CNG v3 sertifikalarına genel bakış
Configuration Manager Şifreleme: Yeni Nesil (CNG) sertifikalarını destekler. Configuration Manager istemcileri, bir CNG Anahtar Depolama Sağlayıcısında (KSP) oluşturulan ve depolanan özel anahtarla bir PKI istemci kimlik doğrulama sertifikası kullanabilir. KSP desteğiyle, Configuration Manager istemcileri PKI istemci kimlik doğrulama sertifikaları için TPM KSP gibi donanım tabanlı özel anahtarları destekler.
Not
CNG sertifikalarını kullanırken, Configuration Manager istemcileri yalnızca RSA şifreleme algoritmasını kullanan sertifikaları destekler.
Desteklenen senaryolar
Şifreleme API'sini kullanabilirsiniz: Aşağıdaki senaryolar için Yeni Nesil (CNG) v3 sertifika şablonları:
- HTTPS yönetim noktasıyla istemci kaydı ve iletişim
- HTTPS dağıtım noktası ile yazılım dağıtımı ve uygulama dağıtımı
- İşletim sistemi dağıtımı
- İstemci mesajlaşma SDK'sı (en son güncelleştirmeyle) ve ISV Proxy'si
- Bulut yönetimi ağ geçidi (CMG) yapılandırması
- Yazılım Merkezi'nde kullanıcı tarafından hedeflenen kullanılabilir uygulamalar
Ayrıca aşağıdaki HTTPS özellikli sunucu rolleri için CNG v3 sertifikalarını kullanın:
- Yönetim noktası
- Dağıtım noktası
- Yazılım güncelleştirme noktası
- Durum geçiş noktası
- Configuration Manager ilke modülüne sahip NDES sunucusu da dahil olmak üzere sertifika kayıt noktası
Not
CNG, Şifreleme API'si (CAPI) ile geriye dönük olarak uyumludur. İstemcide CNG desteği etkinleştirildiğinde bile CAPI sertifikaları desteklenmeye devam eder.
Desteklenmeyen senaryolar
Şu anda aşağıdaki senaryolar desteklenmemektedir:
Aşağıdaki sunucu rolleri, Internet Information Services'te (IIS) web sitesine bağlı bir CNG v3 sertifikasıyla HTTPS modunda yüklendiğinde çalışmaz:
- Kayıt noktası
- Kayıt proxy noktası
CNG sertifikalarını kullanmak için
CNG v3 sertifikalarını kullanmak için sertifika yetkilinizin (CA) hedef makineler için CNG sertifika şablonları sağlaması gerekir. Şablon ayrıntıları senaryoya göre değişir; ancak aşağıdaki özellikler gereklidir:
Uyumluluk sekmesi
Sertifika Yetkilisi Windows Server 2008 veya üzeri olmalıdır. (Windows Server 2012 önerilir.)
Sertifika alıcısı Windows Vista/Server 2008 veya üzeri olmalıdır. (Windows 8/Windows Server 2012 önerilir.)
Şifreleme sekmesi
Sağlayıcı KategorisiAnahtar Depolama Sağlayıcısı olmalıdır. (gerekli)
Algoritma adıRSA olmalıdır. (gerekli)
İstek aşağıdaki sağlayıcılardan birini kullanmalıdır:Yazılım Anahtar Depolama Sağlayıcısı Microsoft olmalıdır.
Not
Ortamınızın veya kuruluşunuzun gereksinimleri farklı olabilir. PKI uzmanınızla iletişime geçin. Dikkate alınması gereken önemli nokta, bir sertifika şablonunun CNG'nin avantajlarından yararlanmak için Anahtar Depolama Sağlayıcısı kullanması gerektiğidir.
En iyi sonuçlar için, Active Directory bilgilerinden Konu Adı'nı oluşturmanızı öneririz. Konu adı biçimi için DNS Adı'nı kullanın ve alternatif konu adına DNS adını ekleyin. Aksi takdirde, cihaz sertifika profiline kaydolduğunda bu bilgileri sağlamanız gerekir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin