Поделиться через


Обзор сертификатов CNG версии 3

Configuration Manager поддерживает шифрование: сертификаты следующего поколения (CNG). Configuration Manager клиенты могут использовать сертификат проверки подлинности PKI-клиента с закрытым ключом, созданным и сохраненным в поставщике хранилища ключей CNG (KSP). Благодаря поддержке KSP клиенты Configuration Manager поддерживают аппаратные закрытые ключи, такие как KSP доверенного платформенного модуля для сертификатов проверки подлинности PKI-клиентов.

Примечание.

При использовании сертификатов CNG клиенты Configuration Manager поддерживают только сертификаты, использующие алгоритм шифрования RSA.

Поддерживаемые сценарии

Вы можете использовать шаблоны сертификатов API шифрования: следующее поколение (CNG) версии 3 в следующих сценариях:

  • Регистрация клиента и обмен данными с точкой управления HTTPS
  • Распространение программного обеспечения и развертывание приложений с помощью точки распространения HTTPS
  • Развертывание ОС
  • Пакет SDK для обмена сообщениями клиента (с последним обновлением) и прокси-сервер ISV
  • Конфигурация шлюза управления облаком (CMG)
  • Приложения, предназначенные для пользователей, в Центре программного обеспечения

Также используйте сертификаты CNG версии 3 для следующих ролей сервера с поддержкой HTTPS:

  • Точка управления
  • Точка распространения
  • Точка обновления программного обеспечения
  • Точка миграции состояния
  • Точка регистрации сертификатов, включая сервер NDES с модулем политики Configuration Manager

Примечание.

CNG обратно совместим с API шифрования (CAPI). Сертификаты CAPI по-прежнему поддерживаются, даже если на клиенте включена поддержка CNG.

Неподдерживаемые сценарии

В настоящее время не поддерживаются следующие сценарии:

  • Следующие роли сервера не используются при установке в режиме HTTPS с сертификатом CNG версии 3, привязанным к веб-сайту в службах IIS:

    • Точка регистрации
    • Прокси-точка регистрации

Использование сертификатов CNG

Чтобы использовать сертификаты CNG версии 3, центр сертификации (ЦС) должен предоставить шаблоны сертификатов CNG для целевых компьютеров. Сведения о шаблоне зависят от сценария; однако требуются следующие свойства:

  • Вкладка "Совместимость"

    • Центр сертификации должен быть Windows Server 2008 или более поздней версии. (Windows Server 2012 рекомендуется.)

    • Получатель сертификата должен быть Windows Vista/Server 2008 или более поздней версии. (рекомендуется Windows 8/Windows Server 2012.)

  • Вкладка "Шифрование "

    • Категория поставщика должна быть поставщиком хранилища ключей. (обязательный)

    • Имя алгоритма должно быть RSA. (обязательно)

    • Запрос должен использовать один из следующих поставщиков: должен быть Майкрософт поставщик хранилища ключей программного обеспечения.

Примечание.

Требования к вашей среде или организации могут отличаться. Обратитесь к эксперту по PKI. Важно учитывать, что шаблон сертификата должен использовать поставщик хранилища ключей, чтобы воспользоваться преимуществами CNG.

Для достижения наилучших результатов рекомендуется создавать имя субъекта из сведений Active Directory. Используйте формат DNS-имени субъекта и включите DNS-имя в альтернативное имя субъекта. В противном случае необходимо указать эти сведения, когда устройство регистрируется в профиле сертификата.