Omówienie certyfikatów CNG w wersji 3
Configuration Manager obsługuje kryptografię: certyfikaty nowej generacji (CNG). Configuration Manager klienci mogą używać certyfikatu uwierzytelniania klienta infrastruktury kluczy publicznych z kluczem prywatnym wygenerowanym i przechowywanym w dostawcy magazynu kluczy CNG (KSP). Dzięki obsłudze dostawcy KSP klienci Configuration Manager obsługują sprzętowe klucze prywatne, takie jak dostawca KSP modułu TPM dla certyfikatów uwierzytelniania klienta infrastruktury kluczy publicznych.
Uwaga
W przypadku korzystania z certyfikatów CNG klienci Configuration Manager obsługują tylko certyfikaty korzystające z algorytmu kryptograficznego RSA.
Obsługiwane scenariusze
Interfejs API kryptografii: szablony certyfikatów nowej generacji (CNG) w wersji 3 można używać w następujących scenariuszach:
- Rejestracja klienta i komunikacja z punktem zarządzania HTTPS
- Dystrybucja oprogramowania i wdrażanie aplikacji z punktem dystrybucji HTTPS
- Wdrożenie systemu operacyjnego
- Zestaw SDK obsługi komunikatów klienta (z najnowszą aktualizacją) i serwer proxy isv
- Konfiguracja bramy zarządzania chmurą (CMG)
- Dostępne aplikacje przeznaczone dla użytkowników w Centrum oprogramowania
Użyj również certyfikatów CNG w wersji 3 dla następujących ról serwera z obsługą protokołu HTTPS:
- Punkt zarządzania
- Punkt dystrybucji
- Punkt aktualizacji oprogramowania
- Punkt migracji stanu
- Punkt rejestracji certyfikatu, w tym serwer usługi NDES z modułem zasad Configuration Manager
Uwaga
CNG jest wstecznie zgodne z interfejsem API kryptografii (CAPI). Certyfikaty CAPI są nadal obsługiwane nawet wtedy, gdy obsługa CNG jest włączona na kliencie.
Nieobsługiwane scenariusze
Następujące scenariusze nie są obecnie obsługiwane:
Następujące role serwera nie działają po zainstalowaniu w trybie HTTPS z certyfikatem CNG w wersji 3 powiązanym z witryną internetową w usługach Internet Information Services (IIS):
- Punkt rejestracji
- Punkt proxy rejestracji
Aby używać certyfikatów CNG
Aby korzystać z certyfikatów CNG w wersji 3, urząd certyfikacji musi udostępnić szablony certyfikatów CNG dla maszyn docelowych. Szczegóły szablonu różnią się w zależności od scenariusza; Wymagane są jednak następujące właściwości:
Karta Zgodność
Urząd certyfikacji musi mieć system Windows Server 2008 lub nowszy. (zalecane jest Windows Server 2012).
Adresatem certyfikatu musi być system Windows Vista/Server 2008 lub nowszy. (zalecane jest Windows 8/Windows Server 2012).
Karta Kryptografia
Kategoria dostawcy musi być dostawcą magazynu kluczy. (wymagane)
Nazwa algorytmu musi być RSA. (wymagane)
Żądanie musi używać jednego z następujących dostawców: musi być Microsoft dostawcy magazynu kluczy oprogramowania.
Uwaga
Wymagania dotyczące środowiska lub organizacji mogą być inne. Skontaktuj się z ekspertem ds. infrastruktury kluczy publicznych. Należy wziąć pod uwagę, że szablon certyfikatu musi korzystać z dostawcy magazynu kluczy, aby korzystać z usługi CNG.
Aby uzyskać najlepsze wyniki, zalecamy utworzenie nazwy podmiotu z informacji usługi Active Directory. Użyj nazwy DNS dla formatu nazwy podmiotu i uwzględnij nazwę DNS w alternatywnej nazwie podmiotu. W przeciwnym razie należy podać te informacje, gdy urządzenie zostanie zarejestrowane w profilu certyfikatu.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla