Delen via


Overzicht van CNG v3-certificaten

Configuration Manager ondersteunt Cryptografie: CNG-certificaten (Next Generation). Configuration Manager clients kunnen een PKI-clientverificatiecertificaat gebruiken met de persoonlijke sleutel die wordt gegenereerd en opgeslagen in een CNG Key Storage Provider (KSP). Met KSP-ondersteuning ondersteunen Configuration Manager clients persoonlijke sleutels op basis van hardware, zoals een TPM-KSP voor PKI-clientverificatiecertificaten.

Opmerking

Bij het gebruik van CNG-certificaten ondersteunen Configuration Manager clients alleen certificaten die gebruikmaken van het cryptografische RSA-algoritme.

Ondersteunde scenario's

U kunt Cryptografie-API: CNG v3-certificaatsjablonen (Next Generation) gebruiken voor de volgende scenario's:

  • Clientregistratie en communicatie met een HTTPS-beheerpunt
  • Softwaredistributie en toepassingsimplementatie met een HTTPS-distributiepunt
  • Besturingssysteemimplementatie
  • Client Messaging SDK (met meest recente update) en ISV-proxy
  • Cmg-configuratie (Cloud Management Gateway)
  • Door gebruikers gerichte beschikbare toepassingen in Software Center

Gebruik ook CNG v3-certificaten voor de volgende HTTPS-serverfuncties:

  • Beheerpunt
  • Distributiepunt
  • Software-updatepunt
  • Statusmigratiepunt
  • Certificaatregistratiepunt, inclusief de NDES-server met de module Configuration Manager-beleid

Opmerking

CNG is achterwaarts compatibel met Crypto API (CAPI). CAPI-certificaten blijven ondersteund, zelfs wanneer CNG-ondersteuning is ingeschakeld op de client.

Niet-ondersteunde scenario's

De volgende scenario's worden momenteel niet ondersteund:

  • De volgende serverfuncties zijn niet operationeel wanneer ze zijn geïnstalleerd in de HTTPS-modus met een CNG v3-certificaat dat is gebonden aan de website in Internet Information Services (IIS):

    • Inschrijvingspunt
    • Proxypunt voor inschrijving

CNG-certificaten gebruiken

Als u CNG v3-certificaten wilt gebruiken, moet uw certificeringsinstantie (CA) CNG-certificaatsjablonen opgeven voor doelmachines. Sjabloondetails variëren afhankelijk van het scenario; De volgende eigenschappen zijn echter vereist:

  • Tabblad Compatibiliteit

    • Certificeringsinstantie moet Windows Server 2008 of hoger zijn. (Windows Server 2012 wordt aanbevolen.)

    • De ontvanger van het certificaat moet Windows Vista/Server 2008 of hoger zijn. (Windows 8/Windows Server 2012 wordt aanbevolen.)

  • Tabblad Cryptografie

    • Providercategorie moet Sleutelopslagprovider zijn. (vereist)

    • Algoritmenaam moet RSA zijn. (vereist)

    • De aanvraag moet een van de volgende providers gebruiken: moet worden Microsoft Provider van softwaresleutelopslag.

Opmerking

De vereisten voor uw omgeving of organisatie kunnen afwijken. Neem contact op met uw PKI-expert. Het belangrijkste punt om te overwegen is dat een certificaatsjabloon een sleutelopslagprovider moet gebruiken om te profiteren van CNG.

Voor de beste resultaten raden we u aan de onderwerpnaam op te bouwen op basis van Active Directory-gegevens. Gebruik de DNS-naam voor de indeling van de onderwerpnaam en neem de DNS-naam op in de alternatieve onderwerpnaam. Anders moet u deze informatie opgeven wanneer het apparaat wordt ingeschreven bij het certificaatprofiel.