共用方式為


CNG v3 憑證概觀

Configuration Manager支援密碼編譯:新一代 (CNG) 憑證。 Configuration Manager用戶端可以使用 PKI 用戶端驗證憑證搭配產生並儲存在 CNG 金鑰儲存提供者 (KSP) 中的私密金鑰。 透過 KSP 支援,Configuration Manager用戶端支援硬體型私密金鑰,例如適用于 PKI 用戶端驗證憑證的 TPM KSP。

注意事項

使用 CNG 憑證時,Configuration Manager用戶端僅支援使用RSA密碼編譯演算法的憑證。

支援的案例

您可以針對下列案例使用 密碼編譯 API:新一代 (CNG) v3 憑證範本:

  • 用戶端註冊和與 HTTPS 管理點的通訊
  • 使用 HTTPS 發佈點進行軟體發佈和應用程式部署
  • 作業系統部署
  • 具有最新更新) 和 ISV Proxy 的用戶端傳訊 SDK (
  • 雲端管理閘道 (CMG) 設定
  • 軟體中心內以使用者為目標的可用應用程式

也請針對下列已啟用 HTTPS 的伺服器角色使用 CNG v3 憑證:

  • 管理點
  • 發佈點
  • 軟體更新點
  • 狀態移轉點
  • 憑證註冊點,包括具有Configuration Manager原則模組的 NDES 伺服器

注意事項

CNG 與 Crypto API (CAPI) 回溯相容。 即使在用戶端上啟用 CNG 支援時,仍會繼續支援 CAPI 憑證。

不支持的案例

目前不支援下列案例:

  • 在 HTTPS 模式中安裝的 CNG v3 憑證系結至 Internet Information Services 中的網站時,下列伺服器角色無法運作 (IIS) :

    • 註冊點
    • 註冊 Proxy 點

使用 CNG 憑證

若要使用 CNG v3 憑證,您的憑證授權單位單位 (CA) 必須為目的機器提供 CNG 憑證範本。 範本詳細資料會根據案例而有所不同;不過,需要下列屬性:

  • 相容性索引 標籤

    • 憑證授權單位單位 必須是 Windows Server 2008 或更新版本。 建議 (Windows Server 2012。)

    • 憑證收件者 必須是 Windows Vista/Server 2008 或更新版本。 建議 (Windows 8/Windows Server 2012。)

  • [密碼編譯] 索引卷

    • 提供者類別 必須是 金鑰儲存提供者。 (必要)

    • 演算法名稱 必須是 RSA。 (必要)

    • 要求必須使用下列其中一個提供者:必須Microsoft軟體金鑰儲存提供者。

注意事項

您環境或組織的需求可能不同。 請連絡您的 PKI 專家。 要考慮的重點是憑證範本必須使用金鑰儲存提供者來利用 CNG。

為了獲得最佳結果,建議您從 Active Directory 資訊建置主體名稱。 使用主體 名稱格式 的 DNS 名稱,並將 DNS 名稱包含在替代主體名稱中。 否則,當裝置註冊到憑證設定檔時,您必須提供這項資訊。