Introdução aos perfis de certificado no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Os perfis de certificado do O System Center Configuration Manager funcionam com os Serviços de Certificados do Active Directory e a função do Serviço de Inscrição de Dispositivos de Rede para aprovisionar dispositivos geridos com certificados de autenticação de modo a que os utilizadores possam aceder aos recursos da empresa sem problemas. Por exemplo, pode criar e implementar perfis de certificado para fornecer os certificados necessários para que os utilizadores iniciem as ligações VPN e sem fios.

Os perfis de certificado do O System Center Configuration Manager fornecem as seguintes capacidades de gestão:

  • Inscrição e renovação de certificados de uma autoridade de certificação (AC) empresarial para dispositivos com o iOS, Windows 8.1, Windows RT 8.1, Windows 10 Desktop e Mobile e Android. Estes certificados podem então ser utilizados em ligações Wi-Fi e VPN.

  • Implementação de certificados de AC de raiz fidedigna e de certificados de AC intermediária para configurar uma cadeia de fidedignidade em dispositivos para ligações VPN e Wi-Fi quando é necessária a autenticação de servidor.

  • Monitorização e criação de relatórios sobre os certificados instalados.

Os perfis de certificado podem configurar automaticamente dispositivos de utilizadores para que seja possível aceder aos recursos da empresa, como redes Wi-Fi e servidores VPN, sem necessidade de instalar certificados manualmente ou utilizar um processo fora da banda. Além disso, os perfis de certificado ajudam a manter protegidos os recursos da empresa, na medida em que pode utilizar definições mais seguras que são suportadas pela infraestrutura de chaves públicas (PKI) da sua empresa. Por exemplo, pode requerer a autenticação de servidor para todas as ligações VPN e Wi-Fi porque aprovisionou os certificados necessários nos dispositivos geridos.

Exemplo: todos os funcionários têm de conseguir estabelecer ligação a hotspots Wi-Fi em múltiplas localizações da empresa. Para o efeito, pode implementar os certificados necessários para estabelecer a ligação Wi-Fi e também implementar perfis Wi-Fi no O System Center Configuration Manager que referenciam o certificado correto a ser utilizado para que a ligação Wi-Fi ocorra sem problemas para os utilizadores.

Exemplo: o utilizador tem um PKI ativo e pretende movê-lo para um método de aprovisionamento de certificados mais flexível e seguro que permita aos utilizadores aceder aos recursos da empresa a partir dos respetivos dispositivos pessoais sem comprometer a segurança. Para tal, pode configurar perfis de certificado com definições e protocolos suportados para a plataforma específica do dispositivo. Os dispositivos podem, então, pedir estes certificados automaticamente a partir de um servidor de inscrição com acesso à Internet. Pode, em seguida, configurar perfis da VPN para utilizar estes certificados de modo a que o dispositivo possa aceder aos recursos da empresa.

Pode criar dois tipos de perfis de certificado no O System Center Configuration Manager:

  • Certificado de AC fidedigna - Permite-lhe implementar um certificado de AC intermediária ou um certificado de AC de raiz fidedigna para formar uma cadeia de fidedignidade de certificados quando o dispositivo precisar de autenticar um servidor.

  • Definições do Protocolo SCEP (Simple Certificate Enrollment Protocol) - Permite-lhe solicitar um certificado para um dispositivo ou utilizador utilizando o protocolo SCEP e o Serviço de Inscrição de Dispositivos de Rede num servidor com o Windows Server 2012 R2.

    System_CAPS_ICON_note.jpg Nota


    Tem de criar um perfil de certificado do tipo Certificado de AC fidedigno para poder criar um perfil de certificado do tipo Definições do Protocolo SCEP (Simple Certificate Enrollment Protocol).

Para implementar perfis de certificado que utilizam o protocolo SCEP (Simple Certificate Enrollment Protocol), deve instalar o ponto de registo de certificados num servidor do sistema de sites do site de administração central ou num site primário. Deve também instalar um módulo de política para o Serviço de Inscrição de Dispositivos de Rede, o Módulo de Política do Configuration Manager, num servidor que execute o Windows Server 2012 R2 com a função dos Serviços de Certificados do Active Directory e um Serviço de Inscrição de Dispositivos de Rede operacional que seja acessível aos dispositivos que necessitam dos certificados. Para os dispositivos inscritos pelo Microsoft Intune, é necessário que o Serviço de Inscrição de Dispositivos de Rede esteja acessível a partir da Internet, por exemplo, numa sub-rede filtrada (também conhecida como DMZ).

Para obter mais informações sobre como o Serviço de Inscrição de Dispositivos de Rede suporta um módulo de política para que o O System Center Configuration Manager possa implementar certificados, veja Utilizar um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede.

O System Center Configuration Manager suporta a implementação de certificados em vários arquivos de certificados, dependendo do requisito, do tipo de dispositivo e do sistema operativo. São suportados os seguintes dispositivos e sistemas operativos:

System_CAPS_ICON_important.jpg Importante


Para implementar perfis em dispositivos Android, iOS e Windows Phone e em dispositivos Windows 8.1 ou posterior inscritos, estes dispositivos têm de estar inscritos no Microsoft Intune. Para obter mais informações sobre como inscrever os seus dispositivos, veja Gerir dispositivos móveis com o Microsoft Intune.

Um cenário típico no O System Center Configuration Manager é a instalação de certificados de AC de raiz fidedigna para autenticar servidores Wi-Fi e VPN quando a ligação utilizar protocolos de autenticação EAP-TLS, EAP-TTLS e PEAP e protocolos de túnel IKEv2, L2TP/IPsec e Cisco IPsec VPN.

Tem de certificar-se de que está instalado um certificado de AC de raiz empresarial no dispositivo para que este possa solicitar certificados utilizando um perfil de certificado de SCEP.

Pode especificar uma variedade de definições num perfil de certificado de SCEP para solicitar certificados personalizados para vários ambientes ou requisitos de conectividade. O Assistente para Criar Perfil de Certificado contém duas páginas de parâmetros de inscrição. A primeira, Inscrição SCEP, contém definições para o pedido de inscrição e a localização para instalação do certificado. A segunda, Propriedades do Certificado, descreve o certificado pedido.

Quando implementa um perfil de certificado, os ficheiros de certificado no perfil são instalados em dispositivos cliente. Serão também implementados todos os parâmetros de SCEP, e os pedidos de SCEP serão processados no dispositivo cliente. Pode implementar perfis de certificado em coleções de utilizadores ou em coleções de dispositivos e especificar o arquivo de destino de cada certificado. As regras de aplicabilidade determinam se os certificados podem ser instalados no dispositivo. Quando os perfis de certificado são implementados em coleções de utilizadores, a afinidade dispositivo/utilizador determina que dispositivos dos utilizadores instalarão os certificados. Quando os perfis de certificado que contêm os certificados de utilizador são implementados em coleções de dispositivos, por predefinição, os certificados serão instalados em cada um dos dispositivos primários dos utilizadores. Pode alterar este comportamento para instalar o certificado em qualquer um dos dispositivos dos utilizadores na página Inscrição SCEP do Assistente para Criar Perfil de Certificado. Além disso, os certificados de utilizador não serão implementados em dispositivos que forem computadores de grupo de trabalho.

É possível monitorizar implementações do perfil de certificado no nó Implementações da área de trabalho Monitorização da consola do O System Center Configuration Manager.

Também pode utilizar um dos seguintes relatórios do O System Center Configuration Manager para monitorizar os perfis de certificado:

  • Histórico de certificados emitidos pelo ponto de registo de certificados

  • Lista de ativos por estado de emissão de certificados para certificados inscritos pelo ponto de registo de certificados

  • Lista dos ativos com certificados que estão próximos da data de expiração

O System Center Configuration Manager revoga automaticamente os certificados de utilizador e computador implementados através da utilização de perfis do certificado nas seguintes circunstâncias:

  • O dispositivo é retirado da gestão do O System Center Configuration Manager.

  • O dispositivo é apagado seletivamente.

  • O dispositivo está bloqueado na hierarquia do O System Center Configuration Manager.

Para revogar os certificados, o servidor do site envia um comando de revogação à autoridade de certificação emissora. O motivo da revogação é Cessar a Operação.

Perfis de certificado no System Center Configuration Manager

Mostrar: