Overzicht van CNG v3-certificaten
Configuration Manager ondersteunt Cryptografie: CNG-certificaten (Next Generation). Configuration Manager clients kunnen een PKI-clientverificatiecertificaat gebruiken met de persoonlijke sleutel die wordt gegenereerd en opgeslagen in een CNG Key Storage Provider (KSP). Met KSP-ondersteuning ondersteunen Configuration Manager clients persoonlijke sleutels op basis van hardware, zoals een TPM-KSP voor PKI-clientverificatiecertificaten.
Opmerking
Bij het gebruik van CNG-certificaten ondersteunen Configuration Manager clients alleen certificaten die gebruikmaken van het cryptografische RSA-algoritme.
Ondersteunde scenario's
U kunt Cryptografie-API: CNG v3-certificaatsjablonen (Next Generation) gebruiken voor de volgende scenario's:
- Clientregistratie en communicatie met een HTTPS-beheerpunt
- Softwaredistributie en toepassingsimplementatie met een HTTPS-distributiepunt
- Besturingssysteemimplementatie
- Client Messaging SDK (met meest recente update) en ISV-proxy
- Cmg-configuratie (Cloud Management Gateway)
- Door gebruikers gerichte beschikbare toepassingen in Software Center
Gebruik ook CNG v3-certificaten voor de volgende HTTPS-serverfuncties:
- Beheerpunt
- Distributiepunt
- Software-updatepunt
- Statusmigratiepunt
- Certificaatregistratiepunt, inclusief de NDES-server met de module Configuration Manager-beleid
Opmerking
CNG is achterwaarts compatibel met Crypto API (CAPI). CAPI-certificaten blijven ondersteund, zelfs wanneer CNG-ondersteuning is ingeschakeld op de client.
Niet-ondersteunde scenario's
De volgende scenario's worden momenteel niet ondersteund:
De volgende serverfuncties zijn niet operationeel wanneer ze zijn geïnstalleerd in de HTTPS-modus met een CNG v3-certificaat dat is gebonden aan de website in Internet Information Services (IIS):
- Inschrijvingspunt
- Proxypunt voor inschrijving
CNG-certificaten gebruiken
Als u CNG v3-certificaten wilt gebruiken, moet uw certificeringsinstantie (CA) CNG-certificaatsjablonen opgeven voor doelmachines. Sjabloondetails variëren afhankelijk van het scenario; De volgende eigenschappen zijn echter vereist:
Tabblad Compatibiliteit
Certificeringsinstantie moet Windows Server 2008 of hoger zijn. (Windows Server 2012 wordt aanbevolen.)
De ontvanger van het certificaat moet Windows Vista/Server 2008 of hoger zijn. (Windows 8/Windows Server 2012 wordt aanbevolen.)
Tabblad Cryptografie
Providercategorie moet Sleutelopslagprovider zijn. (vereist)
Algoritmenaam moet RSA zijn. (vereist)
De aanvraag moet een van de volgende providers gebruiken: moet worden Microsoft Provider van softwaresleutelopslag.
Opmerking
De vereisten voor uw omgeving of organisatie kunnen afwijken. Neem contact op met uw PKI-expert. Het belangrijkste punt om te overwegen is dat een certificaatsjabloon een sleutelopslagprovider moet gebruiken om te profiteren van CNG.
Voor de beste resultaten raden we u aan de onderwerpnaam op te bouwen op basis van Active Directory-gegevens. Gebruik de DNS-naam voor de indeling van de onderwerpnaam en neem de DNS-naam op in de alternatieve onderwerpnaam. Anders moet u deze informatie opgeven wanneer het apparaat wordt ingeschreven bij het certificaatprofiel.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor