Certificats requis pour la gestion hors bande

Article
12/19/2014

Mis à jour: juillet 2010

S'applique à: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Les informations de certificat figurant dans cette rubrique et relative à la gestion hors bande dans Configuration Manager 2007 SP1 (ou version ultérieure) présupposent une connaissance élémentaire des certificats PKI. Pour plus d'informations sur les solutions PKI Microsoft, consultez les références suivantes :

Active Directory Certificate Services in Windows Server 2008 (Services de certificats Active Directory dans Windows Server 2008) : https://go.microsoft.com/fwlink/?LinkId=115018
Certificate Services in Windows Server 2003 (Services de certificats dans Windows Server 2003) : https://go.microsoft.com/fwlink/?LinkId=78389

Notes

Les informations figurant dans cette rubrique s'appliquent uniquement à Configuration Manager 2007 SP1 et versions ultérieures.

Cette solution PKI exige les services de certificats Microsoft qui utilisent les modèles de certificats publiés par une autorité de certification d'entreprise. Les certificats basés sur des modèles peuvent uniquement être publiés par une autorité de certification d'entreprise exécutée sur Microsoft Windows Server 2003 Enterprise Edition ou Datacenter Edition, ou sur Windows Server 2008. Toutefois, n'utilisez pas les modèles de la version 3 (Windows Server 2008, Enterprise Edition). Ces modèles de certificat créent des certificats incompatibles avec Configuration Manager. Pour plus d'informations sur le déploiement et l'utilisation des certificats, consultez À propos de certificats pour la gestion hors bande.

Pour obtenir un exemple pas à pas de configuration de ces certificats, consultez les liens suivants :

Important

Vous devez respecter les étapes relatives aux certificats expliquées dans les rubriques référencées précédemment pour pouvoir utiliser la gestion hors bande sur un site Configuration Manager 2007 SP1 ou ultérieur.

Certificats requis pour la gestion hors bande

Les certificats d'infrastructure de clé publique (PKI) requis pour la gestion hors bande dans Configuration Manager 2007 SP1 ou versions ultérieures sont répertoriés dans le tableau suivant.

Composant de Configuration Manager	Utilisation du certificat	Modèle de certificat Microsoft à utiliser	Informations spécifiques contenues dans le certificat	Mode d'utilisation du certificat dans Configuration Manager
Point de service hors bande	Configuration AMT	Serveur Web (modifié) Pour ce modèle de certificat, le serveur hébergeant le rôle du système de site du point de service hors bande nécessite une autorisation de sécurité Windows de Lecture et Inscription.	La valeur Utilisation améliorée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1) et l'identificateur d'objet suivant : 2.16.840.1.113741.1.2.3. Le champ de nom d'objet doit contenir le nom de domaine complet du serveur hébergeant le point de service hors bande. Notes Si vous faites la demande d'un certificat de mise en service de la technologie AMT auprès d'une autorité de certification externe plutôt qu'auprès de votre propre autorité de certification interne et que celle-ci ne prend pas en charge l'identificateur d'objet 2.16.840.1.113741.1.2.3, vous pouvez spécifiez à la place la chaîne de texte suivante en tant qu'attribut OU dans le nom d'objet du certificat : Intel(R) Client Setup Certificate. Cette chaîne exacte de texte doit être utilisée en anglais, en respectant la casse et sans point final et être ajoutée au nom de domaine complet du serveur hébergeant le point de service hors bande. SHA-1 est le seul algorithme de hachage pris en charge. Longueurs de clé prises en charge : 1 024, 1 536 et 2 048 bits.	Ce certificat se trouve dans le magasin personnel Windows du magasin de certificats de l'ordinateur du serveur de système de site du point de service hors bande. Ce certificat de configuration AMT permet de préparer les ordinateurs pour la gestion hors bande. Il est configuré dans le composant de gestion hors bande et est automatiquement installé sur le serveur de système de site du point de service hors bande. Vous devez demander ce certificat auprès d'une autorité de certification fournissant des certificats de configuration AMT. De plus, l'extension BIOS des ordinateurs AMT doit être configurée avec l'empreinte numérique de certificat racine (on parle également de « hachage de certificat ») de ce certificat de configuration. VeriSign est un exemple type d'autorité de certification externe, fournissant des certificats de configuration AMT, mais vous pouvez également utiliser votre propre autorité de certification interne. Le serveur hébergeant le point de service hors bande doit pouvoir se lier correctement à l'autorité de certification racine du certificat. Le certificat de l'autorité de certification racine et le certificat de l'autorité de certification intermédiaire de VeriSign sont installés par défaut avec Windows.
Ordinateurs AMT	Authentification du serveur	Serveur Web Pour ce modèle de certificat, le serveur hébergeant le rôle du système de site du serveur de site principal nécessite une autorisation de sécurité Windows de Lecture et Inscription.	La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1). Le champ de nom d'objet doit contenir le nom de domaine complet de l'ordinateur AMT. Cette valeur est automatiquement fournie par le serveur de site. La valeur de l'objet du modèle de certificat doit donc être configuré sur Fourni dans la demande. SHA-1 est le seul algorithme de hachage pris en charge. Longueur de clé maximale prise en charge : 2 048 bits.	Ce certificat réside dans la mémoire RAM non volatile du contrôleur de gestion de l'ordinateur et n'est pas visible sous Windows. Le serveur de site principal exige ce certificat pour chaque ordinateur AMT qu'il configure. Le serveur de site principal révoque également le certificat qu'il a délivré lors de la suppression des informations de configuration AMT pour les ordinateurs AMT. Cette solution exige que vous disposiez d'une autorité de certification d'entreprise Microsoft qui approuve automatiquement les requêtes de certificats émanant du serveur de site principal. De plus, l'autorité de certification émettrice doit être configurée à l'aide de l'autorisation Émettre et gérer des certificats pour le serveur de site principal. Le compte d'ordinateur du serveur de site doit posséder les autorisations DCOM pour pouvoir demander les certificats auprès de l'autorité de certification émettrice. Assurez-vous que l'ordinateur serveur de site est membre du groupe de sécurité Accès DCOM service de certificats (pour Windows Server 2008) ou CERTSVC_DCOM_ACCESS (pour Windows Server 2003 SP1 et versions ultérieures) du domaine dans lequel réside l'autorité de certification émettrice. Important Lorsque vous installez ce certificat sur des ordinateurs AMT, le certificat lié à l'autorité de certification racine est également installé. Les ordinateurs AMT ne peuvent pas prendre en charge les certificats émis par l'autorité de certification dont la longueur de clé dépasse 2 048 bits. Une fois le certificat installé sur les ordinateurs AMT, ce certificat authentifie les ordinateurs AMT sur le serveur de système de site du point de service hors bande et sur les ordinateurs exécutant la console de gestion hors bande, et il chiffre toutes les données transférées entre eux à l'aide du protocole TLS (Transport Layer Security).

Composant de Configuration Manager

Utilisation du certificat

Modèle de certificat Microsoft à utiliser

Informations spécifiques contenues dans le certificat

Mode d'utilisation du certificat dans Configuration Manager

Point de service hors bande

Configuration AMT

Serveur Web (modifié)

Pour ce modèle de certificat, le serveur hébergeant le rôle du système de site du point de service hors bande nécessite une autorisation de sécurité Windows de Lecture et Inscription.

La valeur Utilisation améliorée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1) et l'identificateur d'objet suivant : 2.16.840.1.113741.1.2.3.

Le champ de nom d'objet doit contenir le nom de domaine complet du serveur hébergeant le point de service hors bande.

Notes

Si vous faites la demande d'un certificat de mise en service de la technologie AMT auprès d'une autorité de certification externe plutôt qu'auprès de votre propre autorité de certification interne et que celle-ci ne prend pas en charge l'identificateur d'objet 2.16.840.1.113741.1.2.3, vous pouvez spécifiez à la place la chaîne de texte suivante en tant qu'attribut OU dans le nom d'objet du certificat : Intel(R) Client Setup Certificate. Cette chaîne exacte de texte doit être utilisée en anglais, en respectant la casse et sans point final et être ajoutée au nom de domaine complet du serveur hébergeant le point de service hors bande.

SHA-1 est le seul algorithme de hachage pris en charge.

Longueurs de clé prises en charge : 1 024, 1 536 et 2 048 bits.

Ce certificat se trouve dans le magasin personnel Windows du magasin de certificats de l'ordinateur du serveur de système de site du point de service hors bande.

Ce certificat de configuration AMT permet de préparer les ordinateurs pour la gestion hors bande. Il est configuré dans le composant de gestion hors bande et est automatiquement installé sur le serveur de système de site du point de service hors bande.

Vous devez demander ce certificat auprès d'une autorité de certification fournissant des certificats de configuration AMT. De plus, l'extension BIOS des ordinateurs AMT doit être configurée avec l'empreinte numérique de certificat racine (on parle également de « hachage de certificat ») de ce certificat de configuration.

VeriSign est un exemple type d'autorité de certification externe, fournissant des certificats de configuration AMT, mais vous pouvez également utiliser votre propre autorité de certification interne.

Le serveur hébergeant le point de service hors bande doit pouvoir se lier correctement à l'autorité de certification racine du certificat. Le certificat de l'autorité de certification racine et le certificat de l'autorité de certification intermédiaire de VeriSign sont installés par défaut avec Windows.

Ordinateurs AMT

Authentification du serveur

Serveur Web

Pour ce modèle de certificat, le serveur hébergeant le rôle du système de site du serveur de site principal nécessite une autorisation de sécurité Windows de Lecture et Inscription.

La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1).

Le champ de nom d'objet doit contenir le nom de domaine complet de l'ordinateur AMT. Cette valeur est automatiquement fournie par le serveur de site. La valeur de l'objet du modèle de certificat doit donc être configuré sur Fourni dans la demande.

SHA-1 est le seul algorithme de hachage pris en charge.

Longueur de clé maximale prise en charge : 2 048 bits.

Ce certificat réside dans la mémoire RAM non volatile du contrôleur de gestion de l'ordinateur et n'est pas visible sous Windows.

Le serveur de site principal exige ce certificat pour chaque ordinateur AMT qu'il configure. Le serveur de site principal révoque également le certificat qu'il a délivré lors de la suppression des informations de configuration AMT pour les ordinateurs AMT.

Cette solution exige que vous disposiez d'une autorité de certification d'entreprise Microsoft qui approuve automatiquement les requêtes de certificats émanant du serveur de site principal. De plus, l'autorité de certification émettrice doit être configurée à l'aide de l'autorisation Émettre et gérer des certificats pour le serveur de site principal. Le compte d'ordinateur du serveur de site doit posséder les autorisations DCOM pour pouvoir demander les certificats auprès de l'autorité de certification émettrice. Assurez-vous que l'ordinateur serveur de site est membre du groupe de sécurité Accès DCOM service de certificats (pour Windows Server 2008) ou CERTSVC_DCOM_ACCESS (pour Windows Server 2003 SP1 et versions ultérieures) du domaine dans lequel réside l'autorité de certification émettrice.

Important

Lorsque vous installez ce certificat sur des ordinateurs AMT, le certificat lié à l'autorité de certification racine est également installé. Les ordinateurs AMT ne peuvent pas prendre en charge les certificats émis par l'autorité de certification dont la longueur de clé dépasse 2 048 bits.

Une fois le certificat installé sur les ordinateurs AMT, ce certificat authentifie les ordinateurs AMT sur le serveur de système de site du point de service hors bande et sur les ordinateurs exécutant la console de gestion hors bande, et il chiffre toutes les données transférées entre eux à l'aide du protocole TLS (Transport Layer Security).

Certificat supplémentaire pour Configuration Manager SP2 uniquement

Si vous utilisez un certificat client pour les réseaux 802.1X câblés authentifiés ou sans fil pour prendre en charge la gestion hors bande sur ces réseaux, le certificat PKI supplémentaire décrit dans le tableau suivant est requis.

Composant de Configuration Manager	Utilisation du certificat	Modèle de certificat Microsoft à utiliser	Informations spécifiques contenues dans le certificat	Mode d'utilisation du certificat dans Configuration Manager
Ordinateurs AMT	Authentification du client	Authentification de station de travail Pour ce modèle de certificat, le serveur hébergeant le rôle du système de site du serveur de site principal nécessite une autorisation de sécurité Windows de Lecture et Inscription.	La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2). Le champ de nom d'objet doit contenir le nom de domaine complet de l'ordinateur AMT. Cette valeur est automatiquement fournie par le serveur de site. La valeur de l'objet du modèle de certificat doit donc être configuré sur Fourni dans la demande. Longueur de clé maximale prise en charge : 2 048 bits.	Ce certificat réside dans la mémoire RAM non volatile du contrôleur de gestion de l'ordinateur et n'est pas visible sous Windows. Le serveur de site principal exige ce certificat pour chaque ordinateur AMT qu'il configure et qu'il met à jour par la suite. Le serveur de site principal ne révoque pas ce certificat lors de la suppression des informations de configuration AMT pour les ordinateurs AMT. Cette solution exige que vous disposiez d'une autorité de certification d'entreprise Microsoft qui approuve automatiquement les requêtes de certificats émanant du serveur de site principal. De plus, l'autorité de certification émettrice doit être configurée à l'aide de l'autorisation Émettre et gérer des certificats pour le serveur de site principal. Le compte d'ordinateur du serveur de site doit posséder les autorisations DCOM pour pouvoir demander les certificats auprès de l'autorité de certification émettrice. Assurez-vous que l'ordinateur serveur de site est membre du groupe de sécurité Accès DCOM service de certificats (pour Windows Server 2008) ou CERTSVC_DCOM_ACCESS (pour Windows Server 2003 SP1 et versions ultérieures) du domaine dans lequel réside l'autorité de certification émettrice. Une fois installé sur les ordinateurs AMT, ce certificat authentifie ceux-ci sur le serveur RADIUS afin que l'accès réseau lui soit accordé.

Composant de Configuration Manager

Utilisation du certificat

Modèle de certificat Microsoft à utiliser

Informations spécifiques contenues dans le certificat

Mode d'utilisation du certificat dans Configuration Manager

Ordinateurs AMT

Authentification du client

Authentification de station de travail

Pour ce modèle de certificat, le serveur hébergeant le rôle du système de site du serveur de site principal nécessite une autorisation de sécurité Windows de Lecture et Inscription.

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Longueur de clé maximale prise en charge : 2 048 bits.

Ce certificat réside dans la mémoire RAM non volatile du contrôleur de gestion de l'ordinateur et n'est pas visible sous Windows.

Le serveur de site principal exige ce certificat pour chaque ordinateur AMT qu'il configure et qu'il met à jour par la suite. Le serveur de site principal ne révoque pas ce certificat lors de la suppression des informations de configuration AMT pour les ordinateurs AMT.

Une fois installé sur les ordinateurs AMT, ce certificat authentifie ceux-ci sur le serveur RADIUS afin que l'accès réseau lui soit accordé.

Voir aussi

Tâches

Comment configurer la préparation AMT
Comment configurer les ordinateurs pour AMT

Concepts

À propos de la configuration AMT pour la gestion hors bande
À propos de certificats pour la gestion hors bande
Présentation de la gestion hors bande
Exemple de déploiement étape par étape des certificats PKI requis pour AMT et la gestion hors bande : Autorité de certification Windows Server 2003

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.

Partager via

Certificats requis pour la gestion hors bande

Certificats requis pour la gestion hors bande

Certificat supplémentaire pour Configuration Manager SP2 uniquement

Voir aussi

Tâches

Concepts

Ressources supplémentaires