Cuando se utiliza una solución de Microsoft PKI, las plantillas de certificado te pueden facilitar la gestión de estos certificados. Los certificados basados en plantillas solo pueden ser emitidos por una autoridad de certificación de empresa que se ejecuta en Windows Server 2003 Enterprise Edition o Windows Server 2003 Datacenter Edition o Windows Server 2008 Enterprise o Windows Server 2008 Datacenter. Sin embargo, no utilices la versión 3 de las plantillas (Windows Server 2008, Enterprise Edition). Estas plantillas de certificado crean certificados que son incompatibles con Configuration Manager.
Utilice las siguientes secciones para ver los requisitos de certificación.
ertificados PKI de los servidores
Componente Configuration Manager | Propósito del certificado | Plantilla de certificado que se utilizará | La información específica en el certificado | ¿Cómo se utiliza el certificado en Configuration Manager | ||
| Los Sitio de sistema que se ejecutan en Internet Information Services (IIS) y que están configurados para conexiones de cliente HTTPS: - Management Point - Distribution Point - Software Update Point - Migration Point - Enrollment Point - Enrollment Proxy Point - Application Catalog web service Point -Application Catalog website Point | Servidor de autenticación | Servidor Web | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del servidor (1.3.6.1.5.5.7.3.1). Si el sitio de sistema acepta conexiones de Internet, el nombre del sujeto o nombre alternativo del sujeto debe contener el nombre de dominio de Internet completo (FQDN). Si el sistema del sitio acepta conexiones de la intranet, el nombre del sujeto o nombre alternativo del sujeto debe contener el nombre completo de intranet (recomendado) o el nombre del equipo, dependiendo de cómo el sitio de sistema esté configurado. Si el sitio de sistema acepta conexiones desde la Internet y la intranet, tanto el nombre completo de Internet y la intranet FQDN (o nombre del equipo) se debe especificar con el signo (&) símbolo delimitador entre los dos nombres.
Configuration Manager no especifica una longitud máxima de clave soportada para este certificado. Consulta la documentación PKI y la documentación de IIS para todas las cuestiones relacionadas con la clave y con el tamaño de este certificado. | Este certificado debe residir en el almacén personal del almacén de certificados de equipos. Este certificado de servidor Web se utiliza para autenticar los servidores para el cliente y para cifrar todos los datos transferidos entre el cliente y los servidores de estos mediante el uso de Secure Sockets Layer (SSL). | ||
| Cluster Network Load Balancing (NLB) para un punto de actualización de software | Servidor de autenticación | Servidor Web | 1 El FQDN del clúster de NLB en el campo Nombre de sujeto, o en el campo Nombre Alternativo: - Para los servidores de la red de balanceo de carga que soportan a través de Internet la gestión de clientes, el uso de Internet NLB FQDN. - Para los servidores de la red de balanceo de carga que soportan clientes de la intranet, el uso de la intranet de NLB FQDN. 2 El nombre de equipo del sitio de sistema en el clúster de NLB en el campo Nombre del sujeto o en el campo Nombre alternativo del sujeto. El nombre del servidor se debe especificar después del nombre del clúster de NLB y el signo (&) limitador de símbolo: - Para los sistemas del sitio en la intranet, utilice el nombre completo de intranet si se especifica (recomendado) o el nombre del equipo NetBIOS. - Para los sistemas de soporte del sitio de Internet basado en la gestión de clientes, utilizar el nombre completo de Internet. Los algoritmos hash SHA-1 y SHA-2 son compatibles. | Este certificado se utiliza para autenticar la carga de red equilibrio del punto de actualización de software para el cliente, y para cifrar todos los datos transferidos entre el cliente y los servidores de estos mediante el uso de SSL. | ||
| Servidores del sitio de sistema y los servidores que ejecutan Microsoft SQL Server | Servidor de autenticación | Servidor Web | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del servidor (1.3.6.1.5.5.7.3.1). El nombre del sujeto debe contener el nombre de dominio de intranet completo (FQDN). Los algoritmos hash SHA-1 y SHA-2 son compatibles. Longitud máxima de soporte de la clave es 2048 bits. | Este certificado debe residir en el almacén personal del almacén de certificados de informática y el Configuration Manager automáticamente se copia almacén de personas de confianza para los servidores en la jerarquía de Configuration Manager que podría tener para establecer la confianza con el servidor. Estos certificados se utilizan para la autenticación de servidor a servidor. | ||
| Monitorización de los Sitio de sistema para las funciones de sitio de sistema siguientes: - Management point - State Migration Point | Autenticación del cliente | Autenticación de la Estación de trabajo | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del cliente (1.3.6.1.5.5.7.3.2). Los ordenadores deben tener un valor único en el campo Nombre del sujeto o en el campo Nombre alternativo del sujeto.
Longitud máxima de soporte de la clave es 2048 bits. | Este certificado se necesita en los servidores del sistema de sitio listados, incluso si el cliente SCCM 2012 no se instala, de manera que la “salud” de estas funciones del sitio de sistema puedan ser monitorizadas y reportadas al sitio. El certificado para estos sitios de sistema debe residir en el almacén personal del almacén de certificados de equipos. | ||
| Los sitios de sistema que tienen un punto de distribución instalado | Autenticación del cliente | Autenticación de la Estación de trabajo | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del cliente (1.3.6.1.5.5.7.3.2). No hay requisitos específicos para el sujeto del certificado o el nombre alternativo del sujeto (SAN), y se puede utilizar el mismo certificado para varios puntos de distribución. La clave privada debe ser exportable. Los algoritmos hash SHA-1 y SHA-2 son compatibles. Longitud máxima de soporte de la clave es 2048 bits. | Este certificado tiene dos propósitos: - Autenticar el punto de distribución a un punto de administración HTTPS habilitado antes de que el punto de distribución envie mensajes de estado. - Cuando este habilitado PXE para soportar clientes la opción del punto de distribución está seleccionada, el certificado se envía a los equipos por lo que si las secuencias de tareas en el proceso de implementación del sistema operativo incluyen las acciones del cliente como la recuperación de políticas de cliente o el envío de la información del inventario, los equipos cliente pueden conectarse a un punto de administración con HTTPS habilitado durante el despliegue del sistema operativo. Este certificado debe ser exportado en un formato estándar de certificados de clave pública (PKCS # 12) y la contraseña debe ser conocida para que pueda ser importado en las propiedades del punto de distribución. Este certificado se utiliza mientras dure el proceso de implementación del sistema operativo y no se instala en el cliente. Debido a este uso temporal, el mismo certificado puede ser utilizado para cualquier implementación del sistema operativo si no se desea utilizar varios certificados de cliente.
| ||
| Out of Band Service Point | Aprovisionamiento AMT | Web Server (modificado) | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del servidor (1.3.6.1.5.5.7.3.1) y el identificador de objeto siguiente: 2.16.840.1.113741.1.2.3. El campo de nombre de sujeto debe contener el nombre completo del servidor que aloja el Out of Band Service Point.
Longitudes de clave Compatibles: 1024 y 2048. Para AMT 6.0 y versiones posteriores, la longitud de clave de 4096 bits también se soporta. | Este certificado se encuentra en el almacén personal del almacén de certificados del equipo Out of Band Service Point del servidor de sitios de sistema. Este certificado aprovisionamiento AMT se utiliza para preparar los equipos para la administración fuera de banda. (out of band) Debes solicitar el certificado de una CA que suministra los certificados de aprovisionamiento AMT, y la extensión de la BIOS para los equipos basados en procesadores Intel AMT que están configurados para utilizar la huella digital del certificado raíz (también conocido como el hash del certificado) de este certificado de aprovisionamiento. VeriSign es un ejemplo típico de una CA externa que proporciona certificados de aprovisionamiento AMT, pero también se puede utilizar el CA interno. Instalar el certificado en el servidor que aloja el Out of Band Service Point ,que debe ser capaz de dar con éxito la cadena de la CA raíz del certificado. (Por defecto, el certificado de CA raíz y la CA intermedia del certificado VeriSign se instalan cuando se instala Windows.) |
Servidores Web Proxy para administración de clientes basados en Internet
 Nota | ||||
Si usted está usando un servidor web proxy sin terminación SSL (tunneling), no se requieren certificados adicionales en el servidor web proxy. | ||||
Componente de infraestructura de red | Propósito del certificado | Plantilla de certificado que se utilizará | La información específica en el certificado | Como se utiliza el certificado en Configuration Manager |
| Web Proxy Server acepta conexiones de clientes a través de Internet | Servidor de autenticación y autenticación del cliente | 1 Servidor Web 2 Autenticación de la Estación de trabajo | Internet FQDN en el campo Nombre de Asunto o en el campo Nombre alternativo del sujeto (si está utilizando plantillas de certificados de Microsoft, el nombre alternativo del sujeto está disponible con la plantilla de la estación de trabajo solamente). Los algoritmos hash SHA-1 y SHA-2 son compatibles. | Este certificado se utiliza para autenticar los siguientes servidores a los clientes de Internet y para cifrar todos los datos transferidos entre el cliente y el servidor usando SSL: - Internet-based management point - Internet-based distribution point - Internet-based software update point La autenticación del cliente se utiliza para tender un puente entre las conexiones de los clientes SCCM 2012, y los sitios de sistema basados en Internet. |
Certificados PKI para Clientes
Componente Configuration Manager | Propósito del certificado | Plantilla de certificado que se utilizará | Información específica en el certificado de | Como se utiliza certificado en Configuration Manager | ||
| Eequipos cliente | Autenticación del cliente | Autenticación de la Estación de trabajo | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del cliente (1.3.6.1.5.5.7.3.2). Los equipos cliente deben tener un valor único en el campo Nombre del sujeto o en el campo Nombre alternativo del sujeto.
Longitud máxima de soporte de la clave es 2048 bits. | De forma predeterminada, Configuration Manager busca certificados de equipo en el almacén personal del almacén de certificados de equipos. Con la excepción del Software update point y el Application Catalog website point, este certificado autentica el cliente a los servidores del sitio de sistema que ejecuta IIS y que están configurados para utilizar HTTPS. | ||
| Los clientes de dispositivos móviles | Autenticación del cliente | Sesión autenticada | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del cliente (1.3.6.1.5.5.7.3.2). SHA-1 es el único algoritmo hash soportado. Longitud máxima de soporte de clave es 2048 bits.
| Este certificado autentica el cliente móvil para los servidores del sitio de sistema que se comunica con, los puntos de administración y puntos de distribución. | ||
| Imágenes de arranque para la implementación de los sistemas operativos | Autenticación del cliente | Autenticación de la Estación de trabajo | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del cliente (1.3.6.1.5.5.7.3.2). No hay requisitos específicos para el campo Nombre de certificado de Asunto o Nombre alternativo del sujeto (SAN), y se puede utilizar el mismo certificado para todos los magos de arranque. La clave privada debe ser exportable. Los algoritmos hash SHA-1 y SHA-2 son compatibles. Longitud máxima de soporte de la clave es 2048 bits. | El certificado se utiliza si las secuencias de tareas en el proceso de implementación del sistema operativo incluyen las acciones del cliente como la recuperación de políticas de cliente o el envío de información de inventario. Este certificado se utiliza mientras dura el proceso de implementación del sistema operativo y no se instala en el cliente. Debido a este uso temporal, el mismo certificado puede ser utilizado para cualquier implementación del sistema operativo si no se desea utilizar varios certificados de cliente. Este certificado debe ser exportado en un estándar de formato de certificados de clave pública (PKCS # 12) y la contraseña debe ser conocida para que pueda ser importado en las imágenes de arranque de Configuration Manager.
| ||
| Autoridad de certificados Raíz (CA) de certificados para los siguientes escenarios: - Despliegue de sistemas operativos - La inscripción de dispositivos móviles - Autenticación de servidor RADIUS para equipos basados en Intel AMT - Autenticación de certificados Cliente | Cadena de Certificado a fuente de confianza | No se aplica. | La raíz estándar de certificado de CA. | El certificado raíz de CA se debe proporcionar cuando los clientes tienen la cadena de los certificados del servidor que se comunican a una fuente de confianza. Esto se aplica en los siguientes escenarios: - Al implementar un sistema operativo y ejecutar las secuencias de tareas que conectan el equipo cliente a un punto de administración que está configurado para utilizar HTTPS. - Cuando te inscribes en un dispositivo móvil que será gestionado por SCCM 2012. - Cuando se utiliza la autenticación 802.1X para equipos basados en AMT, y desesa especificar un archivo de certificado raíz del servidor RADIUS. Además, el certificado raiz CA para los clientes debe ser proporcionado si los certificados de cliente son emitidos por una jerarquía distinta de CA de la jerarquía de CA que emitió el certificado del punto de administración. | ||
| Equipos basados en Intel AMT | Servidor de autenticación. | Web Server (modificado) Debes configurar el nombre del sujeto para construir a partir de esta información de Active Directory, a continuación, selecciona el nombre común para el formato de nombre de sujeto. Debe conceder permisos Leer e Inscribir (enroll) al grupo de seguridad universal que se especifica en las propiedades de los compopnentes de la administración de Out of Band | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del servidor (1.3.6.1.5.5.7.3.1) El nombre del sujeto debe contener el nombre completo del equipo basado en AMT, que se suministra de forma automática desde Active Directory Domain Services. SHA-1 es el único algoritmo hash soportado. Longitud máxima de soporte de clave es 2048 bits. | Este certificado se encuentra en la memoria de acceso aleatorio no volátil del controlador de gestión en el equipo y no es visible en la interfaz de usuario de Windows. Cada equipo basado en Intel AMT solicita este certificado durante el aprovisionamiento AMT y para las actualizaciones posteriores. Si elimina la información de aprovisionamiento AMT desde estos ordenadores, se revocará este certificado. Cuando este certificado se ha instalado en equipos basados e Intel AMT, la cadena de certificados de la raiz CA también está instalada. Equipos basados en AMT no pueden soportar certificados de CA con una longitud de clave superior a 2048 bits. Después de que el certificado está instalado en equipos basados Intel AMT, este certificado autentifica los equipos basados en AMT en los sitios de sistema out of band service point del servidor del sitio y a los equipos que ejecutan la salida de la consola de administracion, y encripta todos los datos transferidos entre ellos mediante el uso de Transport Layer Security (TLS). | ||
| Certificado de cliente Intel AMT 802.1X | Autenticación del cliente | Autenticación de Estación de trabajo Debes configurar el nombre del sujeto para construir a partir de esta información de Active Directory, a continuación, selecciona el nombre común para el formato de nombre de sujeto, borrar el nombre DNS y seleccionar el nombre principal de usuario (UPN) para el nombre de sujeto alternativo. Debes conceder al grupo de seguridad universal que se especifica en el las propiedades de los componentes de la de la administración de Out of Band permisos Leer e Inscribir (enroll) | El Valor de uso mejorado de claves( Enhahced Key Usage) debe contener la autenticación del cliente (1.3.6.1.5.5.7.3.2). El campo de nombre de sujeto debe contener el nombre completo del equipo basado en AMT y el nombre alternativo del sujeto debe contener la UPN. Longitud máxima de soporte de clave es 2048 bits. | Este certificado se encuentra en la memoria de acceso aleatorio no volátil del controlador de gestión en el equipo y no es visible en la interfaz de usuario de Windows. Cada equipobasado en Intel AMT solicitar este certificado durante el aprovisionamiento AMT, pero no revocar este certificado cuando la información de aprovisionamiento AMT se retira. Después de que el certificado está instalado en los equipos basados en AMT, este certificado autentifica los equipos AMT basado en el servidor RADIUS de forma que puede ser autorizado para acceso a la red. |
No hay comentarios:
Publicar un comentario