Configuration Manager İçin PKI Sertifikası Gereksinimleri
Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager için gerek duyabileceğiniz ortak anahtar altyapısı (PKI) sertifikaları, aşağıdaki tablolarda listelenmektedir. Bu bilgi, PKI sertifikalarına dair temel bilgileri varsayar. Bu sertifikaların dağıtım örneğine yönelik adım adım rehberlik için, bkz. Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi. Active Directory Sertifika Hizmetleri hakkında daha çok bilgi için, şu belgelere bakın:
Windows Server 2012 için: Active Directory Sertifika Hizmetleri'ne Genel Bakış
Windows Server 2008 için: Windows Server 2008'de Active Directory Sertifika Hizmetleri
Configuration Manager uygulamasının mobil cihazlarda ve Mac bilgisayarlarda kaydettiği istemci sertifikaları, Microsoft Intune'un mobil cihazları yönetmek için otomatik olarak oluşturduğu sertifikalar ve Configuration Manager uygulamasının AMT tabanlı bilgisayarlara yüklediği sertifikalar dışında aşağıdaki sertifikaları oluşturmak, dağıtmak ve yönetmek için herhangi bir PKI'yı kullanabilirsiniz. Ancak, Active Directory Sertifika Hizmetlerini ve sertifika şablonlarını kullandığınızda, bu Microsoft PKI çözümü sertifikaların yönetimi kolaylaştırabilir. Sertifika gereksinimleriyle en yakından eşleşen sertifika şablonunu belirlemek için aşağıdaki tablolarda Kullanılacak Microsoft sertifika şablonu sütununu kullanın. Şablon tabanlı sertifikalar yalnızca Windows Server 2008 Enterprise ve Windows Server 2008 Datacenter gibi, sunucu işletim sisteminin Enterprise Edition veya Datacenter Edition'ı üzerinde çalışan bir kuruluş sertifikalandırma yetkisin kullanılarak verilebilir.
Önemli |
---|
Bir kuruluş sertifikalandırma yetkisini ve sertifika şablonlarını kullandığınızda, sürüm 3 şablonları kullanmayın. Bu sertifika şablonları Configuration Manager ile uyumsuz sertifikalar oluştururlar. Bunu yerine aşağıdaki talimatlardan yararlanarak sürüm 2 şablonları kullanın:
|
Sertifika gereksinimlerini görüntülemek için aşağıdaki bölümleri kullanın.
Sunucular için PKI Sertifikaları
Configuration Manager bileşenleri |
Sertifika amacı |
Kullanılacak Microsoft sertifikası şablonu |
Sertifikadaki belirli bilgiler |
Configuration Manager'de sertifikanın nasıl kullanıldığı |
||
---|---|---|---|---|---|---|
İnternet Bilgi Hizmetleri (IIS) çalıştıran ve HTTPS istemci bağlantıları için yapılandırılmış site sistemleri:
|
Sunucu kimlik doğrulaması |
Web Sunucusu |
Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir. Site sistemi İnternet'ten bağlantıları kabul ediyorsa, Konu Adı veya Konu Alternatif Adı İnternet tam etki alanı adını (FQDN) içermelidir. Site sistemi intranetten bağlantıları kabul ediyorsa, Konu Adı veya Konu Alternatif Adı, site sisteminin nasıl yapılandırıldığına bağlı olarak intranet FQDN (önerilen) veya bilgisayarın adını içermelidir. Site sistemi hem İnternet'ten, hem de intranetten bağlantıları kabul ediyorsa, hem İnternet FQDN'si, hem de intranet FQDN'si (veya bilgisayar adı) iki ad arasında ve (&) simgesi sınırlayıcısıyla belirtilmelidir.
SHA-1 ve SHA-2 karma algoritmaları desteklenir. Configuration Manager uygulaması bu sertifika için bir maksimum desteklenen anahtar uzunluğu belirlemez. Bu sertifika için anahtar boyutuyla ilişkili tüm konularda PKI ve IIS belgelerinize başvurun. |
Bu sertifika, Bilgisayar sertifika deposunda Kişisel depoda bulunmalıdır. Bu Web sunucusu sertifikası, bu sunucuların istemciye kimlik doğrulamasının yapılmasında ve istemci ile bu sunucular arasında aktarılan tüm verilerin Güvenli Yuva Katmanı (SSL) kullanılarak şifrelenmesi için kullanılır. |
||
Bulut tabanlı dağıtım noktası |
Sunucu kimlik doğrulaması |
Web Sunucusu |
Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir. Konu Adı, bulut tabanlı dağıtım noktasının belirli örneği için Ortam Ad olarak bir FQDN formatında müşteri tanımlı hizmet adı ve etki alanı adını içermelidir. Birincil anahtar verilebilir olmalıdır. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Desteklenen anahtar uzunlukları: 2048 bit. |
System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için: Bu hizmet sertifikası, bulut tabanlı dağıtım noktası hizmetinin Configuration Manager istemcilerinde yetkisinin doğrulanmasında ve and bunlar arasında aktarılan tüm verilerin Güvenli Yuva Katmanı (SSL) ile şifrelenmesinde kullanılır. Bu sertifika, Ortak Anahtar Sertifika Standardı (PKCS #12) formatında verilmelidir ve parola, bir bulut tabanlı dağıtım noktası oluşturduğunuzda alınabileceği şekilde bilinmelidir. Not Bu sertifika, Windows Azure yönetim sertifikasıyla bağlantılı olarak kullanılır. Bu sertifika hakkında daha fazla bilgi için, bkz. MSDN Kitaplığı'nın Windows Azure Platformu bölümünde Bir Yönetim Sertifikasının Nasıl Oluşturulacağı ve Bir Yönetim Sertifikasının bir Windows Azure Aboneliğine Nasıl Ekleneceği. |
||
Bir yazılım güncelleme noktası için Ağ Yükü Dengeleme (NLB) kümesi |
Sunucu kimlik doğrulaması |
Web sunucusu |
Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir.
SHA-1 ve SHA-2 karma algoritmaları desteklenir. |
Hizmet paketi olmayan System Center 2012 Configuration Manager için: Bu sertifika, ağ yükü dengeleme yazılımı güncelleme noktasının istemciye yetki doğrulamasını yapmakta ve istemci ile bu sunucular arasındaki tüm veri aktarımının SSL ile şifrelenmesinde kullanılır. Not NLB yazılım güncelleme noktaları System Center 2012 Configuration Manager SP1'den itibaren desteklenmediğinden bu sertifika yalnızca hizmet paketsiz Configuration Manager için geçerlidir. |
||
Microsoft SQL Server çalıştıran site sistem sunucuları |
Sunucu kimlik doğrulaması |
Web sunucusu |
Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir. Konu Adı, intranet tam etki alanı adını (FQDN) içermelidir. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Maksimum desteklenen anahtar uzunluğu 2048 bittir. |
Bu sertifika, Bilgisayar sertifika deposundaki Kişisel depoda bulunmalıdır ve Configuration Manager bunu, sunucuyla güven oluşturması gerekebilecek Configuration Manager hiyerarşisindeki sunucular için Güvenilir Kişi Deposuna otomatik olarak kopyalar. Bu sertifikalar sunucudan sunucuya yetki doğrulaması için kullanılırlar. |
||
SQL Server kümesi: Microsoft SQL Server çalıştıran site sistem sunucuları |
Sunucu kimlik doğrulaması |
Web sunucusu |
Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir. Konu Adı, kümenin intranet tam etki alanı adını (FQDN) içermelidir. Birincil anahtar verilebilir olmalıdır. Configuration Manager uygulamasını SQL Server kümesini kullanacak şekilde yapılandırdığınızda, bu sertifika en az iki yıllık bir geçerlilik süresine sahip olmalıdır. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Maksimum desteklenen anahtar uzunluğu 2048 bittir. |
Bu sertifikayı kümedeki düğümlerden birinde istediğinizde ve yüklediğinizde, sertifikayı SQL Server kümesindeki her bir ek düğüm için verin ve alın. Bu sertifika, Bilgisayar sertifika deposundaki Kişisel depoda bulunmalıdır ve Configuration Manager bunu, sunucuyla güven oluşturması gerekebilecek Configuration Manager hiyerarşisindeki sunucular için Güvenilir Kişi Deposuna otomatik olarak kopyalar. Bu sertifikalar sunucudan sunucuya yetki doğrulaması için kullanılırlar. |
||
Aşağıdaki site sistem rolleri için site sistem izleme:
|
İstemci kimlik doğrulaması |
İş İstasyonu Kimlik Doğrulaması |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. Bilgisayarlar, Konu Adı alanında veya Konu Alternatif Adı alanında benzersiz değere sahip olmalıdırlar. Not Konu Diğer Adı için birden fazla değer kullanıyorsanız yalnızca ilk değer kullanılır. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Maksimum desteklenen anahtar uzunluğu 2048 bittir. |
System Center 2012 Configuration Manager istemcisi yüklü olmasa dahi, bu sertifika listelenen site sistem sunucularında gerektiğinden, bu site sistem rollerinin sağlığı izlenip siteye bildirilebilir. Bu site sistemleri için sertifika, Bilgisayar sertifika deposunun Kişisel deposunda bulunmalıdır. |
||
Ağ Aygıtı Kayıt Hizmeti rol hizmetine sahip Configuration Manager İlke Modülü çalıştıran sunucular. |
İstemci kimlik doğrulaması |
İş İstasyonu Kimlik Doğrulaması |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. Sertifika Konusu veya Konu Alternatif Adı (SAN) için belirli gereklilikler yoktur ve Ağ Aygıtı Kayıt Hizmeti çalıştıran birden fazla sunucu için aynı sertifikayı kullanabilirsiniz. SHA-1, SHA-2 ve SHA-3 karma algoritmaları desteklenir. Desteklenen anahtar uzunlukları: 1024 bit ve 2048 bit. |
Bu konudaki bilgiler yalnızca System Center 2012 R2 Configuration Manager sürümleri için geçerlidir. Bu sertifika, Configuration Manager İlke Modülünün yetkisini sertifika kayıt noktası site sistem sunucusunda doğrular, bu nedenle Configuration Manager uygulaması kullanıcılar ve aygıtlar için sertifikaları kaydedebilir. |
||
Bir dağıtım noktası yüklü site sistemleri. |
İstemci kimlik doğrulaması |
İş İstasyonu Kimlik Doğrulaması |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. Sertifika Konusu veya Konu Alternatif Adı (SAN) için belirli gereklilikler yoktur ve birden fazla dağıtım noktası için aynı sertifikayı kullanabilirsiniz. Bununla birlikte, her bir dağıtım noktası için farklı bir sertifika önerilir. Birincil anahtar verilebilir olmalıdır. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Maksimum desteklenen anahtar uzunluğu 2048 bittir. |
Bu sertifika iki amaca sahiptir:
Bu sertifika, Ortak Anahtar Sertifika Standardı (PKCS #12) formatında verilmelidir ve parola, dağıtım noktası özelliklerine alınabileceği şekilde bilinmelidir. Not Bu sertifika için gereksinimler, işletim sistemlerinin dağıtımına yönelik önyükleme yansımaları için istemci sertifikasıyla aynıdır. Gereksinimler aynı olduğundan aynı sertifika dosyasını kullanabilirsiniz. |
||
Bant dışı hizmet noktası |
AMT Sağlama |
Web Sunucusu (değiştirilmiş) |
Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini ve aşağıdaki nesne tanıtıcısını içermelidir: 2.16.840.1.113741.1.2.3. Konu adı alanı, bant dışı hizmet noktasını barındıran sunucunun FQDN'sini içermelidir. Not Kendi iç CA'nız yerine bir dış CA'dan AMT sağlama sertifikası isterseniz ve bu sertifika 2.16.840.1.113741.1.2.3 ATM sağlayıcı nesne tanıtıcısını desteklemiyorsa, alternatif olarak sertifika konu adında bir kuruluş birimi (OU) özniteliği olarak aşağıdaki metin dizesini belirleyebilirsiniz: Intel(R) Client Setup Certificate. İngilizce olan bu kesin metin dizesi aynı durumda, sonrasında bir dönem olmadan ve bant dışı hizmet noktasını barındıran sunucunun FQDN'sine ek olarak kullanılmalıdır. SHA-1, desteklenen tek karma algoritmasıdır. Desteklenen anahtar uzunlukları: 1024 ve 2048. AMT 6.0 ve sonraki sürümler için 4096 bit anahtar uzunluğu da desteklenmektedir. |
Bu sertifika, bant dışı hizmet noktası site sistem sunucusunun Bilgisayar sertifika deposunda Kişisel depoda bulunur. Bu AMT sağlama sertifikası, bilgisayarları bant dışı yönetimi için hazırlamakta kullanılır. Bu sertifikayı AMT sağlama sertifikaları sağlayan bir CA'dan istemelisiniz ve Intel AMT tabanlı bilgisayarlar için BIOS uzantısı, bu sağlama sertifikasına yönelik kök sertifikası parmak izini (aynı zamanda sertifika karması olarak da bilinir) kullanmak için yapılandırılmalıdır. VeriSign, AMT sağlama sertifikaları sağlayan bir dış CA'nın tipik örneğidir ancak kendi iç CA'nızı da kullanabilirsiniz. Sertifikanın kök CA'Sına başarıyla zincirlenebilmesi gereken, bant dışı hizmet noktasını barındıran sunucu üzerinde sertifikayı yükleyin. (Varsayılan olarak VeriSign için kök CA sertifikası ve ara CA sertifikası Windows yüklendiğinde yüklenir.) |
||
Microsoft Intune bağlayıcısı çalıştıran site sistem sunucusu |
İstemci kimlik doğrulaması |
Geçerli değil: Intune bu sertifikayı otomatik olarak oluşturur. |
Gelişmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içerir. 3 özel uzantı, müşterilerin Intune aboneliğini benzersiz şekilde tanımlar. Anahtar boyutu 2048 bittir ve SHA-1 karma algoritmasını kullanır. Not Bu ayarları değiştiremezsiniz: Bu bilgiler, yalnızca bilgilendirici amaçlarla sağlanmıştır. |
Microsoft Intune'a abone olduğunuzda bu sertifika otomatik olarak istenir ve Configuration Manager veritabanına yüklenir.Microsoft Intune bağlayıcısını yüklediğinizde, bu sertifika Microsoft Intune bağlayıcısını çalıştıran site sistem sunucusuna yüklenir. Bilgisayar sertifika deposuna yüklenir. Bu sertifika, Microsoft Intune bağlayıcısı kullanılarak Configuration Manager hiyerarşisini Microsoft Intune için yetkilendirmede kullanılır. Bunlar arasında aktarılan tüm veriler Güvenli Yuva Katmanı'nı (SSL) kullanırlar. |
İnternet Tabanlı İstemci Yönetimi için Proxy Web Sunucuları
Site İnternet tabanlı istemci yönetimini destekliyorsa ve gelen İnternet bağlantıları için SSL sonlandırma (tünelleme) kullanarak bir proxy Web sunucusu kullanıyorsanız, proxy Web sunucusu aşağıdaki tabloda listelenen sertifika gereksinimlerine sahiptir.
Not
SSL sonlandırma (tünelleme) olmadan bir proxy Web sunucusu kullanıyorsanız, proxy Web sunucusunda ek sertifikalara gerek yoktur.
Ağ altyapısı bileşeni |
Sertifika amacı |
Kullanılacak Microsoft sertifikası şablonu |
Sertifikadaki belirli bilgiler |
Configuration Manager'de sertifikanın nasıl kullanıldığı |
---|---|---|---|---|
İnternet üzerinde istemci bağlantılarını kabul eden proxy Web sunucusu |
Sunucu kimlik doğrulaması ve istemci kimlik doğrulaması |
|
Konu Adı veya Konu Alternatif Adı alanındaki Internet FQDN (Microsoft sertifika şablonları kullanıyorsanız Konu Alternatif adı yalnızca iş istasyonu şablonuyla kullanılabilir) SHA-1 ve SHA-2 karma algoritmaları desteklenir. |
Bu sertifika, aşağıdaki sunucuların kimlik doğrulamalarını Internet istemcilerinde gerçekleştirmek ve istemci ile bu sunucu arasında SSL kullanılarak aktarılan tüm verileri şifrelemek için kullanılır:
İstemci kimlik doğrulaması, System Center 2012 Configuration Manager istemcileri ve Internet tabanlı site sistemleri arasındaki istemci bağlantılarını köprülemek için kullanılır. |
İstemciler için PKI Sertifikaları
Configuration Manager bileşenleri |
Sertifika amacı |
Kullanılacak Microsoft sertifikası şablonu |
Sertifikadaki belirli bilgiler |
Configuration Manager'de sertifikanın nasıl kullanıldığı |
||
---|---|---|---|---|---|---|
Windows istemci bilgisayarları |
İstemci kimlik doğrulaması |
İş İstasyonu Kimlik Doğrulaması |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. İstemci bilgisayarlarının, Konu Adı veya Konu Alternatif Adı alanında benzersiz bir değere sahip olması gerekir. Not Konu Diğer Adı için birden fazla değer kullanıyorsanız yalnızca ilk değer kullanılır. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Maksimum desteklenen anahtar uzunluğu 2048 bittir. |
Varsayılan olarak Configuration Manager, Bilgisayar sertifika deposunda bulunan Kişisel depodaki bilgisayar sertifikalarını arar. Yazılım güncelleştirme noktası ve Uygulama Kataloğu web sitesi noktası hariç olmak üzere bu sertifika, IIS çalıştıran ve HTTPS kullanmak üzere yapılandırılan site sistem sunucularında istemcinin kimlik doğrulamasını gerçekleştirir. |
||
Mobil aygıt istemcileri |
İstemci kimlik doğrulaması |
Kimliği Doğrulanan Oturum |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. SHA-1, desteklenen tek karma algoritmasıdır. Maksimum desteklenen anahtar uzunluğu 2048 bittir.
|
Bu sertifika, mobil aygıt istemcisinin kimliğini, iletişim kurduğu yönetim noktaları ve dağıtım noktaları gibi site sistem sunucularında doğrular. |
||
İşletim sistemlerini dağıtmak için önyükleme yansımaları |
İstemci kimlik doğrulaması |
İş İstasyonu Kimlik Doğrulaması |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. Konu Adı alanı veya Konu Alternatif Adı (SAN) için belirli gereksinimler yoktur ve aynı sertifikayı tüm önyükleme yansımaları için kullanabilirsiniz. Birincil anahtar verilebilir olmalıdır. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Maksimum desteklenen anahtar uzunluğu 2048 bittir. |
İşletim sistemi dağıtım işlemindeki görev sıraları, istemci ilkesi alma veya envanter bilgileri gönderme gibi istemci eylemlerini içeriyorsa sertifika kullanılır. Bu sertifika, yalnızca işletim sistemi dağıtım işleminin süresi boyunca kullanılır ve istemciye yüklenmez. Bu geçici kullanım nedeniyle, birden fazla istemci sertifikası kullanmak istemezseniz tüm işletim sistemi dağıtımları için aynı sertifika kullanılabilir. Bu sertifikanın Ortak Anahtar Sertifika Standardı (PKCS#12) formatında dışa aktarılması ve Configuration Manager önyükleme yansımalarına içe aktarılabilmesi için parolanın bilinmesi gerekir. Not Bu sertifikanın gereksinimleri, bir dağıtım noktası yüklü olan site sistemlerine ait sunucu sertifikasıyla aynıdır. Gereksinimler aynı olduğundan aynı sertifika dosyasını kullanabilirsiniz. |
||
Mac istemci bilgisayarları |
İstemci kimlik doğrulaması |
Configuration Manager kaydı için:Kimliği Doğrulanan Oturum Configuration Manager'dan bağımsız olarak sertifika yüklemesi için: İş İstasyonu Kimlik Doğrulaması |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. Bir Kullanıcı sertifikası oluşturan Configuration Manager için, sertifika Konu değeri otomatik olarak Mac bilgisayarını kaydeden kişinin kullanıcı adıyla doldurulur. Configuration Manager kaydını kullanmayan ancak Configuration Manager'dan bağımsız olarak bir Bilgisayar sertifikasını dağıtan sertifika yüklemesi için sertifika Konu değerinin benzersiz olması gerekir. Örneğin, bilgisayarın FQDN'sini belirtin. Konu Alternatif Adı alanı desteklenmez. SHA-1 ve SHA-2 karma algoritmaları desteklenir. Maksimum desteklenen anahtar uzunluğu 2048 bittir. |
System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için: Bu sertifika, Mac istemci bilgisayarının kimliğini, iletişim kurduğu yönetim noktaları ve dağıtım noktaları gibi site sistem sunucularında doğrular. |
||
Linux ve UNIX istemci bilgisayarları |
İstemci kimlik doğrulaması |
İş İstasyonu Kimlik Doğrulaması |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. Konu Alternatif Adı alanı desteklenmez. Birincil anahtar verilebilir olmalıdır. SHA-1 karma algoritması desteklenir. İstemcinin işletim sistemi SHA-2'yi destekliyorsa SHA-2 karma algoritması desteklenir. Daha fazla bilgi için Linux ve UNIX sunucuları için istemci dağıtımı için planlama konusundaki bölümüne bakın.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256 Desteklenen anahtar uzunlukları: 2048 bit.
|
System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için: Bu sertifika, Linux ve UNIX istemcilerinin kimliğini, iletişim kurduğu yönetim noktaları ve dağıtım noktaları gibi site sistem sunucularında doğrular. Bu sertifikanın Ortak Anahtar Sertifika Standardı (PKCS#12) formatında dışa aktarılması ve PKI sertifikasını belirlediğinizde istemciye belirtebilmeniz için parolanın bilinmesi gerekir. Daha fazla bilgi edinmek için konusunun Linux ve UNIX sunucuları için istemci dağıtımı için planlama bölümüne bakın.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_SecurityforLnU |
||
Aşağıdaki senaryolar için kök sertifika yetkilisi (CA) sertifikaları:
|
Güvenilen bir kaynağa sertifika zinciri |
Yok. |
Standart kök CA sertifikası. |
İstemcilerin iletişim sunucusuna ait sertifikaları güvenilen bir kaynağa zincirlemesi gerektiğinde kök CA sertifikası sağlanmalıdır. Bu durum aşağıdaki senaryolarda geçerlidir:
Ayrıca, istemci sertifikaları, yönetim noktası sertifikasını veren CA hiyerarşisinden farklı bir CA hiyerarşisi tarafından veriliyorsa istemcilere ait kök CA sertifikasının sağlanması gerekir. |
||
Intel AMT tabanlı bilgisayarlar |
Sunucu kimlik doğrulaması. |
Web Sunucusu (değiştirilmiş) Bu Active Directory bilgisinden oluştur için Konu Adı'nı yapılandırmanız ve daha sonra Konu adı formatı için Ortak ad'ı seçmeniz gerekir. Bant dışı yönetim bileşeni özelliklerinde belirttiğiniz evrensel güvenlik grubu için Okuma ve Kayıt izinlerini sağlamanız gerekir. |
Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir. Konu Adı'nın, otomatik olarak Active Directory Etki Alanı Hizmetleri'nden sağlanan AMT tabanlı bilgisayarın FQDN'sini içermesi gerekir. SHA-1, desteklenen tek karma algoritmasıdır. Maksimum desteklenen anahtar uzunluğu: 2048 bit. |
Bu sertifika, bilgisayardaki yönetim denetleyicisinin kalıcı rastgele erişimli belleğinde bulunur ve Windows kullanıcı arabiriminde görüntülenemez. AMT sağlama sırasında ve sonraki güncelleştirmeler için tüm Intel AMT tabanlı bilgisayarlar bu sertifikayı ister. Bu bilgisayarlardan AMT sağlama bilgilerini kaldırırsanız bilgisayarlar bu sertifikayı iptal eder. Bu sertifika AMT tabanlı bilgisayarlara yüklendiğinde aynı zamanda kök CA'sına sertifika zinciri de yüklenir. AMT tabanlı bilgisayarlar, anahtar uzunluğu 2048 bit'ten daha uzun olan CA sertifikalarını destekleyemez. Intel AMT tabanlı bilgisayarlara yüklendiğinde bu sertifika, AMT tabanlı bilgisayarların kimlik doğrulamasını, bant dışı hizmet noktası site sistem sunucusunda ve bant dışı yönetim konsolunda çalıştırılan bilgisayarlarda gerçekleştirir ve bunlar arasında aktarılan tüm verileri Transport Layer Security (TLS) kullanarak şifreler. |
||
Intel AMT 802.1X istemci sertifikası |
İstemci kimlik doğrulaması |
İş İstasyonu Kimlik Doğrulaması Bu Active Directory bilgisinden oluştur için Konu Adı'nı yapılandırmanız, Konu adı formatı için Ortak ad'ı seçmeniz ve daha sonra DNS adını temizlemeniz ve alternatif konu adı için Kullanıcı asıl adını (UPN) seçmeniz gerekir. Bant dışı yönetim bileşeni özelliklerinde belirttiğiniz evrensel güvenlik grubuna, bu sertifika şablonu için Okuma ve Kayıt izinlerini sağlamanız gerekir. |
Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir. Konu adı alanı AMT tabanlı bilgisayarın FQDN'sini, konu alternatif adı ise UPN'yi içermelidir. Maksimum desteklenen anahtar uzunluğu: 2048 bit. |
Bu sertifika, bilgisayardaki yönetim denetleyicisinin kalıcı rastgele erişimli belleğinde bulunur ve Windows kullanıcı arabiriminde görüntülenemez. Tüm Intel AMT tabanlı bilgisayarlar bu sertifikayı AMT sağlama sırasında isteyebilir, ancak AMT sağlama bilgileri kaldırıldığında bu sertifikayı iptal etmezler. AMT tabanlı bilgisayarlara yüklendikten sonra bu sertifika, AMT tabanlı bilgisayarların kimlik doğrulamasını, ağ erişim izni verilebilmesi için RADIUS sunucunda gerçekleştirir. |
||
Microsoft Intune tarafında kaydedilen mobil aygıtlar |
İstemci kimlik doğrulaması |
Geçerli değil: Intune bu sertifikayı otomatik olarak oluşturur. |
Gelişmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içerir. 3 özel uzantı, müşterinin Intune aboneliğini benzersiz şekilde tanımlar. Kullanıcılar, sertifika Konu değerini kayıt sırasında sağlayabilirler. Ancak, bu değer Intune tarafından cihazı belirlemek için kullanılmaz. Anahtar boyutu 2048 bittir ve SHA-1 karma algoritmasını kullanır. Not Bu ayarları değiştiremezsiniz: Bu bilgiler, yalnızca bilgilendirici amaçlarla sağlanmıştır. |
Bu sertifika, kimliği doğrulanan kullanıcılar Microsoft Intune kullanarak mobil cihazlarını kaydettiğinde otomatik olarak istenir ve yüklenir. Cihazdaki sonuç sertifikası Bilgisayar deposunda bulunur ve daha sonra yönetilebilmesi için kayıtlı mobil cihazın kimlik doğrulamasını Intune'da gerçekleştirir. Sertifikadaki özel uzantılar nedeniyle kimlik doğrulama, kuruluş için oluşturulan Intune aboneliğiyle sınırlandırılır. |