Configuration Manager 的 PKI 憑證需求
適用於: System Center 2012 Configuration Manager、System Center 2012 Configuration Manager SP1、System Center 2012 Configuration Manager SP2、System Center 2012 R2 Configuration Manager、System Center 2012 R2 Configuration Manager SP1
下表中列出 System Center 2012 Configuration Manager 可能需要的公開金鑰基礎結構 (PKI) 憑證。 這項資訊假設已具備 PKI 憑證的基本知識。 如需示範部署這些憑證的逐步指引,請參閱為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位。 如需有關 Active Directory 憑證服務的詳細資訊,請參閱下列文件:
Windows Server 2012:Active Directory 憑證服務概觀
Windows Server 2008:Windows Server 2008 中的 Active Directory 憑證服務
重要 |
---|
自 2017 年 1 月 1 日起生效,Windows 將不再信任以 SHA-1 簽署的憑證。 建議您發行以 SHA-2 簽署的新伺服器及用戶端驗證憑證。 如需此變更的詳細資料以及可能的期限更新,請關注此部落格文章:Windows 強制的 Authenticode 碼簽署及時間戳記 |
除了 Configuration Manager 在行動裝置及 Mac 電腦上註冊的用戶端憑證、Microsoft Intune 自動建立用於管理行動裝置的憑證,以及 Configuration Manager 安裝在 AMT 電腦上的憑證之外,您可以使用任何 PKI 建立、部署及管理下列憑證。 不過,當您使用 Active Directory 憑證服務及憑證範本時,此 Microsoft PKI 解決方案可簡化憑證管理工作。 使用下表中的 [要使用的 Microsoft 憑證範本] 欄,可找出最符合憑證需求的憑證範本。 範本憑證只能由執行 Enterprise Edition 或 Datacenter Edition 伺服器作業系統 (例如 Windows Server 2008 Enterprise 和 Windows Server 2008 Datacenter) 的企業憑證授權單位發出。
重要 |
---|
如果您使用企業憑證授權單位和憑證範本,請勿使用第 3 版範本。 這些憑證範本會建立與 Configuration Manager 不相容的憑證。 請改用第 2 版範本,同時請遵循下列指示:
|
利用下面各節檢視憑證需求。
伺服器的 PKI 憑證
Configuration Manager 元件 |
憑證用途 |
要使用的 Microsoft 憑證範本 |
憑證中的特定資訊 |
Configuration Manager 使用憑證的方式 |
||
---|---|---|---|---|---|---|
執行 Internet Information Services (IIS) 且設定為使用 HTTPS 用戶端連線的網站系統:
|
伺服器驗證 |
Web 伺服器 |
[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。 如果網站系統接受來自網際網路的連線,則 [主體名稱] 或 [主體別名] 必須包含網際網路完整網域名稱 (FQDN)。 如果網站系統接受來自內部網路的連線,則根據網站系統的設定,[主體名稱] 或 [主體別名] 必須包含內部網路 FQDN (建議使用) 或電腦名稱。 如果網站系統同時接受來自網際網路及內部網路的連線,則必須同時指定網際網路 FQDN 和內部網路 FQDN (或電腦名稱),並使用 (&) 符號分隔兩個名稱。
支援 SHA-2 雜湊演算法。 Configuration Manager 不會指定此憑證支援的金鑰長度上限。 請查閱您的 PKI 和 IIS 文件,瞭解此憑證的任何金鑰大小相關問題。 |
此憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中。 此 Web 伺服器憑證可用來對用戶端驗證這些伺服器,以及使用安全通訊端層 (SSL) 加密用戶端與這些伺服器之間傳送的所有資料。 |
||
雲端發佈點 |
伺服器驗證 |
Web 伺服器 |
[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。 [主體名稱] 必須包含 FQDN 格式的客戶定義服務名稱及網域,做為特定雲端架構發佈點執行個體的 [一般名稱]。 私密金鑰必須可匯出。 支援 SHA-2 雜湊演算法。 支援的金鑰長度:2048 位元。 |
對於 System Center 2012 Configuration Manager SP1 及更新版本: 此服務憑證用來對 Configuration Manager 用戶端驗證雲端架構的發佈點服務,以及使用安全通訊端層 (SSL) 加密兩者之間傳送的所有資料。 此憑證必須以公開金鑰憑證標準 (PKCS #12) 格式匯出,而且必須得知密碼,才能在建立雲端架構發佈點時匯入。
|
||
軟體更新點的網路負載平衡 (NLB) 叢集 |
伺服器驗證 |
Web 伺服器 |
[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。
支援 SHA-2 雜湊演算法。 |
若是無 Service Pack 的 System Center 2012 Configuration Manager: 此憑證用來對用戶端驗證網路負載平衡軟體更新點,以及使用 SSL 加密用戶端與這些伺服器之間傳送的所有資料。
|
||
執行 Microsoft SQL Server 的網站系統伺服器 |
伺服器驗證 |
Web 伺服器 |
[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。 [主題名稱] 必須包含內部網路完整網域名稱 (FQDN)。 支援 SHA-2 雜湊演算法。 支援的金鑰長度上限是 2048 位元。 |
此憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中,且 Configuration Manager 會自動將此憑證複製到 Configuration Manager 階層中可能需要與伺服器建立信任之伺服器的 [受信任人的存放區]。 這些憑證用於伺服器對伺服器驗證。 |
||
SQL Server 叢集:執行 Microsoft SQL Server 的站台系統伺服器 |
伺服器驗證 |
Web 伺服器 |
[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。 [主題名稱] 必須包含叢集的內部網路完整網域名稱 (FQDN)。 私密金鑰必須可匯出。 當您設定 Configuration Manager 使用 SQL Server 叢集時,憑證必須至少有兩年的有效期間。 支援 SHA-2 雜湊演算法。 支援的金鑰長度上限是 2048 位元。 |
您在叢集中的某個節點上要求並安裝此憑證後,請匯出憑證,再將它匯入 SQL Server 叢集中每個額外的節點。 此憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中,且 Configuration Manager 會自動將此憑證複製到 Configuration Manager 階層中可能需要與伺服器建立信任之伺服器的 [受信任人的存放區]。 這些憑證用於伺服器對伺服器驗證。 |
||
下列網站系統角色的網站系統監視:
|
用戶端驗證 |
工作站驗證 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 電腦的 [主體名稱] 欄位或 [主體別名] 欄位中必須擁有唯一的值。
支援 SHA-2 雜湊演算法。 支援的金鑰長度上限是 2048 位元。 |
即使未安裝 System Center 2012 Configuration Manager 用戶端,列出的網站系統伺服器上仍必須有此憑證,如此才能監視這些網站系統角色的健全狀況並且對網站回報。 這些網站系統的憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中。 |
||
執行 Configuration Manager 原則模組及網路裝置註冊服務角色服務的伺服器。 |
用戶端驗證 |
工作站驗證 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 對於憑證主體或主體別名 (SAN) 並無特定需求,您可以針對多個執行網路裝置註冊服務之伺服器使用同一個憑證。 支援 SHA-2 和 SHA-3 雜湊演算法。 支援的金鑰長度:1024 位元及 2048 位元。 |
本主題中的資訊僅適用於 System Center 2012 R2 Configuration Manager 版本。 此憑證可讓 Configuration Manager 原則模組通過憑證登錄點網站系統伺服器的驗證,如此一來,Configuration Manager 就可以註冊使用者和裝置的憑證。 |
||
已安裝發佈點的網站系統 |
用戶端驗證 |
工作站驗證 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 對於憑證主體或主體別名 (SAN) 並無特定需求,您可以針對多個發佈點使用同一個憑證。 不過,我們建議每個發佈點使用不同的憑證。 私密金鑰必須可匯出。 支援 SHA-2 雜湊演算法。 支援的金鑰長度上限是 2048 位元。 |
此憑證有兩種用途:
此憑證必須以公開金鑰憑證標準 (PKCS #12) 格式匯出,而且必須得知密碼,才能匯入至發佈點內容。
|
||
超出訊號範圍服務點 |
AMT 佈建 |
Web 伺服器 (已修改) |
[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)] 及下列物件識別碼:2.16.840.1.113741.1.2.3。 [主體名稱] 欄位必須包含裝載超出訊號範圍服務點的伺服器 FQDN。
SHA-1 是支援的唯一一種雜湊演算法。 支援的金鑰長度:1024 及 2048。 AMT 6.0 和更新版本也支援 4096 位元的金鑰長度。 |
此憑證位於超出訊號範圍服務點網站系統伺服器的 [電腦] 憑證存放區中的 [個人] 存放區。 此 AMT 佈建憑證用來準備電腦進行超出訊號範圍的管理。 您必須向提供 AMT 佈建憑證的 CA 要求此憑證,而且 Intel AMT 電腦的 BIOS 擴充功能必須設定為針對此佈建憑證使用根憑證指紋 (也稱為憑證雜湊)。 VeriSign 是提供 AMT 佈建憑證的外部 CA 典型範例,但您也可以使用自己的內部 CA。 將憑證安裝到裝載超出訊號範圍服務點的伺服器上,該服務點必須能夠成功鏈結至憑證的根 CA (根據預設,VeriSign 的根 CA 憑證及中繼 CA 憑證惠在 Windows 安裝時一併安裝)。 |
||
執行 Microsoft Intune 連接器的站台系統伺服器 |
用戶端驗證 |
不適用:Intune 會自動建立此憑證。 |
[增強金鑰使用方法] 值包含用戶端驗證 (1.3.6.1.5.5.7.3.2)。 3 個自訂延伸可做為客戶 Intune 訂閱的唯一識別。 金鑰大小是 2048 位元,並且使用 SHA-1 雜湊演算法。
|
此憑證會在您訂閱 Microsoft Intune 時,自動要求並安裝到 Configuration Manager 資料庫。 當您安裝 Microsoft Intune 連接器時,此憑證就會安裝到執行 Microsoft Intune 連接器的站台系統伺服器上。 憑證會安裝到 [電腦] 憑證存放區中。 此憑證用於使用 Microsoft Intune 連接器對 Microsoft Intune 驗證 Configuration Manager 階層。 兩者之間一律使用安全通訊端層 (SSL) 傳送資料。 |
以網際網路為基礎的用戶端管理的 Proxy Web 伺服器
如果網站支援以網際網路為基礎的用戶端管理,且您透過使用 SSL 終止 (橋接) 功能進行傳入網際網路連線的方式使用 Proxy Web 伺服器,則該 Proxy Web 伺服器具備下表所列的憑證需求。
注意 |
---|
如果您使用 Proxy Web 伺服器但不使用 SSL 終止 (通道) 功能,Proxy Web 伺服器便不需 要其他憑證。 |
網路基礎結構元件 |
憑證用途 |
要使用的 Microsoft 憑證範本 |
憑證中的特定資訊 |
Configuration Manager 使用憑證的方式 |
---|---|---|---|---|
透過網際網路接受用戶端連線的 Proxy Web 伺服器 |
伺服器驗證與用戶端驗證 |
|
[主體名稱] 欄位或 [主體別名] 欄位中的網際網路 FQDN (如果您使用 Microsoft 憑證範本,則 [主體別名] 僅適用於工作站範本)。 支援 SHA-2 雜湊演算法。 |
此憑證用於對網際網路用戶端驗證下列伺服器,以及加密用戶端及此伺服器之間使用 SSL 傳送的所有資料:
用戶端驗證用於橋接 System Center 2012 Configuration Manager 用戶端及以網際網路為基礎之網站系統之間的用戶端連線。 |
用戶端的 PKI 憑證
Configuration Manager 元件 |
憑證用途 |
要使用的 Microsoft 憑證範本 |
憑證中的特定資訊 |
Configuration Manager 使用憑證的方式 |
||
---|---|---|---|---|---|---|
Windows 用戶端電腦 |
用戶端驗證 |
工作站驗證 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 用戶端電腦的 [主體名稱] 欄位或 [主體別名] 欄位中必須包含唯一值。
支援 SHA-2 雜湊演算法。 支援的金鑰長度上限是 2048 位元。 |
根據預設,Configuration Manager 會在電腦憑證存放區的個人存放區中尋找電腦憑證。 除了軟體更新點和應用程式類別目錄網站點外,此憑證可以在執行 IIS 的網站系統伺服器及設定使用 HTTPS 的伺服器上驗證用戶端。 |
||
行動裝置用戶端 |
用戶端驗證 |
驗證的工作階段 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 SHA-1 是支援的唯一一種雜湊演算法。 支援的金鑰長度上限是 2048 位元。
|
此憑證會在與行動裝置用戶端通訊的網站系統伺服器 (例如管理點和發佈點) 驗證該用戶端。 |
||
部署作業系統的開機映像 |
用戶端驗證 |
工作站驗證 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 憑證的 [主體別名] 欄位或 [主體別名 (SAN)] 皆無特定需求,所有開機映像皆可使用同一個憑證。 私密金鑰必須可匯出。 支援 SHA-2 雜湊演算法。 支援的金鑰長度上限是 2048 位元。 |
如果作業系統部署程序中的工作順序包含擷取用戶端原則或傳送清查資訊之類的用戶端動作,便會使用憑證。 此憑證僅於作業系統部署程序期間使用,不會安裝到用戶端上。 由於是暫時使用的緣故,如果不想使用多個用戶端憑證,您可以在每次部署作業系統時使用同一個憑證。 您必須以公開金鑰憑證標準 (PKCS #12) 格式匯出此憑證,而且必須知道密碼,才能將憑證匯入 Configuration Manager 開機映像中。
|
||
Mac 用戶端電腦 |
用戶端驗證 |
針對 Configuration Manager 註冊:驗證的工作階段 獨立於 Configuration Manager 的憑證安裝:工作站驗證 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 針對建立使用者憑證的 Configuration Manager,會在憑證的 [主體] 值中自動填入註冊 Mac 電腦者的使用者名稱。 若憑證安裝作業不使用 Configuration Manager 註冊,而是從 Configuration Manager 獨立部署電腦憑證,該憑證的 [主體] 值必須是唯一的。 例如,請指定該電腦的 FQDN。 不支援 [主體別名] 欄位。 支援 SHA-2 雜湊演算法。 支援的金鑰長度上限是 2048 位元。 |
對於 System Center 2012 Configuration Manager SP1 及更新版本: 此憑證會在與 Mac 用戶端電腦通訊的網站系統伺服器 (例如管理點和發佈點) 驗證該電腦。 |
||
Linux 及 UNIX 用戶端電腦 |
用戶端驗證 |
工作站驗證 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 不支援 [主體別名] 欄位。 私密金鑰必須可匯出。 支援 SHA-1 雜湊演算法。 如果用戶端的作業系統支援 SHA-2,則支援 SHA-2 雜湊演算法。 如需詳細資訊,請參閱Linux 和 UNIX 伺服器的用戶端部署規劃主題中的關於 Linux 和 UNIX 作業系統的執行不支援 sha-256一節。 支援的金鑰長度:2048 位元。
|
對於 System Center 2012 Configuration Manager SP1 及更新版本: 此憑證會在與 Linux 及 UNIX 用戶端通訊的網站系統伺服器 (例如管理點和發佈點) 驗證該用戶端。 必須以公開金鑰憑證標準 (PKCS#12) 格式匯出此憑證,而且必須知道密碼,才能在指定 PKI 憑證時將此憑證指定至用戶端。 如需詳細資訊,請參閱規劃安全性和憑證 Linux 和 UNIX 伺服器主題中的Linux 和 UNIX 伺服器的用戶端部署規劃一節。 |
||
下列情況適用的根憑證授權單位 (CA) 憑證:
|
信任來源的憑證鏈結 |
不適用。 |
標準的根 CA 憑證。 |
當用戶端需要將通訊伺服器的憑證鏈結到信任的來源時,必須提供根 CA 憑證。 下列情況皆適用:
此外,如果用戶端憑證的 CA 與核發管理點憑證的 CA 屬於不同階層,必須提供用戶端的根 CA 憑證。 |
||
Intel AMt 型電腦 |
伺服器驗證。 |
Web 伺服器 (已修改) 您必須設定 [用這項 Active Directory 資訊來建立] 的 [主體名稱],然後針對 [主體名稱格式] 選取 [一般名稱]。 您必須將 [讀取] 和 [註冊] 權限授與在超出訊號範圍管理元件內容中指定的萬用安全性群組。 |
[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。 [主體名稱] 必須包含 AMT 型電腦的 FQDN (Active Directory 網域服務會自動提供)。 SHA-1 是支援的唯一一種雜湊演算法。 支援的金鑰長度上限:2048 位元。 |
此憑證位於電腦管理控制器的非動態隨機存取記憶體中,在 Windows 使用者介面中無法看見。 每部 Intel AMT 型電腦都會在 AMT 佈建及後續更新期間要求此憑證。 如果從這些電腦中移除 AMT 佈建資訊,就會撤銷此憑證。 此憑證安裝在 Intel AMT 型電腦上時,會一併安裝根 CA 的憑證鏈結。 AMT 型電腦無法支援金鑰長度超過 2048 位元的 CA 憑證。 將憑證安裝在 Intel AMT 型電腦上後,此憑證會對超出訊號範圍的服務點系統伺服器及執行超出訊號範圍管理主控台的電腦驗證 AMT 型電腦,並且使用傳輸層安全性 (TLS) 加密在電腦之間傳送的所有資料。 |
||
Intel AMT 802.1X 用戶端憑證 |
用戶端驗證 |
工作站驗證 您必須將 [主體名稱] 設為 [用這項 Active Directory 資訊來建立],然後在 [主體名稱格式] 中選取 [一般名稱]、清除 DNS 名稱,然後選取 [使用者主要名稱 (UPN)] 為替代主體名稱。 您必須將此憑證範本的權限授與在超出訊號範圍管理元件內容 [讀取] 和 [註冊] 中指定的萬用安全性群組。 |
[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。 主體名稱欄位必須包含 AMT 型電腦的 FQDN,主體別名則必須包含 UPN。 支援的金鑰長度上限:2048 位元。 |
此憑證位於電腦管理控制器的非動態隨機存取記憶體中,在 Windows 使用者介面中無法看見。 每部 Intel AMT 型電腦皆可在 AMT 佈建期間要求此憑證,但即使移除 AMT 佈建資訊,也不會撤銷此憑證。 將憑證安裝在 AMT 型電腦上後,此憑證會對 RADIUS 伺服器驗證 AMT 型電腦,以便獲得網路存取權限。 |
||
由 Microsoft Intune 註冊的行動裝置 |
用戶端驗證 |
不適用:Intune 會自動建立此憑證。 |
[增強金鑰使用方法] 值包含用戶端驗證 (1.3.6.1.5.5.7.3.2)。 3 個自訂延伸可做為客戶 Intune 訂閱的唯一識別。 使用者可以在註冊期間提供憑證主體的值。 不過,Intune 不會使用此值識別裝置。 金鑰大小是 2048 位元,並且使用 SHA-1 雜湊演算法。
|
驗證使用者使用 Microsoft Intune 註冊行動裝置時,會自動要求並安裝此憑證。 裝置上產生的憑證位於電腦存放區中,並且會對 Intune 驗證註冊的行動裝置,以便管理該裝置。 由於憑證中有自訂延伸,因此只能驗證針對組織建立的 Intune 訂閱。 |