Поделиться через

  • Статья

Требования к PKI-сертификатам для Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Сертификаты инфраструктуры открытых ключей (PKI), которые могут потребоваться для System Center 2012 Configuration Manager, перечислены в таблицах ниже. Эти сведения предполагают наличие у пользователя базовых знаний о сертификатах PKI. Пошаговое руководство, включающее пример развертывания таких сертификатов, см. в разделе Пошаговый пример развертывания сертификатов PKI для Configuration Manager. Центр сертификации Windows Server 2008. Дополнительные сведения о службах сертификации Active Directory см. в следующей документации.

System_CAPS_importantВажно

С 1 января 2017 года Windows не будет считать доверенными сертификаты, подписанные SHA-1. Корпорация Майкрософт рекомендует выпустить новые сертификаты проверки подлинности сервера и клиента, подписанные SHA-2.

Дополнительные сведения об этом изменении и возможные обновления крайнего срока вы найдете в этой записи блога: Windows Enforcement of Authenticode Code Signing and Timestamping (Принудительное применение Authenticode для подписывания кода и установки меток времени в Windows).

За исключением сертификатов клиентов, которые Configuration Manager регистрирует на мобильных устройствах и компьютерах Mac, сертификаты, автоматически создаваемые Microsoft Intune для управления мобильными устройствами, и сертификаты, устанавливаемые Configuration Manager на компьютерах на основе AMT, можно использовать любую PKI для создания, развертывания и управления следующими сертификатами. Однако при использовании службы сертификатов Active Directory и шаблонов сертификатов это решение PKI Майкрософт может облегчить управление сертификатами. Для определения шаблона сертификата, наиболее соответствующего требованиям к сертификату, используйте столбец Используемый шаблон сертификата (Майкрософт) в следующих таблицах. Сертификаты на основе шаблонов может выдавать только центр сертификации предприятия в среде Enterprise Edition или Datacenter Edition серверной операционной системы, такой как Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.

System_CAPS_importantВажно

При использовании центра сертификации предприятия и шаблонов сертификатов не следует применять шаблоны версии 3. Эти шаблоны сертификатов создают сертификаты, которые несовместимы с Configuration Manager. Вместо этого используйте шаблоны версии 2, придерживаясь следующих инструкций:

  • Для центров сертификации в Windows Server 2012: на вкладке Совместимость свойств шаблона сертификата укажите Windows Server 2003 для параметра Центр сертификации и Windows XP/Server 2003 для параметра Получатель сертификата.

  • Для центров сертификации в Windows Server 2008: при дублировании шаблона сертификата оставляйте выбранный по умолчанию параметр Windows Server 2003 Enterprise при появлении запроса во всплывающем диалоговом окне Дублировать шаблон. Не выбирайте Windows Server 2008, Enterprise Edition.

Требования к сертификатам рассматриваются в следующих разделах.

Сертификаты PKI для серверов

Компонент Configuration Manager

Назначение сертификата

Используемый шаблон сертификата (Майкрософт)

Особые сведения в сертификате

Использование сертификата в Configuration Manager

Системы сайтов, в которых выполняются службы IIS, настроенные для клиентских подключений HTTPS:

  • Точка управления.

  • Точка распространения.

  • Точка обновления программного обеспечения

  • Точка миграции среды

  • Точка регистрации

  • Прокси-точка регистрации.

  • Тточка веб-службы каталога приложений

  • Точка веб-сайта каталога приложений.

Проверка подлинности сервера

Веб-сервер

Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

Если система сайта принимает подключения из Интернета, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в Интернете (FQDN).

Если система сайта принимает подключения из интрасети, то имя субъекта или альтернативное имя субъекта должны содержать полное доменное имя в интрасети (рекомендуется) или NetBIOS-имя компьютера в зависимости от настройки системы сайта.

Если система сайта принимает подключения как из Интернета, так и из интрасети, то следует указывать полное доменное имя в Интернете и полное доменное имя в интрасети (или имя компьютера), используя амперсанд (&) в качестве разделителя этих двух имен.

System_CAPS_importantВажно

Если точка обновления программного обеспечения принимает подключения клиентов только из Интернета, сертификат должен содержать как полное доменное имя в интернете, так и полное доменное имя в интрасети.

Поддерживается алгоритм хеширования SHA-2.

Программа Configuration Manager не накладывает ограничений на длину ключа для этого сертификата. По вопросам относительно размера ключа обратитесь к документации по PKI и IIS для этого сертификата.

Этот сертификат необходимо разместить в личном хранилище сертификатов на компьютере.

Сертификат веб-сервера используется для проверки подлинности таких серверов при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL.

Облачная точка распространения

Проверка подлинности сервера

Веб-сервер

Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

Поле "Имя субъекта" должно содержать пользовательское имя службы и имя домена в формате полного доменного имени в качестве общего имени для конкретного экземпляра облачной точки распространения.

Закрытый ключ должен быть доступен для экспорта.

Поддерживается алгоритм хеширования SHA-2.

Поддерживаемая длина ключей: 2048 бит.

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Этот сертификат службы используется для проверки подлинности службы облачной точки распространения при обращении клиента Configuration Manager и для шифрования всех данных, передаваемых между ними по протоколу SSL.

Этот сертификат должен экспортироваться в формате PKCS #12, и чтобы его можно было импортировать при создании облачной точки распространения, должен быть известен пароль.

System_CAPS_noteПримечание

Этот сертификат используется вместе с сертификатом управления Windows Azure. Дополнительные сведения об этом сертификате см. в статьях Создание сертификата управления в Windows Azure и Добавление сертификата управления в подписку Windows Azure в разделе "Платформа Windows Azure" библиотеки MSDN.

Кластер балансировки нагрузки (NLB) для точки обновления программного обеспечения

Проверка подлинности сервера

Веб-сервер

Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

  1. Полное доменное имя или кластер балансировки сетевой нагрузки в поле "Имя получателя" или "Альтернативное имя получателя".

    • Для серверов балансировки сетевой нагрузки, поддерживающих интернет-управление клиентами, используйте полное доменное имя NLB в Интернете.

    • Для серверов балансировки сетевой нагрузки, поддерживающих клиенты в интрасети, используйте полное доменное имя NLB в интрасети.

  2. Имя компьютера системы сайта в кластере балансировки сетевой нагрузки в поле "Имя субъекта" или "Альтернативное имя субъекта". Это имя сервера должно быть указано после имени кластера балансировки сетевой нагрузки и знака амперсанда (&):

    • Для систем сайта в интрасети используйте полное доменное имя в интрасети, если оно задано (рекомендуется), или NetBIOS-имя компьютера.

    • Для систем сайта, поддерживающих интернет-управление клиентами, используйте полное доменное имя в Интернете.

Поддерживается алгоритм хеширования SHA-2.

Для System Center 2012 Configuration Manager без пакета обновления

Этот сертификат используется для проверки подлинности точек обновления программного обеспечения для балансировки сетевой нагрузки при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL.

System_CAPS_noteПримечание

Этот сертификат применяется только к Configuration Manager без пакета обновления, поскольку точки обновления программного обеспечения NLB не поддерживаются с версии System Center 2012 Configuration Manager с пакетом обновления 1 (SP1).

Серверы систем сайтов, на которых работает Microsoft SQL Server

Проверка подлинности сервера

Веб-сервер

Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

Имя субъекта должно содержать полное доменное имя в интрасети.

Поддерживается алгоритм хеширования SHA-2.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

Этот сертификат должен размещаться в личном хранилище сертификатов на компьютере. Configuration Manager автоматически копирует его в хранилище доверенных лиц для серверов в иерархии Configuration Manager, для чего может потребоваться установить отношения доверия с сервером.

Эти сертификаты используются для проверки подлинности уровня "сервер-сервер".

