Översikt över CNG v3-certifikat
Configuration Manager stöder kryptografi: CNG-certifikat (Next Generation). Configuration Manager klienter kan använda ett PKI-klientautentiseringscertifikat med den privata nyckeln genererad och lagrad i en CNG-nyckellagringsprovider (KSP). Med stöd för KSP stöder Configuration Manager klienter maskinvarubaserade privata nycklar, till exempel TPM KSP för PKI-klientautentiseringscertifikat.
Obs!
När du använder CNG-certifikat stöder Configuration Manager klienter endast certifikat som använder den kryptografiska RSA-algoritmen.
Scenarier som stöds
Du kan använda kryptografi-API: Certifikatmallar för nästa generation (CNG) v3 för följande scenarier:
- Klientregistrering och kommunikation med en HTTPS-hanteringsplats
- Programdistribution och programdistribution med en HTTPS-distributionsplats
- OS-distribution
- SDK för klientmeddelanden (med senaste uppdatering) och ISV-proxy
- Konfiguration av molnhanteringsgateway (CMG)
- Användarriktade tillgängliga program i Software Center
Använd även CNG v3-certifikat för följande HTTPS-aktiverade serverroller:
- Hanteringsplats
- Distributionsplats
- Programuppdateringsplats
- Tillståndsmigreringsplats
- Certifikatregistreringsplats, inklusive NDES-servern med Configuration Manager-principmodulen
Obs!
CNG är bakåtkompatibelt med Crypto API (CAPI). CAPI-certifikat stöds fortfarande även när CNG-stöd är aktiverat på klienten.
Scenarier som inte stöds
Följande scenarier stöds för närvarande inte:
Följande serverroller fungerar inte när de installeras i HTTPS-läge med ett CNG v3-certifikat som är bundet till webbplatsen i Internet Information Services (IIS):
- Registreringsplats
- Registreringsproxyplats
Så här använder du CNG-certifikat
Om du vill använda CNG v3-certifikat måste certifikatutfärdare (CA) tillhandahålla CNG-certifikatmallar för måldatorer. Mallinformationen varierar beroende på scenariot. Följande egenskaper krävs dock:
Fliken Kompatibilitet
Certifikatutfärdare måste vara Windows Server 2008 eller senare. (Windows Server 2012 rekommenderas.)
Certifikatmottagaren måste vara Windows Vista/Server 2008 eller senare. (Windows 8/Windows Server 2012 rekommenderas.)
Fliken Kryptografi
Providerkategorin måste vara nyckellagringsprovider. (krävs)
Algoritmnamnet måste vara RSA. (krävs)
Begäran måste använda någon av följande leverantörer: måste vara Microsoft Provider för programvarunyckellagring.
Obs!
Kraven för din miljö eller organisation kan vara olika. Kontakta din PKI-expert. Det viktiga att tänka på är att en certifikatmall måste använda en nyckellagringsprovider för att dra nytta av CNG.
För bästa resultat rekommenderar vi att du skapar ämnesnamnet från Active Directory-information. Använd DNS-namnet för format för ämnesnamn och inkludera DNS-namnet i det alternativa ämnesnamnet. Annars måste du ange den här informationen när enheten registreras i certifikatprofilen.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för