Sdílet prostřednictvím

Přehled certifikátů CNG v3

  • Článek

Configuration Manager podporuje certifikáty CNG (Cryptography: Next Generation). Configuration Manager klienti můžou používat ověřovací certifikát klienta PKI s privátním klíčem vygenerovaným a uloženým v poskytovateli úložiště klíčů CNG (KSP). S podporou KSP Configuration Manager klienti podporují privátní klíče založené na hardwaru, jako je tpm KSP pro certifikáty ověřování klientů PKI.

Poznámka

Při použití certifikátů CNG Configuration Manager klienti podporují pouze certifikáty, které používají kryptografický algoritmus RSA.

Podporované scénáře

Rozhraní API pro kryptografii: Další generace (CNG) v3 můžete použít šablony certifikátů pro následující scénáře:

  • Registrace klienta a komunikace s bodem správy HTTPS
  • Distribuce softwaru a nasazení aplikací s distribučním bodem HTTPS
  • Nasazení operačního systému
  • Sada SDK pro zasílání zpráv klientů (s nejnovější aktualizací) a proxy výrobce softwaru
  • Konfigurace brány pro správu cloudu (CMG)
  • Dostupné aplikace cílené na uživatele v Centru softwaru

Certifikáty CNG v3 použijte také pro následující role serveru s podporou HTTPS:

  • Bod správy
  • Distribuční bod
  • Bod aktualizace softwaru
  • Bod migrace stavu
  • Bod registrace certifikátu, včetně serveru NDES s modulem zásad Configuration Manager

Poznámka

CNG je zpětně kompatibilní s rozhraním CRYPTO API (CAPI). Certifikáty CAPI se dál podporují, i když je v klientovi povolená podpora CNG.

Nepodporované scénáře

Následující scénáře se v současné době nepodporují:

  • Následující role serveru nejsou funkční při instalaci v režimu HTTPS s certifikátem CNG v3 vázaným na web v Internetové informační službě (IIS):

    • Bod registrace
    • Zprostředkuje bod registrace

Použití certifikátů CNG

Pokud chcete používat certifikáty CNG v3, musí vaše certifikační autorita (CA) poskytnout šablony certifikátů CNG pro cílové počítače. Podrobnosti šablony se liší v závislosti na scénáři. Jsou však vyžadovány následující vlastnosti:

  • Karta Kompatibilita

    • Certifikační autorita musí být Windows Server 2008 nebo novější. (Doporučuje se Windows Server 2012.)

    • Příjemce certifikátu musí být Windows Vista/Server 2008 nebo novější. (Doporučuje se Windows 8/Windows Server 2012.)

  • Karta Kryptografie

    • Kategorie poskytovatele musí být Zprostředkovatel úložiště klíčů. (povinné)

    • Název algoritmu musí být RSA. (povinné)

    • Žádost musí používat některého z následujících poskytovatelů: musí být Microsoft poskytovatele úložiště softwarových klíčů.

Poznámka

Požadavky na vaše prostředí nebo organizaci se můžou lišit. Obraťte se na odborníka na infrastrukturu veřejných klíčů. Důležitým bodem, který je třeba zvážit, je, že šablona certifikátu musí používat poskytovatele úložiště klíčů, aby využívala CNG.

Pro dosažení nejlepších výsledků doporučujeme sestavit název subjektu z informací služby Active Directory. Jako formát názvu subjektu použijte název DNS a do alternativního názvu subjektu zahrňte název DNS. V opačném případě musíte tyto informace zadat, když se zařízení zaregistruje do profilu certifikátu.