CNG v3-tanúsítványok áttekintése
Configuration Manager támogatja a titkosítási: következő generációs (CNG) tanúsítványokat. Configuration Manager-ügyfelek használhatnak PKI ügyfél-hitelesítési tanúsítványt a CNG-kulcstároló szolgáltatóban (KSP) létrehozott és tárolt titkos kulccsal. A KSP-támogatással Configuration Manager-ügyfelek támogatják a hardveralapú titkos kulcsokat, például a PKI ügyfél-hitelesítési tanúsítványaihoz használható TPM KSP-t.
Megjegyzés:
CNG-tanúsítványok használatakor Configuration Manager-ügyfelek csak az RSA titkosítási algoritmust használó tanúsítványokat támogatják.
Támogatott forgatókönyvek
A Cryptography API: Next Generation (CNG) v3 tanúsítványsablonokat a következő forgatókönyvekhez használhatja:
- Ügyfélregisztráció és kommunikáció HTTPS felügyeleti ponttal
- Szoftverterjesztés és alkalmazástelepítés HTTPS-terjesztési ponttal
- Operációs rendszer üzembe helyezése
- Ügyfél-üzenetküldési SDK (a legújabb frissítéssel) és ISV-proxy
- Felhőfelügyeleti átjáró (CMG) konfigurációja
- Felhasználó által megcélzott elérhető alkalmazások a Szoftverközpontban
A következő HTTPS-kompatibilis kiszolgálói szerepkörökhöz is használjon CNG v3-tanúsítványokat:
- Felügyeleti pont
- Terjesztési pont
- Szoftverfrissítési pont
- Állapotáttelepítési pont
- Tanúsítványregisztrációs pont, beleértve a Configuration Manager szabályzatmodullal rendelkező NDES-kiszolgálót
Megjegyzés:
A CNG visszamenőlegesen kompatibilis a Crypto API-val (CAPI). A CAPI-tanúsítványok továbbra is támogatottak akkor is, ha a CNG-támogatás engedélyezve van az ügyfélen.
Nem támogatott forgatókönyvek
A következő forgatókönyvek jelenleg nem támogatottak:
A következő kiszolgálói szerepkörök nem működnek, ha HTTPS módban vannak telepítve egy CNG v3-tanúsítvánnyal, amely az Internet Information Services (IIS) webhelyéhez van kötve:
- Regisztrációs pont
- Regisztrációs proxypont
CNG-tanúsítványok használata
CNG v3-tanúsítványok használatához a hitelesítésszolgáltatónak (CA) CNG-tanúsítványsablonokat kell biztosítania a célgépekhez. A sablon részletei a forgatókönyvtől függően változnak; azonban a következő tulajdonságokra van szükség:
Kompatibilitás lap
A hitelesítésszolgáltatónak Windows Server 2008 vagy újabb verziójúnak kell lennie. (Windows Server 2012 ajánlott.)
A tanúsítvány címzettjének Windows Vista/Server 2008 vagy újabb verziónak kell lennie. (Windows 8/Windows Server 2012 ajánlott.)
Titkosítás lap
A szolgáltatói kategóriánakkulcstároló-szolgáltatónak kell lennie. (kötelező)
Az algoritmus nevénekRSA-nak kell lennie. (kötelező)
A kérésnek a következő szolgáltatók egyikét kell használnia:Microsoft szoftverkulcs-tárolószolgáltatónak kell lennie.
Megjegyzés:
A környezet vagy a szervezet követelményei eltérőek lehetnek. Forduljon a PKI-szakértőjéhez. A fontos szempont, hogy a tanúsítványsablonnak kulcstároló-szolgáltatót kell használnia a CNG előnyeinek kihasználásához.
A legjobb eredmény érdekében javasoljuk, hogy az Active Directory-információkból építse ki a tulajdonos nevét. A Tulajdonos neve formátumhoz használja a DNS-nevet, és adja meg a DNS-nevet a másodlagos tulajdonos nevében. Ellenkező esetben ezeket az adatokat akkor kell megadnia, amikor az eszköz regisztrál a tanúsítványprofilba.