Wymagania dotyczące certyfikatu infrastruktury kluczy publicznych dla Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Certyfikaty infrastruktury kluczy publicznych (PKI), których może wymagać Configuration Manager, są wymienione w poniższych tabelach. Te informacje zakładają podstawową wiedzę na temat certyfikatów infrastruktury kluczy publicznych.
Możesz użyć dowolnej infrastruktury kluczy publicznych do tworzenia i wdrażania większości certyfikatów w Configuration Manager oraz zarządzania nimi. W przypadku certyfikatów klienta, które Configuration Manager są rejestrowane na urządzeniach przenośnych i komputerach Mac, wymagają one korzystania z usług certyfikatów Active Directory.
W przypadku korzystania z usług certyfikatów i szablonów certyfikatów usługi Active Directory to rozwiązanie infrastruktury kluczy publicznych firmy Microsoft może ułatwić zarządzanie certyfikatami. Skorzystaj z dokumentacji szablonu certyfikatu firmy Microsoft w poniższych sekcjach, aby zidentyfikować szablon certyfikatu, który najlepiej odpowiada wymaganiom certyfikatu. Tylko urząd certyfikacji przedsiębiorstwa (CA) uruchomiony w wersjach Enterprise lub Datacenter systemu Windows Server może używać certyfikatów opartych na szablonach.
Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
Obsługiwane typy certyfikatów
Certyfikaty algorytmu bezpiecznego skrótu 2 (SHA-2)
Wystawiaj nowe certyfikaty uwierzytelniania serwera i klienta podpisane przy użyciu algorytmu SHA-2, w tym SHA-256 i SHA-512. Wszystkie usługi internetowe powinny używać certyfikatu SHA-2. Jeśli na przykład zakupisz certyfikat publiczny do użycia z bramą zarządzania chmurą, upewnij się, że zakupiono certyfikat SHA-2.
System Windows nie ufa certyfikatom podpisanym przy użyciu algorytmu SHA-1. Aby uzyskać więcej informacji, zobacz Wymuszanie certyfikatów SHA1 w systemie Windows.
Certyfikaty CNG w wersji 3
Configuration Manager obsługuje kryptografię: certyfikaty nowej generacji (CNG) w wersji 3. Configuration Manager klienci mogą używać certyfikatu uwierzytelniania klienta infrastruktury kluczy publicznych z kluczem prywatnym w dostawcy magazynu kluczy CNG. Dzięki obsłudze dostawcy KSP klienci Configuration Manager obsługują sprzętowe klucze prywatne, takie jak dostawca KSP modułu TPM dla certyfikatów uwierzytelniania klienta infrastruktury kluczy publicznych.
Aby uzyskać więcej informacji, zobacz CNG v3 certificates overview (Omówienie certyfikatów CNG w wersji 3).
Certyfikaty infrastruktury kluczy publicznych dla serwerów
Systemy lokacji, które uruchamiają usługi IIS i obsługują połączenia klienta HTTPS
Ten certyfikat serwera internetowego służy do:
- Uwierzytelnianie serwerów na kliencie
- Zaszyfruj wszystkie dane przesyłane między klientem a tymi serwerami przy użyciu protokołu TLS.
Dotyczy:
- Punkt zarządzania
- Punkt dystrybucji
- Punkt aktualizacji oprogramowania
- Punkt migracji stanu
- Punkt rejestracji
- Punkt proxy rejestracji
- Punkt rejestracji certyfikatu
Wymagania dotyczące certyfikatów:
Przeznaczenie certyfikatu: Uwierzytelnianie serwera
Szablon certyfikatu firmy Microsoft: Serwer sieci Web
Wartość Rozszerzone użycie klucza musi zawierać
Server Authentication (1.3.6.1.5.5.7.3.1)
Nazwa podmiotu:
Jeśli system lokacji akceptuje połączenia z Internetu, nazwa podmiotu lub alternatywna nazwa podmiotu musi zawierać w pełni kwalifikowaną nazwę domeny (FQDN) w Internecie.
Jeśli system lokacji akceptuje połączenia z intranetu, nazwa podmiotu lub alternatywna nazwa podmiotu musi zawierać intranetowe nazwy FQDN (zalecane) lub nazwę komputera, w zależności od sposobu konfiguracji systemu lokacji.
Jeśli system lokacji akceptuje połączenia zarówno z Internetu, jak i intranetu, należy określić zarówno internetową nazwę FQDN, jak i intranet fqdn (lub nazwę komputera). Użyj ogranicznika symboli ampersand (
&
) między dwiema nazwami.
Uwaga
Gdy punkt aktualizacji oprogramowania akceptuje tylko połączenia klienta z Internetu, certyfikat musi zawierać zarówno internetową nazwę FQDN, jak i intranetowe nazwy FQDN.
Długość klucza: Configuration Manager nie określa maksymalnej obsługiwanej długości klucza dla tego certyfikatu. Zapoznaj się z dokumentacją infrastruktury kluczy publicznych i usług IIS, aby uzyskać informacje o wszelkich problemach związanych z rozmiarem klucza dla tego certyfikatu.
Większość ról systemu lokacji obsługuje dostawców magazynu kluczy dla kluczy prywatnych certyfikatu (wersja 3). Aby uzyskać więcej informacji, zobacz CNG v3 certificates overview (Omówienie certyfikatów CNG w wersji 3).
Ten certyfikat musi znajdować się w magazynie osobistym w magazynie certyfikatów komputera.
Brama zarządzania chmurą (CMG)
Ten certyfikat usługi służy do:
Uwierzytelnianie usługi CMG na platformie Azure w celu Configuration Manager klientów
Zaszyfruj wszystkie dane przesyłane między nimi przy użyciu protokołu TLS.
Wyeksportuj ten certyfikat w formacie Standard certyfikatu klucza publicznego (PKCS #12). Musisz znać hasło, aby można było zaimportować certyfikat podczas tworzenia cmg.
Wymagania dotyczące certyfikatów:
Przeznaczenie certyfikatu: Uwierzytelnianie serwera
Szablon certyfikatu firmy Microsoft: Serwer sieci Web
Wartość Rozszerzone użycie klucza musi zawierać
Server Authentication (1.3.6.1.5.5.7.3.1)
Nazwa podmiotu musi zawierać nazwę usługi zdefiniowaną przez klienta jako nazwę pospolitą dla określonego wystąpienia bramy zarządzania chmurą.
Klucz prywatny musi być eksportowany.
Obsługiwane długości kluczy: 2048-bitowe lub 4096-bitowe
Ten certyfikat obsługuje dostawców magazynu kluczy dla kluczy prywatnych certyfikatu (wersja 3).
Aby uzyskać więcej informacji, zobacz Certyfikat uwierzytelniania serwera CMG.
Serwery systemu lokacji z systemem Microsoft SQL Server
Ten certyfikat jest używany do uwierzytelniania serwer-serwer.
Wymagania dotyczące certyfikatów:
Przeznaczenie certyfikatu: Uwierzytelnianie serwera
Szablon certyfikatu firmy Microsoft: Serwer sieci Web
Wartość Rozszerzone użycie klucza musi zawierać
Server Authentication (1.3.6.1.5.5.7.3.1)
Nazwa podmiotu musi zawierać w pełni kwalifikowaną nazwę domeny intranetu (FQDN)
Maksymalna obsługiwana długość klucza to 2048 bitów.
Ten certyfikat musi znajdować się w magazynie osobistym w magazynie certyfikatów komputera. Configuration Manager automatycznie kopiuje ją do magazynu zaufanych Osoby dla serwerów w hierarchii Configuration Manager, które mogą być konieczne do ustanowienia zaufania z serwerem.
SQL Server zawsze włączone wystąpienie klastra trybu failover
Ten certyfikat jest używany do uwierzytelniania serwer-serwer.
Wymagania dotyczące certyfikatów:
Przeznaczenie certyfikatu: Uwierzytelnianie serwera
Szablon certyfikatu firmy Microsoft: Serwer sieci Web
Wartość Rozszerzone użycie klucza musi zawierać
Server Authentication (1.3.6.1.5.5.7.3.1)
Nazwa podmiotu musi zawierać w pełni kwalifikowaną nazwę domeny intranetu (FQDN) klastra
Klucz prywatny musi być eksportowany
Podczas konfigurowania Configuration Manager do korzystania z wystąpienia klastra trybu failover certyfikat musi mieć okres ważności wynoszący co najmniej dwa lata
Maksymalna obsługiwana długość klucza to 2048 bitów.
Zażądaj i zainstaluj ten certyfikat w jednym węźle w klastrze. Następnie wyeksportuj certyfikat i zaimportuj go do innych węzłów.
Ten certyfikat musi znajdować się w magazynie osobistym w magazynie certyfikatów komputera. Configuration Manager automatycznie kopiuje ją do magazynu zaufanych Osoby dla serwerów w hierarchii Configuration Manager, które mogą być konieczne do ustanowienia zaufania z serwerem.
Monitorowanie systemu lokacji
Dotyczy:
- Punkt zarządzania
- Punkt migracji stanu
Wymagania dotyczące certyfikatów:
Cel certyfikatu: uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft: Uwierzytelnianie stacji roboczej
Wartość Rozszerzone użycie klucza musi zawierać
Client Authentication (1.3.6.1.5.5.7.3.2)
Komputery muszą mieć unikatową wartość w polu Nazwa podmiotu lub w polu Alternatywna nazwa podmiotu .
Uwaga
Jeśli używasz wielu wartości alternatywnej nazwy podmiotu, używa ona tylko pierwszej wartości.
Maksymalna obsługiwana długość klucza to 2048 bitów.
Ten certyfikat jest wymagany na wymienionych serwerach systemu lokacji, nawet jeśli klient Configuration Manager nie jest zainstalowany. Ta konfiguracja umożliwia lokacji monitorowanie i raportowanie kondycji tych ról systemu lokacji.
Certyfikat dla tych systemów lokacji musi znajdować się w magazynie osobistym magazynu certyfikatów komputera.
Serwery z uruchomionym modułem zasad Configuration Manager z usługą roli Usługi rejestracji urządzeń sieciowych (NDES)
Wymagania dotyczące certyfikatów:
Cel certyfikatu: uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft: Uwierzytelnianie stacji roboczej
Wartość Rozszerzone użycie klucza musi zawierać
Client Authentication (1.3.6.1.5.5.7.3.2)
Nie ma żadnych konkretnych wymagań dotyczących nazwy podmiotu certyfikatu lub alternatywnej nazwy podmiotu (SAN). Tego samego certyfikatu można użyć dla wielu serwerów z uruchomioną usługą rejestracji urządzeń sieciowych.
Obsługiwane długości kluczy: 1024 bity i 2048 bitów.
Systemy lokacji z zainstalowanym punktem dystrybucji
Ten certyfikat ma dwa cele:
Uwierzytelnia punkt dystrybucji w punkcie zarządzania z obsługą protokołu HTTPS, zanim punkt dystrybucji wyśle komunikaty o stanie.
Uwaga
Podczas konfigurowania wszystkich punktów zarządzania dla protokołu HTTPS punkty dystrybucji z obsługą protokołu HTTPS muszą używać certyfikatu wystawionego przez infrastrukturę PKI. Nie używaj certyfikatów z podpisem własnym w punktach dystrybucji, gdy punkty zarządzania używają certyfikatów. W przeciwnym razie mogą wystąpić problemy. Na przykład punkty dystrybucji nie będą wysyłać komunikatów o stanie.
Punkt dystrybucji z obsługą środowiska PXE wysyła ten certyfikat do komputerów. Jeśli sekwencja zadań obejmuje akcje klienta, takie jak pobieranie zasad klienta lub wysyłanie informacji o spisie, komputer może połączyć się z punktem zarządzania obsługującym protokół HTTPS podczas procesu wdrażania systemu operacyjnego.
Uwaga
W tym scenariuszu środowiska PXE ten certyfikat jest używany tylko podczas procesu wdrażania systemu operacyjnego. Nie jest on zainstalowany na kliencie. Z powodu tego tymczasowego użycia można użyć tego samego certyfikatu dla każdego wdrożenia systemu operacyjnego, jeśli nie chcesz używać wielu certyfikatów klienta.
Wymagania dotyczące tego certyfikatu są takie same jak certyfikat klienta dla nośnika sekwencji zadań. Ponieważ wymagania są takie same, można użyć tego samego pliku certyfikatu.
Certyfikat określony w celu włączenia protokołu HTTPS punktu dystrybucji ma zastosowanie do wszystkich operacji dystrybucji zawartości, a nie tylko do wdrożenia systemu operacyjnego.
Wymagania dotyczące certyfikatów:
Cel certyfikatu: uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft: Uwierzytelnianie stacji roboczej
Wartość Rozszerzone użycie klucza musi zawierać
Client Authentication (1.3.6.1.5.5.7.3.2)
Nie ma żadnych konkretnych wymagań dotyczących nazwy podmiotu certyfikatu lub alternatywnej nazwy podmiotu (SAN). Zaleca się używanie innego certyfikatu dla każdego punktu dystrybucji, ale można użyć tego samego certyfikatu.
Klucz prywatny musi być eksportowany.
Maksymalna obsługiwana długość klucza to 2048 bitów.
Wyeksportuj ten certyfikat w formacie Standard certyfikatu klucza publicznego (PKCS #12). Musisz znać hasło, aby można było zaimportować certyfikat do właściwości punktu dystrybucji.
Serwery proxy sieci Web do internetowego zarządzania klientami
Jeśli witryna obsługuje internetowe zarządzanie klientami, a serwer internetowy serwera proxy jest używany przy użyciu kończenie protokołu SSL (mostkowanie) dla przychodzących połączeń internetowych, serwer proxy sieci Web ma następujące wymagania dotyczące certyfikatu:
Uwaga
Jeśli używasz serwera proxy sieci Web bez kończenia protokołu SSL (tunelowania), na serwerze proxy sieci Web nie są wymagane żadne dodatkowe certyfikaty.
Wymagania dotyczące certyfikatów:
Przeznaczenie certyfikatu: uwierzytelnianie serwera i uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft: Uwierzytelnianie serwera sieci Web i stacji roboczej
Nazwa FQDN internetu w polu Nazwa podmiotu lub Alternatywna nazwa podmiotu . Jeśli używasz szablonów certyfikatów firmy Microsoft, alternatywna nazwa podmiotu jest dostępna tylko z szablonem stacji roboczej.
Ten certyfikat służy do uwierzytelniania następujących serwerów na klientach internetowych i szyfrowania wszystkich danych przesyłanych między klientem a tym serwerem przy użyciu protokołu TLS:
- Internetowy punkt zarządzania
- Internetowy punkt dystrybucji
- Internetowy punkt aktualizacji oprogramowania
Uwierzytelnianie klienta służy do łączenia połączeń klienta między klientami Configuration Manager a internetowymi systemami lokacji.
Certyfikaty infrastruktury kluczy publicznych dla klientów
Komputery klienckie z systemem Windows
Z wyjątkiem punktu aktualizacji oprogramowania ten certyfikat uwierzytelnia klienta w systemach lokacji, w których są uruchomione usługi IIS i obsługują połączenia klienta HTTPS.
Wymagania dotyczące certyfikatów:
Cel certyfikatu: uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft: Uwierzytelnianie stacji roboczej
Wartość Rozszerzone użycie klucza musi zawierać
Client Authentication (1.3.6.1.5.5.7.3.2)
Wartość Użycia klucza musi zawierać
Digital Signature, Key Encipherment (a0)
Komputery klienckie muszą mieć unikatową wartość w polu Nazwa podmiotu lub Alternatywna nazwa podmiotu . Jeśli jest używane, pole Nazwa podmiotu musi zawierać nazwę komputera lokalnego, chyba że określono alternatywne kryteria wyboru certyfikatu. Aby uzyskać więcej informacji, zobacz Planowanie wyboru certyfikatu klienta PKI.
Uwaga
Jeśli używasz wielu wartości alternatywnej nazwy podmiotu, używa ona tylko pierwszej wartości.
Nie ma maksymalnej obsługiwanej długości klucza.
Domyślnie Configuration Manager szuka certyfikatów komputera w magazynie osobistym w magazynie certyfikatów komputera.
Nośnik sekwencji zadań do wdrażania systemów operacyjnych
Ten certyfikat jest używany przez sekwencję zadań OSD i umożliwia komputerowi nawiązywanie połączenia z punktem zarządzania i punktem dystrybucji z obsługą protokołu HTTPS podczas procesu wdrażania systemu operacyjnego. Połączenia z punktem zarządzania i punktem dystrybucji mogą obejmować takie akcje, jak pobieranie zasad klienta z punktu zarządzania i pobieranie zawartości z punktu dystrybucji.
Ten certyfikat jest używany tylko podczas procesu wdrażania systemu operacyjnego. Nie jest on używany jako część właściwości instalacji klienta, gdy klient jest zainstalowany podczas instalacji systemu Windows i zadania Programu ConfigMgr , ani nie jest zainstalowany na urządzeniu. Z powodu tego tymczasowego użycia można użyć tego samego certyfikatu dla każdego wdrożenia systemu operacyjnego, jeśli nie chcesz używać wielu certyfikatów klienta.
Jeśli masz środowisko tylko https, nośnik sekwencji zadań musi mieć prawidłowy certyfikat. Ten certyfikat umożliwia urządzeniu komunikowanie się z lokacją i kontynuowanie wdrażania. Po zakończeniu sekwencji zadań po dołączeniu urządzenia do usługi Active Directory klient może automatycznie wygenerować certyfikat PKI za pośrednictwem obiektu zasad grupy lub zainstalować certyfikat PKI przy użyciu innej metody.
Uwaga
Wymagania dotyczące tego certyfikatu są takie same jak certyfikat serwera dla systemów lokacji z rolą punktu dystrybucji. Ponieważ wymagania są takie same, można użyć tego samego pliku certyfikatu.
Wymagania dotyczące certyfikatów:
Cel certyfikatu: uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft: Uwierzytelnianie stacji roboczej
Wartość Rozszerzone użycie klucza musi zawierać
Client Authentication (1.3.6.1.5.5.7.3.2)
Nie ma konkretnych wymagań dotyczących pól Nazwa podmiotu certyfikatu lub Alternatywna nazwa podmiotu (SAN). Możesz użyć tego samego certyfikatu dla wszystkich nośników sekwencji zadań.
Klucz prywatny musi być eksportowany.
Maksymalna obsługiwana długość klucza to 2048 bitów.
Wyeksportuj ten certyfikat w formacie Standard certyfikatu klucza publicznego (PKCS #12). Musisz znać hasło, aby można było zaimportować certyfikat podczas tworzenia nośnika sekwencji zadań.
Ważna
Obrazy rozruchowe nie zawierają certyfikatów infrastruktury kluczy publicznych do komunikacji z lokacją. Zamiast tego obrazy rozruchowe używają certyfikatu PKI dodane do nośnika sekwencji zadań w celu komunikowania się z lokacją.
Aby uzyskać więcej informacji na temat dodawania certyfikatu infrastruktury kluczy publicznych do nośnika sekwencji zadań, zobacz Tworzenie nośnika rozruchowego i Tworzenie wstępnie przygotowanego nośnika.
Komputery klienckie z systemem macOS
Ten certyfikat uwierzytelnia komputer kliencki z systemem macOS na serwerach systemu lokacji, z których się komunikuje. Na przykład punkty zarządzania i punkty dystrybucji.
Wymagania dotyczące certyfikatów:
Cel certyfikatu: uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft:
- W przypadku rejestracji Configuration Manager: sesja uwierzytelniona
- W przypadku instalacji certyfikatu niezależnej od Configuration Manager: Uwierzytelnianie stacji roboczej
Wartość Rozszerzone użycie klucza musi zawierać
Client Authentication (1.3.6.1.5.5.7.3.2)
Nazwa podmiotu:
- W przypadku Configuration Manager, który tworzy certyfikat użytkownika, wartość podmiotu certyfikatu jest automatycznie wypełniana nazwą użytkownika osoby, która rejestruje komputer z systemem macOS.
- W przypadku instalacji certyfikatu, która nie używa rejestracji Configuration Manager, ale wdraża certyfikat komputera niezależnie od Configuration Manager, wartość podmiotu certyfikatu musi być unikatowa. Na przykład określ nazwę FQDN komputera.
- Pole Alternatywna nazwa podmiotu nie jest obsługiwane.
Maksymalna obsługiwana długość klucza to 2048 bitów.
Klienci urządzeń przenośnych
Ten certyfikat uwierzytelnia klienta urządzenia przenośnego na serwerach systemu lokacji, z których się komunikuje. Na przykład punkty zarządzania i punkty dystrybucji.
Wymagania dotyczące certyfikatów:
Cel certyfikatu: uwierzytelnianie klienta
Szablon certyfikatu firmy Microsoft: Sesja uwierzytelniona
Wartość Rozszerzone użycie klucza musi zawierać
Client Authentication (1.3.6.1.5.5.7.3.2)
Maksymalna obsługiwana długość klucza to 2048 bitów.
Te certyfikaty muszą być w formacie binarnym X.509 zakodowanym Distinguished Encoding Rules (DER). Format X.509 zakodowany w formacie Base64 nie jest obsługiwany.
Certyfikaty głównego urzędu certyfikacji
Ten certyfikat jest standardowym certyfikatem głównego urzędu certyfikacji.
Dotyczy:
- Wdrożenie systemu operacyjnego
- Uwierzytelnianie certyfikatu klienta
- Rejestracja urządzeń przenośnych
Przeznaczenie certyfikatu: łańcuch certyfikatów do zaufanego źródła
Certyfikat głównego urzędu certyfikacji musi być podany, gdy klienci muszą połączyć certyfikaty serwera komunikującego się z zaufanym źródłem. Certyfikat głównego urzędu certyfikacji dla klientów musi zostać podany, jeśli certyfikaty klienta są wystawiane przez inną hierarchię urzędu certyfikacji niż hierarchia urzędu certyfikacji, która wystawiła certyfikat punktu zarządzania.