Megosztás a következőn keresztül:

  • Cikk

PKI-tanúsítványkövetelmények a Configuration Managerben

 

Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

A következő táblázatokban találhatók a System Center 2012 Configuration Manager alkalmazáshoz szükséges PKI-tanúsítványok (a nyilvános kulcsokra épülő infrastruktúra tanúsítványai). Ez az információ a PKI-tanúsítványok alapszintű ismeretét feltételezi. A tanúsítványok központi telepítését lépésenként bemutató példát lásd: Példa a Configuration Manager PKI tanúsítványainak központi telepítési lépéseire: Windows Server 2008 tanúsítványszolgáltató. Az Active Directory tanúsítványszolgáltatások részletes ismertetését a következő dokumentációban tekintheti meg:

System_CAPS_importantFontos!

2017. január 1-jei hatállyal a Windows többé nem fog megbízni az SHA-1 algoritmussal aláírt tanúsítványokban. Javasoljuk, hogy az új kiszolgálói és ügyféltanúsítványokat SHA-2 algoritmussal aláírva adja ki.

A változásra és a határidő esetleges módosulásaira vonatkozó további részletekért olvassa el ezt a blogbejegyzést: Windows Enforcement of Authenticode Code Signing and Timestamping (Az Authenticode aláírás és időbélyegzés kényszerítése a Windowsban).

A Configuration Manager által a mobileszközön és a Mac számítógépeken beléptetett ügyféltanúsítványok, a Microsoft Intune által a mobileszközök automatikus felügyeletéhez létrehozott ügyféltanúsítványok és a Configuration Manager által az AMT-alapú számítógépeken telepített ügyféltanúsítványok kivételével bármely PKI igénybe vehető az alábbi tanúsítványok létrehozásához, telepítéséhez és felügyeletéhez. Amikor az Active Directory tanúsítványszolgáltatásokat és a tanúsítványsablonokat használja, ez a Microsoft PKI-megoldás megkönnyítheti a tanúsítványok felügyeletét. A következő táblázatok Használandó Microsoft-tanúsítványsablon oszlopa tartalmazza a tanúsítványokra vonatkozó követelményeknek leginkább megfelelő tanúsítványsablonokat. Sablonalapú tanúsítványokat csak a kiszolgálói operációs rendszer Enterprise Edition vagy Datacenter Edition verzióját, például a Windows Server 2008 Enterprise vagy a Windows Server 2008 Datacenter rendszert használó vállalati hitelesítésszolgáltatók adhatnak ki.

System_CAPS_importantFontos!

Amikor vállalati hitelesítésszolgáltatót és tanúsítványsablonokat használ, ne használja a 3-as verziójú sablonokat. Ezek a tanúsítványsablonok olyan tanúsítványokat hoznak létre, amelyek nem kompatibilisek a Configuration Manager alkalmazással. Ilyen esetben a 2-es verziójú sablonokat használja a következő útmutatás szerint:

  • Windows Server 2012 rendszerű hitelesítésszolgáltató: A tanúsítványsablon tulajdonságainak Kompatibilitás lapján válassza a Windows Server 2003 lehetőséget a Hitelesítésszolgáltató beállításnál, és a Windows XP/Server 2003 lehetőséget a Tanúsítvány kedvezményezettje beállításnál.

  • Windows Server 2008 rendszerű hitelesítésszolgáltató: Amikor másolatot készít egy tanúsítványsablonról, tartsa meg az alapértelmezett Windows Server 2003 Enterprise értéket, amikor a Sablon másolása párbeszédpanelen megjelenik az erre vonatkozó kérdés. Ne válassza a Windows Server 2008, Enterprise Edition beállítást.

A tanúsítványokra vonatkozó követelményeket a következő részekben tekintheti át.

A kiszolgálók PKI-tanúsítványai

Configuration Manager-összetevő

Tanúsítvány célja

Használandó Microsoft-tanúsítványsablon

A tanúsítványban szereplő konkrét információk

A tanúsítvány használatának módja a Configuration Manager rendszerben

Az Internet Information Services (IIS) szolgáltatást futtató és a HTTPS-ügyfélkapcsolatokra beállított helyrendszerek:

  • Felügyeleti pont

  • Terjesztési pont

  • Szoftverfrissítési pont

  • Állapotáttelepítési pont

  • Beléptetési pont

  • Beléptetési proxypont

  • Alkalmazáskatalógus webszolgáltatási pontja

  • Alkalmazáskatalógus weboldal-elérési pontja

Kiszolgálói hitelesítés

Webkiszolgáló

A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie.

