CNG v3 証明書の概要

  • [アーティクル]

Configuration Managerでは、暗号化: 次世代 (CNG) 証明書がサポートされています。 Configuration Managerクライアントは、生成され、CNG キー ストレージ プロバイダー (KSP) に格納された秘密キーを持つ PKI クライアント認証証明書を使用できます。 KSP サポートでは、Configuration Manager クライアントは、PKI クライアント認証証明書の TPM KSP などのハードウェア ベースの秘密キーをサポートします。

注:

CNG 証明書を使用する場合、Configuration Manager クライアントは RSA 暗号化アルゴリズムを使用する証明書のみをサポートします。

サポートされるシナリオ

次のシナリオでは、Encryptiony API: Next Generation (CNG) v3 証明書テンプレートを使用できます。

  • クライアントの登録と HTTPS 管理ポイントとの通信
  • HTTPS 配布ポイントを使用したソフトウェア配布とアプリケーションの展開
  • OS の展開
  • クライアント メッセージング SDK (最新の更新プログラムを使用) と ISV プロキシ
  • クラウド管理ゲートウェイ (CMG) の構成
  • ソフトウェア センターでユーザーが対象とする使用可能なアプリケーション

また、次の HTTPS 対応サーバー ロールに CNG v3 証明書を使用します。

  • 管理ポイント
  • 配布ポイント
  • ソフトウェアの更新ポイント
  • 状態移行ポイント
  • Configuration Manager ポリシー モジュールを使用した NDES サーバーを含む証明書登録ポイント

注:

CNG は Crypto API (CAPI) と下位互換性があります。 CAPI 証明書は、クライアントで CNG サポートが有効になっている場合でも引き続きサポートされます。

対象外のシナリオ

現在、次のシナリオはサポートされていません。

  • インターネット インフォメーション サービス (IIS) の Web サイトにバインドされた CNG v3 証明書を使用して HTTPS モードでインストールした場合、次のサーバー ロールは動作しません。

    • 登録ポイント
    • 登録プロキシ ポイント

CNG 証明書を使用するには

CNG v3 証明書を使用するには、証明機関 (CA) がターゲット マシン用の CNG 証明書テンプレートを提供する必要があります。 テンプレートの詳細はシナリオによって異なります。ただし、次のプロパティが必要です。

  • [互換性 ] タブ

    • 証明機関は Windows Server 2008 以降である必要があります。 (Windows Server 2012をお勧めします。

    • 証明書の受信者 は Windows Vista/Server 2008 以降である必要があります。 (Windows 8/Windows Server 2012をお勧めします。

  • [暗号化 ] タブ

    • プロバイダー カテゴリ、キー ストレージ プロバイダーである必要があります。 (必須)

    • アルゴリズム名RSA である必要があります。 (必須)

    • 要求では、次のいずれかのプロバイダーを使用する必要があります。ソフトウェア キー ストレージ プロバイダー Microsoftする必要があります。

注:

環境または組織の要件が異なる場合があります。 PKI エキスパートに問い合わせてください。 考慮すべき重要な点は、証明書テンプレートが CNG を利用するためにキー ストレージ プロバイダーを使用する必要がある点です。

最適な結果を得るには、Active Directory 情報からサブジェクト名を作成することをお勧めします。 サブジェクト名形式には DNS 名を使用し、代替サブジェクト名に DNS 名を含めます。 それ以外の場合は、デバイスが証明書プロファイルに登録されるときに、この情報を指定する必要があります。