Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Configuration Manager unterstützt CNG-Zertifikate (Cryptography: Next Generation). Configuration Manager Clients können ein PKI-Clientauthentifizierungszertifikat mit dem privaten Schlüssel verwenden, der generiert und in einem CNG-Schlüsselspeicheranbieter (CNG Key Storage Provider, KSP) gespeichert wird. Mit KSP-Unterstützung unterstützen Configuration Manager Clients hardwarebasierte private Schlüssel, z. B. einen TPM-KSP für PKI-Clientauthentifizierungszertifikate.
Hinweis
Bei Verwendung von CNG-Zertifikaten unterstützen Configuration Manager Clients nur Zertifikate, die den RSA-Kryptografiealgorithmus verwenden.
Unterstützte Szenarien
Sie können CNG v3-Zertifikatvorlagen (Cryptography API: Next Generation) für die folgenden Szenarien verwenden:
- Clientregistrierung und -kommunikation mit einem HTTPS-Verwaltungspunkt
- Softwareverteilung und Anwendungsbereitstellung mit einem HTTPS-Verteilungspunkt
- BS-Bereitstellung
- Client messaging SDK (mit neuestem Update) und ISV-Proxy
- Konfiguration des Cloudverwaltungsgateways (CLOUD Management Gateway, CMG)
- Benutzerorientierte verfügbare Anwendungen im Softwarecenter
Verwenden Sie auch CNG v3-Zertifikate für die folgenden HTTPS-fähigen Serverrollen:
- Verwaltungspunkt
- Verteilungspunkt
- Softwareupdatepunkt
- Zustandsmigrationspunkt
- Zertifikatregistrierungspunkt, einschließlich des NDES-Servers mit dem Configuration Manager-Richtlinienmodul
Hinweis
CNG ist abwärtskompatibel mit crypto API (CAPI). CAPI-Zertifikate werden auch dann weiterhin unterstützt, wenn die CNG-Unterstützung auf dem Client aktiviert ist.
Nicht unterstützte Szenarien
Die folgenden Szenarien werden derzeit nicht unterstützt:
Die folgenden Serverrollen sind nicht funktionsfähig, wenn sie im HTTPS-Modus mit einem CNG v3-Zertifikat installiert werden, das an die Website in Internetinformationsdienste (IIS) gebunden ist:
- Registrierungspunkt
- Registrierungsproxypunkt
So verwenden Sie CNG-Zertifikate
Um CNG v3-Zertifikate verwenden zu können, muss Ihre Zertifizierungsstelle CNG-Zertifikatvorlagen für Zielcomputer bereitstellen. Die Vorlagendetails variieren je nach Szenario. Die folgenden Eigenschaften sind jedoch erforderlich:
Registerkarte "Kompatibilität"
Die Zertifizierungsstelle muss Windows Server 2008 oder höher sein. (Windows Server 2012 wird empfohlen.)
Der Zertifikatempfänger muss Windows Vista/Server 2008 oder höher sein. (Windows 8/Windows Server 2012 wird empfohlen.)
Registerkarte "Kryptografie"
Die Anbieterkategorie muss der Schlüsselspeicheranbieter sein. (erforderlich)
Der Algorithmusname muss RSA sein. (erforderlich)
Die Anforderung muss einen der folgenden Anbieter verwenden: Muss Microsoft Software Key Storage Provider sein.
Hinweis
Die Anforderungen für Ihre Umgebung oder organization können unterschiedlich sein. Wenden Sie sich an Ihren PKI-Experten. Wichtig ist, dass eine Zertifikatvorlage einen Schlüsselspeicheranbieter verwenden muss, um CNG zu nutzen.
Um optimale Ergebnisse zu erzielen, empfiehlt es sich, den Antragstellernamen aus Active Directory-Informationen zu erstellen. Verwenden Sie den DNS-Namen als Format des Antragstellernamens , und fügen Sie den DNS-Namen in den alternativen Antragstellernamen ein. Andernfalls müssen Sie diese Informationen angeben, wenn das Gerät beim Zertifikatprofil registriert wird.