PKI-certificaatvereisten voor Configuration Manager
Van toepassing op: Configuration Manager (current branch)
De PKI-certificaten (Public Key Infrastructure) die u mogelijk nodig hebt voor Configuration Manager, worden vermeld in de volgende tabellen. Voor deze informatie wordt uitgegaan van basiskennis van PKI-certificaten.
U kunt elke PKI gebruiken om de meeste certificaten in Configuration Manager te maken, implementeren en beheren. Voor clientcertificaten die Configuration Manager worden ingeschreven op mobiele apparaten en Mac-computers, is het gebruik van Active Directory Certificate Services vereist.
Wanneer u Active Directory Certificate Services en certificaatsjablonen gebruikt, kan deze Microsoft PKI-oplossing het beheer van certificaten vereenvoudigen. Gebruik de microsoft-certificaatsjabloonreferentie in de onderstaande secties om de certificaatsjabloon te identificeren die het meest overeenkomt met de certificaatvereisten. Alleen een certificeringsinstantie (CA) die wordt uitgevoerd op de Enterprise- of Datacenter-editie van Windows-server kan certificaten op basis van sjablonen gebruiken.
Zie de volgende artikelen voor meer informatie:
Ondersteunde certificaattypen
Sha-2-certificaten (Secure Hash Algorithm 2)
Geef nieuwe server- en clientverificatiecertificaten uit die zijn ondertekend met SHA-2, waaronder SHA-256 en SHA-512. Alle internetgerichte services moeten een SHA-2-certificaat gebruiken. Als u bijvoorbeeld een openbaar certificaat koopt voor gebruik met een cloudbeheergateway, moet u ervoor zorgen dat u een SHA-2-certificaat koopt.
Windows vertrouwt geen certificaten die zijn ondertekend met SHA-1. Zie Windows-afdwinging van SHA1-certificaten voor meer informatie.
CNG v3-certificaten
Configuration Manager ondersteunt Cryptografie: Volgende generatie (CNG) v3-certificaten. Configuration Manager clients kunnen een PKI-clientverificatiecertificaat met een persoonlijke sleutel gebruiken in een CNG Key Storage Provider (KSP). Met KSP-ondersteuning ondersteunen Configuration Manager clients persoonlijke sleutels op basis van hardware, zoals een TPM-KSP voor PKI-clientverificatiecertificaten.
Zie Overzicht van CNG v3-certificaten voor meer informatie.
PKI-certificaten voor servers
Sitesystemen die IIS uitvoeren en HTTPS-clientverbindingen ondersteunen
Dit webservercertificaat wordt gebruikt voor het volgende:
- De servers verifiëren bij de client
- Versleutel alle gegevens die worden overgedragen tussen de client en deze servers met TLS.
Van toepassing op:
- Beheerpunt
- Distributiepunt
- Software-updatepunt
- Statusmigratiepunt
- Inschrijvingspunt
- Proxypunt voor inschrijving
- Certificaatregistratiepunt
Certificaatvereisten:
Certificaatdoel: Serververificatie
Microsoft-certificaatsjabloon: Webserver
De waarde uitgebreid sleutelgebruik moet bevatten
Server Authentication (1.3.6.1.5.5.7.3.1)Onderwerpnaam:
Als het sitesysteem verbindingen van internet accepteert, moet de onderwerpnaam of alternatieve onderwerpnaam de FQDN (Fully Qualified Domain Name) voor internet bevatten.
Als het sitesysteem verbindingen van het intranet accepteert, moet de onderwerpnaam of alternatieve onderwerpnaam de intranet-FQDN (aanbevolen) of de naam van de computer bevatten, afhankelijk van hoe het sitesysteem is ingesteld.
Als het sitesysteem verbindingen van zowel internet als het intranet accepteert, moeten zowel de internet-FQDN als de intranet-FQDN (of computernaam) worden opgegeven. Gebruik het scheidingsteken voor ampersand (
&) tussen de twee namen.
Opmerking
Wanneer het software-updatepunt alleen clientverbindingen van internet accepteert, moet het certificaat zowel de internet-FQDN als de intranet-FQDN bevatten.
Sleutellengte: Configuration Manager geeft geen maximale ondersteunde sleutellengte op voor dit certificaat. Raadpleeg uw PKI- en IIS-documentatie voor problemen met de sleutelgrootte voor dit certificaat.
De meeste sitesysteemrollen ondersteunen sleutelopslagproviders voor persoonlijke certificaatsleutels (v3). Zie Overzicht van CNG v3-certificaten voor meer informatie.
Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden.
Cloudbeheergateway (CMG)
Dit servicecertificaat wordt gebruikt voor het volgende:
De CMG-service in Azure verifiëren voor Configuration Manager-clients
Versleutel alle gegevens die tussen hen worden overgedragen met behulp van TLS.
Exporteer dit certificaat in een PKCS #12-indeling (Public Key Certificate Standard). U moet het wachtwoord weten, zodat u het certificaat kunt importeren wanneer u de CMG maakt.
Certificaatvereisten:
Certificaatdoel: Serververificatie
Microsoft-certificaatsjabloon: Webserver
De waarde uitgebreid sleutelgebruik moet bevatten
Server Authentication (1.3.6.1.5.5.7.3.1)De onderwerpnaam moet een door de klant gedefinieerde servicenaam bevatten als algemene naam voor het specifieke exemplaar van de cloudbeheergateway.
De persoonlijke sleutel moet exporteerbaar zijn.
Ondersteunde sleutellengten: 2048-bits of 4096-bits
Dit certificaat ondersteunt sleutelopslagproviders voor persoonlijke certificaatsleutels (v3).
Zie CMG-serververificatiecertificaat voor meer informatie.
Sitesysteemservers waarop Microsoft SQL Server
Dit certificaat wordt gebruikt voor server-naar-serververificatie.
Certificaatvereisten:
Certificaatdoel: Serververificatie
Microsoft-certificaatsjabloon: Webserver
De waarde uitgebreid sleutelgebruik moet bevatten
Server Authentication (1.3.6.1.5.5.7.3.1)De onderwerpnaam moet de FQDN (Fully Qualified Domain Name) van het intranet bevatten
De maximale ondersteunde sleutellengte is 2048 bits.
Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden. Configuration Manager kopieert deze automatisch naar de Vertrouwde Mensen Store voor servers in de Configuration Manager-hiërarchie die mogelijk een vertrouwensrelatie met de server tot stand moeten brengen.
SQL Server AlwaysOn-failoverclusterexemplaren
Dit certificaat wordt gebruikt voor server-naar-serververificatie.
Certificaatvereisten:
Certificaatdoel: Serververificatie
Microsoft-certificaatsjabloon: Webserver
De waarde uitgebreid sleutelgebruik moet bevatten
Server Authentication (1.3.6.1.5.5.7.3.1)De onderwerpnaam moet de FQDN(FQDN) van het intranet van het cluster bevatten
De persoonlijke sleutel moet exporteerbaar zijn
Het certificaat moet een geldigheidsperiode van ten minste twee jaar hebben wanneer u Configuration Manager configureert voor het gebruik van het failoverclusterexemplaren
De maximale ondersteunde sleutellengte is 2048 bits.
Dit certificaat aanvragen en installeren op één knooppunt in het cluster. Exporteer vervolgens het certificaat en importeer het naar de andere knooppunten.
Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden. Configuration Manager kopieert deze automatisch naar de Vertrouwde Mensen Store voor servers in de Configuration Manager-hiërarchie die mogelijk een vertrouwensrelatie met de server tot stand moeten brengen.
Sitesysteembewaking
Van toepassing op:
- Beheerpunt
- Statusmigratiepunt
Certificaatvereisten:
Certificaatdoel: Clientverificatie
Microsoft-certificaatsjabloon: Verificatie van werkstation
De waarde uitgebreid sleutelgebruik moet bevatten
Client Authentication (1.3.6.1.5.5.7.3.2)Computers moeten een unieke waarde hebben in het veld Onderwerpnaam of in het veld Alternatieve onderwerpnaam .
Opmerking
Als u meerdere waarden gebruikt voor de alternatieve naam van het onderwerp, wordt alleen de eerste waarde gebruikt.
De maximale ondersteunde sleutellengte is 2048 bits.
Dit certificaat is vereist op de vermelde sitesysteemservers, zelfs als de Configuration Manager-client niet is geïnstalleerd. Met deze configuratie kan de site de status van deze sitesysteemrollen bewaken en rapporteren.
Het certificaat voor deze sitesystemen moet zich in het persoonlijke archief van het certificaatarchief van de computer bevinden.
Servers waarop de Configuration Manager Policy Module met de NDES-functieservice (Network Device Enrollment Service) wordt uitgevoerd
Certificaatvereisten:
Certificaatdoel: Clientverificatie
Microsoft-certificaatsjabloon: Verificatie van werkstation
De waarde uitgebreid sleutelgebruik moet bevatten
Client Authentication (1.3.6.1.5.5.7.3.2)Er zijn geen specifieke vereisten voor de onderwerpnaam van het certificaat of de alternatieve onderwerpnaam (SAN). U kunt hetzelfde certificaat gebruiken voor meerdere servers waarop de registratieservice voor netwerkapparaten wordt uitgevoerd.
Ondersteunde sleutellengten: 1024 bits en 2048 bits.
Sitesystemen waarop een distributiepunt is geïnstalleerd
Dit certificaat heeft twee doelen:
Het distributiepunt wordt geverifieerd bij een HTTPS-beheerpunt voordat het distributiepunt statusberichten verzendt.
Opmerking
Wanneer u alle beheerpunten voor HTTPS configureert, moeten HTTPS-distributiepunten een door PKI uitgegeven certificaat gebruiken. Gebruik geen zelfondertekende certificaten op distributiepunten wanneer beheerpunten certificaten gebruiken. Anders kunnen er problemen optreden. Distributiepunten verzenden bijvoorbeeld geen statusberichten.
Een distributiepunt met PXE-functionaliteit verzendt dit certificaat naar computers. Als de takenreeks clientacties bevat, zoals het ophalen van clientbeleid of het verzenden van inventarisgegevens, kan de computer verbinding maken met een HTTPS-beheerpunt tijdens het implementatieproces van het besturingssysteem.
Opmerking
Voor dit PXE-scenario wordt dit certificaat alleen gebruikt tijdens het implementatieproces van het besturingssysteem. Deze is niet geïnstalleerd op de client. Vanwege dit tijdelijke gebruik kunt u hetzelfde certificaat voor elke implementatie van het besturingssysteem gebruiken als u niet meerdere clientcertificaten wilt gebruiken.
De vereisten voor dit certificaat zijn hetzelfde als het clientcertificaat voor takenreeksmedia. Omdat de vereisten hetzelfde zijn, kunt u hetzelfde certificaatbestand gebruiken.
Het certificaat dat u opgeeft voor HTTPS-inschakelen van een distributiepunt, is van toepassing op alle distributiebewerkingen voor inhoud, niet alleen op de implementatie van het besturingssysteem.
Certificaatvereisten:
Certificaatdoel: Clientverificatie
Microsoft-certificaatsjabloon: Verificatie van werkstation
De waarde uitgebreid sleutelgebruik moet bevatten
Client Authentication (1.3.6.1.5.5.7.3.2)Er zijn geen specifieke vereisten voor de onderwerpnaam van het certificaat of de alternatieve onderwerpnaam (SAN). Het wordt aanbevolen om voor elk distributiepunt een ander certificaat te gebruiken, maar u kunt hetzelfde certificaat gebruiken.
De persoonlijke sleutel moet exporteerbaar zijn.
De maximale ondersteunde sleutellengte is 2048 bits.
Exporteer dit certificaat in een PKCS #12-indeling (Public Key Certificate Standard). U moet het wachtwoord weten, zodat u het certificaat kunt importeren in de eigenschappen van het distributiepunt.
