Požadavky na certifikát PKI pro nástroj Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Certifikáty infrastruktury veřejného klíče (PKI), jež můžete potřebovat pro nástroj System Center 2012 Configuration Manager, jsou uvedeny v následujících tabulkách. Tyto informace předpokládají základní znalost certifikátů PKI. Příklad nasazení tohoto certifikátu krok po kroku nabízí téma Podrobný příklad nasazení certifikátů PKI pro nástroj Configuration Manager: certifikační autorita systému Windows Server 2008. Další informace o službě AD CS (Active Directory Certificate Services) naleznete v následující dokumentaci:
U systému Windows Server 2012: Přehled služby AD CS (Active Directory Certificate Services)
Pro Windows Server 2008: Služba AD CS v systému Windows Server 2008
Kromě klientských certifikátů, které Configuration Manager registruje v mobilních zařízeních a počítačích Mac, certifikátů, které Microsoft Intune automaticky vytváří pro správu mobilních zařízení, a certifikátů, které Configuration Manager instaluje do počítačů s technologií AMT, můžete k vytváření, nasazení a správě následujících certifikátů použít libovolnou infrastrukturu veřejných klíčů. Pokud však použijete službu AD CS a šablony certifikátů, může vám řešení Microsoft PKI usnadnit správu certifikátů. Podle informací ve sloupci Použitá šablona certifikátu Microsoft v následujících tabulkách vyberte šablonu certifikátu, který bude nejlépe vyhovovat požadavkům na certifikát. Certifikáty vycházející ze šablon mohou být vydávány pouze certifikační autoritou rozlehlé sítě v serverovém operačním systému verze Enterprise Edition nebo Datacenter Edition, např. Windows Server 2008 Enterprise nebo Windows Server 2008 Datacenter.
.jpeg "System_CAPS_important") Důležité |
|---|
Použijete-li certifikační autoritu rozlehlé sítě a šablony certifikátů, nepoužívejte šablony verze 3. Tyto šablony certifikátů vytvářejí certifikáty nekompatibilní s nástrojem Configuration Manager. Použijte šablony verze 2 a postupujte podle následujících instrukcí:
|
Následující části uvádějí požadavky na certifikáty.
Certifikáty PKI pro servery
Součást produktu Configuration Manager |
Podle účelu certifikátů |
Použitá šablona certifikátu Microsoft |
Konkrétní informace v certifikátu |
Způsob použití certifikátu v aplikaci Configuration Manager |
||
|---|---|---|---|---|---|---|
Systémy lokalit, které používají Internetovou informační službu (IIS) a které jsou nakonfigurovány k připojování klientů přes protokol HTTPS:
|
Ověření serveru |
Webový server |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření serveru (1.3.6.1.5.5.7.3.1). Pokud systém lokality akceptuje připojení z Internetu, musí Název subjektu nebo Alternativní název subjektu obsahovat plně kvalifikovaný název domény (FQDN) v síti Internet. Pokud systém lokality akceptuje připojení z intranetu, musí Název subjektu nebo Alternativní název subjektu obsahovat podle konkrétní konfigurace systému lokality buď plně kvalifikovaný název domény (doporučeno), nebo název počítače. Pokud systém lokality akceptuje připojení z Internetu i intranetu, musí být zadán jak plně kvalifikovaný název domény v síti Internet, tak intranetový plně kvalifikovaný název domény (nebo název počítače) a tyto názvy musí být odděleny znakem &.
Podporovány jsou algoritmy hash SHA-1 a SHA-2. Nástroj Configuration Manager neomezuje maximální podporovanou délku klíče pro tento certifikát. Případné otázky k velikosti klíče pro tento certifikát zkontrolujte v dokumentaci k infrastruktuře veřejného klíče a ke službě IIS. |
Tento certifikát musí být umístěn v osobním úložišti v úložišti certifikátů počítače. Tento certifikát webových serverů slouží k ověřování těchto serverů klientovi a k šifrování všech dat přenesených mezi klientem a těmito servery technologií SSL (Secure Sockets Layer). |
||
Cloudový distribuční bod |
Ověření serveru |
Webový server |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření serveru (1.3.6.1.5.5.7.3.1). Název subjektu musí jako Běžný název pro konkrétní instanci cloudového distribučního bodu obsahovat uživatelem definovaný název služby a název domény ve formátu plně kvalifikovaného názvu domény. Musí být povolen export soukromého klíče. Podporovány jsou algoritmy hash SHA-1 a SHA-2. Podporované délky klíčů: 2048 bitů. |
Pro System Center 2012 Configuration Manager SP1 a novější: Tento certifikát služeb slouží k ověřování cloudového distribučního bodu klientům nástroje Configuration Manager a k šifrování všech dat přenesených mezi nimi technologií SSL (Secure Sockets Layer). Tento certifikát musí být exportován ve formátu Public Key Certificate Standard (PKCS #12) a musí být známo heslo, aby mohl být certifikát importován při vytváření cloudového distribučního bodu. Poznámka Tento certifikát se používá současně s certifikátem správy služby Windows Azure. Další informace o tomto certifikátu naleznete v tématech How to Create a Management Certificate (Postup vytvoření certifikátu správy) a How to Add a Management Certificate to a Windows Azure Subscription (Přidání certifikátu správy do odběru služby Windows Azure) v části Windows Azure Platform (Platforma Windows Azure) v knihovně MSDN. |
||
Cluster služby Vyrovnávání zatížení sítě (NBL) pro bod aktualizace softwaru |
Ověření serveru |
Webový server |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření serveru (1.3.6.1.5.5.7.3.1).
Podporovány jsou algoritmy hash SHA-1 a SHA-2. |
Pro nástroj System Center 2012 Configuration Manager bez aktualizace Service Pack: Tento certifikát slouží k ověřování bodu aktualizace softwaru se službou vyrovnávání zatížení sítě klientovi a k šifrování všech dat přenesených mezi klientem a těmito servery technologií SSL. Poznámka Tento certifikát se vztahuje pouze k verzi Configuration Manager bez aktualizace Service Pack, protože počínaje verzí System Center 2012 Configuration Manager SP1 nejsou body aktualizace softwaru se službou NLB podporovány. |
||
Servery systému lokality se systémem Microsoft SQL Server |
Ověření serveru |
Webový server |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření serveru (1.3.6.1.5.5.7.3.1). Název subjektu musí obsahovat intranetový plně kvalifikovaný název domény (FQDN). Podporovány jsou algoritmy hash SHA-1 a SHA-2. Maximální podporovaná délka klíče je 2048 bitů. |
Tento certifikát musí být umístěn v osobním úložišti v úložišti certifikátů počítače a nástroj Configuration Manager ho automaticky zkopíruje do úložiště Důvěryhodné osoby pro servery v hierarchii nástroje Configuration Manager, které mohou komunikovat pouze s důvěryhodnými servery. Tyto certifikáty slouží k ověřování mezi servery. |
||
Cluster serveru SQL Server: Servery systému lokality se systémem Microsoft SQL Server |
Ověření serveru |
Webový server |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření serveru (1.3.6.1.5.5.7.3.1). Název subjektu musí obsahovat intranetový plně kvalifikovaný název domény (FQDN) clusteru. Musí být povolen export soukromého klíče. Chcete-li v nástroji Configuration Manager používat cluster serveru SQL Server, musí mít certifikát období platnosti alespoň dva roky. Podporovány jsou algoritmy hash SHA-1 a SHA-2. Maximální podporovaná délka klíče je 2048 bitů. |
Až si vyžádáte a nainstalujete tento certifikát do jednoho z uzlů v clusteru, vyexportujte certifikát a naimportujte ho do všech dalších uzlů v clusteru serveru SQL Server. Tento certifikát musí být umístěn v osobním úložišti v úložišti certifikátů počítače a nástroj Configuration Manager ho automaticky zkopíruje do úložiště Důvěryhodné osoby pro servery v hierarchii nástroje Configuration Manager, které mohou komunikovat pouze s důvěryhodnými servery. Tyto certifikáty slouží k ověřování mezi servery. |
||
Sledování systému lokality pro tyto role systému lokality:
|
Ověření klienta |
Ověřování pracovní stanice |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Počítače musí mít v poli Název subjektu nebo Alternativní název subjektu jedinečnou hodnotu. Poznámka Pokud v poli Alternativní název subjektu použijete více hodnot, bude použita pouze první z nich. Podporovány jsou algoritmy hash SHA-1 a SHA-2. Maximální podporovaná délka klíče je 2048 bitů. |
Tento certifikát je vyžadován na uvedených serverech systému lokality, i když není nainstalován klient nástroje System Center 2012 Configuration Manager, aby bylo možné sledovat zdraví rolí systému lokality a předávat tyto informace lokalitě. Certifikát pro tyto systémy lokality musí být umístěn v osobním úložišti v úložišti certifikátů počítače. |
||
Servery používající Modul zásad nástroje Configuration Manager se službou role Služby zápisu síťových zařízení. |
Ověření klienta |
Ověřování pracovní stanice |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Na Název subjektu ani Alternativní název subjektu (SAN) se nevztahují žádné zvláštní požadavky a stejný certifikát můžete použít pro více serverů používajících Službu zápisu síťových zařízení. Podporovány jsou algoritmy hash SHA-1, SHA-2 a SHA-3. Podporované délky klíčů: 1024 bitů a 2048 bitů. |
Informace v tomto tématu se vztahují jenom na verze System Center 2012 R2 Configuration Manageru. Tento certifikát ověřuje Modul zásad nástroje Configuration Manager pro server systému lokality bodu registrace certifikátu, aby mohl nástroj Configuration Manager zapisovat certifikáty pro uživatele a zařízení. |
||
Systémy lokality s nainstalovaným distribučním bodem |
Ověření klienta |
Ověřování pracovní stanice |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Na předmět certifikátu nebo alternativní název předmětu (SAN) se nevztahují žádné zvláštní požadavky a stejný certifikát můžete použít pro více distribučních bodů. Doporučujeme ale jiný certifikát pro distribuční bod. Musí být povolen export soukromého klíče. Podporovány jsou algoritmy hash SHA-1 a SHA-2. Maximální podporovaná délka klíče je 2048 bitů. |
Tento certifikát má dva účely:
Tento certifikát musí být exportován ve formátu Public Key Certificate Standard (PKCS #12) a musí být známo heslo, aby mohl být certifikát importován do vlastností distribučního bodu. Poznámka Požadavky na tento certifikát jsou stejné jako na klientský certifikát k spouštěcím bitovým kopiím pro nasazení operačního systému. Protože požadavky jsou stejné, můžete použít stejný soubor certifikátu. |
||
Bod obsluhy vzdálené správy |
Zřizování technologie AMT |
Webový server (upraveno) |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření serveru (1.3.6.1.5.5.7.3.1) a tento identifikátor objektu: 2.16.840.1.113741.1.2.3. Pole Název subjektu musí obsahovat plně kvalifikovaný název domény serveru, který je hostitelem bodu služby mimo IP síť. Poznámka Pokud si vyžádáte zajišťovací certifikát AMT od externí CA a ne od vlastní, interní CA a tento certifikát nepodporuje identifikátor objektu 2.16.840.1.113741.1.2.3 zřizování technologie AMT, můžete jako atribut organizační jednotka (OU) v Názvu subjektu certifikátu alternativně zadat následující řetězec textu: Intel(R) Client Setup Certificate. Zadán musí být přesně tento textový řetězec v anglické podobě bez tečky na konci, dodrženo musí být psaní velkých a malých písmen a řetězec musí být doplněn plně kvalifikovaným názvem domény serveru, který je hostitelem bodu služby mimo IP síť. Jediným podporovaným algoritmem hash je SHA-1. Podporované délky klíčů: 1024 a 2048. U AMT 6.0 a pozdějších verzí je podporovaná taky délka klíče 4096 bitů. |
Tento certifikát je umístěn v osobním úložišti v úložišti certifikátů počítače serveru systému lokality bodu služby mimo IP síť. Tento zajišťovací certifikát AMT slouží k přípravě počítačů na vzdálenou správu. Tento certifikát si musíte vyžádat od CA, která dodává zajišťovací certifikáty AMT, a rozšíření BIOS pro počítače s technologií AMT musí být pro tento zajišťovací certifikát nastaveno na použití miniatury kořenového certifikátu (nazývané také hodnota hash certifikátu). Typickým příkladem externí CA, která vydává zajišťovací certifikáty AMT, je VeriSign. Použít však můžete také vlastní, interní CA. Nainstalujte certifikát na server, který je hostitelem bodu služby mimo IP síť. Tento bod musí být schopen vytvořit řetěz do kořenové CA certifikátu. (Certifikát kořenové certifikační autority a certifikát zprostředkující certifikační autority pro certifikát VeriSign jsou standardně nainstalovány při instalaci systému Windows.) |
||
Sever systému lokality s konektorem Microsoft Intune |
Ověření klienta |
Nelze použít: Tento certifikát automaticky vytvoří služba Intune. |
Hodnota Použití rozšířeného klíče obsahuje Ověření klienta (1.3.6.1.5.5.7.3.2). Zákaznický odběr Intune je jednoznačně identifikovaný 3 vlastními rozšířeními. Délka klíče je 2048 bitů a využívá algoritmus hash SHA-1. Poznámka Tato nastavení nelze změnit: Tato informace je uvedena pouze k informačním účelům. |
Tento certifikát se automaticky vyžádá a nainstaluje do databáze Configuration Manageru při vytvoření odběru služby Microsoft Intune. Po nainstalování konektoru služby Po nainstalování konektoru služby Microsoft Intune je tento certifikát nainstalován na server systému lokality, který spouští konektor služby Microsoft Intune. Nainstalován je do úložiště certifikátů počítače. Tento certifikát slouží k ověření hierarchie Configuration Manageru vůči Microsoft Intune pomocí konektoru služby Microsoft Intune. Všechna data mezi nimi přenesená využívají zabezpečení Secure Sockets Layer (SSL). |
Proxy webové servery pro správu internetových klientů
Pokud lokalita podporuje správu internetových klientů a pro příchozí internetová připojení používáte proxy webový server s využitím přemostění SSL, má proxy webový server na certifikát požadavky uvedené v následující tabulce.
Poznámka
Jestliže používáte proxy webový server bez přemostění SSL, nejsou na proxy webovém serveru vyžadovány žádné další certifikáty.
Součást síťové infrastruktury |
Podle účelu certifikátů |
Použitá šablona certifikátu Microsoft |
Konkrétní informace v certifikátu |
Způsob použití certifikátu v aplikaci Configuration Manager |
|---|---|---|---|---|
Proxy webový server akceptující připojení klientů prostřednictvím Internetu |
Ověřování serveru a ověřování klienta |
|
Internet FQDN v poli Název předmětu nebo Alternativní název předmětu (používáte-li šablony certifikátů Microsoft, je Alternativní název předmětu k dispozici pouze v šabloně pracovní stanice). Podporovány jsou algoritmy hash SHA-1 a SHA-2. |
Tento certifikát se používá k ověření následujících serverů pro internetové klienty a pro zašifrování všech dat přenesených mezi klientem a tímto serverem pomocí šifrování SSL:
Ověření klienta se používá pro přemostění připojení mezi klienty aplikace System Center 2012 Configuration Manager a internetovými systémy lokality. |
Certifikáty PKI pro klienty
Součást produktu Configuration Manager |
Podle účelu certifikátů |
Použitá šablona certifikátu Microsoft |
Konkrétní informace v certifikátu |
Způsob použití certifikátu v aplikaci Configuration Manager |
||
|---|---|---|---|---|---|---|
Klientské počítače Windows |
Ověření klienta |
Ověřování pracovní stanice |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Klientské počítače musí mít v poli Název subjektu nebo Alternativní název subjektu jedinečnou hodnotu. Poznámka Pokud v poli Alternativní název subjektu použijete více hodnot, bude použita pouze první z nich. Podporovány jsou algoritmy hash SHA-1 a SHA-2. Maximální podporovaná délka klíče je 2048 bitů. |
Aplikace Configuration Manager standardně vyhledává certifikáty počítače v úložišti Osobní v úložiště certifikátu počítače. S výjimkou bodu aktualizace softwaru a bodu lokality služby Application Catalog tento certifikát ověřuje klienta pro servery systému lokality, na kterých pracuje IIS a které jsou nakonfigurovány pro použití protokolu HTTPS. |
||
Klienti pro mobilní zařízení |
Ověření klienta |
Ověřená relace |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Jediným podporovaným algoritmem hash je SHA-1. Maximální podporovaná délka klíče je 2048 bitů.
|
Tento certifikát ověřuje klienta pro mobilní zařízení pro servery systému lokality, které s ním komunikují, například body správy a distribuční body. |
||
Spouštěcí bitové kopie pro nasazení operačních systémů |
Ověření klienta |
Ověřování pracovní stanice |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Na pole Předmět certifikátu nebo Alternativní název předmětu (SAN) se nevztahují žádné zvláštní požadavky a stejný certifikát můžete použít pro všechny spouštěcí bitové kopie. Musí být povolen export soukromého klíče. Podporovány jsou algoritmy hash SHA-1 a SHA-2. Maximální podporovaná délka klíče je 2048 bitů. |
Certifikát se používá v případě, že posloupnosti úloh v procesu nasazení operačního systému zahrnují klientské akce, například načtení zásad klienta nebo odeslání informací inventáře. Tento certifikát je využíván pouze během procesu nasazení operačního systému a do klienta se neinstaluje. Vzhledem k tomuto dočasnému použití lze jeden certifikát použít pro všechna nasazení operačního systému, nechcete-li používat více klientských certifikátů. Tento certifikát musí být exportován ve formátu PKCS č. 12 (Public Key Certificate Standard) a musí být známo heslo, aby jej bylo možné importovat do bitových spouštěcích kopií aplikace Configuration Manager. Poznámka Požadavky kladené na tento certifikát jsou shodné jako na certifikát serveru pro systémy lokality, které mají nainstalovaný distribuční bod. Protože požadavky jsou stejné, můžete použít stejný soubor certifikátu. |
||
Klienti v počítačích se systémem Mac |
Ověření klienta |
Pro registraci aplikace Configuration Manager:Ověřená relace Pro instalaci certifikátu nezávisle na aplikaci Configuration Manager: Ověřování pracovní stanice |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Pro aplikaci Configuration Manager vytvářející certifikát uživatele se jako hodnota Předmět certifikátu vyplní automaticky uživatelské jméno osoby, která počítač Mac zaregistruje. V případě instalace certifikátů, který nepoužívá registraci aplikace Configuration Manager, ale nasazuje certifikát počítače nezávisle na aplikaci Configuration Manager, musí být hodnota Předmět certifikátu jedinečná. Příklad – stanovte FQDN počítače. Pole Alternativní název předmětu není podporováno. Podporovány jsou algoritmy hash SHA-1 a SHA-2. Maximální podporovaná délka klíče je 2048 bitů. |
Pro System Center 2012 Configuration Manager SP1 a novější: Tento certifikát ověřuje klienta v počítači se systémem Mac pro servery systému lokality, které s ním komunikují, například body správy a distribuční body. |
||
Klienti v počítačích se systémy Linux a UNIX |
Ověření klienta |
Ověřování pracovní stanice |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Pole Alternativní název předmětu není podporováno. Musí být povolen export soukromého klíče. Je podporován algoritmus hash SHA-1. Algoritmus hash SHA-2 je podporován, když operační systém klienta podporuje SHA-2. Další informace najdete v části v tématu Plánování nasazení klienta pro servery UNIX a Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256 Podporované délky klíčů: 2048 bitů.
|
Pro System Center 2012 Configuration Manager SP1 a novější: Tento certifikát ověřuje klienta pro systémy Linux a UNIX pro servery systému lokality, které s ním komunikují, například body správy a distribuční body. Tento certifikát musí být exportován ve formátu PKCS č. 12 (Public Key Certificate Standard) a musí být známo heslo, abyste jej mohli klientovi zadat při určení certifikátu PKI. Další informace najdete v části tématu Plánování nasazení klienta pro servery UNIX a Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_SecurityforLnU |
||
Důvěryhodné kořenové certifikáty certifikačního úřadu (CA) ověřují následující scénáře:
|
Řetězec certifikátů pro důvěryhodný zdroj |
Nelze použít. |
Standardní kořenový certifikát certifikační autority. |
Má-li klient zřetězit certifikáty komunikujícího serveru s důvěryhodným zdrojem, musí být k dispozici kořenový kořenový certifikát certifikační autority. To platí pro následující scénáře:
Jsou-li certifikáty klienta vydány jinou hierarchií certifikační autority než tou, která vydala certifikát bodu správy, musí být kromě toho poskytnuty také kořenové certifikáty certifikační autority. |
||
Počítače s technologií Intel AMT |
Ověření serveru. |
Webový server (upraveno) Musíte nakonfigurovat položku Název subjektu pro nabídku Sestavit z těchto informací v adresáři Active Directory, pak vybrat položku Běžný název pro nabídku Formát názvu projektu. Pro univerzální skupinu zabezpečení určenou ve vlastnostech součásti vzdálené správy musíte poskytnout oprávnění ke čtení i registraci. |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření serveru (1.3.6.1.5.5.7.3.1). Pole Název předmětu musí obsahovat úplný název domény (FQDN) počítače s technologií AMT, který je poskytnut automaticky doménovou službou Active Directory. Jediným podporovaným algoritmem hash je SHA-1. Maximální podporovaná délka klíče: 2048 bitů. |
Tento certifikát spočívá ve stálé paměti s náhodným přístupem řadiče pro správu v počítači a nelze jej zobrazit v uživatelském rozhraní systému Windows. Každý počítač s technologií Intel AMT požaduje tento certifikát během poskytování AMT a pro následné aktualizace. Odeberete-li z těchto počítačů informace o poskytování AMT, bude certifikát odvolán. Je-li tento certifikát nainstalován na počítačích s technologií AMT, je rovněž nainstalován řetězec certifikátů pro kořenový certifikát certifikační autority. Počítače s technologií AMT nemohou podporovat certifikáty certifikační autority, jejich klíč má délku větší než 2048 bitů. Jakmile je tento certifikát nainstalován do počítačů s technologií Intel AMT, ověřuje počítače s technologií AMT pro systémový server lokality vzdáleného servisního bodu a pro počítače, na kterých pracuje konzola pro vzdálenou správu a šifruje všechna data přenášená mezi nimi pomocí protokolu TLS (Transport Layer Security). |
||
Certifikát klienta Intel AMT 802.1X |
Ověření klienta |
Ověřování pracovní stanice Musíte nakonfigurovat položku Název subjektu pro nabídku Sestavit z těchto informací v adresáři Active Directory, pak vybrat položku Běžný název pro nabídku Formát názvu projektu, vymazat název DNS a jako alternativní název předmětu vybrat hlavní uživatelské jméno (UPN). Pro univerzální skupinu zabezpečení určenou ve vlastnostech součásti vzdálené správy musíte pro tuto šablonu certifikátu poskytnout oprávnění ke čtení i registraci. |
Hodnota Použití rozšířeného klíče musí obsahovat Ověření klienta (1.3.6.1.5.5.7.3.2). Pole Název předmětu musí obsahovat úplný název domény (FQDN) počítače s technologií AMT a alternativní název předmětu musí obsahovat jméno UPN. Maximální podporovaná délka klíče: 2048 bitů. |
Tento certifikát spočívá ve stálé paměti s náhodným přístupem řadiče pro správu v počítači a nelze jej zobrazit v uživatelském rozhraní systému Windows. Každý počítač s technologií Intel AMT si tento certifikát může vyžádat během zajišťování AMT, k jeho odvolání však nedochází, kdy jsou zajišťovací informace AMT odebrány. Po nainstalování tohoto certifikátu na počítačích s technologií AMT tento certifikát tyto počítače ověří pro server RADIUS, aby ten následně mohl být ověřen pro přístup do sítě. |
||
Mobilní zařízení zapsaná nástrojem Microsoft Intune |
Ověření klienta |
Nelze použít: Tento certifikát automaticky vytvoří služba Intune. |
Hodnota Použití rozšířeného klíče obsahuje Ověření klienta (1.3.6.1.5.5.7.3.2). Zákaznický odběr Intune je jednoznačně identifikovaný 3 vlastními rozšířeními. Hodnotu Předmět certifikátu mohou uživatelé poskytnout během registrace. Tuto hodnotu ale Intune nepoužívá k identifikaci zařízení. Délka klíče je 2048 bitů a využívá algoritmus hash SHA-1. Poznámka Tato nastavení nelze změnit: Tato informace je uvedena pouze k informačním účelům. |
Tento certifikát se automaticky vyžádá a nainstaluje, když ověření uživatelé zaregistrují svá mobilní zařízení přes Microsoft Intune. Výsledný certifikát v zařízení se nachází v úložišti počítače a ověřuje zaregistrované mobilní zařízení vůči Intune tak, aby se dalo spravovat. Kvůli vlastním rozšířením certifikátu se ověření omezuje na odběr služby Intune, který je pro organizaci vytvořený. |
Viz také
Plánování lokalit a hierarchie nástroje Configuration Manager