Partager via


Configuration requise des certificats PKI pour Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Les certificats d'infrastructure à clé publique (PKI) dont vous pouvez avoir besoin pour System Center 2012 Configuration Manager sont répertoriés dans les tableaux suivants. Ces informations présupposent une connaissance élémentaire des certificats PKI. Pour obtenir des conseils pour le déploiement d'un exemple de ces certificats, voir Exemple détaillé de déploiement des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008. Pour plus d'informations sur les services de certificats Active Directory, voir la documentation suivante :

À l'exception des certificats de client inscrits par Configuration Manager sur les appareils mobiles et les ordinateurs Mac, des certificats créés automatiquement par Microsoft Intune pour la gestion des appareils mobiles et des certificats installés par Configuration Manager sur des ordinateurs AMT, vous pouvez utiliser n'importe quelle infrastructure PKI pour créer, déployer et gérer les certificats suivants. Toutefois, lorsque vous utilisez des services de certificats Active Directory et des modèles de certificat, cette solution d'infrastructure à clé publique Microsoft peut faciliter la gestion des certificats. Utilisez la colonne Modèle de certificat Microsoft à utiliser des tableaux ci-dessous pour identifier le modèle de certificat qui correspond le plus aux spécifications du certificat. Les certificats basés sur des modèles ne peuvent être édités que par une autorité de certification d'entreprise exécutée sur l'édition Enterprise ou Datacenter du système d'exploitation serveur, par exemple Windows Server 2008 Enterprise et Windows Server 2008 Datacenter.

Important

Lorsque vous utilisez une autorité de certification d'entreprise et des modèles de certificats, n'utilisez pas les modèles de la version 3. Ces modèles de certificats créent des certificats qui sont incompatibles avec Configuration Manager. Utilisez plutôt les modèles de la version 2 en suivant les instructions suivantes :

  • Pour une autorité de certification sur Windows Server 2012 : Sous l'onglet Compatibilité des propriétés du modèle de certificat, spécifiez Windows Server 2003 pour l'option Autorité de certification et Windows XP / Server 2003 pour l'option Destinataire du certificat.

  • Pour une autorité de certification sur Windows Server 2008 : Lorsque vous dupliquez un modèle de certificat, conservez la sélection par défaut de Windows Server 2003 Enterprise lorsque vous y êtes invité par la boîte de dialogue contextuelle Modèle dupliqué. Ne sélectionnez pas Windows Server 2008, Enterprise Edition.

Utilisez les sections suivantes pour afficher les spécifications du certificat.

Certificats PKI pour serveurs

Composant Configuration Manager

Rôle du certificat

Modèle de certificat Microsoft à utiliser

Informations spécifiques du certificat

Comment le certificat est utilisé dans Configuration Manager

Systèmes de site qui exécutent Internet Information Services (IIS) et qui sont configurés pour les connexions client HTTPS :

  • Point de gestion

  • Point de distribution

  • Point de mise à jour logicielle

  • Point de migration d'état

  • Point d'inscription

  • Point proxy d'inscription

  • Point de service Web du catalogue des applications

  • Point du site web du catalogue des applications

Authentification du serveur

Serveur Web

La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1).

Si le système du site accepte les connexions en provenance d'Internet, Nom d'objet ou Autre nom de l'objet doit correspondre au nom de domaine Internet complet (FQDN).

Si le système de site accepte les connexions en provenance de l'intranet, Nom d'objet ou Autre nom de l'objet doit correspondre soit au nom de domaine complet de l'intranet (recommandé), soit au nom de l'ordinateur, selon la configuration du système de site.

Si le système de site accepte les connexions entrantes Internet et intranet, il est nécessaire de spécifier le nom de domaine Internet complet et le nom de domaine complet de l'intranet (ou le nom de l'ordinateur) en les séparant par une esperluette (&.

Important

Lorsque le point de mise à jour logicielle accepte des connexions clients d'Internet uniquement, le certificat doit contenir à la fois le FQDN Internet et le FQDN intranet.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

Configuration Manager ne spécifie pas de longueur de clé maximale prise en charge pour ce certificat. Pour les problèmes de longueur de clé pour ce certificat, consultez la documentation relative à IIS et à votre infrastructure PKI.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats de l'ordinateur.

Ce certificat de serveur Web est utilisé pour authentifier ces serveurs sur le client et pour crypter toutes les données transférées entre le client et ces serveurs à l'aide du protocole SSL (Secure Sockets Layer).

Point de distribution cloud

Authentification du serveur

Serveur Web

La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1).

Le nom d'objet doit contenir un nom de service défini par le client et un nom de domaine sous forme de nom de domaine complet, servant de nom commun pour l'instance spécifique du point de distribution cloud.

La clé privée doit être exportable.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

Longueurs de clé prises en charge : 2 048 bits.

Pour System Center 2012 Configuration Manager SP1 et ultérieur :

Ce certificat de service permet d'authentifier le service du point de distribution cloud auprès des clients Configuration Manager et de chiffrer l'intégralité des données transférées entre ces clients par le biais du protocole SSL (Secure Sockets Layer).

Ce certificat doit être exporté au format Public Key Certificate Standard (PKCS #12), et le mot de passe doit être connu, de sorte qu'il puisse être importé lors de la création d'un point de distribution cloud.

Notes

Ce certificat est utilisé conjointement avec le certificat de gestion de Windows Azure. Pour plus d'informations sur ce certificat, voir Création d'un certificat de gestion et Ajouter un certificat de gestion à un abonnement Windows Azure dans la section de la bibliothèque MSDN consacrée à la plateforme Windows Azure.

Cluster d'équilibrage de la charge réseau (NLB) pour un point de mise à jour logicielle

Authentification du serveur

Serveur Web

La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1).

  1. Nom de domaine complet ou cluster NLB dans le champ Nom d'objet, ou dans le champ Autre nom de l'objet :

    • Pour les serveurs d'équilibrage de la charge réseau qui prennent en charge la gestion des clients basés sur Internet, utilisez le nom de domaine complet NLB Internet.

    • Pour les serveurs d'équilibrage de la charge réseau qui prennent en charge les clients intranet, utilisez le nom de domaine complet NLB de l'intranet.

  2. Le nom du système de site est le cluster NLB dans le champ Nom d'objet ou Autre nom de l'objet. Ce nom de serveur doit être spécifié après le nom de cluster NLB et le délimiteur (&) :

    • Pour les systèmes de site sur l'intranet, utilisez le nom de domaine complet de l'intranet si vous l'avez indiqué (recommandé) ou le nom NetBIOS de l'ordinateur.

    • Pour les systèmes de site prenant en charge la gestion des clients basés sur Internet, utilisez le nom de domaine Internet complet.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

Pour System Center 2012 Configuration Manager sans Service Pack :

Ce certificat est utilisé pour authentifier le point de mise à jour logicielle d'équilibrage de la charge réseau auprès du client, et pour crypter toutes les données transférées entre le client et ces serveurs à l'aide du protocole SSL.

Notes

Ce certificat concerne uniquement Configuration Manager sans Service Pack car, à compter de System Center 2012 Configuration Manager avec SP1, les points de mise à jour logicielle avec équilibrage de la charge réseau ne sont pas pris en charge.

serveurs de système de site exécutant Microsoft SQL Server

Authentification du serveur

Serveur Web

La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1).

Le nom du sujet doit contenir le nom de domaine complet (FQDN) de l'intranet.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Ce certificat doit être situé dans le magasin personnel du magasin de certificats de l'ordinateur. Configuration Manager le copie automatiquement vers le magasin des personnes autorisées pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir besoin d'établir une relation de confiance avec le serveur.

Ces certificats sont utilisés pour l'authentification de serveur à serveur.

Cluster SQL Server : serveurs de système de site exécutant Microsoft SQL Server

Authentification du serveur

Serveur Web

La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1).

Le nom d'objet doit contenir le nom de domaine complet (FQDN) de l'intranet du cluster.

La clé privée doit être exportable.

Le certificat doit avoir une période de validité d'au moins deux ans lorsque vous configurez Configuration Manager de sorte qu'il utilise le cluster SQL Server.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Après avoir demandé et installé ce certificat sur un nœud du cluster, exportez le certificat et importez-le dans les autres nœuds du cluster SQL Server.

Ce certificat doit être situé dans le magasin personnel du magasin de certificats de l'ordinateur. Configuration Manager le copie automatiquement vers le magasin des personnes autorisées pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir besoin d'établir une relation de confiance avec le serveur.

Ces certificats sont utilisés pour l'authentification de serveur à serveur.

Surveillance de système de site pour les rôles de système de site suivants :

  • Point de gestion

  • Point de migration d'état

Authentification du client

Authentification de station de travail

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Les ordinateurs doivent présenter une valeur unique dans les champs Nom de l'objet ou Autre nom de l'objet.

Notes

Si vous indiquez plusieurs valeurs pour Autre nom de l'objet, seule la première est utilisée.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Ce certificat est requis sur les serveurs de système de site répertoriés, même lorsque le client System Center 2012 Configuration Manager n'est pas installé, de sorte que l'intégrité de ces rôles peut être surveillée et signalée au site.

Le certificat de ces systèmes de site doit se trouver dans le magasin personnel du magasin de certificats de l'ordinateur.

Les serveurs exécutant le module de stratégie Configuration Manager avec le service de rôle du service d'inscription d'appareils réseau.

Authentification du client

Authentification de station de travail

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Il n'existe aucune exigence particulière pour l'Objet ou l'Autre nom de l'objet du certificat, et vous pouvez utiliser le même certificat pour plusieurs serveurs exécutant le service d'inscription d'appareils réseau.

Les algorithmes de hachage SHA-1, SHA-2 et SHA-3 sont pris en charge.

Longueurs de clé prises en charge : 1 024 bits et 2 048 bits.

Les informations de cette rubrique s'appliquent seulement aux versions System Center 2012 R2 Configuration Manager.

Ce certificat authentifie le module de stratégie Configuration Manager dans le serveur du système de site du point d'enregistrement du certificat afin que Configuration Manager puisse inscrire des certificats pour les utilisateurs et les appareils.

Systèmes de site ayant un point de distribution installé

Authentification du client

Authentification de station de travail

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Il n'existe aucune exigence particulière pour l'objet du certificat ou le nom alternatif d'objet du certificat (SAN), et vous pouvez utiliser le même certificat pour plusieurs points de distribution. Toutefois, nous vous recommandons d'utiliser un certificat différent pour chaque point de distribution.

La clé privée doit être exportable.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Ce certificat a deux objectifs :

  • Il authentifie le point de distribution sur un point de gestion HTTPS avant que le point de distribution n'envoie des messages d'état.

  • Lorsque l'option du point de distribution Activer la prise en charge PXE pour les clients est sélectionnée, le certificat est envoyé aux ordinateurs, de sorte que si des séquences de tâches du processus de déploiement du système d'exploitation comportent des actions du client, comme la récupération de la stratégie client ou l'envoi d'informations sur l'inventaire, les ordinateurs clients pourront se connecter à un point de gestion HTTPS lors du déploiement du système d'exploitation.

    Ce certificat n'est utilisé que pour la durée de la procédure de déploiement du système d'exploitation et n'est pas installé sur le client. En raison de cette utilisation temporaire, le même certificat peut être utilisé pour chaque déploiement du système d'exploitation si vous ne souhaitez pas utiliser plusieurs certificats de client.

Le certificat doit être exporté au format Public Key Certificate Standard (PKCS #12), et le mot de passe doit être connu, de sorte qu'il puisse être importé dans les propriétés du point de distribution.

Notes

La configuration requise pour ce certificat est la même que celle du certificat du client pour les images de démarrage pour le déploiement de systèmes d'exploitation. Dans la mesure où les exigences sont les mêmes, vous pouvez utiliser le même fichier de certificat.

Point de service hors bande

Préparation AMT

Serveur Web (modifié)

La valeur Utilisation améliorée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1) et l'identificateur d'objet suivant : 2.16.840.1.113741.1.2.3.

Le champ Nom de l'objet doit contenir le nom de domaine complet du serveur qui héberge le point de gestion hors bande.

Notes

Si vous faites la demande d'un certificat de mise en service de la technologie AMT auprès d'une autorité de certification externe plutôt qu'auprès de votre propre autorité de certification interne et que celle-ci ne prend pas en charge l'identificateur d'objet 2.16.840.1.113741.1.2.3, vous pouvez spécifiez à la place la chaîne de texte suivante en tant qu'attribut d'unité d'organisation (UO) dans le nom d'objet du certificat : Intel(R) Client Setup Certificate. Cette chaîne exacte de texte doit être utilisée en anglais, en respectant la casse et sans point final et être ajoutée au nom de domaine complet du serveur qui héberge le point de service hors bande.

SHA-1 est le seul algorithme de hachage pris en charge.

Longueurs de clé prises en charge : 1024 et 2048. Pour AMT 6.0 et versions ultérieures, la longueur de clé de 4 096 bits est également prise en charge.

Ce certificat se trouve dans le magasin personnel du magasin de certificats de l'ordinateur du serveur de système de site du point de service hors bande.

Ce certificat de configuration AMT permet de préparer les ordinateurs pour la gestion hors bande.

Vous devez demander ce certificat auprès d'une autorité de certification fournissant des certificats de configuration Intel AMT. De plus, l'extension BIOS des ordinateurs basés sur AMT doit être configurée pour utiliser l'empreinte numérique de certificat racine (on parle également de « hachage de certificat ») de ce certificat de configuration.

VeriSign est un exemple type d'autorité de certification externe, fournissant des certificats de configuration AMT, mais vous pouvez également utiliser votre propre autorité de certification interne.

Installez le certificat sur le serveur hébergeant le point de service hors bande, qui doit pouvoir se lier correctement à l'autorité de certification racine du certificat. (Par défaut, le certificat de l'autorité de certification racine et le certificat de l'autorité de certification intermédiaire de VeriSign sont installés lors de l'installation de Windows.)

Serveur de système de site qui exécute le connecteur Microsoft Intune

Authentification du client

Non applicable : Intune crée automatiquement ce certificat.

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Trois extensions personnalisées identifient de manière unique l'abonnement Intune du client.

La taille de la clé est de 2 048 bits et elle utilise l'algorithme de hachage SHA-1.

Notes

Vous ne pouvez pas modifier ces paramètres : ces informations sont fournies uniquement à titre d'information.

Ce certificat est demandé et installé automatiquement dans la base de données de Configuration Manager lorsque vous vous abonnez à Microsoft Intune. Lorsque vous installez le connecteur Microsoft Intune, ce certificat est installé sur le serveur de système de site qui exécute le connecteur Microsoft Intune. Il est installé dans le magasin de certificats Ordinateur.

Ce certificat sert à authentifier la hiérarchie Configuration Manager auprès de Microsoft Intune, à l'aide du connecteur Microsoft Intune. Toutes les données ainsi transférées utilisent le protocole SSL (Secure Sockets Layer).

Serveurs Web proxy pour la gestion de clients basés sur Internet

Si le site prend en charge la gestion des clients basés sur Internet et que vous utilisez un serveur Web proxy avec terminaison SSL (pontage) pour les connexions Internet entrantes, le serveur Web proxy exige les certificats répertoriés dans le tableau suivant.

