Übersicht über CNG v3-Zertifikate
Configuration Manager unterstützt CNG-Zertifikate (Cryptography: Next Generation). Configuration Manager Clients können ein PKI-Clientauthentifizierungszertifikat mit dem privaten Schlüssel verwenden, der generiert und in einem CNG-Schlüsselspeicheranbieter (CNG Key Storage Provider, KSP) gespeichert wird. Mit KSP-Unterstützung unterstützen Configuration Manager Clients hardwarebasierte private Schlüssel, z. B. einen TPM-KSP für PKI-Clientauthentifizierungszertifikate.
Hinweis
Bei Verwendung von CNG-Zertifikaten unterstützen Configuration Manager Clients nur Zertifikate, die den RSA-Kryptografiealgorithmus verwenden.
Unterstützte Szenarien
Sie können CNG v3-Zertifikatvorlagen (Cryptography API: Next Generation) für die folgenden Szenarien verwenden:
- Clientregistrierung und -kommunikation mit einem HTTPS-Verwaltungspunkt
- Softwareverteilung und Anwendungsbereitstellung mit einem HTTPS-Verteilungspunkt
- BS-Bereitstellung
- Client messaging SDK (mit neuestem Update) und ISV-Proxy
- Konfiguration des Cloudverwaltungsgateways (CLOUD Management Gateway, CMG)
- Benutzerorientierte verfügbare Anwendungen im Softwarecenter
Verwenden Sie auch CNG v3-Zertifikate für die folgenden HTTPS-fähigen Serverrollen:
- Verwaltungspunkt
- Verteilungspunkt
- Softwareupdatepunkt
- Zustandsmigrationspunkt
- Zertifikatregistrierungspunkt, einschließlich des NDES-Servers mit dem Configuration Manager-Richtlinienmodul
Hinweis
CNG ist abwärtskompatibel mit crypto API (CAPI). CAPI-Zertifikate werden auch dann weiterhin unterstützt, wenn die CNG-Unterstützung auf dem Client aktiviert ist.
Nicht unterstützte Szenarien
Die folgenden Szenarien werden derzeit nicht unterstützt:
Die folgenden Serverrollen sind nicht funktionsfähig, wenn sie im HTTPS-Modus mit einem CNG v3-Zertifikat installiert werden, das an die Website in Internetinformationsdienste (IIS) gebunden ist:
- Registrierungspunkt
- Registrierungsproxypunkt
So verwenden Sie CNG-Zertifikate
Um CNG v3-Zertifikate verwenden zu können, muss Ihre Zertifizierungsstelle CNG-Zertifikatvorlagen für Zielcomputer bereitstellen. Die Vorlagendetails variieren je nach Szenario. Die folgenden Eigenschaften sind jedoch erforderlich:
Registerkarte "Kompatibilität"
Die Zertifizierungsstelle muss Windows Server 2008 oder höher sein. (Windows Server 2012 wird empfohlen.)
Der Zertifikatempfänger muss Windows Vista/Server 2008 oder höher sein. (Windows 8/Windows Server 2012 wird empfohlen.)
Registerkarte "Kryptografie"
Die Anbieterkategorie muss der Schlüsselspeicheranbieter sein. (erforderlich)
Der Algorithmusname muss RSA sein. (erforderlich)
Die Anforderung muss einen der folgenden Anbieter verwenden: muss Microsoft Softwareschlüsselspeicheranbieter sein.
Hinweis
Die Anforderungen für Ihre Umgebung oder Organisation können unterschiedlich sein. Wenden Sie sich an Ihren PKI-Experten. Wichtig ist, dass eine Zertifikatvorlage einen Schlüsselspeicheranbieter verwenden muss, um CNG zu nutzen.
Um optimale Ergebnisse zu erzielen, empfiehlt es sich, den Antragstellernamen aus Active Directory-Informationen zu erstellen. Verwenden Sie den DNS-Namen als Format des Antragstellernamens , und fügen Sie den DNS-Namen in den alternativen Antragstellernamen ein. Andernfalls müssen Sie diese Informationen angeben, wenn das Gerät beim Zertifikatprofil registriert wird.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für