• Makale

Configuration Manager İçin PKI Sertifikası Gereksinimleri

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager için gerek duyabileceğiniz ortak anahtar altyapısı (PKI) sertifikaları, aşağıdaki tablolarda listelenmektedir. Bu bilgi, PKI sertifikalarına dair temel bilgileri varsayar. Bu sertifikaların dağıtım örneğine yönelik adım adım rehberlik için, bkz. Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi. Active Directory Sertifika Hizmetleri hakkında daha çok bilgi için, şu belgelere bakın:

Configuration Manager uygulamasının mobil cihazlarda ve Mac bilgisayarlarda kaydettiği istemci sertifikaları, Microsoft Intune'un mobil cihazları yönetmek için otomatik olarak oluşturduğu sertifikalar ve Configuration Manager uygulamasının AMT tabanlı bilgisayarlara yüklediği sertifikalar dışında aşağıdaki sertifikaları oluşturmak, dağıtmak ve yönetmek için herhangi bir PKI'yı kullanabilirsiniz. Ancak, Active Directory Sertifika Hizmetlerini ve sertifika şablonlarını kullandığınızda, bu Microsoft PKI çözümü sertifikaların yönetimi kolaylaştırabilir. Sertifika gereksinimleriyle en yakından eşleşen sertifika şablonunu belirlemek için aşağıdaki tablolarda Kullanılacak Microsoft sertifika şablonu sütununu kullanın. Şablon tabanlı sertifikalar yalnızca Windows Server 2008 Enterprise ve Windows Server 2008 Datacenter gibi, sunucu işletim sisteminin Enterprise Edition veya Datacenter Edition'ı üzerinde çalışan bir kuruluş sertifikalandırma yetkisin kullanılarak verilebilir.

System_CAPS_importantÖnemli

Bir kuruluş sertifikalandırma yetkisini ve sertifika şablonlarını kullandığınızda, sürüm 3 şablonları kullanmayın. Bu sertifika şablonları Configuration Manager ile uyumsuz sertifikalar oluştururlar. Bunu yerine aşağıdaki talimatlardan yararlanarak sürüm 2 şablonları kullanın:

  • Windows Server 2012 üzerinde bir CA için: Sertifika şablon özelliklerinin Uyumluluk sekmesinde Sertifika Yetkilisi seçeneği için Windows Server 2003'ü ve Sertifika alıcısı seçeneği içinse Windows XP / Server 2003'ü belirleyin.

  • Windows Server 2008 üzerinde bir CA için: Bir sertifika şablonunu çoğalttığınızda, Şablon Çoğalt açılan iletişim kutusunda istendiğinde Windows Server 2003 Enterprise'ın varsayılan seçimini koruyun.Windows Server 2008, Enterprise Edition'ı seçmeyin.

Sertifika gereksinimlerini görüntülemek için aşağıdaki bölümleri kullanın.

Sunucular için PKI Sertifikaları

Configuration Manager bileşenleri

Sertifika amacı

Kullanılacak Microsoft sertifikası şablonu

Sertifikadaki belirli bilgiler

Configuration Manager'de sertifikanın nasıl kullanıldığı

İnternet Bilgi Hizmetleri (IIS) çalıştıran ve HTTPS istemci bağlantıları için yapılandırılmış site sistemleri:

  • Yönetim noktası

  • Dağıtım noktası

  • Yazılım güncelleştirme noktası

  • Durum geçiş noktası

  • Kayıt noktası

  • Kayıt proxy noktası

  • Uygulama Kataloğu web hizmet noktası

  • Uygulama Kataloğu web sitesi noktası

Sunucu kimlik doğrulaması

Web Sunucusu

Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir.

Site sistemi İnternet'ten bağlantıları kabul ediyorsa, Konu Adı veya Konu Alternatif Adı İnternet tam etki alanı adını (FQDN) içermelidir.

Site sistemi intranetten bağlantıları kabul ediyorsa, Konu Adı veya Konu Alternatif Adı, site sisteminin nasıl yapılandırıldığına bağlı olarak intranet FQDN (önerilen) veya bilgisayarın adını içermelidir.

Site sistemi hem İnternet'ten, hem de intranetten bağlantıları kabul ediyorsa, hem İnternet FQDN'si, hem de intranet FQDN'si (veya bilgisayar adı) iki ad arasında ve (&) simgesi sınırlayıcısıyla belirtilmelidir.

System_CAPS_importantÖnemli

Yazılım güncelleme noktası yalnızca İnternet'ten istemci bağlantılarını kabul ettiğinde, sertifika hem İnternet FQDN'si, hem de intranet FQDN'sini içermelidir.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Configuration Manager uygulaması bu sertifika için bir maksimum desteklenen anahtar uzunluğu belirlemez. Bu sertifika için anahtar boyutuyla ilişkili tüm konularda PKI ve IIS belgelerinize başvurun.

Bu sertifika, Bilgisayar sertifika deposunda Kişisel depoda bulunmalıdır.

Bu Web sunucusu sertifikası, bu sunucuların istemciye kimlik doğrulamasının yapılmasında ve istemci ile bu sunucular arasında aktarılan tüm verilerin Güvenli Yuva Katmanı (SSL) kullanılarak şifrelenmesi için kullanılır.

Bulut tabanlı dağıtım noktası

Sunucu kimlik doğrulaması

Web Sunucusu

Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir.

Konu Adı, bulut tabanlı dağıtım noktasının belirli örneği için Ortam Ad olarak bir FQDN formatında müşteri tanımlı hizmet adı ve etki alanı adını içermelidir.

Birincil anahtar verilebilir olmalıdır.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Desteklenen anahtar uzunlukları: 2048 bit.

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Bu hizmet sertifikası, bulut tabanlı dağıtım noktası hizmetinin Configuration Manager istemcilerinde yetkisinin doğrulanmasında ve and bunlar arasında aktarılan tüm verilerin Güvenli Yuva Katmanı (SSL) ile şifrelenmesinde kullanılır.

Bu sertifika, Ortak Anahtar Sertifika Standardı (PKCS #12) formatında verilmelidir ve parola, bir bulut tabanlı dağıtım noktası oluşturduğunuzda alınabileceği şekilde bilinmelidir.

Not

Bu sertifika, Windows Azure yönetim sertifikasıyla bağlantılı olarak kullanılır. Bu sertifika hakkında daha fazla bilgi için, bkz. MSDN Kitaplığı'nın Windows Azure Platformu bölümünde Bir Yönetim Sertifikasının Nasıl Oluşturulacağı ve Bir Yönetim Sertifikasının bir Windows Azure Aboneliğine Nasıl Ekleneceği.

Bir yazılım güncelleme noktası için Ağ Yükü Dengeleme (NLB) kümesi

Sunucu kimlik doğrulaması

Web sunucusu

Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir.

  1. Konu Adı alanında veya Konu Alternatif Adı alanında NLB kümesinin FQDN'si:

    • İnternet tabanlı istemci yönetimini destekleyen ağ yükü dengeleme sunucularında İnternet NLB FQDN'sini kullanın.

    • İntranet istemcilerini destekleyen ağ yükü dengeleme sunucularında İntranet NLB FQDN'sini kullanın.

  2. Konu Adı alanı veya Konu Alternatif Adı alanında NLB kümesinde site sisteminin bilgisayar adı. Bu sunucu adı, NLB küme adından ve ve işareti (&) sınırlayıcı simgesinden sonra belirlenmelidir:

    • İntranet üzerindeki site sistemleri için bunları (önerilen) veya bilgisayar NetBIOS adını belirliyorsanız, intranet FQDN'sini kullanın.

    • İnternet tabanlı istemci yönetimini destekleyen site sistemlerinde İnternet FQDN'sini kullanın.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Hizmet paketi olmayan System Center 2012 Configuration Manager için:

Bu sertifika, ağ yükü dengeleme yazılımı güncelleme noktasının istemciye yetki doğrulamasını yapmakta ve istemci ile bu sunucular arasındaki tüm veri aktarımının SSL ile şifrelenmesinde kullanılır.

Not

NLB yazılım güncelleme noktaları System Center 2012 Configuration Manager SP1'den itibaren desteklenmediğinden bu sertifika yalnızca hizmet paketsiz Configuration Manager için geçerlidir.

Microsoft SQL Server çalıştıran site sistem sunucuları

Sunucu kimlik doğrulaması

Web sunucusu

Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir.

Konu Adı, intranet tam etki alanı adını (FQDN) içermelidir.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

Bu sertifika, Bilgisayar sertifika deposundaki Kişisel depoda bulunmalıdır ve Configuration Manager bunu, sunucuyla güven oluşturması gerekebilecek Configuration Manager hiyerarşisindeki sunucular için Güvenilir Kişi Deposuna otomatik olarak kopyalar.

Bu sertifikalar sunucudan sunucuya yetki doğrulaması için kullanılırlar.

SQL Server kümesi: Microsoft SQL Server çalıştıran site sistem sunucuları

Sunucu kimlik doğrulaması

Web sunucusu

Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir.

Konu Adı, kümenin intranet tam etki alanı adını (FQDN) içermelidir.

Birincil anahtar verilebilir olmalıdır.

Configuration Manager uygulamasını SQL Server kümesini kullanacak şekilde yapılandırdığınızda, bu sertifika en az iki yıllık bir geçerlilik süresine sahip olmalıdır.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

Bu sertifikayı kümedeki düğümlerden birinde istediğinizde ve yüklediğinizde, sertifikayı SQL Server kümesindeki her bir ek düğüm için verin ve alın.

Bu sertifika, Bilgisayar sertifika deposundaki Kişisel depoda bulunmalıdır ve Configuration Manager bunu, sunucuyla güven oluşturması gerekebilecek Configuration Manager hiyerarşisindeki sunucular için Güvenilir Kişi Deposuna otomatik olarak kopyalar.

Bu sertifikalar sunucudan sunucuya yetki doğrulaması için kullanılırlar.

Aşağıdaki site sistem rolleri için site sistem izleme:

  • Yönetim noktası

  • Durum geçiş noktası

İstemci kimlik doğrulaması

İş İstasyonu Kimlik Doğrulaması

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

Bilgisayarlar, Konu Adı alanında veya Konu Alternatif Adı alanında benzersiz değere sahip olmalıdırlar.

Not

Konu Diğer Adı için birden fazla değer kullanıyorsanız yalnızca ilk değer kullanılır.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

System Center 2012 Configuration Manager istemcisi yüklü olmasa dahi, bu sertifika listelenen site sistem sunucularında gerektiğinden, bu site sistem rollerinin sağlığı izlenip siteye bildirilebilir.

Bu site sistemleri için sertifika, Bilgisayar sertifika deposunun Kişisel deposunda bulunmalıdır.

Ağ Aygıtı Kayıt Hizmeti rol hizmetine sahip Configuration Manager İlke Modülü çalıştıran sunucular.

İstemci kimlik doğrulaması

İş İstasyonu Kimlik Doğrulaması

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

Sertifika Konusu veya Konu Alternatif Adı (SAN) için belirli gereklilikler yoktur ve Ağ Aygıtı Kayıt Hizmeti çalıştıran birden fazla sunucu için aynı sertifikayı kullanabilirsiniz.

SHA-1, SHA-2 ve SHA-3 karma algoritmaları desteklenir.

Desteklenen anahtar uzunlukları: 1024 bit ve 2048 bit.

Bu konudaki bilgiler yalnızca System Center 2012 R2 Configuration Manager sürümleri için geçerlidir.

Bu sertifika, Configuration Manager İlke Modülünün yetkisini sertifika kayıt noktası site sistem sunucusunda doğrular, bu nedenle Configuration Manager uygulaması kullanıcılar ve aygıtlar için sertifikaları kaydedebilir.

Bir dağıtım noktası yüklü site sistemleri.

İstemci kimlik doğrulaması

İş İstasyonu Kimlik Doğrulaması

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

Sertifika Konusu veya Konu Alternatif Adı (SAN) için belirli gereklilikler yoktur ve birden fazla dağıtım noktası için aynı sertifikayı kullanabilirsiniz. Bununla birlikte, her bir dağıtım noktası için farklı bir sertifika önerilir.

Birincil anahtar verilebilir olmalıdır.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

Bu sertifika iki amaca sahiptir:

  • Dağıtım noktası durum iletileri göndermeden önce HTTPS etkin bir yönetim noktasına dağıtım noktasının kimliğini doğrular.

  • İstemciler için PXE desteğini etkinleştir dağıtım noktası seçeneği seçildiğinde, işletim sistemi dağıtım işlemindeki görev dizilerinin, istemci ilke alma veya gönderme envanter bilgilerini içerirse, istemci bilgisayarların işletim sisteminin dağıtımı sırasında bir HTTPS etkin yönetim noktasına bağlanabileceği şekilde sertifika bilgisayarlara gönderilir.

    Bu sertifika, yalnızca işletim sistemi dağıtım işleminin süresi boyunca kullanılır ve istemciye yüklenmez. Bu geçici kullanım nedeniyle, birden fazla istemci sertifikası kullanmak istemezseniz tüm işletim sistemi dağıtımları için aynı sertifika kullanılabilir.

Bu sertifika, Ortak Anahtar Sertifika Standardı (PKCS #12) formatında verilmelidir ve parola, dağıtım noktası özelliklerine alınabileceği şekilde bilinmelidir.

Not

Bu sertifika için gereksinimler, işletim sistemlerinin dağıtımına yönelik önyükleme yansımaları için istemci sertifikasıyla aynıdır. Gereksinimler aynı olduğundan aynı sertifika dosyasını kullanabilirsiniz.

Bant dışı hizmet noktası

AMT Sağlama

Web Sunucusu (değiştirilmiş)

Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini ve aşağıdaki nesne tanıtıcısını içermelidir: 2.16.840.1.113741.1.2.3.

Konu adı alanı, bant dışı hizmet noktasını barındıran sunucunun FQDN'sini içermelidir.

Not

Kendi iç CA'nız yerine bir dış CA'dan AMT sağlama sertifikası isterseniz ve bu sertifika 2.16.840.1.113741.1.2.3 ATM sağlayıcı nesne tanıtıcısını desteklemiyorsa, alternatif olarak sertifika konu adında bir kuruluş birimi (OU) özniteliği olarak aşağıdaki metin dizesini belirleyebilirsiniz: Intel(R) Client Setup Certificate. İngilizce olan bu kesin metin dizesi aynı durumda, sonrasında bir dönem olmadan ve bant dışı hizmet noktasını barındıran sunucunun FQDN'sine ek olarak kullanılmalıdır.

SHA-1, desteklenen tek karma algoritmasıdır.

Desteklenen anahtar uzunlukları: 1024 ve 2048. AMT 6.0 ve sonraki sürümler için 4096 bit anahtar uzunluğu da desteklenmektedir.

Bu sertifika, bant dışı hizmet noktası site sistem sunucusunun Bilgisayar sertifika deposunda Kişisel depoda bulunur.

Bu AMT sağlama sertifikası, bilgisayarları bant dışı yönetimi için hazırlamakta kullanılır.

Bu sertifikayı AMT sağlama sertifikaları sağlayan bir CA'dan istemelisiniz ve Intel AMT tabanlı bilgisayarlar için BIOS uzantısı, bu sağlama sertifikasına yönelik kök sertifikası parmak izini (aynı zamanda sertifika karması olarak da bilinir) kullanmak için yapılandırılmalıdır.

