Aracılığıyla paylaş

Configuration Manager için PKI sertifika gereksinimleri

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Configuration Manager için gerektirebilecek ortak anahtar altyapısı (PKI) sertifikaları aşağıdaki tablolarda listelenmiştir. Bu bilgiler, PKI sertifikaları hakkında temel bilgileri varsayar.

Configuration Manager'da çoğu sertifikayı oluşturmak, dağıtmak ve yönetmek için herhangi bir PKI kullanabilirsiniz. Configuration Manager mobil cihazlara ve Mac bilgisayarlara kaydedilen istemci sertifikaları için Active Directory Sertifika Hizmetleri'nin kullanılması gerekir.

Active Directory Sertifika Hizmetleri'ni ve sertifika şablonlarını kullandığınızda, bu Microsoft PKI çözümü sertifikaların yönetimini kolaylaştırabilir. Sertifika gereksinimlerine en yakın sertifika şablonunu tanımlamak için aşağıdaki bölümlerde yer alan Microsoft sertifika şablonu başvurusunu kullanın. Yalnızca Windows server'ın Enterprise veya Datacenter sürümlerinde çalışan bir kuruluş sertifika yetkilisi (CA) şablon tabanlı sertifikaları kullanabilir.

Daha fazla bilgi için aşağıdaki makalelere bakın:

Desteklenen sertifika türleri

Güvenli Karma Algoritması 2 (SHA-2) sertifikaları

SHA-256 ve SHA-512 içeren SHA-2 ile imzalanan yeni sunucu ve istemci kimlik doğrulama sertifikaları yayımlar. İnternet'e yönelik tüm hizmetler bir SHA-2 sertifikası kullanmalıdır. Örneğin, bulut yönetimi ağ geçidiyle kullanmak üzere bir genel sertifika satın alırsanız bir SHA-2 sertifikası satın aldığınızdan emin olun.

Windows, SHA-1 ile imzalanan sertifikalara güvenmez. Daha fazla bilgi için bkz. SHA1 sertifikalarının Windows Zorlaması.

CNG v3 sertifikaları

Configuration Manager Şifrelemeyi destekler: Yeni Nesil (CNG) v3 sertifikaları. Configuration Manager istemcileri, bir CNG Anahtar Depolama Sağlayıcısında (KSP) özel anahtara sahip bir PKI istemci kimlik doğrulama sertifikası kullanabilir. KSP desteğiyle, Configuration Manager istemcileri PKI istemci kimlik doğrulama sertifikaları için TPM KSP gibi donanım tabanlı özel anahtarları destekler.

Daha fazla bilgi için bkz. CNG v3 sertifikalarına genel bakış.

Sunucular için PKI sertifikaları

IIS çalıştıran ve HTTPS istemci bağlantılarını destekleyen site sistemleri

Bu web sunucusu sertifikası aşağıdakiler için kullanılır:

  • İstemcide sunucuların kimliğini doğrulama
  • İstemci ile bu sunucular arasında aktarılan tüm verileri TLS ile şifreleyin.

Şunlar için geçerlidir:

  • Yönetim noktası
  • Dağıtım noktası
  • Yazılım güncelleştirme noktası
  • Durum geçiş noktası
  • Kayıt noktası
  • Kayıt proxy noktası
  • Sertifika kayıt noktası

Sertifika gereksinimleri:

  • Sertifika amacı: Sunucu kimlik doğrulaması

  • Microsoft sertifika şablonu: Web Sunucusu

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirServer Authentication (1.3.6.1.5.5.7.3.1)

  • Konu Adı:

    • Site sistemi İnternet'ten bağlantıları kabul ederse, Konu Adı veya Konu Alternatif Adı internet tam etki alanı adını (FQDN) içermelidir.

    • Site sistemi intranetten bağlantıları kabul ederse, Konu Adı veya Konu Alternatif Adı , site sisteminin nasıl ayarlandıklarına bağlı olarak intranet FQDN'sini (önerilen) veya bilgisayarın adını içermelidir.

    • Site sistemi hem İnternet'ten hem de intranetten bağlantıları kabul ederse, hem İnternet FQDN'si hem de intranet FQDN'si (veya bilgisayar adı) belirtilmelidir. İki ad arasındaki ve işareti (&) simgesi sınırlayıcısını kullanın.

    Not

    Yazılım güncelleştirme noktası yalnızca İnternet'ten istemci bağlantılarını kabul ettiğinde, sertifika hem İnternet FQDN'sini hem de intranet FQDN'sini içermelidir.

  • Anahtar uzunluğu: Configuration Manager bu sertifika için desteklenen en yüksek anahtar uzunluğunu belirtmez. Bu sertifikayla ilgili anahtar boyutuyla ilgili sorunlar için PKI ve IIS belgelerinize bakın.

Çoğu site sistemi rolü, sertifika özel anahtarları (v3) için anahtar depolama sağlayıcılarını destekler. Daha fazla bilgi için bkz. CNG v3 sertifikalarına genel bakış.

Bu sertifika, Bilgisayar sertifika deposundaki Kişisel depoda olmalıdır.

Bulut yönetimi ağ geçidi (CMG)

Bu hizmet sertifikası aşağıdakiler için kullanılır:

  • İstemcileri Configuration Manager için Azure'da CMG hizmetinin kimliğini doğrulama

  • TLS kullanarak bunlar arasında aktarılan tüm verileri şifreleyin.

Bu sertifikayı Ortak Anahtar Sertifikası Standart (PKCS #12) biçiminde dışarı aktarın. CMG'yi oluştururken sertifikayı içeri aktarabilmek için parolayı bilmeniz gerekir.

Sertifika gereksinimleri:

  • Sertifika amacı: Sunucu kimlik doğrulaması

  • Microsoft sertifika şablonu: Web Sunucusu

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirServer Authentication (1.3.6.1.5.5.7.3.1)

  • Konu Adı, bulut yönetimi ağ geçidinin belirli bir örneği için Ortak Ad olarak müşteri tanımlı bir hizmet adı içermelidir.

  • Özel anahtar dışarı aktarılabilir olmalıdır.

  • Desteklenen anahtar uzunlukları: 2048 bit veya 4096 bit

Bu sertifika, sertifika özel anahtarları (v3) için anahtar depolama sağlayıcılarını destekler.

Daha fazla bilgi için bkz. CMG sunucusu kimlik doğrulama sertifikası.

Microsoft SQL Server çalıştıran site sistemi sunucuları

Bu sertifika sunucudan sunucuya kimlik doğrulaması için kullanılır.

Sertifika gereksinimleri:

  • Sertifika amacı: Sunucu kimlik doğrulaması

  • Microsoft sertifika şablonu: Web Sunucusu

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirServer Authentication (1.3.6.1.5.5.7.3.1)

  • Konu Adı intranet tam etki alanı adını (FQDN) içermelidir

  • Desteklenen anahtar uzunluğu üst sınırı 2.048 bittir.

Bu sertifika, Bilgisayar sertifika deposundaki Kişisel depoda olmalıdır. Configuration Manager otomatik olarak Configuration Manager hiyerarşisindeki sunucularla güven kurması gerekebilecek sunucular için Güvenilen Kişiler Deposu'na kopyalar.

Always On yük devretme kümesi örneğini SQL Server

Bu sertifika sunucudan sunucuya kimlik doğrulaması için kullanılır.

Sertifika gereksinimleri:

  • Sertifika amacı: Sunucu kimlik doğrulaması

  • Microsoft sertifika şablonu: Web Sunucusu

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirServer Authentication (1.3.6.1.5.5.7.3.1)

  • Konu Adı, kümenin intranet tam etki alanı adını (FQDN) içermelidir

  • Özel anahtar dışarı aktarılabilir olmalıdır

  • Configuration Manager yük devretme kümesi örneğini kullanacak şekilde yapılandırdığınızda sertifikanın geçerlilik süresi en az iki yıl olmalıdır

  • Desteklenen anahtar uzunluğu üst sınırı 2.048 bittir.

Bu sertifikayı istekte bulunup kümedeki bir düğüme yükleyin. Ardından sertifikayı dışarı aktarın ve diğer düğümlere aktarın.

Bu sertifika, Bilgisayar sertifika deposundaki Kişisel depoda olmalıdır. Configuration Manager otomatik olarak Configuration Manager hiyerarşisindeki sunucularla güven kurması gerekebilecek sunucular için Güvenilen Kişiler Deposu'na kopyalar.

Site sistemi izleme

Şunlar için geçerlidir:

  • Yönetim noktası
  • Durum geçiş noktası

Sertifika gereksinimleri:

  • Sertifika amacı: İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu: İş İstasyonu Kimlik Doğrulaması

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirClient Authentication (1.3.6.1.5.5.7.3.2)

  • Bilgisayarların Konu Adı alanında veya Konu Alternatif Adı alanında benzersiz bir değeri olmalıdır.

    Not

    Konu Alternatif Adı için birden çok değer kullanırsanız, yalnızca ilk değeri kullanır.

  • Desteklenen anahtar uzunluğu üst sınırı 2.048 bittir.

bu sertifika, Configuration Manager istemcisi yüklü olmasa bile listelenen site sistemi sunucularında gereklidir. Bu yapılandırma, sitenin bu site sistem rollerinin durumunu izlemesine ve raporlamasına olanak tanır.

Bu site sistemlerinin sertifikası, Bilgisayar sertifika deposunun Kişisel deposunda olmalıdır.

Ağ Cihazı Kayıt Hizmeti (NDES) rol hizmetiyle Configuration Manager İlkesi Modülünü çalıştıran sunucular

Sertifika gereksinimleri:

  • Sertifika amacı: İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu: İş İstasyonu Kimlik Doğrulaması

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirClient Authentication (1.3.6.1.5.5.7.3.2)

  • Sertifika Konu Adı veya Konu Alternatif Adı (SAN) için belirli bir gereksinim yoktur. Ağ Cihazı Kayıt Hizmeti'ni çalıştıran birden çok sunucu için aynı sertifikayı kullanabilirsiniz.

  • Desteklenen anahtar uzunlukları: 1.024 bit ve 2.048 bit.

Bir dağıtım noktasının yüklü olduğu site sistemleri

Bu sertifikanın iki amacı vardır:

  • Dağıtım noktası durum iletileri göndermeden önce, dağıtım noktasının kimliğini HTTPS özellikli bir yönetim noktasında doğrular.

    Not

    HTTPS için tüm yönetim noktalarını yapılandırdığınızda, HTTPS özellikli dağıtım noktalarının PKI tarafından verilen bir sertifika kullanması gerekir. Yönetim noktaları sertifikaları kullanırken dağıtım noktalarında otomatik olarak imzalanan sertifikaları kullanmayın. Aksi takdirde sorunlar oluşabilir. Örneğin, dağıtım noktaları durum iletileri göndermez.

  • PXE özellikli bir dağıtım noktası bu sertifikayı bilgisayarlara gönderir. Görev dizisi istemci ilkesi alma veya envanter bilgileri gönderme gibi istemci eylemleri içeriyorsa, bilgisayar işletim sistemi dağıtım işlemi sırasında HTTPS özellikli bir yönetim noktasına bağlanabilir.

    Not

    Bu PXE senaryosu için bu sertifika yalnızca işletim sistemi dağıtım işlemi sırasında kullanılır. İstemcide yüklü değildir. Bu geçici kullanım nedeniyle, birden çok istemci sertifikası kullanmak istemiyorsanız her işletim sistemi dağıtımı için aynı sertifikayı kullanabilirsiniz.

    Bu sertifikanın gereksinimleri, görev dizisi medyası için istemci sertifikasıyla aynıdır. Gereksinimler aynı olduğundan, aynı sertifika dosyasını kullanabilirsiniz.

    Bir dağıtım noktasını HTTPS ile etkinleştirmek için belirttiğiniz sertifika, yalnızca işletim sistemi dağıtımı için değil tüm içerik dağıtım işlemleri için geçerlidir.

Sertifika gereksinimleri:

  • Sertifika amacı: İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu: İş İstasyonu Kimlik Doğrulaması

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirClient Authentication (1.3.6.1.5.5.7.3.2)

  • Sertifika Konu Adı veya Konu Alternatif Adı (SAN) için belirli bir gereksinim yoktur. Her dağıtım noktası için farklı bir sertifika kullanmanız önerilir, ancak aynı sertifikayı kullanabilirsiniz.

  • Özel anahtar dışarı aktarılabilir olmalıdır.

  • Desteklenen anahtar uzunluğu üst sınırı 2.048 bittir.

Bu sertifikayı Ortak Anahtar Sertifikası Standart (PKCS #12) biçiminde dışarı aktarın. Sertifikayı dağıtım noktası özelliklerine aktarabilmek için parolayı bilmeniz gerekir.

İnternet tabanlı istemci yönetimi için ara sunucu web sunucuları

Site İnternet tabanlı istemci yönetimini destekliyorsa ve gelen internet bağlantıları için SSL sonlandırma (köprü oluşturma) kullanarak bir proxy web sunucusu kullanıyorsanız, proxy web sunucusu aşağıdaki sertifika gereksinimlerine sahiptir:

Not

SSL sonlandırması (tünel) olmadan bir proxy web sunucusu kullanıyorsanız, ara sunucu web sunucusunda ek sertifika gerekmez.

Sertifika gereksinimleri:

  • Sertifika amacı: Sunucu kimlik doğrulaması ve İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu: Web Sunucusu ve İş İstasyonu Kimlik Doğrulaması

  • Konu Adı veya Konu Alternatif Adı alanında İnternet FQDN'sini seçin. Microsoft sertifika şablonlarını kullanıyorsanız Konu Alternatif Adı yalnızca iş istasyonu şablonuyla kullanılabilir.

Bu sertifika, internet istemcilerinde aşağıdaki sunucuların kimliğini doğrulamak ve istemci ile bu sunucu arasında aktarılan tüm verileri TLS ile şifrelemek için kullanılır:

  • İnternet tabanlı yönetim noktası
  • İnternet tabanlı dağıtım noktası
  • İnternet tabanlı yazılım güncelleştirme noktası

İstemci kimlik doğrulaması, Configuration Manager istemcileri ile İnternet tabanlı site sistemleri arasındaki istemci bağlantılarını köprü yapmak için kullanılır.

İstemciler için PKI sertifikaları

Windows istemci bilgisayarları

Yazılım güncelleştirme noktası dışında, bu sertifika IIS çalıştıran ve HTTPS istemci bağlantılarını destekleyen site sistemlerinde istemcinin kimliğini doğrular.

Sertifika gereksinimleri:

  • Sertifika amacı: İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu: İş İstasyonu Kimlik Doğrulaması

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirClient Authentication (1.3.6.1.5.5.7.3.2)

  • Anahtar Kullanımı değerinin içermesi gerekirDigital Signature, Key Encipherment (a0)

  • İstemci bilgisayarların Konu Adı veya Konu Alternatif Adı alanında benzersiz bir değeri olmalıdır. Kullanılırsa, alternatif bir sertifika seçim ölçütü belirtilmedikçe Konu Adı alanı yerel bilgisayar adını içermelidir. Daha fazla bilgi için bkz. PKI istemci sertifikası seçimini planlama.

    Not

    Konu Alternatif Adı için birden çok değer kullanırsanız, yalnızca ilk değeri kullanır.

  • Desteklenen anahtar uzunluğu üst sınırı yoktur.

Varsayılan olarak, Configuration Manager Bilgisayar sertifika deposundaki Kişisel deposunda bilgisayar sertifikalarını arar.

İşletim sistemlerini dağıtmak için görev dizisi medyası

Bu sertifika bir OSD görev dizisi tarafından kullanılır ve işletim sistemi dağıtım işlemi sırasında bilgisayarın HTTPS özellikli bir yönetim noktasına ve dağıtım noktasına bağlanmasına izin verir. Yönetim noktasına ve dağıtım noktasına yapılan bağlantılar, yönetim noktasından istemci ilkesi alma ve dağıtım noktasından içerik indirme gibi eylemleri içerebilir.

Bu sertifika yalnızca işletim sistemi dağıtım işlemi sırasında kullanılır. İstemci Kurulum Windows ve ConfigMgr görevi sırasında yüklendiğinde istemci yükleme özelliklerinin bir parçası olarak kullanılmaz ve cihaza yüklenmez. Bu geçici kullanım nedeniyle, birden çok istemci sertifikası kullanmak istemiyorsanız her işletim sistemi dağıtımı için aynı sertifikayı kullanabilirsiniz.

Yalnızca HTTPS içeren bir ortamınız varsa, görev dizisi medyasının geçerli bir sertifikası olmalıdır. Bu sertifika, cihazın siteyle iletişim kurmasını ve dağıtımın devam etmesini sağlar. Görev dizisi tamamlandıktan sonra, cihaz Active Directory'ye katıldığında, istemci otomatik olarak bir GPO aracılığıyla PKI sertifikası oluşturabilir veya başka bir yöntem kullanarak bir PKI sertifikası yükleyebilirsiniz.

Not

Bu sertifikanın gereksinimleri, dağıtım noktası rolüne sahip site sistemleri için sunucu sertifikasıyla aynıdır. Gereksinimler aynı olduğundan, aynı sertifika dosyasını kullanabilirsiniz.

Sertifika gereksinimleri:

  • Sertifika amacı: İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu: İş İstasyonu Kimlik Doğrulaması

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirClient Authentication (1.3.6.1.5.5.7.3.2)

  • Sertifika Konu Adı veya Konu Alternatif Adı (SAN) alanları için belirli bir gereksinim yoktur. Tüm görev dizisi medyası için aynı sertifikayı kullanabilirsiniz.

  • Özel anahtar dışarı aktarılabilir olmalıdır.

  • Desteklenen anahtar uzunluğu üst sınırı 2.048 bittir.

Bu sertifikayı Ortak Anahtar Sertifikası Standart (PKCS #12) biçiminde dışarı aktarın. Görev dizisi medyasını oluştururken sertifikayı içeri aktarabilmeniz için parolayı bilmeniz gerekir.

Önemli

Önyükleme görüntüleri, siteyle iletişim kurmak için PKI sertifikaları içermez. Bunun yerine, önyükleme görüntüleri siteyle iletişim kurmak için görev dizisi medyasına eklenen PKI sertifikasını kullanır.

Görev dizisi medyasına PKI sertifikası ekleme hakkında daha fazla bilgi için bkz. Önyüklenebilir medya oluşturma ve Önceden hazırlanan medya oluşturma.

macOS istemci bilgisayarları

Bu sertifika, macOS istemci bilgisayarının kimliğini iletişim kuracakları site sistem sunucularında doğrular. Örneğin, yönetim noktaları ve dağıtım noktaları.

Sertifika gereksinimleri:

  • Sertifika amacı: İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu:

    • Configuration Manager kaydı için: Kimliği Doğrulanmış Oturum
    • Configuration Manager bağımsız sertifika yüklemesi için: İş İstasyonu Kimlik Doğrulaması

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirClient Authentication (1.3.6.1.5.5.7.3.2)

  • Konu Adı:

    • Kullanıcı sertifikası oluşturan Configuration Manager için, sertifika Konu değeri otomatik olarak macOS bilgisayarını kaydeden kişinin kullanıcı adıyla doldurulur.
    • Configuration Manager kaydı kullanmayan ancak bilgisayar sertifikasını Configuration Manager bağımsız olarak dağıtan sertifika yüklemesi için sertifika Konu değeri benzersiz olmalıdır. Örneğin, bilgisayarın FQDN'sini belirtin.
    • Konu Alternatif Adı alanı desteklenmiyor.

  • Desteklenen anahtar uzunluğu üst sınırı 2.048 bittir.

Mobil cihaz istemcileri

Bu sertifika, mobil cihaz istemcisinin iletişim kuracakları site sistem sunucularında kimliğini doğrular. Örneğin, yönetim noktaları ve dağıtım noktaları.

Sertifika gereksinimleri:

  • Sertifika amacı: İstemci kimlik doğrulaması

  • Microsoft sertifika şablonu: Kimliği Doğrulanmış Oturum

  • Gelişmiş Anahtar Kullanımı değerinin içermesi gerekirClient Authentication (1.3.6.1.5.5.7.3.2)

  • Desteklenen anahtar uzunluğu üst sınırı 2.048 bittir.

Bu sertifikaların Distinguished Encoding Rules (DER) kodlanmış ikili X.509 biçiminde olması gerekir. Base64 ile kodlanmış X.509 biçimi desteklenmez.

Kök sertifika yetkilisi (CA) sertifikaları

Bu sertifika standart bir kök CA sertifikasıdır.

Şunlar için geçerlidir:

  • İşletim sistemi dağıtımı
  • İstemci sertifikası kimlik doğrulaması
  • Mobil cihaz kaydı

Sertifika amacı: Güvenilen bir kaynağa sertifika zinciri

İstemcilerin iletişim sunucusunun sertifikalarını güvenilir bir kaynağa zincirlemeleri gerektiğinde kök CA sertifikası sağlanmalıdır. İstemci sertifikaları, yönetim noktası sertifikasını veren CA hiyerarşisinden farklı bir CA hiyerarşisi tarafından veriliyorsa, istemciler için kök CA sertifikası sağlanmalıdır.