Introducción a los certificados CNG v3
Configuration Manager admite certificados criptográficos: de próxima generación (CNG). Configuration Manager clientes pueden usar un certificado de autenticación de cliente PKI con la clave privada generada y almacenada en un proveedor de almacenamiento de claves CNG (KSP). Con la compatibilidad con KSP, Configuration Manager clientes admiten claves privadas basadas en hardware, como un KSP de TPM para certificados de autenticación de cliente PKI.
Nota:
Al usar certificados CNG, Configuration Manager clientes solo admiten certificados que usan el algoritmo criptográfico RSA.
Escenarios admitidos
Puede usar plantillas de certificado de Cryptography API: Next Generation (CNG) v3 para los escenarios siguientes:
- Registro de cliente y comunicación con un punto de administración HTTPS
- Distribución de software e implementación de aplicaciones con un punto de distribución HTTPS
- Implementación de OS
- SDK de mensajería de cliente (con la actualización más reciente) y proxy ISV
- Configuración de Cloud Management Gateway (CMG)
- Aplicaciones disponibles destinadas al usuario en el Centro de software
Use también certificados CNG v3 para los siguientes roles de servidor habilitados para HTTPS:
- Punto de administración
- Punto de distribución
- Punto de actualización de software
- Punto de migración de estado
- Punto de registro de certificados, incluido el servidor NDES con el módulo de directiva de Configuration Manager
Nota:
CNG es compatible con versiones anteriores con Crypto API (CAPI). Los certificados CAPI siguen siendo compatibles incluso cuando la compatibilidad con CNG está habilitada en el cliente.
Escenarios no admitidos
Actualmente no se admiten los siguientes escenarios:
Los siguientes roles de servidor no son operativos cuando se instalan en modo HTTPS con un certificado CNG v3 enlazado al sitio web en Internet Information Services (IIS):
- Punto de inscripción
- Punto de proxy de inscripción
Para usar certificados CNG
Para usar certificados CNG v3, la entidad de certificación (CA) debe proporcionar plantillas de certificado CNG para las máquinas de destino. Los detalles de la plantilla varían según el escenario; sin embargo, se requieren las siguientes propiedades:
Pestaña Compatibilidad
La entidad de certificación debe ser Windows Server 2008 o posterior. (se recomienda Windows Server 2012).
El destinatario del certificado debe ser Windows Vista/Server 2008 o posterior. (se recomienda Windows 8/Windows Server 2012).
Pestaña Criptografía
La categoría de proveedor debe ser proveedor de almacenamiento de claves. (obligatorio)
El nombre del algoritmo debe ser RSA. (obligatorio)
La solicitud debe usar uno de los siguientes proveedores: debe ser Microsoft proveedor de almacenamiento de claves de software.
Nota:
Los requisitos de su entorno u organización pueden ser diferentes. Póngase en contacto con su experto en PKI. El punto importante a tener en cuenta es que una plantilla de certificado debe usar un proveedor de almacenamiento de claves para aprovechar las ventajas de CNG.
Para obtener los mejores resultados, se recomienda compilar el nombre del firmante a partir de la información de Active Directory. Use el nombre DNS para el formato de nombre de firmante e incluya el nombre DNS en el nombre del firmante alternativo. De lo contrario, debe proporcionar esta información cuando el dispositivo se inscribe en el perfil de certificado.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de