Introdução aos perfis de certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteNota

As informações neste tópico aplicam-se ao System Center 2012 R2 Configuration Manager e ao System Center 2012 R2 Configuration Manager SP1.

Os perfis de certificado do System Center 2012 Configuration Manager funcionam com os Serviços de Certificados do Active Directory e a função do Serviço de Inscrição de Dispositivos de Rede para aprovisionar dispositivos geridos com certificados de autenticação de modo a que os utilizadores possam aceder aos recursos da empresa sem problemas. Por exemplo, pode criar e implementar perfis de certificado para fornecer os certificados necessários para que os utilizadores iniciem as ligações VPN e sem fios.

Os perfis de certificado do Gestor de configuração fornecem as seguintes capacidades de gestão:

  • Inscrição e renovação de certificados de uma autoridade de certificação (AC) empresarial para dispositivos com o iOS, Windows 8.1, Windows RT 8.1 e Android. Estes certificados podem então ser utilizados em ligações Wi-Fi e VPN.

  • Implementação de certificados de AC de raiz fidedigna e de certificados de AC intermediária para configurar uma cadeia de fidedignidade em dispositivos para ligações VPN e Wi-Fi quando é necessária a autenticação de servidor.

  • Monitorização e criação de relatórios sobre os certificados instalados.

Os perfis de certificado podem configurar automaticamente dispositivos de utilizadores para que seja possível aceder aos recursos da empresa, como redes Wi-Fi e servidores VPN, sem necessidade de instalar certificados manualmente ou utilizar um processo fora da banda. Além disso, os perfis de certificado ajudam a manter protegidos os recursos da empresa, na medida em que pode utilizar definições mais seguras que são suportadas pela infraestrutura de chaves públicas (PKI) da sua empresa. Por exemplo, pode requerer a autenticação de servidor para todas as ligações VPN e Wi-Fi porque aprovisionou os certificados necessários nos dispositivos geridos.

Exemplo: Todos os funcionários têm de conseguir estabelecer ligação a hotspots Wi-Fi em múltiplas localizações da empresa. Para o efeito, pode implementar os certificados necessários para estabelecer a ligação Wi-Fi e também implementar perfis Wi-Fi no Gestor de configuração que referenciam o certificado correto a ser utilizado para que a ligação Wi-Fi ocorra sem problemas para os utilizadores.

Exemplo: O utilizador tem um PKI ativo e pretende movê-lo para um método de aprovisionamento de certificados mais flexível e seguro que permita aos utilizadores aceder aos recursos da empresa a partir dos respetivos dispositivos pessoais sem comprometer a segurança. Para tal, pode configurar perfis de certificado com definições e protocolos suportados para a plataforma específica do dispositivo. Os dispositivos podem, então, pedir estes certificados automaticamente a partir de um servidor de inscrição com acesso à Internet. Pode, em seguida, configurar perfis da VPN para utilizar estes certificados de modo a que o dispositivo possa aceder aos recursos da empresa.

Pode criar dois tipos de perfis de certificado no Gestor de configuração:

  • Certificado de AC fidedigna - Permite-lhe implementar um certificado de AC intermediária ou um certificado de AC de raiz fidedigna para formar uma cadeia de fidedignidade de certificados quando o dispositivo precisar de autenticar um servidor.

  • Definições do Protocolo SCEP (Simple Certificate Enrollment Protocol) - Permite-lhe solicitar um certificado para um dispositivo ou utilizador utilizando o protocolo SCEP e o Serviço de Inscrição de Dispositivos de Rede num servidor com o Windows Server 2012 R2.

    System_CAPS_noteNota

    Tem de criar um perfil de certificado do tipo Certificado de AC fidedigna para poder criar um perfil de certificado do tipo Definições do Protocolo SCEP (Simple Certificate Enrollment Protocol).

Para implementar perfis de certificado que utilizam o protocolo SCEP (Simple Certificate Enrollment Protocol), deve instalar o ponto de registo de certificados num servidor do sistema de sites do site de administração central ou num site primário. Deve também instalar um módulo de política para o Serviço de Inscrição de Dispositivos de Rede, o Módulo de Política do Configuration Manager, num servidor que execute o Windows Server 2012 R2 com a função dos Serviços de Certificados do Active Directory e um Serviço de Inscrição de Dispositivos de Rede operacional que seja acessível aos dispositivos que necessitam dos certificados. Para os dispositivos inscritos pelo Microsoft Intune, é necessário que o Serviço de Inscrição de Dispositivos de Rede esteja acessível a partir da Internet, por exemplo, numa sub-rede filtrada (também conhecida como DMZ).

Para obter mais informações sobre como o Serviço de Inscrição de Dispositivos de Rede suporta um módulo de política para que o Gestor de configuração possa implementar certificados, consulte Utilizar um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede.

O Gestor de configuração suporta a implementação de certificados em vários arquivos de certificados, dependendo do requisito, do tipo de dispositivo e do sistema operativo. São suportados os seguintes dispositivos e sistemas operativos:

System_CAPS_importantImportante

Para implementar perfis em dispositivos Android, iOS, Windows Phone e em dispositivos Windows 8.1 inscritos, estes dispositivos têm de estar inscritos no Microsoft Intune. Para obter mais informações sobre como inscrever os seus dispositivos, consulte Gerir dispositivos móveis com o Microsoft Intune.

Um cenário típico no System Center 2012 Configuration Manager é a instalação de certificados de AC de raiz fidedigna para autenticar servidores Wi-Fi e VPN quando a ligação utilizar protocolos de autenticação EAP-TLS, EAP-TTLS e PEAP e protocolos de túnel IKEv2, L2TP/IPsec e Cisco IPsec VPN.

Tem de certificar-se de que está instalado um certificado de AC de raiz empresarial no dispositivo para que este possa solicitar certificados utilizando um perfil de certificado de SCEP.

Pode especificar uma variedade de definições num perfil de certificado de SCEP para solicitar certificados personalizados para vários ambientes ou requisitos de conectividade. O Assistente para Criar Perfil de Certificado contém duas páginas de parâmetros de inscrição. A primeira, Inscrição SCEP, contém definições para o pedido de inscrição e a localização para instalação do certificado. A segunda, Propriedades do Certificado, descreve o certificado pedido.

Quando implementa um perfil de certificado, os ficheiros de certificado no perfil são instalados em dispositivos cliente. Serão também implementados todos os parâmetros de SCEP, e os pedidos de SCEP serão processados no dispositivo cliente. Pode implementar perfis de certificado em coleções de utilizadores ou em coleções de dispositivos e especificar o arquivo de destino de cada certificado. As regras de aplicabilidade determinam se os certificados podem ser instalados no dispositivo. Quando os perfis de certificado são implementados em coleções de utilizadores, a afinidade dispositivo/utilizador determina que dispositivos dos utilizadores instalarão os certificados. Quando os perfis de certificado que contêm os certificados de utilizador são implementados em coleções de dispositivos, por predefinição, os certificados serão instalados em cada um dos dispositivos primários dos utilizadores. Pode alterar este comportamento para instalar o certificado em qualquer um dos dispositivos dos utilizadores na página Inscrição SCEP do Assistente para Criar Perfil de Certificado. Além disso, os certificados de utilizador não serão implementados em dispositivos que forem computadores de grupo de trabalho.

É possível monitorizar implementações do perfil de certificado no nó Implementações da área de trabalho Monitorização da consola do Gestor de configuração.

Também pode utilizar um dos seguintes relatórios do Gestor de configuração para monitorizar os perfis de certificado:

  • Histórico de certificados emitidos pelo ponto de registo de certificados

  • Lista de ativos por estado de emissão de certificados para certificados inscritos pelo ponto de registo de certificados

  • Lista dos ativos com certificados que estão próximos da data de expiração

O Gestor de configuração revoga automaticamente os certificados de utilizador e computador implementados através da utilização de perfis do certificado nas seguintes circunstâncias:

  • O dispositivo é retirado da gestão do Gestor de configuração.

  • O dispositivo é apagado seletivamente.

  • O dispositivo está bloqueado na hierarquia do Gestor de configuração.

Para revogar os certificados, o servidor do site envia um comando de revogação à autoridade de certificação emissora. O motivo da revogação é Cessar a Operação.

Os perfis de certificado são novos no System Center 2012 R2 Configuration Manager. Fornecem as seguintes capacidades e têm algumas configurações dependentes:

  • Implementação de certificados de utilizador e dispositivo para dispositivos geridos utilizando o Protocolo SCEP (Simple Certificate Enrollment Protocol). Estes certificados podem ser utilizados para suportar ligações Wi-Fi e VPN.

  • Os dispositivos suportados incluem os que executam o iOS, Windows 8.1, Windows RT 8.1 e Android.

  • Implementação de certificados de autoridade de certificação (AC) de raiz e certificados de AC intermediária, de forma a que os dispositivos possam criar uma cadeia de certificação quando utilizarem a autenticação de servidor para ligações de rede.

  • Deve ser implementado um ponto de registo de certificados no site de administração central ou num site primário e o Módulo de Política do Configuration Manager tem de ser instalado num servidor com o Windows Server 2012 R2 que tenha os Serviços de Certificados do Active Directory e a função Serviço de Inscrição de Dispositivos de Rede. Este servidor tem de ser acessível a partir da Internet e comunicar com uma AC empresarial para emitir os certificados. Para obter mais informações sobre as alterações efetuadas no Serviço de Inscrição de Dispositivos de Rede para suportar este cenário, consulte What's New in Certificate Services in Windows Server 2012 R2 (Novidades nos Serviços de Certificados do Windows Server 2012 R2).

O Configuration Manager 2012 SP2 permite-lhe aprovisionar ficheiros .pfx (personal information exchange) a dispositivos do utilizador. Os ficheiros .pfx podem ser utilizados para gerar certificados específicos do utilizador para suportar a troca de dados encriptados. Os certificados PFX podem ser importados ou criados dentro do Configuration Manager. Com o Configuration Manager 2012 SP2, os certificados PFX importados ou novos podem ser implementados para dispositivos iOS, dispositivos Android, dispositivos Windows 8.1 e posteriores e dispositivos Windows Phone 8.1 e posteriores. Estes ficheiros podem ser implementados em múltiplos dispositivos para suportar a comunicação PKI com base nos utilizadores. Para mais informações, consulte .

Mostrar: