• Artikel

Certificaatsjabloonmachtigingen voor certificaatprofielen plannen in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.

De volgende informatie kan u helpen bij het plannen van de configuratie van machtigingen voor certificaatsjablonen die door System Center 2012 Configuration Manager worden gebruikt wanneer u certificaatprofielen implementeert.

Standaardbeveiligingsmachtigingen en overwegingen hiervoor

Dit zijn de standaardbeveiligingsmachtigingen die vereist zijn voor de certificaatsjablonen die door Configuration Manager worden gebruikt om certificaten voor gebruikers en apparaten aan te vragen:

  • Lezen en Registreren voor het account waarvan de toepassingsgroep Registratieservice voor netwerkapparaten gebruik maakt

  • Lezen voor het account waarmee de Configuration Manager-console wordt uitgevoerd

Zie Stap 1: Installeren en configureren van de registratieservice en afhankelijkheden voor netwerkapparaten in Certificaatprofielen configureren in Configuration Manager voor meer informatie over deze beveiligingsmachtigingen.

Wanneer u deze standaardconfiguratie gebruikt, kunnen gebruikers en apparaten niet rechtstreeks certificaten van de certificaatsjablonen aanvragen, en moeten alle aanvragen worden geïnitieerd door de registratieservice voor netwerkapparaten. Dit is een belangrijke beperking, omdat deze certificaatsjablonen moeten worden geconfigureerd met Met de aanvraag meeleveren voor het certificaat Onderwerp, wat betekent dat er een risico op imitatie bestaat als een kwaadwillende gebruiker of een apparaat waarmee is geknoeid, een certificaat aanvraagt. In de standaardconfiguratie moet een dergelijke aanvraag worden geïnitieerd door de registratieservice voor netwerkapparaten. Dit risico op imitatie blijft echter bestaan als er wordt geknoeid met de service waarop de registratieservice voor netwerkapparaten wordt uitgevoerd. Om dit risico te voorkomen, volgt u alle aanbevolen beveiligingsprocedures voor de registratieservice voor netwerkapparaten en voor de computer waarop deze rollenservice wordt uitgevoerd.

Als de standaardbeveiligingsmachtigingen niet voorzien in uw zakelijke vereisten, hebt u nog een andere optie om de beveiligingsmachtigingen voor de certificaatsjablonen te configureren: U kunt de machtigingen Lezen en Registreren toevoegen voor gebruikers en computers.

De machtigingen Lezen en Registreren toevoegen voor gebruikers en computers

Mogelijk is het handig om de machtigingen Lezen en Registreren toe te voegen voor gebruikers en computers als de infrastructuur van uw certificeringsinstantie wordt beheerd door een afzonderlijk team, en dat afzonderlijke team wil dat Configuration Manager controleert of gebruikers een geldig Active Directory Domain Services-account hebben voordat er een certificaatprofiel naar hen wordt verzonden om een gebruikerscertificaat aan te vragen. Voor deze configuratie moet u een of meer beveiligingsgroepen opgeven die de gebruikers bevatten, en vervolgens aan die groepen de machtigingen Lezen en Registreren verlenen voor de certificaatsjablonen. In dit scenario beheert de beheerder van de certificeringsinstantie de beveiligingscontrole.

U kunt op vergelijkbare wijze een of meer beveiligingsgroepen opgeven die computeraccounts bevatten, en aan deze groepen de machtigingen Lezen en Registreren verlenen voor de certificaatsjablonen. Als u een profiel voor een computercertificaat implementeert op een computer die lid is van een domein, moet aan het computeraccount van die computer de machtigingen Lezen en Registreren worden verleend. Deze machtigingen zijn niet vereist als de computer geen lid van het domein is, bijvoorbeeld als het gaat om een werkgroepcomputer of een persoonlijk mobiel apparaat.

Hoewel voor deze configuratie een extra beveiligingscontrole wordt gebruikt, is het niet raadzaam deze als aanbevolen procedure te gebruiken. De opgegeven gebruikers of eigenaren van de apparaten kunnen namelijk onafhankelijk van Configuration Manager certificaten aanvragen en waarden voor het certificaat Onderwerp verstrekken die kunnen worden gebruikt om een andere gebruiker of een ander apparaat te imiteren.

Als u bovendien accounts opgeeft die niet kunnen worden geverifieerd op het moment dat de certificaataanvraag plaatsvindt, zal de certificaataanvraag standaard mislukken. Zo mislukt de certificaataanvraag bijvoorbeeld als de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd, zich in een Active Directory-forest bevindt dat niet wordt vertrouwd door het forest dat de sitesysteemserver van het certificaatregistratiepunt bevat. U kunt het certificaatregistratiepunt zodanig configureren dat het doorgaat als een account niet kan worden geverifieerd omdat er geen reactie is van een domeincontroller. Dit is echter geen aanbevolen beveiligingsprocedure.

Als het certificaatregistratiepunt is geconfigureerd om accountmachtigingen te controleren en er een domeincontroller beschikbaar is die de verificatieaanvraag afwijst (bijvoorbeeld als het account is vergrendeld of verwijderd), mislukt de aanvraag voor certificaatregistratie.

De machtigingen Lezen en Registreren controleren voor gebruikers en computers die lid zijn van het domein

  1. Maak op de sitesysteemserver waarop het certificaatregistratiepunt wordt gehost, de volgende DWORD-registersleutel die de waarde 0 moet hebben: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Als een account niet kan worden geverifieerd omdat er geen reactie van een domeincontroller is, en u de machtigingscontrole wilt omzeilen:

    - Maak op de sitesysteemserver waarop het certificaatregistratiepunt wordt gehost, de volgende DWORD-registersleutel die de waarde 1 moet hebben: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SCCM\\CRP\\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. Op de certificeringsinstantie die het certificaat verleent, voegt u op het tabblad Beveiliging bij de eigenschappen voor de certificaatsjabloon een of meer beveiligingsgroepen toe om de machtigingen Lezen en Registreren te verlenen aan de gebruiker of het apparaat.