다음을 통해 공유


CNG v3 인증서 개요

Configuration Manager 암호화: CNG(차세대) 인증서를 지원합니다. Configuration Manager 클라이언트는 CNG KSP(키 스토리지 공급자)에 생성되고 저장된 프라이빗 키와 함께 PKI 클라이언트 인증 인증서를 사용할 수 있습니다. KSP 지원을 통해 Configuration Manager 클라이언트는 PKI 클라이언트 인증 인증서용 TPM KSP와 같은 하드웨어 기반 프라이빗 키를 지원합니다.

참고

CNG 인증서를 사용하는 경우 Configuration Manager 클라이언트는 RSA 암호화 알고리즘을 사용하는 인증서만 지원합니다.

지원되는 시나리오

다음 시나리오에 대해 Cryptography API: CNG(차세대) v3 인증서 템플릿을 사용할 수 있습니다.

  • HTTPS 관리 지점과의 클라이언트 등록 및 통신
  • HTTPS 배포 지점을 사용하여 소프트웨어 배포 및 애플리케이션 배포
  • OS 배포
  • 클라이언트 메시징 SDK(최신 업데이트 포함) 및 ISV 프록시
  • CMG(클라우드 관리 게이트웨이) 구성
  • 소프트웨어 센터에서 사용 가능한 사용자 대상 애플리케이션

또한 다음 HTTPS 사용 서버 역할에 CNG v3 인증서를 사용합니다.

  • 관리 포인트
  • 배포 지점
  • 소프트웨어 업데이트 지점
  • 상태 마이그레이션 지점
  • Configuration Manager 정책 모듈이 있는 NDES 서버를 포함한 인증서 등록 지점

참고

CNG는 CAPI(Crypto API)와 이전 버전과 호환됩니다. 클라이언트에서 CNG 지원을 사용하도록 설정한 경우에도 CAPI 인증서는 계속 지원됩니다.

지원되지 않는 시나리오

현재 지원되지 않는 시나리오는 다음과 같습니다.

  • 다음 서버 역할은 IIS(인터넷 정보 서비스)의 웹 사이트에 바인딩된 CNG v3 인증서를 사용하여 HTTPS 모드로 설치할 때 작동하지 않습니다.

    • 등록 지점
    • 등록 프록시 지점

CNG 인증서를 사용하려면

CNG v3 인증서를 사용하려면 CA(인증 기관)가 대상 컴퓨터에 대한 CNG 인증서 템플릿을 제공해야 합니다. 템플릿 세부 정보는 시나리오에 따라 다릅니다. 그러나 다음 속성이 필요합니다.

  • 호환성

    • 인증 기관은 Windows Server 2008 이상이어야 합니다. (Windows Server 2012 권장됩니다.)

    • 인증서 수신자는 Windows Vista/Server 2008 이상이어야 합니다. (Windows 8/Windows Server 2012 권장됩니다.)

  • 암호화

    • 공급자 범주키 스토리지 공급자여야 합니다. (필수)

    • 알고리즘 이름은RSA여야 합니다. (필수)

    • 요청은 다음 공급자 중 하나를 사용해야 합니다.소프트웨어 키 스토리지 공급자를 Microsoft 합니다.

참고

환경 또는 조직에 대한 요구 사항은 다를 수 있습니다. PKI 전문가에게 문의하세요. 고려해야 할 중요한 점은 인증서 템플릿이 CNG를 활용하기 위해 키 스토리지 공급자를 사용해야 한다는 것입니다.

최상의 결과를 위해 Active Directory 정보에서 주체 이름을 빌드하는 것이 좋습니다. 주체 이름 형식에 DNS 이름을 사용하고 대체 주체 이름에 DNS 이름을 포함합니다. 그렇지 않으면 디바이스가 인증서 프로필에 등록할 때 이 정보를 제공해야 합니다.