Přehled certifikátů CNG v3
Configuration Manager podporuje certifikáty CNG (Cryptography: Next Generation). Configuration Manager klienti můžou používat ověřovací certifikát klienta PKI s privátním klíčem vygenerovaným a uloženým v poskytovateli úložiště klíčů CNG (KSP). S podporou KSP Configuration Manager klienti podporují privátní klíče založené na hardwaru, jako je tpm KSP pro certifikáty ověřování klientů PKI.
Poznámka
Při použití certifikátů CNG Configuration Manager klienti podporují pouze certifikáty, které používají kryptografický algoritmus RSA.
Podporované scénáře
Rozhraní API pro kryptografii: Další generace (CNG) v3 můžete použít šablony certifikátů pro následující scénáře:
- Registrace klienta a komunikace s bodem správy HTTPS
- Distribuce softwaru a nasazení aplikací s distribučním bodem HTTPS
- Nasazení operačního systému
- Sada SDK pro zasílání zpráv klientů (s nejnovější aktualizací) a proxy výrobce softwaru
- Konfigurace brány pro správu cloudu (CMG)
- Dostupné aplikace cílené na uživatele v Centru softwaru
Certifikáty CNG v3 použijte také pro následující role serveru s podporou HTTPS:
- Bod správy
- Distribuční bod
- Bod aktualizace softwaru
- Bod migrace stavu
- Bod registrace certifikátu, včetně serveru NDES s modulem zásad Configuration Manager
Poznámka
CNG je zpětně kompatibilní s rozhraním CRYPTO API (CAPI). Certifikáty CAPI se dál podporují, i když je v klientovi povolená podpora CNG.
Nepodporované scénáře
Následující scénáře se v současné době nepodporují:
Následující role serveru nejsou funkční při instalaci v režimu HTTPS s certifikátem CNG v3 vázaným na web v Internetové informační službě (IIS):
- Bod registrace
- Zprostředkuje bod registrace
Použití certifikátů CNG
Pokud chcete používat certifikáty CNG v3, musí vaše certifikační autorita (CA) poskytnout šablony certifikátů CNG pro cílové počítače. Podrobnosti šablony se liší v závislosti na scénáři. Jsou však vyžadovány následující vlastnosti:
Karta Kompatibilita
Certifikační autorita musí být Windows Server 2008 nebo novější. (Doporučuje se Windows Server 2012.)
Příjemce certifikátu musí být Windows Vista/Server 2008 nebo novější. (Doporučuje se Windows 8/Windows Server 2012.)
Karta Kryptografie
Kategorie poskytovatele musí být Zprostředkovatel úložiště klíčů. (povinné)
Název algoritmu musí být RSA. (povinné)
Žádost musí používat některého z následujících poskytovatelů: musí být Microsoft poskytovatele úložiště softwarových klíčů.
Poznámka
Požadavky na vaše prostředí nebo organizaci se můžou lišit. Obraťte se na odborníka na infrastrukturu veřejných klíčů. Důležitým bodem, který je třeba zvážit, je, že šablona certifikátu musí používat poskytovatele úložiště klíčů, aby využívala CNG.
Pro dosažení nejlepších výsledků doporučujeme sestavit název subjektu z informací služby Active Directory. Jako formát názvu subjektu použijte název DNS a do alternativního názvu subjektu zahrňte název DNS. V opačném případě musíte tyto informace zadat, když se zařízení zaregistruje do profilu certifikátu.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro