Visão geral dos certificados CNG v3
Configuration Manager dá suporte a certificados cryptography: Next Generation (CNG). Configuration Manager clientes podem usar um certificado de autenticação de cliente PKI com a chave privada gerada e armazenada em um KSP (Provedor de Armazenamento de Chaves de CNG). Com suporte para KSP, Configuration Manager clientes dão suporte a chaves privadas baseadas em hardware, como um TPM KSP para certificados de autenticação de cliente PKI.
Observação
Ao usar certificados CNG, Configuration Manager clientes só dão suporte a certificados que usam o algoritmo criptográfico RSA.
Cenários com suporte
Você pode usar modelos de certificado CNG (Next Generation) v3 da API de Criptografia para os seguintes cenários:
- Registro e comunicação do cliente com um ponto de gerenciamento HTTPS
- Distribuição de software e implantação de aplicativo com um ponto de distribuição HTTPS
- Implantação do SO
- SDK de mensagens do cliente (com atualização mais recente) e Proxy ISV
- Configuração do CMG (gateway de gerenciamento de nuvem)
- Aplicativos disponíveis direcionados ao usuário no Centro de Software
Use também certificados CNG v3 para as seguintes funções de servidor habilitadas para HTTPS:
- Ponto de gerenciamento
- Ponto de distribuição
- Ponto de atualização de software
- Ponto de migração de estado
- Ponto de registro de certificado, incluindo o servidor NDES com o módulo Configuration Manager política
Observação
O CNG é compatível com a API de Criptografia (CAPI). Os certificados CAPI continuam com suporte mesmo quando o suporte à GNV está habilitado no cliente.
Cenários não suportados
Atualmente, não há suporte para os seguintes cenários:
As funções de servidor a seguir não estão operacionais quando instaladas no modo HTTPS com um certificado CNG v3 vinculado ao site nos Serviços de Informações da Internet (IIS):
- Ponto de registro
- Ponto de proxy de registro
Para usar certificados de GNV
Para usar certificados CNG v3, sua autoridade de certificação (AC) precisa fornecer modelos de certificado CNG para computadores de destino. Os detalhes do modelo variam de acordo com o cenário; no entanto, as seguintes propriedades são necessárias:
Guia Compatibilidade
A Autoridade de Certificado deve ser o Windows Server 2008 ou posterior. (Windows Server 2012 é recomendável.)
O destinatário do certificado deve ser o Windows Vista/Server 2008 ou posterior. (recomenda-se Windows 8/Windows Server 2012.)
Guia Criptografia
A categoria do provedor deve ser o Provedor de Armazenamento de Chaves. (obrigatório)
O nome do algoritmo deve ser RSA. (necessário)
A solicitação deve usar um dos seguintes provedores: deve ser Microsoft Provedor de Armazenamento de Chaves de Software.
Observação
Os requisitos para seu ambiente ou organização podem ser diferentes. Entre em contato com seu especialista em PKI. O ponto importante a ser considerado é que um modelo de certificado deve usar um Provedor de Armazenamento de Chaves para aproveitar o CNG.
Para obter melhores resultados, recomendamos criar o Nome do Assunto a partir de informações do Active Directory. Use o formato DNS Name for Subject name e inclua o nome DNS no nome do assunto alternativo. Caso contrário, você deve fornecer essas informações quando o dispositivo se registrar no perfil de certificado.