Кластер SQL Server: серверы систем сайтов, на которых работает Microsoft SQL Server

Проверка подлинности сервера

Веб-сервер

Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

Имя субъекта должно содержать полное доменное имя кластера в интрасети.

Закрытый ключ должен быть доступен для экспорта.

При настройке Configuration Manager для использования кластера SQL срок действия сертификата должен быть не менее двух лет.

Поддерживается алгоритм хеширования SHA-2.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

После запроса и установки сертификата в одном узле кластера экспортируйте этот сертификат и импортируйте его в каждый дополнительный узел кластера SQL Server.

Этот сертификат должен размещаться в личном хранилище сертификатов на компьютере. Configuration Manager автоматически копирует его в хранилище доверенных лиц для серверов в иерархии Configuration Manager, для чего может потребоваться установить отношения доверия с сервером.

Эти сертификаты используются для проверки подлинности уровня "сервер-сервер".

Мониторинг системы сайта для следующих ролей системы сайта:

  • Точка управления.

  • Точка миграции среды

Проверка подлинности клиента

Проверка подлинности рабочей станции

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Для компьютеров необходимо указать уникальные значения в поле "Имя субъекта" и "Альтернативное имя субъекта".

System_CAPS_noteПримечание

Если в поле "Альтернативное имя субъекта" введено несколько имен, будет использовано только первое из них.

Поддерживается алгоритм хеширования SHA-2.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

Этот сертификат является обязательным для перечисленных серверов системы сайта, даже если клиент System Center 2012 Configuration Manager не установлен. Он необходим для отслеживания работоспособности таких ролей системы сайта и передачи этих данных в сайт.

Этот сертификат для этих систем сайта необходимо разместить в личном хранилище сертификатов на компьютере.

Серверы, на которых выполняется модуль политики Configuration Manager со службой роли службы регистрации сетевых устройств.

Проверка подлинности клиента

Проверка подлинности рабочей станции

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Специальные требования к субъекту сертификата или дополнительному имени субъекта (SAN) отсутствуют, поэтому один и тот же сертификат можно использовать для нескольких серверов, на которых выполняется служба регистрации сетевых устройств.

Поддерживаются алгоритмы хеширования SHA-2 и SHA-3.

Поддерживаемая длина ключей: 1024 бит и 2048 бит.

Сведения в этом разделе относятся только к версиям System Center 2012 R2 Configuration Manager.

Этот сертификат проверяет подлинность модуля политики Configuration Manager на сервере системы сайта точки регистрации сертификатов, чтобы Configuration Manager мог регистрировать сертификаты для пользователей и устройств.

Системы сайта с установленной точкой распространения

Проверка подлинности клиента

Проверка подлинности рабочей станции

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Особые требования к субъекту сертификата или дополнительному имени субъекта (SAN) отсутствуют, поэтому один и тот же сертификат можно использовать для нескольких точек распространения. Однако мы рекомендуем использовать разные сертификаты для каждой точки распространения.

Закрытый ключ должен быть доступен для экспорта.

Поддерживается алгоритм хеширования SHA-2.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

Этот сертификат используется в следующих двух целях.

  • С его помощью точка управления, поддерживающая протокол HTTPS, проверяет подлинность точки распространения перед тем, как точка распространения начинает отправлять сообщения об изменении состояния.

  • Если выбран вариант Включить поддержку PXE для клиентов, сертификат отправляется на компьютеры. Этот режим предусмотрен для сценариев, когда последовательность задач в процессе развертывания операционной системы включает действия клиента, такие как получение политики клиента или отправка данных инвентаризации, и требуется предоставить клиентским компьютерам возможность подключения к точке управления, поддерживающей протокол HTTPS, во время развертывания ОС.

    Этот сертификат используется только во время развертывания операционной системы и не устанавливается на клиент. Поскольку этот сертификат используется временно, то можно использовать один и тот же сертификат при каждом развертывании операционной системы, если нет другой необходимости использовать несколько сертификатов.

Этот сертификат необходимо экспортировать в формате PKCS 12, и пароль должен быть известен, чтобы его можно было импортировать в свойства точки распространения.

System_CAPS_noteПримечание

Требования к этому сертификату аналогичны требованиям к сертификату клиента для загрузочных образов, которые используются для развертывания операционных систем. Поскольку требования аналогичны, можно использовать тот же файл сертификата.

Точка обслуживания аппаратного контроллера управления

Инициализация AMT

Веб-сервер (изменено)

Расширенное использование ключа должно содержать значение Проверка подлинности сервера (1.3.6.1.5.5.7.3.1) и следующий идентификатор объекта: 2.16.840.1.113741.1.2.3.

В поле имени субъекта должно быть указано полное доменное имя сервера, на котором размещается точка обслуживания аппаратного контроллера управления.

System_CAPS_noteПримечание

Если сертификат инициализации AMT запрашивается из внешнего, а не собственного внутреннего ЦС, и он не поддерживает идентификатор объекта инициализации AMT 2.16.840.1.113741.1.2.3, можно дополнительно указать следующую текстовую строку в качестве атрибута подразделения в имени субъекта сертификата: Intel(R) Client Setup Certificate. Необходимо использовать именно эту строку на английском языке с полным сохранением написания и регистра без точки в конце строки. Эта строка используется в дополнение к полному доменному имени сервера, на котором размещается точка обслуживания аппаратного контроллера управления.

SHA-1 — единственный поддерживаемый хэш-алгоритм.

Поддерживаемая длина ключей: 1024 и 2048. Для AMT 6.0 и более поздних версий также поддерживается длина ключа 4096 бит.

Этот сертификат размещается в личном хранилище сертификатов компьютера сервера системы сайта точки обслуживания аппаратного контроллера управления.

Этот сертификат инициализации AMT используется для подготовки компьютеров к управлению с помощью аппаратного контроллера управления.

Этот сертификат необходимо запросить в ЦС, поддерживающем сертификаты инициализации AMT. В расширении BIOS для компьютеров, основанных на технологии Intel AMT, должно быть задано использование отпечатка корневого сертификата (также называемого хэшем сертификатов) для этого сертификата инициализации.

Типичным примером внешнего ЦС, выдающего сертификаты инициализации AMT, является VeriSign, однако вы можете использовать собственный внутренний ЦС.

Установите сертификат на сервер, на котором размещается точка обслуживания аппаратного контроллера управления, которая должна успешно прослеживать цепочку сертификатов до корневого ЦС сертификата (по умолчанию сертификат корневого ЦС и сертификат промежуточного ЦС для VeriSign устанавливаются при установке Windows).

Сервер системы сайта, на котором работает соединитель Microsoft Intune.

Проверка подлинности клиента

Не применяется: Intune автоматически создает этот сертификат.

Значение "Расширенное использование ключа" содержит проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

3 пользовательских расширения однозначно идентифицируют подписку Intune клиентов.

Ключ имеет размер в 2048 бит и использует алгоритм хэширования SHA-1.

System_CAPS_noteПримечание

Эти параметры изменить невозможно. Сведения предоставляются только в информационных целях.

Этот сертификат автоматически запрашивается и устанавливается в базу данных Configuration Manager при подписке на Microsoft Intune. Затем, при установке соединителя Microsoft Intune, этот сертификат устанавливается на сервер системы сайта, на котором работает соединитель Microsoft Intune. Он устанавливается в хранилище сертификатов на компьютере.

Этот сертификат используется для проверки подлинности иерархии Configuration Manager в Microsoft Intune с помощью соединителя Microsoft Intune. Все данные передаются между ними с помощью протокола SSL.

Прокси-веб-серверы для интернет-управления клиентами

Если сайт поддерживает интернет-управление клиентами, и для входящих подключений к Интернету используется прокси-веб-сервер с завершением запросов SSL (мостом), то на прокси-веб-сервере потребуются сертификаты, перечисленные в следующей таблице.

System_CAPS_noteПримечание

Если же используется прокси-веб-сервер без завершения запросов SSL (туннелирование), то на прокси-веб-сервере дополнительные сертификаты не нужны.

Компонент сетевой инфраструктуры

Назначение сертификата

Используемый шаблон сертификата (Майкрософт)

Особые сведения в сертификате

Использование сертификата в Configuration Manager 

Прокси-веб-сервер, принимающий подключения клиентов через Интернет

Проверка подлинности сервера и клиента

  1. Веб-сервер

  2. Проверка подлинности рабочей станции

Полное доменное имя в Интернете в поле "Имя получателя" или "Альтернативное имя получателя". (Если используются шаблоны сертификатов Майкрософт, то альтернативное имя получателя доступно только для шаблонов рабочих станций.)

Поддерживается алгоритм хеширования SHA-2.

Этот сертификат используется для проверки подлинности перечисленных ниже серверов при обращении интернет-клиентов и для шифрования всех данных, передаваемых между клиентом и этим сервером с использованием протокола SSL:

  • интернет-точка управления;

  • Интернет-точка распространения

  • Точка обновления программного обеспечения интернет-клиентов

Проверка подлинности клиента используется для подключения клиентов System Center 2012 Configuration Manager к системам сайта в Интернете.

Сертификаты PKI для клиентов

Компонент Configuration Manager

Назначение сертификата

Используемый шаблон сертификата (Майкрософт)

Особые сведения в сертификате

Использование сертификата в Configuration Manager 

Клиентские компьютеры Windows

Проверка подлинности клиента

Проверка подлинности рабочей станции

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Для клиентских компьютеров в полях "Имя субъекта" и "Альтернативное имя субъекта" должно быть указано уникальное значение.

System_CAPS_noteПримечание

Если в поле "Альтернативное имя субъекта" введено несколько имен, будет использовано только первое из них.

Поддерживается алгоритм хеширования SHA-2.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

По умолчанию Configuration Manager ищет сертификаты компьютера в личном хранилище сертификатов на компьютере.

За исключением точки обновления программного обеспечения и точки веб-сайта каталога приложений этот сертификат используется для проверки подлинности клиента при обращении серверов системы сайта, на которых выполняются службы IIS и для которых настроено использование протокола HTTPS.

Клиенты мобильных устройств

Проверка подлинности клиента

Проверенный сеанс

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

SHA-1 — единственный поддерживаемый хэш-алгоритм.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

System_CAPS_importantВажно

Эти сертификаты должны быть зашифрованы в двоичном формате X.509 по правилам Distinguished Encoding Rules (DER).

Формат X.509 с шифрованием при помощи Base64 не поддерживается.

Этот сертификат используется для проверки клиента мобильного устройства при обращении серверов системы сайта, с которыми он обменивается данными, таких как точки управления и точки распространения.

Загрузочные образы для развертывания операционных систем

Проверка подлинности клиента

Проверка подлинности рабочей станции

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Нет каких-либо определенных требований к имени субъекта или альтернативному имени субъекта сертификата. Можно использовать один и тот же сертификат для всех загрузочных образов.

Закрытый ключ должен быть доступен для экспорта.

Поддерживается алгоритм хеширования SHA-2.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

Этот сертификат используется, если последовательность задач при развертывании операционной системы включает такие действия клиента, как извлечение политики клиента или отправка сведений инвентаризации.

Этот сертификат используется только во время развертывания операционной системы и не устанавливается на клиент. Поскольку этот сертификат используется временно, то можно использовать один и тот же сертификат при каждом развертывании операционной системы, если нет другой необходимости использовать несколько сертификатов.

Этот сертификат необходимо экспортировать в формате PKCS 12, и пароль должен быть известен, чтобы его можно было импортировать в загрузочные образы Configuration Manager.

System_CAPS_noteПримечание

Требования к этому сертификату аналогичны требованиям сертификата сервера для систем сайта, в которых установлена точка распространения. