CNG v3 憑證概觀
Configuration Manager支援密碼編譯:新一代 (CNG) 憑證。 Configuration Manager用戶端可以使用 PKI 用戶端驗證憑證搭配產生並儲存在 CNG 金鑰儲存提供者 (KSP) 中的私密金鑰。 透過 KSP 支援,Configuration Manager用戶端支援硬體型私密金鑰,例如適用于 PKI 用戶端驗證憑證的 TPM KSP。
注意事項
使用 CNG 憑證時,Configuration Manager用戶端僅支援使用RSA密碼編譯演算法的憑證。
支援的案例
您可以針對下列案例使用 密碼編譯 API:新一代 (CNG) v3 憑證範本:
- 用戶端註冊和與 HTTPS 管理點的通訊
- 使用 HTTPS 發佈點進行軟體發佈和應用程式部署
- 作業系統部署
- 具有最新更新) 和 ISV Proxy 的用戶端傳訊 SDK (
- 雲端管理閘道 (CMG) 設定
- 軟體中心內以使用者為目標的可用應用程式
也請針對下列已啟用 HTTPS 的伺服器角色使用 CNG v3 憑證:
- 管理點
- 發佈點
- 軟體更新點
- 狀態移轉點
- 憑證註冊點,包括具有Configuration Manager原則模組的 NDES 伺服器
注意事項
CNG 與 Crypto API (CAPI) 回溯相容。 即使在用戶端上啟用 CNG 支援時,仍會繼續支援 CAPI 憑證。
不支持的案例
目前不支援下列案例:
在 HTTPS 模式中安裝的 CNG v3 憑證系結至 Internet Information Services 中的網站時,下列伺服器角色無法運作 (IIS) :
- 註冊點
- 註冊 Proxy 點
使用 CNG 憑證
若要使用 CNG v3 憑證,您的憑證授權單位單位 (CA) 必須為目的機器提供 CNG 憑證範本。 範本詳細資料會根據案例而有所不同;不過,需要下列屬性:
相容性索引 標籤
憑證授權單位單位 必須是 Windows Server 2008 或更新版本。 建議 (Windows Server 2012。)
憑證收件者 必須是 Windows Vista/Server 2008 或更新版本。 建議 (Windows 8/Windows Server 2012。)
[密碼編譯] 索引卷 標
提供者類別 必須是 金鑰儲存提供者。 (必要)
演算法名稱 必須是 RSA。 (必要)
要求必須使用下列其中一個提供者:必須Microsoft軟體金鑰儲存提供者。
注意事項
您環境或組織的需求可能不同。 請連絡您的 PKI 專家。 要考慮的重點是憑證範本必須使用金鑰儲存提供者來利用 CNG。
為了獲得最佳結果,建議您從 Active Directory 資訊建置主體名稱。 使用主體 名稱格式 的 DNS 名稱,並將 DNS 名稱包含在替代主體名稱中。 否則,當裝置註冊到憑證設定檔時,您必須提供這項資訊。