Ha a helyrendszer az internetről érkező kapcsolatokat fogad, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőnek az internetes teljes tartománynevet (FQDN) kell tartalmaznia.

Ha a helyrendszer az intranetről érkező kapcsolatokat fogad, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőnek az intranetes teljes tartománynevet (ez az ajánlott) vagy a számítógép nevét kell tartalmaznia a helyrendszer konfigurációjától függően.

Ha a helyrendszer az internetről és az intranetről is fogad kapcsolatokat, az internetes és az intranetes teljes tartománynevet (vagy a számítógépnevet) is meg kell adni úgy, hogy az „&” jel válassza el a két nevet.

System_CAPS_importantFontos!

Amikor a szoftverfrissítési pont csak az internetről fogad ügyfélkapcsolatokat, a tanúsítványnak az internetes és a intranetes teljes tartománynevet is tartalmaznia kell.

Az SHA-2 kivonatoló algoritmus támogatott.

A Configuration Manager nem ír elő maximális támogatott kulcshosszúságot ennél a tanúsítványnál. A tanúsítvány kulcsmérettel kapcsolatos problémáiról a PKI és az IIS dokumentációjában tájékozódhat.

Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.

Ezzel a webkiszolgáló-tanúsítvánnyal hitelesíthetők ezek a kiszolgálók az ügyfél számára, és ezzel a tanúsítvánnyal titkosítható az ügyfél és a kiszolgálók között továbbított összes adat a Secure Sockets Layer (SSL) protokoll használatával.

Felhőalapú terjesztési pont

Kiszolgálói hitelesítés

Webkiszolgáló

A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie.

A Tulajdonos neve mezőnek egy felhasználó által meghatározott szolgáltatásnevet és tartománynevet kell tartalmaznia a teljes tartománynév formátumának megfelelően, a felhőalapú terjesztési pont meghatározott példányának köznapi neveként.

A titkos kulcsnak exportálhatónak kell lennie.

Az SHA-2 kivonatoló algoritmus támogatott.

Támogatott kulcshosszúság: 2048 bit.

A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:

Ezzel a tanúsítvánnyal hitelesíthető a felhőalapú terjesztési pont szolgáltatása a Configuration Manager-ügyfelek számára, és ezzel a tanúsítvánnyal titkosítható a szolgáltatás és az ügyfelek között továbbított összes adat a Secure Sockets Layer (SSL) protokoll használatával.

Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót ahhoz, hogy importálhassa a tanúsítványt, amikor létrehoz egy felhőalapú terjesztési pontot.

System_CAPS_noteMegjegyzés

Ez a tanúsítvány a Windows Azure felügyeleti tanúsítvánnyal együtt használható. További információ erről a tanúsítványról: Felügyeleti tanúsítvány létrehozása és Felügyeleti tanúsítvány hozzáadása Windows Azure-előfizetéshez című témakör az MSDN Library Windows Azure platformmal foglalkozó részében.

Hálózati terheléselosztási (NLB) fürt a szoftverfrissítési pontokhoz

Kiszolgálói hitelesítés

Webkiszolgáló

A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie.

  1. Az NLB-fürt teljes tartományneve a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben:

    • Az internetalapú ügyfélfelügyeletet támogató hálózati terheléselosztási kiszolgálók esetében az internetes NLB teljes tartománynevet használja.

    • Az intranetes ügyfeleket támogató kiszolgálók esetében az intranetes NLB teljes tartománynevet használja.

  2. Az NLB-fürtben lévő helyrendszer számítógépneve a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben. Ezt a kiszolgálónevet az NLB-fürt neve és az „&” jel után kell megadni:

    • Az intraneten lévő helyrendszerek esetében az intranetes teljes tartománynevet (ajánlott) használja, ha megadja ezeket a helyrendszereket, vagy használhatja a számítógép NetBIOS-nevét is.

