CNG v3 証明書の概要
Configuration Managerでは、暗号化: 次世代 (CNG) 証明書がサポートされています。 Configuration Managerクライアントは、生成され、CNG キー ストレージ プロバイダー (KSP) に格納された秘密キーを持つ PKI クライアント認証証明書を使用できます。 KSP サポートでは、Configuration Manager クライアントは、PKI クライアント認証証明書の TPM KSP などのハードウェア ベースの秘密キーをサポートします。
注:
CNG 証明書を使用する場合、Configuration Manager クライアントは RSA 暗号化アルゴリズムを使用する証明書のみをサポートします。
サポートされるシナリオ
次のシナリオでは、Encryptiony API: Next Generation (CNG) v3 証明書テンプレートを使用できます。
- クライアントの登録と HTTPS 管理ポイントとの通信
- HTTPS 配布ポイントを使用したソフトウェア配布とアプリケーションの展開
- OS の展開
- クライアント メッセージング SDK (最新の更新プログラムを使用) と ISV プロキシ
- クラウド管理ゲートウェイ (CMG) の構成
- ソフトウェア センターでユーザーが対象とする使用可能なアプリケーション
また、次の HTTPS 対応サーバー ロールに CNG v3 証明書を使用します。
- 管理ポイント
- 配布ポイント
- ソフトウェアの更新ポイント
- 状態移行ポイント
- Configuration Manager ポリシー モジュールを使用した NDES サーバーを含む証明書登録ポイント
注:
CNG は Crypto API (CAPI) と下位互換性があります。 CAPI 証明書は、クライアントで CNG サポートが有効になっている場合でも引き続きサポートされます。
対象外のシナリオ
現在、次のシナリオはサポートされていません。
インターネット インフォメーション サービス (IIS) の Web サイトにバインドされた CNG v3 証明書を使用して HTTPS モードでインストールした場合、次のサーバー ロールは動作しません。
- 登録ポイント
- 登録プロキシ ポイント
CNG 証明書を使用するには
CNG v3 証明書を使用するには、証明機関 (CA) がターゲット マシン用の CNG 証明書テンプレートを提供する必要があります。 テンプレートの詳細はシナリオによって異なります。ただし、次のプロパティが必要です。
[互換性 ] タブ
証明機関は Windows Server 2008 以降である必要があります。 (Windows Server 2012をお勧めします。
証明書の受信者 は Windows Vista/Server 2008 以降である必要があります。 (Windows 8/Windows Server 2012をお勧めします。
[暗号化 ] タブ
プロバイダー カテゴリ は 、キー ストレージ プロバイダーである必要があります。 (必須)
アルゴリズム名 は RSA である必要があります。 (必須)
要求では、次のいずれかのプロバイダーを使用する必要があります。ソフトウェア キー ストレージ プロバイダー Microsoftする必要があります。
注:
環境または組織の要件が異なる場合があります。 PKI エキスパートに問い合わせてください。 考慮すべき重要な点は、証明書テンプレートが CNG を利用するためにキー ストレージ プロバイダーを使用する必要がある点です。
最適な結果を得るには、Active Directory 情報からサブジェクト名を作成することをお勧めします。 サブジェクト名形式には DNS 名を使用し、代替サブジェクト名に DNS 名を含めます。 それ以外の場合は、デバイスが証明書プロファイルに登録されるときに、この情報を指定する必要があります。