Teilen über

Übersicht über CNG v3-Zertifikate

  • Artikel

Configuration Manager unterstützt CNG-Zertifikate (Cryptography: Next Generation). Configuration Manager Clients können ein PKI-Clientauthentifizierungszertifikat mit dem privaten Schlüssel verwenden, der generiert und in einem CNG-Schlüsselspeicheranbieter (CNG Key Storage Provider, KSP) gespeichert wird. Mit KSP-Unterstützung unterstützen Configuration Manager Clients hardwarebasierte private Schlüssel, z. B. einen TPM-KSP für PKI-Clientauthentifizierungszertifikate.

Hinweis

Bei Verwendung von CNG-Zertifikaten unterstützen Configuration Manager Clients nur Zertifikate, die den RSA-Kryptografiealgorithmus verwenden.

Unterstützte Szenarien

Sie können CNG v3-Zertifikatvorlagen (Cryptography API: Next Generation) für die folgenden Szenarien verwenden:

  • Clientregistrierung und -kommunikation mit einem HTTPS-Verwaltungspunkt
  • Softwareverteilung und Anwendungsbereitstellung mit einem HTTPS-Verteilungspunkt
  • BS-Bereitstellung
  • Client messaging SDK (mit neuestem Update) und ISV-Proxy
  • Konfiguration des Cloudverwaltungsgateways (CLOUD Management Gateway, CMG)
  • Benutzerorientierte verfügbare Anwendungen im Softwarecenter

Verwenden Sie auch CNG v3-Zertifikate für die folgenden HTTPS-fähigen Serverrollen:

  • Verwaltungspunkt
  • Verteilungspunkt
  • Softwareupdatepunkt
  • Zustandsmigrationspunkt
  • Zertifikatregistrierungspunkt, einschließlich des NDES-Servers mit dem Configuration Manager-Richtlinienmodul

Hinweis

CNG ist abwärtskompatibel mit crypto API (CAPI). CAPI-Zertifikate werden auch dann weiterhin unterstützt, wenn die CNG-Unterstützung auf dem Client aktiviert ist.

Nicht unterstützte Szenarien

Die folgenden Szenarien werden derzeit nicht unterstützt:

  • Die folgenden Serverrollen sind nicht funktionsfähig, wenn sie im HTTPS-Modus mit einem CNG v3-Zertifikat installiert werden, das an die Website in Internetinformationsdienste (IIS) gebunden ist:

    • Registrierungspunkt
    • Registrierungsproxypunkt

So verwenden Sie CNG-Zertifikate

Um CNG v3-Zertifikate verwenden zu können, muss Ihre Zertifizierungsstelle CNG-Zertifikatvorlagen für Zielcomputer bereitstellen. Die Vorlagendetails variieren je nach Szenario. Die folgenden Eigenschaften sind jedoch erforderlich:

  • Registerkarte "Kompatibilität"

    • Die Zertifizierungsstelle muss Windows Server 2008 oder höher sein. (Windows Server 2012 wird empfohlen.)

    • Der Zertifikatempfänger muss Windows Vista/Server 2008 oder höher sein. (Windows 8/Windows Server 2012 wird empfohlen.)

  • Registerkarte "Kryptografie"

    • Die Anbieterkategorie muss der Schlüsselspeicheranbieter sein. (erforderlich)

    • Der Algorithmusname muss RSA sein. (erforderlich)

    • Die Anforderung muss einen der folgenden Anbieter verwenden: muss Microsoft Softwareschlüsselspeicheranbieter sein.

Hinweis

Die Anforderungen für Ihre Umgebung oder Organisation können unterschiedlich sein. Wenden Sie sich an Ihren PKI-Experten. Wichtig ist, dass eine Zertifikatvorlage einen Schlüsselspeicheranbieter verwenden muss, um CNG zu nutzen.

Um optimale Ergebnisse zu erzielen, empfiehlt es sich, den Antragstellernamen aus Active Directory-Informationen zu erstellen. Verwenden Sie den DNS-Namen als Format des Antragstellernamens , und fügen Sie den DNS-Namen in den alternativen Antragstellernamen ein. Andernfalls müssen Sie diese Informationen angeben, wenn das Gerät beim Zertifikatprofil registriert wird.