    • Az internetalapú ügyfélfelügyeletet támogató helyrendszerek esetében az internetes teljes tartománynevet használja.

Az SHA-2 kivonatoló algoritmus támogatott.

Szervizcsomag nélküli System Center 2012 Configuration Manager rendszer esetében:

Ezzel a tanúsítvánnyal hitelesíthető a hálózati terheléselosztás szoftverfrissítési pontja az ügyfél számára, és ezzel a tanúsítvánnyal titkosítható az ügyfél és az ilyen kiszolgálók között továbbított összes adat az SSL protokoll használatával.

System_CAPS_noteMegjegyzés

Ez a tanúsítvány a szervizcsomag nélküli Configuration Manager verzióhoz megfelelő, mivel a System Center 2012 Configuration Manager SP1 és újabb verziókban az NLB szoftverfrissítési pontok nem támogatottak.

A Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálók

Kiszolgálói hitelesítés

Webkiszolgáló

A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie.

A Tulajdonos neve mezőnek az intranetes teljes tartománynevet (FQDN) kell tartalmaznia.

Az SHA-2 kivonatoló algoritmus támogatott.

A maximális támogatott kulcshossz 2048 bit.

Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie, és a Configuration Manager automatikusan átmásolja a megbízható személyek kiszolgálókhoz tartozó tárolójába a Configuration Manager hierarchiájában, amelynek esetleg megbízhatósági kapcsolatot kell létrehoznia a kiszolgálóval.

Ezek a tanúsítványok a kiszolgálók közötti hitelesítéshez használhatók.

SQL Server-fürt: a Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálók

Kiszolgálói hitelesítés

Webkiszolgáló

A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie.

A Tulajdonos neve mezőnek a fürt intranetes teljes tartománynevét (FQDN) kell tartalmaznia.

A titkos kulcsnak exportálhatónak kell lennie.

A tanúsítvány érvényességi időtartamának legalább két évnek kell lennie, amikor a Configuration Manager alkalmazást az SQL Server-fürt használatára állítja be.

Az SHA-2 kivonatoló algoritmus támogatott.

A maximális támogatott kulcshossz 2048 bit.

Miután igényelte a tanúsítványt, és telepítette azt a fürtben lévő egyik csomópontra, exportálja a tanúsítványt, és importálja azt az SQL Server-fürtben lévő további csomópontokra.

Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie, és a Configuration Manager automatikusan átmásolja a megbízható személyek kiszolgálókhoz tartozó tárolójába a Configuration Manager hierarchiájában, amelynek esetleg megbízhatósági kapcsolatot kell létrehoznia a kiszolgálóval.

Ezek a tanúsítványok a kiszolgálók közötti hitelesítéshez használhatók.

Helyrendszer figyelése a következő helyrendszerszerepkörök esetében:

  • Felügyeleti pont

  • Állapotáttelepítési pont

Ügyfél-hitelesítés

Munkaállomás hitelesítése

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

A számítógépekhez egyedi értéknek kell tartoznia a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.

System_CAPS_noteMegjegyzés

Ha a Tulajdonos alternatív neve mezőben több érték szerepel, a rendszer csak az első értéket használja.

Az SHA-2 kivonatoló algoritmus támogatott.

A maximális támogatott kulcshossz 2048 bit.

Erre a tanúsítványra szükség van a felsorolt helyrendszer-kiszolgálókon akkor is, ha nincs telepítve a System Center 2012 Configuration Manager-ügyfél, hogy a rendszer figyelni tudja a helyrendszerszerepköröket, és jelentéseket tudjon küldeni a helynek.

E helyrendszerek tanúsítványának a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.

A Configuration Manager Házirend modulját és a Hálózati eszközök tanúsítványigénylési szolgáltatásának szerepkör-szolgáltatását futtató kiszolgálók.

Ügyfél-hitelesítés

Munkaállomás hitelesítése

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) nem vonatkoznak konkrét követelmények, egy tanúsítvány pedig több olyan kiszolgálóhoz is használható, amely a Hálózati eszközök tanúsítványigénylési szolgáltatását futtatja.

Az SHA-2 és az SHA-3 kivonatoló algoritmus támogatott.

Támogatott kulcshosszúságok: 1024 bit és 2048 bit.

A jelen témakörben található információk csak a System Center 2012 R2 Configuration Manager verzióira vonatkoznak.

Ez a tanúsítvány hitelesíti a Configuration Manager Házirend modulját a tanúsítvány regisztrációs pontjának helyrendszer-kiszolgálóján, hogy a Configuration Manager tanúsítványokat igényelhessen a felhasználók és az eszközök számára.

Telepített terjesztési ponttal rendelkező helyrendszerek

Ügyfél-hitelesítés

Munkaállomás hitelesítése

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) nem vonatkoznak konkrét követelmények, egy tanúsítvány pedig több terjesztési ponthoz is használható. Javasoljuk azonban, hogy minden tanúsítványhoz használjon különböző tanúsítványt.

A titkos kulcsnak exportálhatónak kell lennie.

Az SHA-2 kivonatoló algoritmus támogatott.

A maximális támogatott kulcshossz 2048 bit.

Ennek a tanúsítványnak két célja van:

  • Hitelesíti a terjesztési pontot egy HTTPS használatára konfigurált felügyeleti ponton, mielőtt a terjesztési pont elküldi az állapotüzeneteket.

  • Amikor a terjesztési pontra vonatkozó PXE-támogatás engedélyezése ügyfeleknek beállítás meg van adva, a rendszer elküldi a tanúsítványt a számítógépeknek, így olyan esetben, amikor az operációs rendszer központi telepítésének folyamata ügyfélműveleteket tartalmaz – például az ügyfélházirend lekérését vagy a leltáradatok küldését –, akkor az ügyfélszámítógépek csatlakozhassanak a HTTPS használatára konfigurált felügyeleti ponthoz az operációs rendszer telepítése közben.

    Ezt a tanúsítványt csak az operációs rendszer központi telepítésének időtartama alatt kell használni, a rendszer nem telepíti az ügyfélre. A használat ideiglenes jellegéből adódóan ugyanez a tanúsítvány az operációs rendszer mindegyik központi telepítéséhez felhasználható, ha nem kíván több ügyféltanúsítványt használni.

Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót ahhoz, hogy importálhassa a tanúsítványt a terjesztési pont tulajdonságai közé.

System_CAPS_noteMegjegyzés

A tanúsítványra vonatkozó követelmények ugyanazok, mint az operációs rendszerek központi telepítéséhez használt rendszertöltő lemezképek ügyféltanúsítványai esetében. Mivel a követelmények azonosak, használhatja ugyanazt a tanúsítványfájlt.

Sávon kívüli szolgáltatási pont

AMT kiépítés

Webkiszolgáló (módosított)

A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek és a következő objektumazonosítónak kell szerepelnie: 2.16.840.1.113741.1.2.3.

A Tulajdonos neve mezőnek a sávon kívüli szolgáltatási pontot futtató kiszolgáló teljes tartománynevét kell tartalmaznia.

System_CAPS_noteMegjegyzés

Ha AMT kiépítési tanúsítványt igényel egy külső hitelesítésszolgáltatótól a saját belső hitelesítésszolgáltatója helyett, és az nem támogatja a 2.16.840.1.113741.1.2.3 AMT kiépítési objektumazonosítót, a következő karakterláncot is megadhatja a szervezeti egység (OU) attribútumaként a tanúsítvány Tulajdonos neve mezőjében: Intel(R) Client Setup Certificate. Ezt a szöveget kell megadnia, pontosan, angol nyelven, sorzáró pont nélkül, és ezenkívül meg kell adnia a sávon kívüli szolgáltatási pontot futtató kiszolgáló teljes tartománynevét is.

Az egyetlen támogatott kivonatoló algoritmus az SHA-1.

Támogatott kulcshosszúságok: 1024 és 2048. Az AMT 6.0 és újabb verziókban a 4096 bites kulcshosszúság is támogatott.

Ez a tanúsítvány a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában található a sávon kívüli szolgáltatási pont helyrendszer-kiszolgálóján.

Ez az AMT kiépítési tanúsítvány a számítógépek sávon kívüli felügyeletének előkészítéséhez használható.

Ezt a tanúsítványt az AMT kiépítési tanúsítványokat támogató hitelesítésszolgáltatótól kell igényelnie, és ehhez a kiépítési tanúsítványhoz az Intel AMT-alapú számítógépek BIOS-kiterjesztését be kell állítani a főtanúsítvány ujjlenyomatának (más néven: tanúsítványkivonat) használatára.

AMT kiépítési tanúsítványokat például a VeriSign hitelesítésszolgáltatótól igényelhet, de használhatja a saját belső hitelesítésszolgáltatóját is.

A tanúsítványt a sávon kívüli szolgáltatási pontot futtató kiszolgálóra telepítse, amelynek sikeresen kapcsolódnia kell a tanúsítvány legfelső szintű hitelesítésszolgáltatójához. (Alapértelmezés szerint a VeriSign főtanúsítványa és köztes tanúsítványa a Windows rendszerrel együtt telepíthető.)

A Microsoft Intune csatlakozót futtató helyrendszerkiszolgáló

Ügyfél-hitelesítés

Nem alkalmazható: a Intune automatikusan létrehozza ezt a tanúsítványt.

A Kibővített kulcshasználat beállítás az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéket tartalmazza.

3 egyéni bővítmény egyedi módon azonosítja az ügyfél Intune-előfizetését.

A kulcshosszúság 2048 bit, és a tanúsítvány SHA-1 kivonatoló algoritmust használ.

System_CAPS_noteMegjegyzés

Ezek a beállítások nem módosíthatók, az információ csak tájékoztató jellegű.

A Microsoft Intune-ra való előfizetéskor a rendszer automatikusan igényli ezt a tanúsítványt, és telepíti a Configuration Manager adatbázisába. A Microsoft Intune csatlakozó telepítésekor ez a tanúsítvány települ a Microsoft Intune csatlakozót futtató helyrendszer-kiszolgálóra. Telepítési helye a számítógép tanúsítványtárolója.

Ezzel a tanúsítvánnyal hitelesíthető a Configuration Manager hierarchia a Microsoft Intune rendszerében a Microsoft Intune csatlakozó segítségével. Az adatok átvitele titkosítottan történik a Secure Sockets Layer (SSL) protokoll használatával.

Az internetalapú ügyfélfelügyelet proxywebkiszolgálói

Ha a hely támogatja az internetalapú ügyfélfelügyeletet, és proxywebkiszolgálót használ az SSL-hídképzés alkalmazásával a bejövő internetkapcsolatokhoz, a proxywebkiszolgálóra a következő táblázatban felsorolt tanúsítványkövetelmények vonatkoznak.

System_CAPS_noteMegjegyzés

Ha SSL-hídképzés nélkül használ proxywebkiszolgálót (bújtatás), a proxywebkiszolgálón nincs szükség további tanúsítványokra.

Hálózati infrastruktúra összetevője

Tanúsítvány célja

Használandó Microsoft-tanúsítványsablon

A tanúsítványban szereplő konkrét információk

A tanúsítvány használatának módja a Configuration Manager rendszerben 

Az interneten érkező ügyfélkapcsolatokat fogadó proxywebkiszolgáló

Kiszolgáló hitelesítése és ügyfél hitelesítése

  1. Webkiszolgáló

  2. Munkaállomás hitelesítése

Internet FQDN a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben (ha Microsoft tanúsítványsablonokat használ, a Tulajdonos alternatív neve csak a munkaállomási sablonnal használható).

Az SHA-2 kivonatoló algoritmus támogatott.

Ezzel a tanúsítvánnyal hitelesíthetők a következő kiszolgálók az internetes ügyfelek számára, és ezzel a tanúsítvánnyal titkosítható az ügyfél és az ilyen kiszolgálók között továbbított összes adat az SSL protokoll használatával:

  • Internet alapú felügyeleti pont

  • Internet alapú terjesztési pont

  • Internet alapú szoftverfrissítési pont

Az ügyfél-hitelesítés használható a System Center 2012 Configuration Manager ügyfelei és az internet alapú helyrendszerek közötti kapcsolatok hídjaként.

Ügyfelek PKI-tanúsítványai

Configuration Manager-összetevő

Tanúsítvány célja

Használandó Microsoft-tanúsítványsablon

A tanúsítványban szereplő konkrét információk

A tanúsítvány használatának módja a Configuration Manager rendszerben 

Windows alapú ügyfélszámítógépek

Ügyfél-hitelesítés

Munkaállomás hitelesítése

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

Az ügyfélszámítógépekhez egyedi értéknek kell tartoznia a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.

System_CAPS_noteMegjegyzés

Ha a Tulajdonos alternatív neve mezőben több érték szerepel, a rendszer csak az első értéket használja.

Az SHA-2 kivonatoló algoritmus támogatott.

A maximális támogatott kulcshossz 2048 bit.

A Configuration Manager alapértelmezetten a számítógépek tanúsítványát a Számítógép tanúsítványtárolójában a személyes tárban keresi.

A szoftverfrissítési pont és az alkalmazáskatalógus weboldal-elérési pontja kivételével, ez a tanúsítvány hitelesíti az ügyfelet az IIS szolgáltatást futtató és a HTTPS használatára konfigurált helyrendszer-kiszolgálók számára.

Mobileszközök mint ügyfelek

Ügyfél-hitelesítés

Hitelesített munkamenet

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

Az egyetlen támogatott kivonatoló algoritmus az SHA-1.

A maximális támogatott kulcshossz 2048 bit.

System_CAPS_importantFontos!

Ezeknek a tanúsítványoknak a Distinguished Encoding Rules (DER) kódolású bináris X.509 formátumúaknak kell lenni.

A Base64 kódolású X.509 formátum nem támogatott.

Ez a tanúsítvány hitelesíti ügyfélként a mobileszközt azon helyrendszer-kiszolgáló számára, amelyikkel például a felügyeleti pontokkal és a terjesztési pontokkal kommunikál.

Rendszerindító lemezképek operációs rendszerek központi telepítéséhez

Ügyfél-hitelesítés

Munkaállomás hitelesítése

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) nem vonatkoznak konkrét követelmények, és minden rendszerindító lemezképhez használható ugyanaz a tanúsítvány.

A titkos kulcsnak exportálhatónak kell lennie.

Az SHA-2 kivonatoló algoritmus támogatott.

A maximális támogatott kulcshossz 2048 bit.

A tanúsítvány akkor használatos, ha az operációs rendszer központi telepítési folyamatában a feladatütemezés olyan ügyfélműveleteket is tartalmaz, mint az ügyfélházirend lekérése vagy a leltári adatok küldése.

Ezt a tanúsítványt csak az operációs rendszer központi telepítésének időtartama alatt kell használni, a rendszer nem telepíti az ügyfélre. A használat ideiglenes jellegéből adódóan ugyanez a tanúsítvány az operációs rendszer mindegyik központi telepítéséhez felhasználható, ha nem kíván több ügyféltanúsítványt használni.

Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót ahhoz, hogy importálhassa a tanúsítványt a Configuration Manager rendszerindító lemezképeire.

System_CAPS_noteMegjegyzés

Ennek a tanúsítványnak ugyanazok a követelményei, mint a terjesztési ponttal telepített helyrendszerek kiszolgálói tanúsítványainak. Mivel a követelmények azonosak, használhatja ugyanazt a tanúsítványfájlt.

Mac alapú ügyfélszámítógépek

Ügyfél-hitelesítés

Configuration Manager általi beléptetésnél: Hitelesített munkamenet

A Configuration Manager használatától független tanúsítványtelepítés: Munkaállomás hitelesítése

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

Ha a Configuration Manager felhasználói tanúsítványt hoz létre, a Tulajdonos neve automatikusan annak a személynek a felhasználónevével töltődik ki, aki belépteti a Mac számítógépet.

A Configuration Manager beléptetését nem használó, de a számítógép tanúsítványát a Configuration Manager használatától független tanúsítványtelepítéseknél a tanúsítványon a Tulajdonos neve csak egyedi lehet. Adja meg például a számítógépe teljes tartománynevét.

A Tulajdonos alternatív neve mező nem használható.

Az SHA-2 kivonatoló algoritmus támogatott.

A maximális támogatott kulcshossz 2048 bit.

A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:

Ez a tanúsítvány hitelesíti ügyfélként a Mac számítógépet azon helyrendszer-kiszolgáló számára, amelyikkel például a felügyeleti pontokkal és a terjesztési pontokkal kommunikál.