Notes

Si vous utilisez un serveur Web proxy sans terminaison SSL (tunnel), aucun autre certificat n'est requis sur le serveur Web proxy.

Composant d'infrastructure réseau

Rôle du certificat

Modèle de certificat Microsoft à utiliser

Informations spécifiques du certificat

Comment le certificat est utilisé dans Configuration Manager 

Serveur Web proxy acceptant les connexions de clients sur Internet

Authentification de serveur et authentification de client

  1. Serveur Web

  2. Authentification de station de travail

Nom de domaine Internet complet dans le champ Nom d'objet ou Autre nom de l'objet (si vous utilisez des modèles de certificats Microsoft, Autre nom de l'objet n'est disponible qu'avec le modèle pour station de travail).

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

Ce certificat est utilisé pour authentifier les serveurs suivants auprès de clients Internet et pour crypter toutes les données transférées entre le client et ce serveur en utilisant le protocole SSL :

  • Point de gestion Internet

  • Point de distribution basé sur Internet

  • point de mise à jour logicielle Internet

L'authentification du client est utilisée pour ponter les connexions du client entre les clients System Center 2012 Configuration Manager et les systèmes de sites basés sur Internet.

Certificats PKI pour les clients

Composant Configuration Manager

Rôle du certificat

Modèle de certificat Microsoft à utiliser

Informations spécifiques du certificat

Comment le certificat est utilisé dans Configuration Manager 

Ordinateurs clients Windows

Authentification du client

Authentification de station de travail

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Les ordinateurs clients doivent présenter une valeur unique dans les champs Nom de l'objet ou Autre nom de l'objet.

Notes

Si vous indiquez plusieurs valeurs pour Autre nom de l'objet, seule la première est utilisée.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Par défaut, Configuration Manager recherche les certificats de l'ordinateur dans le magasin personnel du magasin de certificats de l'ordinateur.

À l'exception du point de mise à jour logicielle et du point de site Web du catalogue des applications, ce certificat authentifie le client auprès de serveurs de système de site qui exécutent IIS et qui sont configurés pour utiliser le protocole HTTPS.

clients d'appareils mobiles

Authentification du client

Session authentifiée

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

SHA-1 est le seul algorithme de hachage pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Important

Ces certificats doivent être au format binaire codé DER X.509.

Le format X.509 codé en Base64 n'est pas pris en charge.

Ce certificat authentifie le client de l'appareil mobile auprès des serveurs de système de site avec lesquels il communique, tels que les points de gestion et les points de distribution.

Images de démarrage pour le déploiement de systèmes d'exploitation

Authentification du client

Authentification de station de travail

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Aucune configuration spécifique n'est requise pour le champ Nom de l'objet ou Autre nom de l'objet (SAN) du certificat, et vous pouvez utiliser le même certificat pour toutes les images de démarrage.

La clé privée doit être exportable.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Le certificat est utilisé si les séquences des tâches dans la procédure du déploiement du système d'exploitation comprennent des actions du client telles que la récupération de la stratégie du client ou l'envoi des données d'inventaire.

Ce certificat n'est utilisé que pour la durée de la procédure de déploiement du système d'exploitation et n'est pas installé sur le client. En raison de cette utilisation temporaire, le même certificat peut être utilisé pour chaque déploiement du système d'exploitation si vous ne souhaitez pas utiliser plusieurs certificats de client.

Le certificat doit être exporté au format Public Key Certificate Standard (PKCS #12), et le mot de passe doit être connu, de sorte qu'il puisse être importé dans les images de démarrage de Configuration Manager.

Notes

La configuration requise de ce certificat est la même que celle du certificat du serveur pour les systèmes de site ayant un point de distribution installé. Dans la mesure où les exigences sont les mêmes, vous pouvez utiliser le même fichier de certificat.

