Exigences de certificat PKI pour Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Les certificats d’infrastructure à clé publique (PKI) dont vous pouvez avoir besoin pour Configuration Manager sont répertoriés dans les tableaux suivants. Ces informations supposent une connaissance de base des certificats PKI.

Vous pouvez utiliser n’importe quelle infrastructure à clé publique pour créer, déployer et gérer la plupart des certificats dans Configuration Manager. Pour les certificats clients qui Configuration Manager s’inscrivent sur des appareils mobiles et des ordinateurs Mac, ils nécessitent l’utilisation des services de certificats Active Directory.

Lorsque vous utilisez des services de certificats Active Directory et des modèles de certificat, cette solution PKI Microsoft peut faciliter la gestion des certificats. Utilisez la référence du modèle de certificat Microsoft dans les sections ci-dessous pour identifier le modèle de certificat qui correspond le mieux aux exigences du certificat. Seule une autorité de certification d’entreprise qui s’exécute sur les éditions Enterprise ou Datacenter de Windows Server peut utiliser des certificats basés sur des modèles.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Exemple de déploiement pas à pas des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008

• Vue d’ensemble des services de certificats Active Directory

• Comment activer TLS (Transport Layer Security) 1.2

Types de certificats pris en charge

Certificats SHA-2 (Secure Hash Algorithm 2)

Émettez de nouveaux certificats d’authentification serveur et client signés avec SHA-2, qui inclut SHA-256 et SHA-512. Tous les services accessibles sur Internet doivent utiliser un certificat SHA-2. Par exemple, si vous achetez un certificat public à utiliser avec une passerelle de gestion cloud, veillez à acheter un certificat SHA-2.

Windows n’approuve pas les certificats signés avec SHA-1. Pour plus d’informations, consultez Application Windows des certificats SHA1.

Certificats CNG v3

Configuration Manager prend en charge les certificats Cryptography: Next Generation (CNG) v3. Configuration Manager clients peuvent utiliser un certificat d’authentification client PKI avec une clé privée dans un fournisseur de stockage de clés CNG (KSP). Avec la prise en charge de KSP, Configuration Manager clients prennent en charge les clés privées matérielles, telles qu’un KSP TPM pour les certificats d’authentification client PKI.

Pour plus d’informations, consultez Vue d’ensemble des certificats CNG v3.

Certificats PKI pour serveurs

Systèmes de site qui exécutent IIS et prennent en charge les connexions clientES HTTPS

Ce certificat de serveur web est utilisé pour :

• Authentifier les serveurs auprès du client
• Chiffrez toutes les données transférées entre le client et ces serveurs avec TLS.

S’applique à :

• Point de gestion
• Point de distribution
• Point de mise à jour logicielle
• Point de migration d’état
• Point d’inscription
• Point de proxy d’inscription
• Point d’inscription de certificat

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du serveur

• Modèle de certificat Microsoft : Serveur web

• La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

• Nom de l’objet :

  • Si le système de site accepte les connexions à partir d’Internet, le nom de l’objet ou l’autre nom de l’objet doit contenir le nom de domaine complet (FQDN) Internet.

  • Si le système de site accepte les connexions à partir de l’intranet, le nom de l’objet ou l’autre nom de l’objet doit contenir le nom de domaine complet de l’intranet (recommandé) ou le nom de l’ordinateur, selon la configuration du système de site.

  • Si le système de site accepte les connexions à partir d’Internet et de l’intranet, le nom de domaine complet Internet et le nom de domaine complet intranet (ou nom d’ordinateur) doivent être spécifiés. Utilisez le délimiteur de symboles esperluette (&) entre les deux noms.

  Remarque

  Lorsque le point de mise à jour logicielle accepte les connexions clientes à partir d’Internet uniquement, le certificat doit contenir à la fois le nom de domaine complet Internet et le nom de domaine complet intranet.

• Longueur de clé : Configuration Manager ne spécifie pas de longueur de clé maximale prise en charge pour ce certificat. Consultez votre documentation PKI et IIS pour tout problème lié à la taille des clés pour ce certificat.

La plupart des rôles de système de site prennent en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3). Pour plus d’informations, consultez Vue d’ensemble des certificats CNG v3.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats ordinateur.

Passerelle de gestion du cloud (CMG)

Ce certificat de service est utilisé pour :

• Authentifier le service de passerelle de gestion cloud dans Azure auprès des clients Configuration Manager

• Chiffrez toutes les données transférées entre elles à l’aide de TLS.

Exportez ce certificat au format PKCS #12 (Public Key Certificate Standard). Vous devez connaître le mot de passe afin de pouvoir importer le certificat lorsque vous créez la passerelle de gestion cloud.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du serveur

• Modèle de certificat Microsoft : Serveur web

• La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

• Le nom de l’objet doit contenir un nom de service défini par le client comme nom commun pour l’instance spécifique de la passerelle de gestion cloud.

• La clé privée doit être exportable.

• Longueurs de clé prises en charge : 2048 bits ou 4 096 bits

Ce certificat prend en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3).

Pour plus d’informations, consultez Certificat d’authentification serveur de la passerelle de gestion cloud.

Serveurs de système de site qui exécutent Microsoft SQL Server

Ce certificat est utilisé pour l’authentification de serveur à serveur.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du serveur

• Modèle de certificat Microsoft : Serveur web

• La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

• Le nom de l’objet doit contenir le nom de domaine complet (FQDN) intranet.

• La longueur maximale de la clé prise en charge est de 2 048 bits.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats ordinateur. Configuration Manager le copie automatiquement dans le magasin de Personnes de confiance pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir à établir une relation de confiance avec le serveur.

instance de cluster de basculement SQL Server Always On

Ce certificat est utilisé pour l’authentification de serveur à serveur.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du serveur

• Modèle de certificat Microsoft : Serveur web

• La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

• Le nom de l’objet doit contenir le nom de domaine complet (FQDN) intranet du cluster

• La clé privée doit être exportable

• Le certificat doit avoir une période de validité d’au moins deux ans lorsque vous configurez Configuration Manager pour utiliser l’instance de cluster de basculement.

• La longueur maximale de la clé prise en charge est de 2 048 bits.

Demandez et installez ce certificat sur un nœud du cluster. Exportez ensuite le certificat et importez-le vers les autres nœuds.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats ordinateur. Configuration Manager le copie automatiquement dans le magasin de Personnes de confiance pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir à établir une relation de confiance avec le serveur.

Surveillance du système de site

S’applique à :

• Point de gestion
• Point de migration d’état

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du client

• Modèle de certificat Microsoft : Authentification de station de travail

• La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

• Les ordinateurs doivent avoir une valeur unique dans le champ Nom de l’objet ou dans le champ Autre nom de l’objet .

  Remarque

  Si vous utilisez plusieurs valeurs pour l’autre nom de l’objet, elle utilise uniquement la première valeur.

• La longueur maximale de la clé prise en charge est de 2 048 bits.

Ce certificat est requis sur les serveurs de système de site répertoriés, même si le client Configuration Manager n’est pas installé. Cette configuration permet au site de surveiller et de créer des rapports sur l’intégrité de ces rôles de système de site.

Le certificat de ces systèmes de site doit se trouver dans le magasin Personnel du magasin de certificats Ordinateur.

Serveurs exécutant le module de stratégie Configuration Manager avec le service de rôle NDES (Network Device Enrollment Service)

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du client

• Modèle de certificat Microsoft : Authentification de station de travail

• La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

• Il n’existe aucune exigence spécifique pour le nom de l’objet du certificat ou l’autre nom de l’objet (SAN). Vous pouvez utiliser le même certificat pour plusieurs serveurs exécutant le service d’inscription de périphérique réseau.

• Longueurs de clé prises en charge : 1 024 bits et 2 048 bits.

Systèmes de site où un point de distribution est installé

Ce certificat a deux objectifs :

• Il authentifie le point de distribution auprès d’un point de gestion compatible HTTPS avant que le point de distribution n’envoie des messages d’état.

  Remarque

  Lorsque vous configurez tous les points de gestion pour HTTPS, les points de distribution compatibles HTTPS doivent utiliser un certificat émis par pKI. N’utilisez pas de certificats auto-signés sur les points de distribution lorsque les points de gestion utilisent des certificats. Dans le cas contraire, des problèmes peuvent se produire. Par exemple, les points de distribution n’envoient pas de messages d’état.

• Un point de distribution compatible PXE envoie ce certificat aux ordinateurs. Si la séquence de tâches inclut des actions clientes telles que la récupération de stratégie client ou l’envoi d’informations d’inventaire, l’ordinateur peut se connecter à un point de gestion https pendant le processus de déploiement du système d’exploitation.

  Remarque

  Pour ce scénario PXE, ce certificat est utilisé uniquement pendant le processus de déploiement du système d’exploitation. Il n’est pas installé sur le client. En raison de cette utilisation temporaire, vous pouvez utiliser le même certificat pour chaque déploiement de système d’exploitation si vous ne souhaitez pas utiliser plusieurs certificats clients.

  La configuration requise pour ce certificat est identique à celle du certificat client pour le média de séquence de tâches. Étant donné que les exigences sont identiques, vous pouvez utiliser le même fichier de certificat.

  Le certificat que vous spécifiez pour activer HTTPS un point de distribution s’applique à toutes les opérations de distribution de contenu, et pas seulement au déploiement du système d’exploitation.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du client

• Modèle de certificat Microsoft : Authentification de station de travail

• La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

• Il n’existe aucune exigence spécifique pour le nom de l’objet du certificat ou l’autre nom de l’objet (SAN). Il est recommandé d’utiliser un certificat différent pour chaque point de distribution, mais vous pouvez utiliser le même certificat.

• La clé privée doit être exportable.

• La longueur maximale de la clé prise en charge est de 2 048 bits.

Exportez ce certificat au format PKCS #12 (Public Key Certificate Standard). Vous devez connaître le mot de passe pour pouvoir importer le certificat dans les propriétés du point de distribution.

Serveurs web proxy pour la gestion des clients basés sur Internet

Si le site prend en charge la gestion des clients basés sur Internet et que vous utilisez un serveur web proxy à l’aide de la terminaison SSL (pontage) pour les connexions Internet entrantes, le serveur web proxy a les exigences de certificat suivantes :

Remarque

Si vous utilisez un serveur web proxy sans terminaison SSL (tunneling), aucun certificat supplémentaire n’est requis sur le serveur web proxy.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du serveur et authentification du client

• Modèle de certificat Microsoft : authentification du serveur web et de la station de travail

• Nom de domaine complet Internet dans le champ Nom de l’objet ou Autre nom de l’objet . Si vous utilisez des modèles de certificat Microsoft, l’autre nom de l’objet est disponible uniquement avec le modèle de station de travail.

Ce certificat est utilisé pour authentifier les serveurs suivants auprès des clients Internet et chiffrer toutes les données transférées entre le client et ce serveur avec TLS :

• Point de gestion basé sur Internet
• Point de distribution Internet
• Point de mise à jour logicielle basé sur Internet

L’authentification du client est utilisée pour établir un pont entre les connexions clientes Configuration Manager et les systèmes de site basés sur Internet.

Certificats PKI pour les clients

Ordinateurs clients Windows

À l’exception du point de mise à jour logicielle, ce certificat authentifie le client auprès des systèmes de site qui exécutent IIS et prennent en charge les connexions client HTTPS.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du client

• Modèle de certificat Microsoft : Authentification de station de travail

• La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

• La valeur Utilisation de la clé doit contenir Digital Signature, Key Encipherment (a0)

• Les ordinateurs clients doivent avoir une valeur unique dans le champ Nom de l’objet ou Autre nom de l’objet . S’il est utilisé, le champ Nom de l’objet doit contenir le nom de l’ordinateur local, sauf si un autre critère de sélection de certificat est spécifié. Pour plus d’informations, consultez Planifier la sélection du certificat client PKI.

  Remarque

  Si vous utilisez plusieurs valeurs pour l’autre nom de l’objet, elle utilise uniquement la première valeur.

• Aucune longueur de clé maximale n’est prise en charge.

Par défaut, Configuration Manager recherche des certificats d’ordinateur dans le magasin Personnel dans le magasin de certificats ordinateur.

Média de séquence de tâches pour le déploiement de systèmes d’exploitation

Ce certificat est utilisé par une séquence de tâches OSD et permet à l’ordinateur de se connecter à un point de gestion https et à un point de distribution pendant le processus de déploiement du système d’exploitation. Les connexions au point de gestion et au point de distribution peuvent inclure des actions telles que la récupération de stratégie client à partir du point de gestion et le téléchargement de contenu à partir du point de distribution.

Ce certificat est utilisé uniquement pendant le processus de déploiement du système d’exploitation. Il n’est pas utilisé dans le cadre des propriétés d’installation du client lorsque le client est installé pendant la tâche d’installation de Windows et ConfigMgr , ni installé sur l’appareil. En raison de cette utilisation temporaire, vous pouvez utiliser le même certificat pour chaque déploiement de système d’exploitation si vous ne souhaitez pas utiliser plusieurs certificats clients.

Lorsque vous disposez d’un environnement https uniquement, le média de séquence de tâches doit avoir un certificat valide. Ce certificat permet à l’appareil de communiquer avec le site et de poursuivre le déploiement. Une fois la séquence de tâches terminée, lorsque l’appareil est joint à Active Directory, le client peut générer automatiquement un certificat PKI via un objet de stratégie de groupe, ou vous pouvez installer un certificat PKI à l’aide d’une autre méthode.

Remarque

La configuration requise pour ce certificat est identique à celle du certificat de serveur pour les systèmes de site avec le rôle de point de distribution. Étant donné que les exigences sont identiques, vous pouvez utiliser le même fichier de certificat.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du client

• Modèle de certificat Microsoft : Authentification de station de travail

• La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

• Il n’existe aucune exigence spécifique pour les champs Nom de l’objet du certificat ou Autre nom de l’objet (SAN). Vous pouvez utiliser le même certificat pour tous les supports de séquence de tâches.

• La clé privée doit être exportable.

• La longueur maximale de la clé prise en charge est de 2 048 bits.

Exportez ce certificat au format PKCS #12 (Public Key Certificate Standard). Vous devez connaître le mot de passe afin de pouvoir importer le certificat lors de la création du média de séquence de tâches.

Importante

Les images de démarrage ne contiennent pas de certificats PKI pour communiquer avec le site. Au lieu de cela, les images de démarrage utilisent le certificat PKI ajouté au média de séquence de tâches pour communiquer avec le site.

Pour plus d’informations sur l’ajout d’un certificat PKI au support de séquence de tâches, consultez Créer un média de démarrage et Créer un média préparé.

Ordinateurs clients macOS

Ce certificat authentifie l’ordinateur client macOS auprès des serveurs de système de site avec 2006. Par exemple, les points de gestion et les points de distribution.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du client

• Modèle de certificat Microsoft :

  • Pour Configuration Manager inscription : Session authentifiée
  • Pour l’installation de certificat indépendamment de Configuration Manager : Authentification de station de travail

• La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

• Nom de l’objet :

  • Pour Configuration Manager qui crée un certificat utilisateur, la valeur Objet du certificat est automatiquement renseignée avec le nom d’utilisateur de la personne qui inscrit l’ordinateur macOS.
  • Pour une installation de certificat qui n’utilise pas l’inscription Configuration Manager, mais déploie un certificat d’ordinateur indépendamment de Configuration Manager, la valeur Objet du certificat doit être unique. Par exemple, spécifiez le nom de domaine complet de l’ordinateur.
  • Le champ Autre nom de l’objet n’est pas pris en charge.

• La longueur maximale de la clé prise en charge est de 2 048 bits.

Clients d’appareils mobiles

Ce certificat authentifie le client d’appareil mobile auprès des serveurs de système de site avec 2000. Par exemple, les points de gestion et les points de distribution.

Conditions requises pour les certificats :

• Objectif du certificat : Authentification du client

• Modèle de certificat Microsoft : Session authentifiée

• La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

• La longueur maximale de la clé prise en charge est de 2 048 bits.

Ces certificats doivent être au format binaire X.509 codé Distinguished Encoding Rules (DER). Le format X.509 codé en base64 n’est pas pris en charge.

Certificats d’autorité de certification racine

Ce certificat est un certificat d’autorité de certification racine standard.

S’applique à :

• Déploiement du système d’exploitation
• Authentification de certificats clients
• Inscription d’appareils mobiles

Objectif du certificat : chaîne de certificats vers une source approuvée

Le certificat d’autorité de certification racine doit être fourni lorsque les clients doivent chaîner les certificats du serveur communiquant à une source approuvée. Le certificat d’autorité de certification racine pour les clients doit être fourni si les certificats clients sont émis par une hiérarchie d’autorité de certification différente de celle qui a émis le certificat de point de gestion.