Linux és UNIX alapú ügyfélszámítógépek

Ügyfél-hitelesítés

Munkaállomás hitelesítése

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

A Tulajdonos alternatív neve mező nem használható.

A titkos kulcsnak exportálhatónak kell lennie.

Az SHA-1 kivonatoló algoritmus támogatott.

Az SHA-2 kivonatoló algoritmus akkor támogatott, ha azt az ügyfél operációs rendszere támogatja. További információ: Linux és UNIX operációs rendszerek, hogy el nem támogatási SHA-256 című rész, Ügyfelek központi telepítése Linux és UNIX kiszolgálók tervezése témakör.

Támogatott kulcshosszúság: 2048 bit.

System_CAPS_importantFontos!

Ezeknek a tanúsítványoknak a Distinguished Encoding Rules (DER) kódolású bináris X.509 formátumúaknak kell lenni. A Base64 kódolású X.509 formátum nem támogatott.

A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:

Ez a tanúsítvány hitelesíti ügyfélként a Linux vagy UNIX számítógépet azon helyrendszer-kiszolgáló számára, amelyikkel például a felügyeleti pontokkal és a terjesztési pontokkal kommunikál.

Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumában kell exportálni, és ismernie kell a jelszót, hogy azt az ügyfél részére megadhassa a tanúsítvány kiválasztásakor.

Továnni nformációt a következő témakör A Linux és UNIX kiszolgálók biztonsági és a tanúsítványokat tervezése című szakaszában talál: Ügyfelek központi telepítése Linux és UNIX kiszolgálók tervezése.

Legfelső szintű hitelesítésszolgáltató (CA) tanúsítványai a következő forgatókönyvekhez:

  • Operációs rendszer központi telepítése

  • Mobileszköz beléptetése

  • RADIUS kiszolgáló hitelesítése Intel AMT alapú számítógépekhez

  • Ügyfél-tanúsítványos hitelesítés

Tanúsítványlánc megbízható forráshoz

Nem alkalmazható.

Szabványos legfelső szintű hitelesítésszolgáltató tanúsítványa

Legfelső szintű hitelesítésszolgáltatói tanúsítványt kell biztosítani, ha az ügyfeleknek a kommunikáló kiszolgáló tanúsítványait a megbízható forrás részére láncolni kell. Ez a következő forgatókönyvekre vonatkozik:

  • Amikor operációs rendszert központilag telepít, és olyan feladatütemezések futnak, amelyek az ügyfélszámítógépet HTTPS protokollt használó felügyeleti ponthoz csatlakoztatják.

  • Amikor beléptet mobileszközt, hogy azt a System Center 2012 Configuration Manager kezelje.

  • Amikor az AMT alapú számítógépekhez 802.1X hitelesítést használ, és fájlt szeretne megadni a RADIUS kiszolgáló legfelső szintű tanúsítványához.

Az ügyfeleknek akkor is legfelső szintű hitelesítésszolgáltatói tanúsítványt kell biztosítani, ha az ügyfél tanúsítványokat más hitelesítésszolgáltatói hierarchia adta ki, mint az a hierarchia, amelyik a felügyeleti pont tanúsítványát kiadta.

Intel AMT alapú számítógépek

Kiszolgálói hitelesítés.

Webkiszolgáló (módosított)

Az Az Active Directoryból mezőben meg kell adni a tulajdonos nevét, majd a Tulajdonos nevének formátuma részére a Köznapi név értéket kell választani.

Olvasás és Beléptetés engedélyt kell adni a sávon kívüli felügyeleti összetevő tulajdonságai beállításban megadott univerzális biztonsági csoport részére.

A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) értéknek kell szerepelnie.

A Tulajdonos nevének tartalmazni kell az AMT alapú számítógép teljes tartománynevét, ez automatikusan töltődik ki az Active Directory tartományszolgáltatásaiból.

Az egyetlen támogatott kivonatoló algoritmus az SHA-1.

A maximális támogatott kulcshossz: 2048 bit.

Ez a tanúsítvány a számítógépen a felügyeletvezérlő nem felejtő közvetlen elérésű memóriájában tartózkodik, és nem látható a Windows felhasználói felületén.

Ezt a tanúsítványt mindegyik Intel AMT alapú számítógép lekéri az AMT kiépítésekor és a további frissítésekor. Ha eltávolítja ezekről a számítógépekről az AMT kiépítés információit, akkor azok visszavonják a tanúsítványukat.

Ha ez a tanúsítvány Intel AMT alapú számítógépre van telepítve, a legfelső szintű tanúsítványszolgáltató tanúsítványláncolata is települ. Az AMT alapú számítógépek nem tudják támogatni az olyan hitelesítésszolgáltatói tanúsítványokat, amelyek kulcshossza több, mint 2048 bit.

Miután a tanúsítvány telepítve lett Intel AMT alapú számítógépekre, ez a tanúsítvány hitelesíti az AMT alapú számítógépeket a sávon kívüli szolgáltatási pont helyrendszer-kiszolgálója és azon számítógépek részére, amelyek a sávon kívüli felügyeleti konzolon futnak, ugyanakkor titkosít közöttük minden adatátvitelt a Transport Layer Security (TLS) protokoll használatával.

Intel AMT 802.1X ügyféltanúsítvány

Ügyfél-hitelesítés

Munkaállomás hitelesítése

Az Az Active Directoryból mezőben konfigurálni kell a tulajdonos nevét, majd a Tulajdonos nevének formátuma részére a Köznapi név értéket kell választani, a DNS-nevet törölni kell, és a tulajdonos alternatív neveként Egyszerű felhasználónevet (UPN) kell választani.

Erre a tanúsítványsablonra Olvasás és Beléptetés engedélyt kell adni a sávon kívüli felügyeleti összetevő tulajdonságai beállításban megadott univerzális biztonsági csoport részére.

A Kibővített kulcshasználat beállításnál az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéknek kell szerepelnie.

A tulajdonos neve mezőben az AMT alapú számítógép teljes tartománynevének (FQDN), a tulajdonos alternatív neve mezőben pedig az egyszerű felhasználónévnek (UPN) kell szerepelni.

A maximális támogatott kulcshossz: 2048 bit.

Ez a tanúsítvány a számítógépen a felügyeletvezérlő nem felejtő közvetlen elérésű memóriájában tartózkodik, és nem látható a Windows felhasználói felületén.

Mindegyik Intel AMT alapú számítógép lekérheti ezt a tanúsítványt az AMT jogosultságkiosztásakor, de nem vonják ki ezt a tanúsítványt az AMT jogosultságkiosztási információ eltávolításakor.

Miután a tanúsítvány telepítve lett az AMT alapú számítógépekre, ez a tanúsítvány hitelesíti az AMT alapú számítógépeket a RADIUS kiszolgálónál, így nyerve hitelesítést a hálózat hozzáférésére.

Mobileszközök, amelyekhez a Microsoft Intune végzi a tanúsítványigénylést

Ügyfél-hitelesítés

Nem alkalmazható: a Intune automatikusan létrehozza ezt a tanúsítványt.

A Kibővített kulcshasználat beállítás az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értéket tartalmazza.

3 egyéni bővítmény egyedi módon azonosítja az ügyfél Intune-előfizetését.

A felhasználók a tanúsítványt a Tulajdonos értékével a beléptetés során látják el. Ezt az értéket azonban nem használja a Intune az eszköz azonosítására.

A kulcshosszúság 2048 bit, és a tanúsítvány SHA-1 kivonatoló algoritmust használ.

System_CAPS_noteMegjegyzés

Ezek a beállítások nem módosíthatók, az információ csak tájékoztató jellegű.

Amikor a hitelesített felhasználók a Microsoft Intune használatával beléptetik mobileszközüket, a tanúsítvány lekérése és telepítése automatikusan végbemegy. Az ennek eredményeként kapott tanúsítványt a rendszer a számítógéptárban tárolja, és ezzel hitelesíti a beléptetett mobileszközt a Intune-ban, annak érdekében, hogy az eszköz felügyelhető legyen.

A tanúsítvány egyéni bővítményei miatt a hitelesítés a Intune azon előfizetésére korlátozódik, amely a vállalat számára lett létrehozva.