Proxywebservers voor clientbeheer op internet
Als de site ondersteuning biedt voor clientbeheer via internet en u een proxywebserver gebruikt met SSL-beëindiging (bridging) voor binnenkomende internetverbindingen, heeft de proxywebserver de volgende certificaatvereisten:
Opmerking
Als u een proxywebserver gebruikt zonder SSL-beëindiging (tunneling), zijn er geen extra certificaten vereist op de proxywebserver.
Certificaatvereisten:
Certificaatdoel: Serververificatie en Clientverificatie
Microsoft-certificaatsjabloon: Webserver - en werkstationverificatie
Internet-FQDN in het veld Onderwerpnaam of Alternatieve onderwerpnaam . Als u Microsoft-certificaatsjablonen gebruikt, is de alternatieve onderwerpnaam alleen beschikbaar voor de werkstationsjabloon.
Dit certificaat wordt gebruikt om de volgende servers te verifiëren voor internetclients en om alle gegevens te versleutelen die tussen de client en deze server worden overgedragen met TLS:
- Op internet gebaseerd beheerpunt
- Distributiepunt op internet
- Software-updatepunt op internet
De clientverificatie wordt gebruikt om clientverbindingen tussen de Configuration Manager clients en de op internet gebaseerde sitesystemen te overbruggingen.
PKI-certificaten voor clients
Windows-clientcomputers
Met uitzondering van het software-updatepunt verifieert dit certificaat de client bij sitesystemen die IIS uitvoeren en HTTPS-clientverbindingen ondersteunen.
Certificaatvereisten:
Certificaatdoel: Clientverificatie
Microsoft-certificaatsjabloon: Verificatie van werkstation
De waarde uitgebreid sleutelgebruik moet bevatten
Client Authentication (1.3.6.1.5.5.7.3.2)De waarde sleutelgebruik moet bevatten
Digital Signature, Key Encipherment (a0)Clientcomputers moeten een unieke waarde hebben in het veld Onderwerpnaam of Alternatieve onderwerpnaam . Indien gebruikt, moet het veld Onderwerpnaam de naam van de lokale computer bevatten, tenzij er een alternatief selectiecriterium voor certificaten wordt opgegeven. Zie Selectie van PKI-clientcertificaat plannen voor meer informatie.
Opmerking
Als u meerdere waarden gebruikt voor de alternatieve naam van het onderwerp, wordt alleen de eerste waarde gebruikt.
Er is geen maximale ondersteunde sleutellengte.
Standaard zoekt Configuration Manager naar computercertificaten in het persoonlijke archief in het certificaatarchief van de computer.
Takenreeksmedia voor het implementeren van besturingssystemen
Dit certificaat wordt gebruikt door een OSD-takenreeks en stelt de computer in staat om verbinding te maken met een HTTPS-beheerpunt en distributiepunt tijdens het implementatieproces van het besturingssysteem. Verbindingen met het beheerpunt en het distributiepunt kunnen acties omvatten, zoals het ophalen van clientbeleid van het beheerpunt en het downloaden van inhoud van het distributiepunt.
Dit certificaat wordt alleen gebruikt tijdens het implementatieproces van het besturingssysteem. Het wordt niet gebruikt als onderdeel van de eigenschappen van de clientinstallatie wanneer de client wordt geïnstalleerd tijdens de installatie van Windows en ConfigMgr-taak en wordt deze ook niet op het apparaat geïnstalleerd. Vanwege dit tijdelijke gebruik kunt u hetzelfde certificaat voor elke implementatie van het besturingssysteem gebruiken als u niet meerdere clientcertificaten wilt gebruiken.
Wanneer u een omgeving hebt die alleen HTTPS is, moet de takenreeksmedia een geldig certificaat hebben. Met dit certificaat kan het apparaat communiceren met de site en kan de implementatie worden voortgezet. Nadat de takenreeks is voltooid en het apparaat is gekoppeld aan Active Directory, kan de client automatisch een PKI-certificaat genereren via een groepsbeleidsobject, of u kunt een PKI-certificaat installeren met behulp van een andere methode.
Opmerking
De vereisten voor dit certificaat zijn hetzelfde als het servercertificaat voor sitesystemen met de distributiepuntrol. Omdat de vereisten hetzelfde zijn, kunt u hetzelfde certificaatbestand gebruiken.
Certificaatvereisten:
Certificaatdoel: Clientverificatie
Microsoft-certificaatsjabloon: Verificatie van werkstation
De waarde uitgebreid sleutelgebruik moet bevatten
Client Authentication (1.3.6.1.5.5.7.3.2)Er zijn geen specifieke vereisten voor de velden Onderwerpnaam of Alternatieve onderwerpnaam (SAN). U kunt hetzelfde certificaat gebruiken voor alle takenreeksmedia.
De persoonlijke sleutel moet exporteerbaar zijn.
De maximale ondersteunde sleutellengte is 2048 bits.
Exporteer dit certificaat in een PKCS #12-indeling (Public Key Certificate Standard). U moet het wachtwoord weten, zodat u het certificaat kunt importeren bij het maken van de takenreeksmedia.
Belangrijk
Opstartinstallatiekopieën bevatten geen PKI-certificaten om met de site te communiceren. In plaats daarvan gebruiken opstartinstallatiekopieën het PKI-certificaat dat is toegevoegd aan de takenreeksmedia om met de site te communiceren.
Zie Opstartbare media maken en Voorbereide media maken voor meer informatie over het toevoegen van een PKI-certificaat aan takenreeksmedia.
macOS-clientcomputers
Met dit certificaat wordt de macOS-clientcomputer geverifieerd bij de sitesysteemservers waarmee wordt gecommuniceerd. Bijvoorbeeld beheerpunten en distributiepunten.
Certificaatvereisten:
Certificaatdoel: Clientverificatie
Microsoft-certificaatsjabloon:
- Voor Configuration Manager inschrijving: Geverifieerde sessie
- Voor certificaatinstallatie onafhankelijk van Configuration Manager: Verificatie van werkstation
De waarde uitgebreid sleutelgebruik moet bevatten
Client Authentication (1.3.6.1.5.5.7.3.2)Onderwerpnaam:
- Voor Configuration Manager die een gebruikerscertificaat maakt, wordt de waarde Van het certificaat automatisch ingevuld met de gebruikersnaam van de persoon die de macOS-computer inschrijft.
- Voor certificaatinstallatie die geen gebruik maakt van Configuration Manager-inschrijving, maar een computercertificaat onafhankelijk van Configuration Manager implementeert, moet de waarde van het certificaat Onderwerp uniek zijn. Geef bijvoorbeeld de FQDN van de computer op.
- Het veld Alternatieve naam onderwerp wordt niet ondersteund.
De maximale ondersteunde sleutellengte is 2048 bits.
Clients voor mobiele apparaten
Met dit certificaat wordt de client van het mobiele apparaat geverifieerd bij de sitesysteemservers waarmee het communiceert. Bijvoorbeeld beheerpunten en distributiepunten.
Certificaatvereisten:
Certificaatdoel: Clientverificatie
Microsoft-certificaatsjabloon: Geverifieerde sessie
De waarde uitgebreid sleutelgebruik moet bevatten
Client Authentication (1.3.6.1.5.5.7.3.2)De maximale ondersteunde sleutellengte is 2048 bits.
Deze certificaten moeten een met Distinguished Encoding Rules gecodeerde binaire X.509-indeling hebben. De met Base64 gecodeerde X.509-indeling wordt niet ondersteund.
Ca-certificaten (basiscertificeringsinstantie)
Dit certificaat is een standaard basis-CA-certificaat.
Van toepassing op:
- Besturingssysteemimplementatie
- Clientcertificaatverificatie
- Inschrijving van mobiele apparaten
Certificaatdoel: Certificaatketen naar een vertrouwde bron
Het basis-CA-certificaat moet worden opgegeven wanneer clients de certificaten van de communicerende server moeten koppelen aan een vertrouwde bron. Het basis-CA-certificaat voor clients moet worden opgegeven als de clientcertificaten worden uitgegeven door een andere CA-hiërarchie dan de CA-hiërarchie die het beheerpuntcertificaat heeft uitgegeven.