Udostępnij za pośrednictwem

Omówienie certyfikatów CNG w wersji 3

  • Artykuł

Configuration Manager obsługuje kryptografię: certyfikaty nowej generacji (CNG). Configuration Manager klienci mogą używać certyfikatu uwierzytelniania klienta infrastruktury kluczy publicznych z kluczem prywatnym wygenerowanym i przechowywanym w dostawcy magazynu kluczy CNG (KSP). Dzięki obsłudze dostawcy KSP klienci Configuration Manager obsługują sprzętowe klucze prywatne, takie jak dostawca KSP modułu TPM dla certyfikatów uwierzytelniania klienta infrastruktury kluczy publicznych.

Uwaga

W przypadku korzystania z certyfikatów CNG klienci Configuration Manager obsługują tylko certyfikaty korzystające z algorytmu kryptograficznego RSA.

Obsługiwane scenariusze

Interfejs API kryptografii: szablony certyfikatów nowej generacji (CNG) w wersji 3 można używać w następujących scenariuszach:

  • Rejestracja klienta i komunikacja z punktem zarządzania HTTPS
  • Dystrybucja oprogramowania i wdrażanie aplikacji z punktem dystrybucji HTTPS
  • Wdrożenie systemu operacyjnego
  • Zestaw SDK obsługi komunikatów klienta (z najnowszą aktualizacją) i serwer proxy isv
  • Konfiguracja bramy zarządzania chmurą (CMG)
  • Dostępne aplikacje przeznaczone dla użytkowników w Centrum oprogramowania

Użyj również certyfikatów CNG w wersji 3 dla następujących ról serwera z obsługą protokołu HTTPS:

  • Punkt zarządzania
  • Punkt dystrybucji
  • Punkt aktualizacji oprogramowania
  • Punkt migracji stanu
  • Punkt rejestracji certyfikatu, w tym serwer usługi NDES z modułem zasad Configuration Manager

Uwaga

CNG jest wstecznie zgodne z interfejsem API kryptografii (CAPI). Certyfikaty CAPI są nadal obsługiwane nawet wtedy, gdy obsługa CNG jest włączona na kliencie.

Nieobsługiwane scenariusze

Następujące scenariusze nie są obecnie obsługiwane:

  • Następujące role serwera nie działają po zainstalowaniu w trybie HTTPS z certyfikatem CNG w wersji 3 powiązanym z witryną internetową w usługach Internet Information Services (IIS):

    • Punkt rejestracji
    • Punkt proxy rejestracji

Aby używać certyfikatów CNG

Aby korzystać z certyfikatów CNG w wersji 3, urząd certyfikacji musi udostępnić szablony certyfikatów CNG dla maszyn docelowych. Szczegóły szablonu różnią się w zależności od scenariusza; Wymagane są jednak następujące właściwości:

  • Karta Zgodność

    • Urząd certyfikacji musi mieć system Windows Server 2008 lub nowszy. (zalecane jest Windows Server 2012).

    • Adresatem certyfikatu musi być system Windows Vista/Server 2008 lub nowszy. (zalecane jest Windows 8/Windows Server 2012).

  • Karta Kryptografia

    • Kategoria dostawcy musi być dostawcą magazynu kluczy. (wymagane)

    • Nazwa algorytmu musi być RSA. (wymagane)

    • Żądanie musi używać jednego z następujących dostawców: musi być Microsoft dostawcy magazynu kluczy oprogramowania.

Uwaga

Wymagania dotyczące środowiska lub organizacji mogą być inne. Skontaktuj się z ekspertem ds. infrastruktury kluczy publicznych. Należy wziąć pod uwagę, że szablon certyfikatu musi korzystać z dostawcy magazynu kluczy, aby korzystać z usługi CNG.

Aby uzyskać najlepsze wyniki, zalecamy utworzenie nazwy podmiotu z informacji usługi Active Directory. Użyj nazwy DNS dla formatu nazwy podmiotu i uwzględnij nazwę DNS w alternatywnej nazwie podmiotu. W przeciwnym razie należy podać te informacje, gdy urządzenie zostanie zarejestrowane w profilu certyfikatu.