Ordinateurs clients Mac

Authentification du client

Pour l'inscription Configuration Manager : Session authentifiée

Pour l'installation d'un certificat indépendant de Configuration Manager : Authentification de station de travail

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Si Configuration Manager crée un certificat utilisateur, la valeur Objet du certificat est renseignée automatiquement en utilisant le nom d'utilisateur de la personne qui inscrit l'ordinateur Mac.

Dans le cas d'une installation de certificat qui n'utilise pas l'inscription Configuration Manager, mais qui déploie un certificat d'ordinateur indépendamment de Configuration Manager, la valeur Objet du certificat doit être unique. Indiquez par exemple le nom de domaine complet de l'ordinateur.

Le champ Autre nom de l'objet n'est pas pris en charge.

Les algorithmes de hachage SHA-1 et SHA-2 sont pris en charge.

La longueur maximale de la clé est de 2 048 bits.

Pour System Center 2012 Configuration Manager SP1 et ultérieur :

Ce certificat authentifie l'ordinateur client Mac auprès des serveurs de système de site avec lesquels il communique, tels que les points de gestion et les points de distribution.

Ordinateurs clients Linux et UNIX

Authentification du client

Authentification de station de travail

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Le champ Autre nom de l'objet n'est pas pris en charge.

La clé privée doit être exportable.

L'algorithme de hachage SHA-1 est pris en charge.

L'algorithme de hachage SHA-2 est pris en charge si le système d'exploitation du client prend en charge SHA-2. Pour plus d'informations, voir la section Sur Linux et les systèmes d'exploitation UNIX que ne faire pas prise en charge de SHA-256 dans la rubrique Planification du déploiement du Client pour les serveurs Linux et UNIX.

Longueurs de clé prises en charge : 2 048 bits.

Important

Ces certificats doivent être au format binaire codé DER X.509. Le format X.509 codé en Base64 n'est pas pris en charge.

Pour System Center 2012 Configuration Manager SP1 et ultérieur :

Ce certificat authentifie le client Linux et UNIX auprès des serveurs de système de site avec lesquels il communique, tels que les points de gestion et les points de distribution.

Le certificat doit être exporté au format Public Key Certificate Standard (PKCS#12), et le mot de passe doit être connu, de sorte que vous puissiez l'indiquer au client lors de la spécification du certificat PKI.

Pour plus d'informations, voir la section Planification de la sécurité et les certificats de serveurs UNIX et de Linux dans la rubrique Planification du déploiement du Client pour les serveurs Linux et UNIX.

Certificats de l'autorité de certification (CA) racine pour les scénarios suivants :

  • Déploiement du système d'exploitation

  • Inscription d'appareil mobile

  • Authentification du serveur RADIUS pour les ordinateurs Intel basés sur AMT

  • Authentification du certificat du client

Chaîne de certificat pour une source approuvée

Non applicable.

Certificat d'autorité de certification racine standard.

Le certificat d'autorité de certification racine doit être fourni lorsque les clients doivent lier les certificats du serveur qui communique à une source fiable. Cela s'applique aux scénarios suivants :

  • Lorsque vous déployez un système d'exploitation et pendant l'exécution de séquences de tâches qui connectent l'ordinateur client à un point de gestion configuré pour utiliser le protocole HTTPS.

  • Lorsque vous inscrivez un appareil mobile devant être géré par System Center 2012 Configuration Manager.

  • Lorsque vous utilisez l'authentification 802.1X pour les ordinateurs basés sur AMT et que vous souhaitez spécifier un fichier pour le certificat racine du serveur RADIUS.

De plus, le certificat d'autorité de certification racine des clients doit être fourni si les certificats du client ont été émis par une hiérarchie d'autorité de certification différente de celle ayant émis le certificat du point de gestion.

Ordinateurs Intel basés sur AMT

Authentification du serveur.

Serveur Web (modifié)

Vous devez configurer le nom de l'objet pour Construire à partir de ces informations Active Directory, puis sélectionnez Nom commun pour le Format du nom de l'objet.

Vous devez accorder les autorisations Lecture et Inscription au groupe de sécurité universel que vous spécifiez dans les propriétés du composant de gestion hors bande.

La valeur Utilisation avancée de la clé doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1).

Le Nom de l'objet doit contenir le nom de domaine complet de l'ordinateur basé sur AMT, qui est fourni automatiquement à partir des services de domaine Active Directory.

SHA-1 est le seul algorithme de hachage pris en charge.

Longueur de clé maximale prise en charge : 2 048 bits.

Ce certificat réside dans la mémoire RAM non volatile du contrôleur de gestion de l'ordinateur et n'est pas consultable depuis l'interface utilisateur de Windows.

Chaque ordinateur Intel basé sur AMT demande ce certificat lors de la préparation AMT et des mises à jour ultérieures. Si vous supprimez les informations de préparation AMT de ces ordinateurs, ils révoquent ce certificat.

Lorsque vous installez ce certificat sur des ordinateurs Intel basés sur AMT, le certificat lié à l'autorité de certification racine est également installé. Les ordinateurs basés sur AMT ne peuvent pas prendre en charge les certificats émis par l'autorité de certification dont la longueur de clé dépasse 2 048 bits.

Une fois le certificat installé sur les ordinateurs Intel basés sur AMT, ce certificat authentifie les ordinateurs basés sur AMT sur le serveur de système de site du point de service hors bande et sur les ordinateurs exécutant la console de gestion hors bande, et il chiffre toutes les données transférées entre eux à l'aide du protocole TLS (Transport Layer Security).

Certificat client Intel AMT 802.1X

Authentification du client

Authentification de station de travail

Vous devez configurer le Nom de l'objet pour Construire à partir de ces informations Active Directory, puis sélectionnez Nom commun pour le Format du nom de l'objet, supprimer le nom DNS et sélectionner le Nom principal de l'utilisateur (UPN) pour l'autre nom de l'objet.

Vous devez accorder au groupe de sécurité universel que vous spécifiez dans les propriétés du composant de gestion hors bande les autorisations Lecture et Inscription pour ce modèle de certificat.

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Le champ Nom de l'objet doit contenir le nom de domaine complet de l'ordinateur basé sur AMT et le champ Autre nom de l'objet doit contenir le nom UPN.

Longueur de clé maximale prise en charge : 2 048 bits.

Ce certificat réside dans la mémoire RAM non volatile du contrôleur de gestion de l'ordinateur et n'est pas consultable depuis l'interface utilisateur de Windows.

Chaque ordinateur Intel basé sur AMT peut demander ce certificat lors de la préparation AMT, mais ils ne révoquent pas ce certificat lorsque leurs informations de préparation AMT sont supprimées.

Une fois installé sur les ordinateurs AMT, ce certificat authentifie ceux-ci sur le serveur RADIUS afin que l'accès réseau lui soit accordé.

Appareils mobiles inscrits par Microsoft Intune

Authentification du client

Non applicable : Intune crée automatiquement ce certificat.

La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2).

Trois extensions personnalisées identifient de manière unique l'abonnement Intune du client.

Les utilisateurs peuvent fournir la valeur Objet du certificat lors de l'inscription. Toutefois, cette valeur n'est pas utilisée par Intune pour identifier l'appareil.

La taille de la clé est de 2 048 bits et elle utilise l'algorithme de hachage SHA-1.

Notes

Vous ne pouvez pas modifier ces paramètres : ces informations sont fournies uniquement à titre d'information.

Ce certificat est demandé et installé automatiquement lorsque les utilisateurs authentifiés inscrivent leurs appareils mobiles à l'aide de Microsoft Intune. Le certificat obtenu sur l'appareil se trouve dans le magasin Ordinateur. Il authentifie l'appareil mobile inscrit auprès de Intune, pour qu'il puisse être géré.

En raison des extensions personnalisées du certificat, l'authentification se limite à l'abonnement Intune établi pour l'organisation.