Dela via

  • Artikel

PKI-certifikatkrav för Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

De PKI-certifikat (public key infrastructure) som du kan behöva för System Center 2012 Configuration Manager listas i de följande tabellerna. Den här informationen förutsätter grundläggande kunskaper om PKI-certifikat. Detaljerade anvisningar om en exempeldistribution av dessa certifikat finns i Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare. Mer information om Active Directory Certificate Services finns i följande dokumentation:

System_CAPS_importantViktigt

Från och med 1 januari 2017 kommer certifikat signerade med SHA-1 inte längre vara betrodda av Windows. Vi rekommenderar att du utfärdar nya server- och klientautentiseringscertifikat som är signerade med SHA-2.

Mer information om den här ändringen och eventuella uppdateringar av deadline finns i detta blogginlägg: Windows genomför Authenticode-kodsignering och tidsstämplar

Med undantag för klientcertifikaten som Configuration Manager registrerar på mobila enheter och på Mac-datorer, certifikaten som Microsoft Intune skapar automatiskt för hantering av mobila enheter samt certifikaten som Configuration Manager installerar på AMT-baserade datorer, kan du använda en valfri PKI för att skapa, distribuera och hantera de följande certifikaten. Men när du använder Active Directory Certificate Services och certifikatmallar, kan denna PKI-lösning från Microsoft göra det lättare att hantera certifikaten. Identifiera certifikatmallarna som liknar certifikatkraven bäst i kolumnen Microsoft-certifikatmall att använda i de följande tabellerna. Mallbaserade certifikat går bara att utfärda av en utfärdare av företagscertifikat som körs på Enterprise- eller Datacenter-versionen av serveroperativsystemet, t.ex. Windows Server 2008 Enterprise eller Windows Server 2008 Datacenter.

System_CAPS_importantViktigt

Använd inte version 3-mallar när du använder en utfärdare av företagscertifikat och certifikatmallar. Dessa certifikatmallar skapar certifikat som inte är kompatibla med Configuration Manager. Använd i stället version 2-mallar genom att följa dessa anvisningar:

  • För certifikatutfärdare på Windows Server 2012: Ange Windows Server 2003 som Certifikatutfärdare och Windows XP/Server 2003 som Certifikatmottagare på fliken Kompatibilitet för certifikatmallens egenskaper.

  • För certifikatutfärdare på Windows Server 2008: När du kopierar en certifikatmall ska du behålla standardvalet Windows Server 2003 Enterprise när du får en fråga i dialogrutan Duplicera mall. Välj inte Windows Server 2008, Enterprise Edition.

Läs om certifikatkraven i de följande avsnitten.

PKI-certifikat för servrar

Configuration Manager-komponent

Certifikatets syfte

Microsoft-certifikatmall att använda

Särskild information i certifikatet

Hur certifikatet används i Configuration Manager

Platssystem som kör Internet Information Services (IIS) och som är konfigurerade för HTTPS-klientanslutningar:

  • Hanteringsplats

  • Distributionsplats

  • Programuppdateringsplats

  • Tillståndsmigreringsplats

  • Registreringsplats

  • Registreringsproxyplats

  • Webbservicepunkt för programkatalog

  • Webbplatspunkt för programkatalog

Serverautentisering

Webbserver

Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1).

Om platssystemet tar emot anslutningar från internet, måste namnet eller det alternativa namnet på certifikatmottagaren innehålla det fullständigt bestämda domännamnet på internet (FQDN).

Om platssystemet tar emot anslutningar från intranätet, måste subjektsnamnet eller det alternativa namnet på certifikatmottagaren innehålla antingen intranätets fullständigt bestämda domännamn (rekommenderas) eller datorns namn, beroende på hur platssystemet är konfigurerat.

Om systemet tar emot anslutningar både från internet och från intranätet, måste det fullständigt bestämda domännamnet på internet och för intranätet (eller datorns namn) anges med ett et-tecken (&) mellan de två namnen.

System_CAPS_importantViktigt

Om programuppdateringsplatsen endast tar emot klientanslutningar från internet, måste certifikatet innehålla det fullständigt bestämda domännamnet på internet och för intranätet.

SHA-2-hashalgoritmen stöds.

Configuration Manager anger inte en maximal nyckellängd som stöds för det här certifikatet. Läs i PKI- och IIS-dokumentationen om eventuella nyckelstorleksrelaterade problem för detta certifikat.

Det här certifikatet måste finnas i det personliga arkivet i datorns certifikatarkiv.

Det här webbservercertifikatet används för att autentisera dessa servrar inför klienterna och för att kryptera alla data som överförs mellan klienten och dessa servrar via SSL (Secure Sockets Layer).

Molnbaserad distributionsplats

Serverautentisering

Webbserver

Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1).

Namnet på certifikatmottagaren måste innehålla ett kunddefinierat tjänstnamn och domännamn i FQDN-format som nätverksnamn för den specifika instansen av den molnbaserade distributionsplatsen.

Den privata nyckeln måste gå att exportera.

SHA-2-hashalgoritmen stöds.

Nyckellängd som stöds: 2048 bitar.

För System Center 2012 Configuration Manager SP1 och senare:

Detta tjänstcertifikat används för att autentisera den molnbaserade distributionsplatstjänsten inför Configuration Manager-klienter och för att kryptera alla data som överförs mellan dem via SSL (Secure Sockets Layer).

Det här certifikatet måste exporteras i PKCS #12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att det kan importeras när du skapar en molnbaserad distributionsplats.

System_CAPS_noteObs!

Detta certifikat används tillsammans med Windows Azure-hanteringscertifikatet. Mer information om detta certifikat finns i Create and Upload a Management Certificate for Azure (Skapa och ladda upp ett hanteringscertifikat för Azure) och How to Add a Management Certificate to a Windows Azure Subscription (Lägga till ett hanteringscertifikat till en Windows Azure-prenumeration) i plattformsavsnittet för Windows Azure i MSDN Library.

NLB-kluster (utjämning av nätverksbelastning) för en programuppdateringsplats

Serverautentisering

Webbserver

Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1).

  1. Det fullständigt bestämda domännamnet för NLB-klustret i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare:

    • Använd det fullständigt bestämda NLB-domännamnet på internet för belastningsutjämnande servrar som stöder internetbaserad klienthantering.

    • Använd det fullständigt bestämda NLB-domännamnet i intranätet för belastningsutjämnande servrar som stöder intranätklienter.

  2. Datornamnet på platssystemet i NLB-klustret i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare: Det här servernamnet måste anges efter NLB-klustrets namn. Använd ett et-tecken (&) som avgränsare:

    • Använd intranätets fullständigt bestämda domännamn för platssystem i intranätet om du anger dem (rekommenderas), eller datorns NetBIOS-namn.

    • Använd det fullständigt bestämda domännamnet på internet för platssystem som stöder internetbaserad klienthantering.

SHA-2-hashalgoritmen stöds.

För System Center 2012 Configuration Manager utan service pack:

Det här certifikatet används för att autentisera det nätverksbelastningsutjämnande programmets uppdateringsplats för klienter, samt för att kryptera alla data som överförs mellan klienten och dessa servrar via SSL.

System_CAPS_noteObs!

Det här certifikatet gäller endast Configuration Manager utan service pack, eftersom från och med System Center 2012 Configuration Manager SP1 stöds inte NLB-uppdateringsplatser.

Platssystemsservrar som kör Microsoft SQL Server

Serverautentisering

Webbserver

Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1).

Namnet på certifikatmottagaren måste innehålla det fullständigt bestämda domännamnet på internet.

SHA-2-hashalgoritmen stöds.

Maximal nyckellängd är 2 048 bitar.

Det här certifikatet måste finnas i det personliga arkivet i datorns certifikatarkiv. Det kopieras automatiskt till arkivet Betrodda personer av Configuration Manager för servrar i Configuration Manager-hierarkin som kan behöva upprätta förtroende med servern.

Dessa certifikat används för autentisering mellan servrar.

SQL Server-kluster: Platssystemsservrar som kör Microsoft SQL Server

Serverautentisering

Webbserver

Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1).

Namnet på certifikatmottagaren måste innehålla klustrets fullständigt bestämda domännamn på internet.

Den privata nyckeln måste gå att exportera.

Certifikatet måste ha en giltighetsperiod om minst två år när du konfigurerar Configuration Manager att använda SQL Server-klustret.

SHA-2-hashalgoritmen stöds.

Maximal nyckellängd är 2 048 bitar.

När du har begärt och installerat detta certifikat på en nod i klustret, ska du exportera det och importera det på alla andra noder i SQL Server-klustret.

Det här certifikatet måste finnas i det personliga arkivet i datorns certifikatarkiv. Det kopieras automatiskt till arkivet Betrodda personer av Configuration Manager för servrar i Configuration Manager-hierarkin som kan behöva upprätta förtroende med servern.

Dessa certifikat används för autentisering mellan servrar.

Platssystemsövervakning för följande platssystemsroller:

  • Hanteringsplats

  • Tillståndsmigreringsplats

Klientautentisering

Autentisering av arbetsstation

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

Datorer måste ha ett unikt värde i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare.

System_CAPS_noteObs!

Om du använder flera värden som alternativt namn på certifikatmottagaren, används bara det första värdet.

SHA-2-hashalgoritmen stöds.

Maximal nyckellängd är 2 048 bitar.

Det här certifikatet måste finnas på de platssystemsservrar som listas, även om System Center 2012 Configuration Manager-klienten inte är installerad, så att dessa platssystemsrollers hälsa kan övervakas och rapporteras till platsen.

Certifikatet för dessa platssystem måste finnas i det personliga arkivet i datorns certifikatarkiv.

Servrar som kör Configuration Manager-principmodulen med rolltjänsten Registreringstjänsten för nätverksenheter.

Klientautentisering

Autentisering av arbetsstation

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

Det finns inga särskilda krav på certifikatets namn eller alternativa namn på certifikatmottagare, och du kan använda samma certifikat för flera servrar som kör Registreringstjänsten för nätverksenheter.

SHA-2- och SHA-3-hashalgoritmer stöds.

Nyckellängder som stöds: 1024 bitar och 2048 bitar.

Informationen i det här ämnet gäller enbart System Center 2012 R2 Configuration Manager.

Detta certifikat autentiserar Configuration Manager-principmodulen för certifikatregistreringsplatsens platssystemsserver, så att Configuration Manager kan registrera certifikat för användare och enheter.

Platssystem med en installerad distributionsplats

Klientautentisering

Autentisering av arbetsstation

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

Det finns inga särskilda krav på certifikatets namn eller alternativa namn på certifikatmottagare, och du kan använda samma certifikat för flera distributionsplatser. Vi rekommenderar dock ett annat certifikat för varje distributionsplats.

Den privata nyckeln måste gå att exportera.

SHA-2-hashalgoritmen stöds.

Maximal nyckellängd är 2 048 bitar.

Certifikatet har två syften:

  • Det autentiserar distributionsplatsen för en HTTPS-aktiverad hanteringsplats innan distributionsplatsen skickar statusmeddelanden.

  • När distributionsplatsalternativet Aktivera PXE-stöd för klienter välj, skickas certifikatet till datorer så att klientdatorerna kan ansluta till en HTTPS-aktiverad hanteringsplats under distribution av operativsystemet, ifall aktivitetssekvenser i processen för att distribuera operativsystemet omfattar klientaktiviteter såsom att hämta klientprinciper eller att skicka inventarieinformation.

    Det här certifikatet används endast medan operativsystemet distribueras och installeras inte på datorn. Eftersom det är tillfälligt, kan samma certifikat användas för varje operativsystemsdistribution om du inte vill använda flera klientcertifikat.

Det här certifikatet måste exporteras i PKCS #12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att det kan importeras till distributionsplatsens egenskaper.

System_CAPS_noteObs!

Kraven på det här certifikatet är desamma som på klientcertifikatet för startavbildningar för distribution av operativsystem. Eftersom kraven är desamma, kan du använda samma certifikatfil.

Out-of-band-servicepunkt

AMT-etablering

Webbserver (ändrad)

Värdet Förbättrad nyckelanvändning måste innehålla Autentisera server (1.3.6.1.5.5.7.3.1) och följande objekt-id: 2.16.840.1.113741.1.2.3.

Fältet Namn på certifikatmottagare måste innehålla det fullständigt bestämda domännamnet på den server där out of band-tjänstplatsen finns.

System_CAPS_noteObs!

Om du begär ett AMT-etableringscertifikat från en extern certifikatutfärdare i stället för från den interna certifikatutfärdaren, och om denna inte stöder objekt-id:t 2.16.840.1.113741.1.2.3 för AMT-etablering, kan du alternativt ange följande textsträng som organisationsenhetsattribut i certifikatets namn på certifikatmottagaren: Intel(R) Client Setup Certificate. Exakt denna sträng på engelska måste användas, med de små och stora bokstäver som anges, utan en avslutande punkt, och utöver det fullständigt bestämda domännamnet på servern där out of band-tjänstplatsen finns.

SHA-1 är den enda hashalgoritm som stöds.

Nyckellängder som stöds: 1024 och 2048. För AMT 6.0 och senare versioner stöds även nyckellängden 4 096 bitar.

Det här certifikatet finns i det personliga arkivet i datorns certifikatarkiv på platssystemsservern som är out of band-tjänstplats.

Detta AMT-etableringscertifikat används för att förbereda datorer på out of band-hantering.

Du måste begära detta certifikat från en certifikatutfärdare som levererar AMT-etableringscertifikat, och BIOS-tillägget för Intel AMT-baserade datorer måste vara konfigurerat att använda rotcertifikattumavtrycket (som även kallas certifikatets hashvärde) för detta etableringscertifikat.

VeriSign är ett typexempel på en extern certifikatutfärdare som tillhandahåller AMT-etableringscertifikat, men du kan även använda en intern certifikatutfärdare.

Installera certifikatet på servern med out of band-tjänstplatsen, som måste ingå i kedjan till certifikatets rotcertifikatutfärdare. (Normalt installeras rotcertifikatutfärdarens certifikat och mellanliggande certifikatutfärdares certifikat för VeriSign när Windows installeras.)

Platssystemsserver som kör Microsoft Intune-anslutningsappen

Klientautentisering

Inte tillämpligt: Intune skapar detta certifikat automatiskt.

Värdet Förbättrad nyckelanvändning innehåller Klientautentisering (1.3.6.1.5.5.7.3.2).

Tre anpassade tillägg identifierar kundens Intune-prenumeration unikt.

Nyckellängden är 2 048 bitar och SHA-1-hashningsalgoritmen används.

System_CAPS_noteObs!

Du kan inte ändra dessa inställningar: Uppgifterna meddelas enbart i informativt syfte.

Det här certifikatet begärs automatiskt och installeras i Configuration Managers databas när du prenumererar på Microsoft Intune. När du installerar Microsoft Intune-anslutningsappen installeras detta certifikat på platssystemsservern där Microsoft Intune-anslutningsappen körs. Det installeras i datorns certifikatarkiv.

Det här certifikatet används för att autentisera Configuration Manager-hierarkin för Microsoft Intune genom att Microsoft Intune-anslutningsappen används. Alla data mellan dem överförs via SSL (Secure Sockets Layer).

Proxywebbservrar för internetbaserad klienthantering

Om platsen stöder internetbaserad klienthantering och du använder en proxywebbserver genom att använda SSL-terminering (bryggning) för inkommande internetanslutningar, har proxywebbservern de certifikatkrav som står i tabellen nedan.

System_CAPS_noteObs!

Om du använder en proxywebbserver utan SSL-terminering (tunnling), behöver den inga ytterligare certifikat.

Komponent i nätverksinfrastrukturen

Certifikatets syfte

Microsoft-certifikatmall att använda

Särskild information i certifikatet

Hur certifikatet används i Configuration Manager 

Proxywebbservern tar emot klientanslutningar via internet

Server- och klientautentisering

  1. Webbserver

  2. Autentisering av arbetsstation

Internet-FQDN i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare (om du använder Microsoft-certifikatmallar är Alternativt namn på certifikatmottagare bara tillgängligt för arbetsstationsmallen).

SHA-2-hashalgoritmen stöds.

Det här certifikatet används för att autentisera följande servrar på internetklienter och för att kryptera alla data som överförs mellan klienten och den här servern via SSL:

  • Internetbaserad hanteringsplats

  • Internetbaserad distributionsplats

  • Internetbaserad programuppdateringsplats

Klientautentiseringen används till överbrygga klientanslutningar mellan System Center 2012 Configuration Manager-klienter och de internetbaserade platssystemen.

PKI-certifikat för klienter

Configuration Manager-komponent

Certifikatets syfte

Microsoft-certifikatmall att använda

Särskild information i certifikatet

Hur certifikatet används i Configuration Manager 

Windows-klientdatorer

Klientautentisering

Autentisering av arbetsstation

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

Klientdatorer måste ha ett unikt värde i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare.

System_CAPS_noteObs!

Om du använder flera värden som alternativt namn på certifikatmottagaren, används bara det första värdet.

SHA-2-hashalgoritmen stöds.

Maximal nyckellängd är 2 048 bitar.

Som standard söker Configuration Manager efter datorcertifikat i det personliga arkivet i datorns certifikatarkiv.

Med undantag för programuppdateringsplatsen och webbplatsen för programkatalogen så autentiserar det här certifikatet klienten på platssystemservrar som kör IIS och som har konfigurerats för att använda HTTPS.

Klienter för mobila enheter

Klientautentisering

Autentiserad session

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

SHA-1 är den enda hashalgoritm som stöds.

Maximal nyckellängd är 2 048 bitar.

System_CAPS_importantViktigt

De här certifikaten måste ha DER-kodat (Distinguished Encoding Rules) binärt X.509-format.

Base64-kodat X.509-format stöds inte.

Det här certifikatet autentiserar klienten för mobila enheter på platssystemservrar som den kommunicerar med, till exempel hanterings- och distributionsplatser.

Startavbildningar för distribution av operativsystem

Klientautentisering

Autentisering av arbetsstation

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

Det finns inga särskilda krav för fältet Namn på certifikatmottagare eller fältet Alternativt namn på certifikatmottagare, och du kan använda samma certifikat för alla startavbildningar.

Den privata nyckeln måste gå att exportera.

SHA-2-hashalgoritmen stöds.

Maximal nyckellängd är 2 048 bitar.

Certifikatet används om aktivitetssekvensen i operativsystemdistributionen inkluderar klientåtgärder, till exempel klientprinciphämtning eller sändning av inventeringsinformation.

Det här certifikatet används endast medan operativsystemet distribueras och installeras inte på datorn. Eftersom det är tillfälligt, kan samma certifikat användas för varje operativsystemsdistribution om du inte vill använda flera klientcertifikat.

Det här certifikatet måste exporteras i PKCS #12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att det kan importeras till Configuration Manager-startavbildningarna.

System_CAPS_noteObs!

Kraven för det här certifikatet är desamma som servercertifikatets för platssystem som har en installerad distributionsplats. Eftersom kraven är desamma, kan du använda samma certifikatfil.

Mac-klientdatorer

Klientautentisering

För Configuration Manager-registrering: Autentiserad session

För certifikatinstallation oberoende av Configuration Manager: Autentisering av arbetsstation

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

För Configuration Manager som skapar ett användarcertifikat fylls certifikatmottagarens värde automatiskt i med användarnamnet för personen som registrerar Mac-datorn.

För en certifikatinstallation där Configuration Manager-registrering inte används, utan där ett datorcertifikat distribueras oberoende av Configuration Manager, måste certifikatmottagarens värde vara unikt. Ange till exempel fullständigt domännamn för datorn.

Fältet Alternativt namn på certifikatmottagare stöds inte.

SHA-2-hashalgoritmen stöds.

Maximal nyckellängd är 2 048 bitar.

För System Center 2012 Configuration Manager SP1 och senare:

Det här certifikatet autentiserar Mac-klientdatorn på platssystemservrar som den kommunicerar med, till exempel hanterings- och distributionsplatser.

Linux- och UNIX-klientdatorer

Klientautentisering

Autentisering av arbetsstation

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

Fältet Alternativt namn på certifikatmottagare stöds inte.

Den privata nyckeln måste gå att exportera.

SHA-1-hashalgoritm stöds.

SHA-2 hash-algoritmen stöds om klientens operativsystem stöder SHA-2. Mer information finns i avsnittet Om Linux och UNIX operativsystem som har inte stöd för SHA-256 i artikeln Planera för distribution av klienter för Linux och UNIX-servrar.

Nyckellängd som stöds: 2048 bitar.

System_CAPS_importantViktigt

De här certifikaten måste ha DER-kodat (Distinguished Encoding Rules) binärt X.509-format. Base64-kodat X.509-format stöds inte.

För System Center 2012 Configuration Manager SP1 och senare:

Det här certifikatet autentiserar klienten för Linux och UNIX på platssystemservrar som den kommunicerar med, till exempel hanterings- och distributionsplatser.

Det här certifikatet måste exporteras i ett PKCS#12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att du kan ange det för klienten när du anger PKI-certifikatet.

Ytterligare information finns i avsnittet Planera säkerhet och certifikat för Linux och UNIX-servrar i Planera för distribution av klienter för Linux och UNIX-servrar.

Certifikat från rotcertifikatutfärdare för följande scenarier:

  • Distribution av operativsystem

  • Registrera mobila enheter

  • RADIUS-serverautentisering för Intel AMT-baserade datorer

  • Klientcertifikatautentisering

Certifikatkedja till en betrodd källa

Inte tillämpligt.

Standardcertifikat från rotcertifikatutfärdare:

Certifikatet från rotcertifikatutfärdaren måste anges när klienter måste skapa en kedja för certifikaten på den kommunicerande servern till en betrodd källa. Det gäller i följande scenarier:

  • När du distribuerar ett operativsystem och aktivitetssekvenser körs som ansluter klientdatorn till en hanteringsplats som är konfigurerad att använda HTTPS.

  • När du registrerar en mobil enhet att hanteras av System Center 2012 Configuration Manager.

  • När du använder 802.1X-autentisering för AMT-baserade datorer och du vill ange en fil för RADIUS-serverns rotcertifikat.

Utöver det måste certifikatet från rotcertifikatutfärdaren för klienter anges om klientcertifikaten utfärdas av en annan certifikatutfärdarhierarki än den hierarki som har utfärdat certifikatet för hanteringsplatsen.

Intel AMT-baserade datorer

Serverautentisering.

Webbserver (ändrad)

Du måste konfigurera namnet på certifikatmottagaren för Skapa utifrån följande Active Directory-information och välj sedan Eget namn för Format för namn på certifikatmottagare.

Du måste ge behörigheterna Läs och Registrera till den universella säkerhetsgrupp som du anger i komponentegenskaperna för out-of-band-hantering.

Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1).

Namnet på certifikatmottagaren måste innehålla det fullständiga domännamnet för den AMT-baserade datorn, som anges automatiskt från Active Directory Domain Services.

SHA-1 är den enda hashalgoritm som stöds.

Maximal nyckellängd som stöds: 2048 bitar.

Det här certifikatet finns i hanteringsstyrenhetens beständiga RAM-minne på datorn och kan inte visas i Windows-användargränssnittet.

Varje Intel AMT-baserad dator begär det här certifikatet vid AMT-etablering och för efterföljande uppdateringar. Om du tar bort AMT-etableringsinformationen från de här datorerna återkallar de certifikatet.

När det här certifikatet installeras på Intel AMT-baserade datorer så installeras även certifikatkedjan i rotcertifikatutfärdaren. AMT-baserade datorer kan inte hantera certifikatutfärdarcertifikat med en nyckellängd som är större än 2 048 bitar.

När certifikatet har installerats på Intel AMT-baserade datorer autentiserar certifikatet de AMT-baserade datorerna på platssystemservern för out-of-band-tjänstplatsen och på datorer som körs i out-of-band-hanteringskonsolen. Certifikatet krypterar även alla data som överförs mellan datorerna med hjälp av TLS (Transport Layer Security).

Intel AMT 802.1X-klientcertifikat

Klientautentisering

Autentisering av arbetsstation

Du måste konfigurera namnet på certifikatmottagaren för Skapa utifrån följande Active Directory-information och sedan välja Eget namn för Format för namn på certifikatmottagare, avmarkera DNS-namn och markera UPN-namn för det alternativa namnet på certifikatmottagaren.

Du måste ge den universella säkerhetsgruppen som du anger i komponentegenskaperna för out-of-band-hantering behörigheterna Läs och Registrera för den här certifikatmallen.

Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2).

Fältet för certifikatmottagarens namn måste innehålla det fullständiga domännamnet för den AMT-baserade datorn, och det alternativa namnet på certifikatmottagaren måste innehålla UPN-namnet.

Maximal nyckellängd som stöds: 2048 bitar.

Det här certifikatet finns i hanteringsstyrenhetens beständiga RAM-minne på datorn och kan inte visas i Windows-användargränssnittet.

Varje Intel AMT-baserad dator kan begära det här certifikatet vid AMT-etablering men de återkallar inte certifikatet när AMT-etableringsinformationen tas bort.

När certifikatet har installerats på AMT-baserade datorer så autentiseras de AMT-baserade datorerna med certifikatet på RADIUS-servern, så att den sedan kan auktoriseras för nätverksåtkomst.

Mobila enheter som har registrerats av Microsoft Intune

Klientautentisering

Inte tillämpligt: Intune skapar detta certifikat automatiskt.

Värdet Förbättrad nyckelanvändning innehåller Klientautentisering (1.3.6.1.5.5.7.3.2).

Tre anpassade tillägg identifierar kundens Intune-prenumeration unikt.

Användarna kan ange certifikatmottagarvärdet vid registreringen. Men värdet används inte av Intune för att identifiera enheten.

Nyckellängden är 2 048 bitar och SHA-1-hashningsalgoritmen används.

System_CAPS_noteObs!

Du kan inte ändra dessa inställningar: Uppgifterna meddelas enbart i informativt syfte.

Det här certifikatet begärs och installerats automatiskt när autentiserade användare registrerar sina mobila enheter med Microsoft Intune. Det resulterande certifikatet på enheten finns i datorarkivet och autentiserar den registrerade mobila enheten på Intune, så att den sedan kan hanteras.

På grund av de anpassade tilläggen i certifikatet så begränsas autentiseringen till den Intune-prenumeration som har upprättats för organisationen.