Panoramica sui certificati CNG v3
Configuration Manager supporta i certificati CNG (Cryptography: Next Generation). Configuration Manager client possono usare un certificato di autenticazione client PKI con la chiave privata generata e archiviata in un provider di archiviazione chiavi CNG.Configuration Manager client authentication certificate with the private key generated and stored in a CNG Key Storage Provider (KSP). Con il supporto KSP, i client Configuration Manager supportano chiavi private basate su hardware, ad esempio un KSP TPM per i certificati di autenticazione client PKI.
Nota
Quando si usano certificati CNG, Configuration Manager client supportano solo i certificati che usano l'algoritmo di crittografia RSA.
Scenari supportati
È possibile usare l'API di crittografia: modelli di certificato CNG (Next Generation) v3 per gli scenari seguenti:
- Registrazione e comunicazione client con un punto di gestione HTTPS
- Distribuzione software e distribuzione di applicazioni con un punto di distribuzione HTTPS
- Distribuzione del sistema operativo
- Client messaging SDK (con l'aggiornamento più recente) e ISV Proxy
- Configurazione di Cloud Management Gateway (CMG)
- Applicazioni disponibili destinate all'utente in Software Center
Usare anche i certificati CNG v3 per i ruoli del server abilitati per HTTPS seguenti:
- Punto di gestione
- Punto di distribuzione
- Punto di aggiornamento software
- Punto di migrazione stato
- Punto di registrazione del certificato, incluso il server NDES con il modulo dei criteri di Configuration Manager
Nota
CNG è compatibile con le versioni precedenti con l'API Crypto (CAPI). I certificati CAPI continuano a essere supportati anche quando il supporto CNG è abilitato nel client.
Scenari non supportati
Gli scenari seguenti non sono attualmente supportati:
I ruoli del server seguenti non sono operativi se installati in modalità HTTPS con un certificato CNG v3 associato al sito Web in Internet Information Services (IIS):
- Punto di registrazione
- Punto proxy di registrazione
Per usare i certificati CNG
Per usare i certificati CNG v3, l'autorità di certificazione deve fornire modelli di certificato CNG per i computer di destinazione. I dettagli del modello variano in base allo scenario; tuttavia, sono necessarie le proprietà seguenti:
Scheda Compatibilità
Autorità di certificazione deve essere Windows Server 2008 o versione successiva. (è consigliabile Windows Server 2012).
Il destinatario del certificato deve essere Windows Vista/Server 2008 o versione successiva. È consigliabile Windows 8/Windows Server 2012.
Scheda Crittografia
La categoria provider deve essere provider di archiviazione chiavi. (obbligatorio)
Il nome dell'algoritmo deve essere RSA. (obbligatorio)
La richiesta deve usare uno dei provider seguenti: deve essere Microsoft provider di archiviazione delle chiavi software.
Nota
I requisiti per l'ambiente o l'organizzazione possono essere diversi. Contattare l'esperto PKI. Il punto importante da considerare è che un modello di certificato deve usare un provider di archiviazione delle chiavi per sfruttare il CNG.
Per ottenere risultati ottimali, è consigliabile compilare il nome del soggetto dalle informazioni di Active Directory. Usare il nome DNS per il formato nome soggetto e includere il nome DNS nel nome soggetto alternativo. In caso contrario, è necessario fornire queste informazioni quando il dispositivo si registra nel profilo certificato.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per