VeriSign, AMT sağlama sertifikaları sağlayan bir dış CA'nın tipik örneğidir ancak kendi iç CA'nızı da kullanabilirsiniz.

Sertifikanın kök CA'Sına başarıyla zincirlenebilmesi gereken, bant dışı hizmet noktasını barındıran sunucu üzerinde sertifikayı yükleyin. (Varsayılan olarak VeriSign için kök CA sertifikası ve ara CA sertifikası Windows yüklendiğinde yüklenir.)

Microsoft Intune bağlayıcısı çalıştıran site sistem sunucusu

İstemci kimlik doğrulaması

Geçerli değil: Intune bu sertifikayı otomatik olarak oluşturur.

Gelişmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içerir.

3 özel uzantı, müşterilerin Intune aboneliğini benzersiz şekilde tanımlar.

Anahtar boyutu 2048 bittir ve SHA-1 karma algoritmasını kullanır.

Not

Bu ayarları değiştiremezsiniz: Bu bilgiler, yalnızca bilgilendirici amaçlarla sağlanmıştır.

Microsoft Intune'a abone olduğunuzda bu sertifika otomatik olarak istenir ve Configuration Manager veritabanına yüklenir.Microsoft Intune bağlayıcısını yüklediğinizde, bu sertifika Microsoft Intune bağlayıcısını çalıştıran site sistem sunucusuna yüklenir. Bilgisayar sertifika deposuna yüklenir.

Bu sertifika, Microsoft Intune bağlayıcısı kullanılarak Configuration Manager hiyerarşisini Microsoft Intune için yetkilendirmede kullanılır. Bunlar arasında aktarılan tüm veriler Güvenli Yuva Katmanı'nı (SSL) kullanırlar.

İnternet Tabanlı İstemci Yönetimi için Proxy Web Sunucuları

Site İnternet tabanlı istemci yönetimini destekliyorsa ve gelen İnternet bağlantıları için SSL sonlandırma (tünelleme) kullanarak bir proxy Web sunucusu kullanıyorsanız, proxy Web sunucusu aşağıdaki tabloda listelenen sertifika gereksinimlerine sahiptir.

Not

SSL sonlandırma (tünelleme) olmadan bir proxy Web sunucusu kullanıyorsanız, proxy Web sunucusunda ek sertifikalara gerek yoktur.

Ağ altyapısı bileşeni

Sertifika amacı

Kullanılacak Microsoft sertifikası şablonu

Sertifikadaki belirli bilgiler

Configuration Manager'de sertifikanın nasıl kullanıldığı 

İnternet üzerinde istemci bağlantılarını kabul eden proxy Web sunucusu

Sunucu kimlik doğrulaması ve istemci kimlik doğrulaması

  1. Web Sunucusu

  2. İş İstasyonu Kimlik Doğrulaması

Konu Adı veya Konu Alternatif Adı alanındaki Internet FQDN (Microsoft sertifika şablonları kullanıyorsanız Konu Alternatif adı yalnızca iş istasyonu şablonuyla kullanılabilir)

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Bu sertifika, aşağıdaki sunucuların kimlik doğrulamalarını Internet istemcilerinde gerçekleştirmek ve istemci ile bu sunucu arasında SSL kullanılarak aktarılan tüm verileri şifrelemek için kullanılır:

  • Internet tabanlı yönetim noktası

  • Internet tabanlı dağıtım noktası

  • Internet tabanlı yazılım güncelleştirme noktası

İstemci kimlik doğrulaması, System Center 2012 Configuration Manager istemcileri ve Internet tabanlı site sistemleri arasındaki istemci bağlantılarını köprülemek için kullanılır.

İstemciler için PKI Sertifikaları

Configuration Manager bileşenleri

Sertifika amacı

Kullanılacak Microsoft sertifikası şablonu

Sertifikadaki belirli bilgiler

Configuration Manager'de sertifikanın nasıl kullanıldığı 

Windows istemci bilgisayarları

İstemci kimlik doğrulaması

İş İstasyonu Kimlik Doğrulaması

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

İstemci bilgisayarlarının, Konu Adı veya Konu Alternatif Adı alanında benzersiz bir değere sahip olması gerekir.

Not

Konu Diğer Adı için birden fazla değer kullanıyorsanız yalnızca ilk değer kullanılır.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

Varsayılan olarak Configuration Manager, Bilgisayar sertifika deposunda bulunan Kişisel depodaki bilgisayar sertifikalarını arar.

Yazılım güncelleştirme noktası ve Uygulama Kataloğu web sitesi noktası hariç olmak üzere bu sertifika, IIS çalıştıran ve HTTPS kullanmak üzere yapılandırılan site sistem sunucularında istemcinin kimlik doğrulamasını gerçekleştirir.

Mobil aygıt istemcileri

İstemci kimlik doğrulaması

Kimliği Doğrulanan Oturum

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

SHA-1, desteklenen tek karma algoritmasıdır.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

System_CAPS_importantÖnemli

Bu sertifikaların, Distinguished Encoding Rules (DER) kodlu ikili X.509 formatında olması gerekir.

Base64 kodlu X.509 formatı desteklenmez.

Bu sertifika, mobil aygıt istemcisinin kimliğini, iletişim kurduğu yönetim noktaları ve dağıtım noktaları gibi site sistem sunucularında doğrular.

İşletim sistemlerini dağıtmak için önyükleme yansımaları

İstemci kimlik doğrulaması

İş İstasyonu Kimlik Doğrulaması

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

Konu Adı alanı veya Konu Alternatif Adı (SAN) için belirli gereksinimler yoktur ve aynı sertifikayı tüm önyükleme yansımaları için kullanabilirsiniz.

Birincil anahtar verilebilir olmalıdır.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

İşletim sistemi dağıtım işlemindeki görev sıraları, istemci ilkesi alma veya envanter bilgileri gönderme gibi istemci eylemlerini içeriyorsa sertifika kullanılır.

Bu sertifika, yalnızca işletim sistemi dağıtım işleminin süresi boyunca kullanılır ve istemciye yüklenmez. Bu geçici kullanım nedeniyle, birden fazla istemci sertifikası kullanmak istemezseniz tüm işletim sistemi dağıtımları için aynı sertifika kullanılabilir.

Bu sertifikanın Ortak Anahtar Sertifika Standardı (PKCS#12) formatında dışa aktarılması ve Configuration Manager önyükleme yansımalarına içe aktarılabilmesi için parolanın bilinmesi gerekir.

Not

Bu sertifikanın gereksinimleri, bir dağıtım noktası yüklü olan site sistemlerine ait sunucu sertifikasıyla aynıdır. Gereksinimler aynı olduğundan aynı sertifika dosyasını kullanabilirsiniz.

Mac istemci bilgisayarları

İstemci kimlik doğrulaması

Configuration Manager kaydı için:Kimliği Doğrulanan Oturum

Configuration Manager'dan bağımsız olarak sertifika yüklemesi için: İş İstasyonu Kimlik Doğrulaması

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

Bir Kullanıcı sertifikası oluşturan Configuration Manager için, sertifika Konu değeri otomatik olarak Mac bilgisayarını kaydeden kişinin kullanıcı adıyla doldurulur.

Configuration Manager kaydını kullanmayan ancak Configuration Manager'dan bağımsız olarak bir Bilgisayar sertifikasını dağıtan sertifika yüklemesi için sertifika Konu değerinin benzersiz olması gerekir. Örneğin, bilgisayarın FQDN'sini belirtin.

Konu Alternatif Adı alanı desteklenmez.

SHA-1 ve SHA-2 karma algoritmaları desteklenir.

Maksimum desteklenen anahtar uzunluğu 2048 bittir.

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Bu sertifika, Mac istemci bilgisayarının kimliğini, iletişim kurduğu yönetim noktaları ve dağıtım noktaları gibi site sistem sunucularında doğrular.

Linux ve UNIX istemci bilgisayarları

İstemci kimlik doğrulaması

İş İstasyonu Kimlik Doğrulaması

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

Konu Alternatif Adı alanı desteklenmez.

Birincil anahtar verilebilir olmalıdır.

SHA-1 karma algoritması desteklenir.

İstemcinin işletim sistemi SHA-2'yi destekliyorsa SHA-2 karma algoritması desteklenir. Daha fazla bilgi için Linux ve UNIX sunucuları için istemci dağıtımı için planlama konusundaki bölümüne bakın.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256

Desteklenen anahtar uzunlukları: 2048 bit.

System_CAPS_importantÖnemli

Bu sertifikaların, Distinguished Encoding Rules (DER) kodlu ikili X.509 formatında olması gerekir. Base64 kodlu X.509 formatı desteklenmez.

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Bu sertifika, Linux ve UNIX istemcilerinin kimliğini, iletişim kurduğu yönetim noktaları ve dağıtım noktaları gibi site sistem sunucularında doğrular.

Bu sertifikanın Ortak Anahtar Sertifika Standardı (PKCS#12) formatında dışa aktarılması ve PKI sertifikasını belirlediğinizde istemciye belirtebilmeniz için parolanın bilinmesi gerekir.

Daha fazla bilgi edinmek için konusunun Linux ve UNIX sunucuları için istemci dağıtımı için planlama bölümüne bakın.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_SecurityforLnU

Aşağıdaki senaryolar için kök sertifika yetkilisi (CA) sertifikaları:

  • İşletim sistemi dağıtımı

  • Mobil aygıt kaydı

  • Intel AMT tabanlı bilgisayarlar için RADIUS sunucu kimlik doğrulaması

  • İstemci sertifikası kimlik doğrulaması

Güvenilen bir kaynağa sertifika zinciri

Yok.

Standart kök CA sertifikası.

İstemcilerin iletişim sunucusuna ait sertifikaları güvenilen bir kaynağa zincirlemesi gerektiğinde kök CA sertifikası sağlanmalıdır. Bu durum aşağıdaki senaryolarda geçerlidir:

  • Bir işletim sistemini dağıttığınızda ve istemci bilgisayarını HTTPS kullanmak üzere yapılandırılan bir yönetim noktasına bağlayan görev sıraları çalıştırıldığında.

  • System Center 2012 Configuration Manager tarafından yönetilmek üzere bir mobil aygıt kaydettiğinizde.

  • AMT tabanlı bilgisayarlar için 802.1X kimlik doğrulaması kullandığınızda ve RADIUS sunucusunun kök sertifikası için bir dosya belirtmek istediğinizde.

Ayrıca, istemci sertifikaları, yönetim noktası sertifikasını veren CA hiyerarşisinden farklı bir CA hiyerarşisi tarafından veriliyorsa istemcilere ait kök CA sertifikasının sağlanması gerekir.

Intel AMT tabanlı bilgisayarlar

Sunucu kimlik doğrulaması.

Web Sunucusu (değiştirilmiş)

Bu Active Directory bilgisinden oluştur için Konu Adı'nı yapılandırmanız ve daha sonra Konu adı formatı için Ortak ad'ı seçmeniz gerekir.

Bant dışı yönetim bileşeni özelliklerinde belirttiğiniz evrensel güvenlik grubu için Okuma ve Kayıt izinlerini sağlamanız gerekir.

Genişletilmiş Anahtar Kullanımı değeri Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) öğesini içermelidir.

Konu Adı'nın, otomatik olarak Active Directory Etki Alanı Hizmetleri'nden sağlanan AMT tabanlı bilgisayarın FQDN'sini içermesi gerekir.

SHA-1, desteklenen tek karma algoritmasıdır.

Maksimum desteklenen anahtar uzunluğu: 2048 bit.

Bu sertifika, bilgisayardaki yönetim denetleyicisinin kalıcı rastgele erişimli belleğinde bulunur ve Windows kullanıcı arabiriminde görüntülenemez.

AMT sağlama sırasında ve sonraki güncelleştirmeler için tüm Intel AMT tabanlı bilgisayarlar bu sertifikayı ister. Bu bilgisayarlardan AMT sağlama bilgilerini kaldırırsanız bilgisayarlar bu sertifikayı iptal eder.

Bu sertifika AMT tabanlı bilgisayarlara yüklendiğinde aynı zamanda kök CA'sına sertifika zinciri de yüklenir. AMT tabanlı bilgisayarlar, anahtar uzunluğu 2048 bit'ten daha uzun olan CA sertifikalarını destekleyemez.

Intel AMT tabanlı bilgisayarlara yüklendiğinde bu sertifika, AMT tabanlı bilgisayarların kimlik doğrulamasını, bant dışı hizmet noktası site sistem sunucusunda ve bant dışı yönetim konsolunda çalıştırılan bilgisayarlarda gerçekleştirir ve bunlar arasında aktarılan tüm verileri Transport Layer Security (TLS) kullanarak şifreler.

Intel AMT 802.1X istemci sertifikası

İstemci kimlik doğrulaması

İş İstasyonu Kimlik Doğrulaması

Bu Active Directory bilgisinden oluştur için Konu Adı'nı yapılandırmanız, Konu adı formatı için Ortak ad'ı seçmeniz ve daha sonra DNS adını temizlemeniz ve alternatif konu adı için Kullanıcı asıl adını (UPN) seçmeniz gerekir.

Bant dışı yönetim bileşeni özelliklerinde belirttiğiniz evrensel güvenlik grubuna, bu sertifika şablonu için Okuma ve Kayıt izinlerini sağlamanız gerekir.

Genişletilmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içermelidir.

Konu adı alanı AMT tabanlı bilgisayarın FQDN'sini, konu alternatif adı ise UPN'yi içermelidir.

Maksimum desteklenen anahtar uzunluğu: 2048 bit.

Bu sertifika, bilgisayardaki yönetim denetleyicisinin kalıcı rastgele erişimli belleğinde bulunur ve Windows kullanıcı arabiriminde görüntülenemez.

Tüm Intel AMT tabanlı bilgisayarlar bu sertifikayı AMT sağlama sırasında isteyebilir, ancak AMT sağlama bilgileri kaldırıldığında bu sertifikayı iptal etmezler.

AMT tabanlı bilgisayarlara yüklendikten sonra bu sertifika, AMT tabanlı bilgisayarların kimlik doğrulamasını, ağ erişim izni verilebilmesi için RADIUS sunucunda gerçekleştirir.

Microsoft Intune tarafında kaydedilen mobil aygıtlar

İstemci kimlik doğrulaması

Geçerli değil: Intune bu sertifikayı otomatik olarak oluşturur.

Gelişmiş Anahtar Kullanımı değeri İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) öğesini içerir.

3 özel uzantı, müşterinin Intune aboneliğini benzersiz şekilde tanımlar.

Kullanıcılar, sertifika Konu değerini kayıt sırasında sağlayabilirler. Ancak, bu değer Intune tarafından cihazı belirlemek için kullanılmaz.

Anahtar boyutu 2048 bittir ve SHA-1 karma algoritmasını kullanır.

Not

Bu ayarları değiştiremezsiniz: Bu bilgiler, yalnızca bilgilendirici amaçlarla sağlanmıştır.

Bu sertifika, kimliği doğrulanan kullanıcılar Microsoft Intune kullanarak mobil cihazlarını kaydettiğinde otomatik olarak istenir ve yüklenir. Cihazdaki sonuç sertifikası Bilgisayar deposunda bulunur ve daha sonra yönetilebilmesi için kayıtlı mobil cihazın kimlik doğrulamasını Intune'da gerçekleştirir.

Sertifikadaki özel uzantılar nedeniyle kimlik doğrulama, kuruluş için oluşturulan Intune aboneliğiyle sınırlandırılır.