Planejar certificados PKI no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Configuration Manager usa certificados digitais baseados em PKI (infraestrutura de chave pública) quando disponível. O uso desses certificados é recomendado para maior segurança, mas não é necessário para a maioria dos cenários. Você precisa implantar e gerenciar esses certificados independentemente de Configuration Manager.
Este artigo fornece informações sobre certificados PKI em Configuration Manager para ajudá-lo a planejar sua implementação. Para obter mais informações gerais sobre o uso de certificados no Configuration Manager, consulte Certificados em Configuration Manager.
Revogação de certificado PKI
Ao usar certificados PKI com Configuration Manager, planeje o uso de uma lista de revogação de certificado (CRL). Os dispositivos usam o CRL para verificar o certificado no computador de conexão. O CRL é um arquivo que uma autoridade de certificado (AC) cria e assina. Ele tem uma lista de certificados que a AC emitiu, mas revogada. Quando um administrador de certificado revoga certificados, sua impressão digital é adicionada ao CRL. Por exemplo, se um certificado emitido for conhecido ou suspeito de ser comprometido.
Importante
Como o local do CRL é adicionado a um certificado quando uma AC o emite, verifique se você planeja o CRL antes de implantar todos os certificados PKI que Configuration Manager usa.
O IIS sempre verifica a CRL em busca de certificados de cliente e você não pode alterar essa configuração no Configuration Manager. Por padrão, Configuration Manager clientes sempre marcar o CRL para sistemas de site. Desabilite essa configuração especificando uma propriedade do site e especificando uma propriedade CCMSetup.
Computadores que usam a verificação de revogação de certificado, mas não conseguem localizar o CRL se comportam como se todos os certificados na cadeia de certificação forem revogados. Esse comportamento ocorre porque eles não podem verificar se os certificados estão na lista de revogação de certificados. Nesse cenário, todas as conexões falham que exigem certificados e incluem a verificação de CRL. Ao validar se o CRL está acessível navegando até sua localização HTTP, é importante observar que o cliente Configuration Manager é executado como SISTEMA LOCAL. Testar a acessibilidade do CRL com um navegador da Web em um contexto de usuário pode ter êxito, mas a conta do computador pode ser bloqueada ao tentar fazer uma conexão HTTP com a mesma URL de CRL. Por exemplo, ele pode ser bloqueado devido a uma solução interna de filtragem da Web como um proxy. Adicione a URL de CRL à lista aprovada para quaisquer soluções de filtragem da Web.
Verificar o CRL sempre que um certificado é usado oferece mais segurança contra o uso de um certificado revogado. Ele apresenta um atraso de conexão e mais processamento no cliente. Sua organização pode exigir esse marcar de segurança para clientes na Internet ou em uma rede não confiável.
Consulte os administradores do PKI antes de decidir se Configuration Manager clientes precisam marcar o CRL. Quando ambas as condições a seguir forem verdadeiras, considere manter essa opção habilitada em Configuration Manager:
Sua infraestrutura PKI dá suporte a um CRL e é publicada em que todos os clientes Configuration Manager podem localizá-lo. Esses clientes podem incluir dispositivos na Internet e outros em florestas não confiáveis.
O requisito para marcar o CRL para cada conexão com um sistema de site configurado para usar um certificado PKI é maior do que os seguintes requisitos:
- Conexões mais rápidas
- Processamento eficiente no cliente
- O risco de os clientes não se conectarem aos servidores se não conseguirem localizar o CRL
Certificados raiz confiáveis PKI
Se os sistemas de sites do IIS usarem certificados de cliente PKI para autenticação do cliente em HTTP ou para autenticação e criptografia do cliente em HTTPS, talvez seja necessário importar certificados de AC raiz como uma propriedade do site. Aqui estão os dois cenários:
Você implanta sistemas operacionais usando Configuration Manager e os pontos de gerenciamento aceitam apenas conexões de cliente HTTPS.
Você usa certificados de cliente PKI que não são encadeados a um certificado raiz em que o gerenciamento aponta a confiança.
Observação
Quando você emite certificados PKI do cliente da mesma hierarquia de AC que emite os certificados de servidor que você usa para pontos de gerenciamento, você não precisa especificar esse certificado de AC raiz. No entanto, se você usar várias hierarquias de AC e não tiver certeza se elas confiam umas nas outras, importe a AC raiz para a hierarquia de AC dos clientes.
Se você precisar importar certificados de AC raiz para Configuration Manager, exporte-os da AC emissora ou do computador cliente. Se você exportar o certificado da AC emissora que também é a AC raiz, não exporte a chave privada. Armazene o arquivo de certificado exportado em um local seguro para evitar a adulteração. Você precisa de acesso ao arquivo ao configurar o site. Se você acessar o arquivo pela rede, verifique se a comunicação está protegida contra adulteração usando iPsec.
Se algum certificado de AC raiz importado for renovado, importe o certificado renovado.
Esses certificados de AC raiz importados e o certificado de AC raiz de cada ponto de gerenciamento criam a lista de emissores de certificado. Configuration Manager computadores usam essa lista das seguintes maneiras:
Quando os clientes se conectam a pontos de gerenciamento, o ponto de gerenciamento verifica se o certificado do cliente é encadeado a um certificado raiz confiável na lista de emissores de certificados do site. Se não o fizer, o certificado será rejeitado e a conexão PKI falhará.
Quando os clientes selecionam um certificado PKI e têm uma lista de emissores de certificado, eles selecionam um certificado que é acorrentado a um certificado raiz confiável na lista de emissores de certificado. Se não houver correspondência, o cliente não selecionará um certificado PKI. Para obter mais informações, confira Seleção de certificado de cliente PKI.
Seleção de certificado do cliente PKI
Se os sistemas de sites do IIS usarem certificados de cliente PKI para autenticação do cliente em HTTP ou para autenticação e criptografia do cliente em HTTPS, planeje como os clientes do Windows selecionam o certificado a ser usado para Configuration Manager.
Observação
Alguns dispositivos não dão suporte a um método de seleção de certificado. Em vez disso, eles selecionam automaticamente o primeiro certificado que atende aos requisitos do certificado. Por exemplo, clientes em computadores macOS e dispositivos móveis não dão suporte a um método de seleção de certificado.
Em muitos casos, a configuração e o comportamento padrão são suficientes. O cliente Configuration Manager em computadores Windows filtra vários certificados usando esses critérios nesta ordem:
A lista de emissores de certificado: o certificado é acorrentado a uma AC raiz confiável pelo ponto de gerenciamento.
O certificado está no repositório de certificados padrão do Personal.
O certificado é válido, não revogado e não expirou. A marcar de validade também verifica se a chave privada está acessível.
O certificado tem a funcionalidade de autenticação do cliente.
O nome da entidade de certificado contém o nome do computador local como uma substring.
O certificado tem o período de validade mais longo.
Configure os clientes para usar a lista de emissores de certificado usando os seguintes mecanismos:
Publique-o com Configuration Manager informações do site para Active Directory Domain Services.
Instale clientes usando o push do cliente.
Os clientes baixam-no do ponto de gerenciamento depois de serem atribuídos com êxito ao site.
Especifique-o durante a instalação do cliente como uma propriedade client.msi CCMSetup do CCMCERTISSUERS.
Se os clientes não tiverem a lista de emissores de certificado quando estiverem instalados pela primeira vez e ainda não forem atribuídos ao site, eles ignorarão essa marcar. Quando os clientes têm a lista de emissores de certificado e não têm um certificado PKI que é acorrentado a um certificado raiz confiável na lista de emissores de certificado, a seleção de certificados falha. Os clientes não continuam com os outros critérios de seleção de certificado.
Na maioria dos casos, o Configuration Manager cliente identifica corretamente um certificado PKI exclusivo e apropriado. Quando esse comportamento não for o caso, em vez de selecionar o certificado com base no recurso de autenticação do cliente, você pode configurar dois métodos de seleção alternativos:
Uma correspondência de cadeia de caracteres parcial no nome da entidade de certificado do cliente. Esse método é uma correspondência sem maiúsculas de maiúsculas de minúsculas. É apropriado se você estiver usando o FQDN (nome de domínio totalmente qualificado) de um computador no campo de assunto e quiser que a seleção de certificado seja baseada no sufixo de domínio, por exemplo, contoso.com. Você pode usar esse método de seleção para identificar qualquer cadeia de caracteres sequenciais no nome da entidade de certificado que diferencie o certificado de outras pessoas no repositório de certificados do cliente.
Observação
Você não pode usar a correspondência de cadeia de caracteres parcial com o SAN (nome alternativo do assunto) como uma configuração de site. Embora você possa especificar uma correspondência de cadeia de caracteres parcial para a SAN usando CCMSetup, ela será substituída pelas propriedades do site nos seguintes cenários:
- Os clientes recuperam informações do site publicadas no Active Directory Domain Services.
- Os clientes são instalados usando a instalação por push do cliente.
Use uma correspondência de cadeia de caracteres parcial na SAN somente quando você instalar clientes manualmente e quando eles não recuperarem informações do site de Active Directory Domain Services. Por exemplo, essas condições se aplicam a clientes somente internet.
Uma correspondência nos valores de atributo de nome de entidade de certificado do cliente ou nos valores de atributo SAN (nome alternativo do assunto). Esse método é uma correspondência sensível a casos. É apropriado se você estiver usando um nome distinto X500 ou OIDs (identificadores de objeto equivalentes) em conformidade com o RFC 3280 e quiser que a seleção de certificado seja baseada nos valores de atributo. Você pode especificar apenas os atributos e seus valores necessários para identificar ou validar exclusivamente o certificado e diferenciar o certificado de outros no repositório de certificados.
A tabela a seguir mostra os valores de atributo que Configuration Manager dá suporte aos critérios de seleção de certificado do cliente:
Atributo OID | Atributo de nome distinto | Definição de atributo |
---|---|---|
0.9.2342.19200300.100.1.25 | DC | Componente de domínio |
1.2.840.113549.1.9.1 | Email ou email | Endereço de email |
2.5.4.3 | CN | Nome comum |
2.5.4.4 | SN | Nome da entidade |
2.5.4.5 | SERIALNUMBER | Número de série |
2.5.4.6 | C | Código do país |
2.5.4.7 | L | Localidade |
2.5.4.8 | S ou ST | Nome do estado ou da província |
2.5.4.9 | RUA | Endereço |
2.5.4.10 | O | Nome da organização |
2.5.4.11 | OU | Unidade organizacional |
2.5.4.12 | T ou Título | Título |
2.5.4.42 | G ou GN ou GivenName | Nome fornecido |
2.5.4.43 | I ou Iniciais | Initials |
2.5.29.17 | (sem valor) | Nome alternativo do assunto |
Observação
Se você configurar um dos métodos de seleção de certificado alternativos acima, o nome da entidade de certificado não precisará conter o nome do computador local.
Se mais de um certificado apropriado estiver localizado após a aplicação dos critérios de seleção, você poderá substituir a configuração padrão para selecionar o certificado que tem o período de validade mais longo. Em vez disso, você pode especificar que nenhum certificado está selecionado. Nesse cenário, o cliente não pode se comunicar com sistemas de site do IIS com um certificado PKI. O cliente envia uma mensagem de erro para seu fallback atribuído status ponto para alertá-lo sobre a falha de seleção de certificado. Em seguida, você pode alterar ou refinar seus critérios de seleção de certificado.
O comportamento do cliente, então, depende se a conexão com falha foi sobre HTTPS ou HTTP:
Se a conexão com falha foi por HTTPS: o cliente tentará se conectar por HTTP e usará o certificado autoassinado do cliente.
Se a conexão com falha foi por HTTP: o cliente tentará se conectar novamente por HTTP usando o certificado de cliente autoassinado.
Para ajudar a identificar um certificado de cliente PKI exclusivo, você também pode especificar um repositório personalizado diferente do padrão do Personal no repositório de computadores . Crie um repositório de certificados personalizado fora do Configuration Manager. Você precisa ser capaz de implantar certificados neste repositório personalizado e renová-los antes que o período de validade expire.
Para obter mais informações, consulte Configurar configurações para certificados PKI do cliente.
Estratégia de transição para certificados PKI
As opções de configuração flexíveis no Configuration Manager permitem que você transicione gradualmente os clientes e o site para usar certificados PKI para ajudar a proteger os pontos de extremidade do cliente. Os certificados PKI fornecem melhor segurança e permitem que você gerencie clientes da Internet.
Esse plano primeiro apresenta certificados PKI para autenticação somente em HTTP e, em seguida, para autenticação e criptografia em HTTPS. Ao seguir esse plano para introduzir gradualmente esses certificados, você reduz o risco de que os clientes não sejam gerenciados. Você também se beneficiará da maior segurança que Configuration Manager dá suporte.
Devido ao número de opções e opções de configuração no Configuration Manager, não há uma única maneira de fazer a transição de um site para que todos os clientes usem conexões HTTPS. As seguintes etapas fornecem diretrizes gerais:
Instale o site Configuration Manager e configure-o para que os sistemas de sites aceitem conexões de cliente por HTTPS e HTTP.
Configure a guia Segurança de Comunicação nas propriedades do site. Defina Configurações do Sistema de Site como HTTP ou HTTPS e selecione Usar certificado de cliente PKI (funcionalidade de autenticação do cliente) quando estiver disponível. Para obter mais informações, consulte Configurar configurações para certificados PKI do cliente.
Pilote uma distribuição PKI para certificados de cliente. Para obter uma implantação de exemplo, consulte Implantar o certificado do cliente para computadores Windows.
Instale clientes usando o método de instalação por push do cliente. Para obter mais informações, consulte Como instalar Configuration Manager clientes usando push do cliente.
Monitore a implantação do cliente e status usando os relatórios e as informações no console Configuration Manager.
Acompanhe quantos clientes estão usando um certificado PKI do cliente exibindo a coluna Certificado do Cliente no workspace Ativos e Conformidade , nó Dispositivos .
Observação
Para clientes que também têm um certificado PKI, o console Configuration Manager exibe a propriedade certificado cliente como autoassinada. A propriedade de certificado do cliente do painel de controle do cliente mostra PKI.
Você também pode implantar a ferramenta de avaliação de preparação HTTPS Configuration Manager (CMHttpsReadiness.exe) em computadores. Em seguida, use os relatórios para exibir quantos computadores podem usar um certificado PKI do cliente com Configuration Manager.
Observação
Quando você instala o cliente Configuration Manager, ele instala a ferramenta CMHttpsReadiness.exe na
%windir%\CCM
pasta. As seguintes opções de linha de comando estão disponíveis quando você executa esta ferramenta:-
/Store:<Certificate store name>
: essa opção é a mesma que a propriedade client.msi CCMCERTSTORE -/Issuers:<Case-sensitive issuer common name>
: Essa opção é a mesma que a propriedade CCMCERTISSUERS client.msi -
/Criteria:<Selection criteria>
: essa opção é a mesma que a propriedade client.msi CCMCERTSEL -
/SelectFirstCert
: essa opção é a mesma que a propriedade client.msi CCMFIRSTCERT
A ferramenta gera informações para o CMHttpsReadiness.log no
CCM\Logs
diretório.Para obter mais informações, consulte Sobre as propriedades de instalação do cliente.
-
Quando você estiver confiante de que clientes suficientes estão usando com êxito o certificado PKI do cliente para autenticação em HTTP, siga estas etapas:
Implante um certificado de servidor Web PKI em um servidor membro que executa outro ponto de gerenciamento para o site e configure esse certificado no IIS. Para obter mais informações, consulte Implantar o certificado do servidor Web para sistemas de site que executam o IIS.
Instale a função de ponto de gerenciamento neste servidor. Configure a opção Conexões do cliente nas propriedades do ponto de gerenciamento para HTTPS.
Monitore e verifique se os clientes que têm um certificado PKI usam o novo ponto de gerenciamento usando HTTPS. Você pode usar o registro em log ou contadores de desempenho do IIS para verificar.
Reconfigure outras funções do sistema de site para usar conexões de cliente HTTPS. Se você quiser gerenciar clientes na Internet, verifique se os sistemas de sites têm um FQDN da Internet. Configure pontos de gerenciamento individuais e pontos de distribuição para aceitar conexões de cliente da Internet.
Importante
Antes de configurar funções do sistema de sites para aceitar conexões da Internet, examine as informações de planejamento e os pré-requisitos para o gerenciamento de clientes baseado na Internet. Para obter mais informações, consulte Comunicações entre pontos de extremidade.
Estenda a distribuição de certificado PKI para clientes e para sistemas de sites que executam o IIS. Configure as funções do sistema de sites para conexões de cliente HTTPS e conexões de Internet, conforme necessário.
Para obter a maior segurança: quando você estiver confiante de que todos os clientes estão usando um certificado PKI do cliente para autenticação e criptografia, altere as propriedades do site para usar somente HTTPS.