管理员。 然后,仅向此帐户授予对站点上 SCEP 配置文件使用的特定证书模板的权限。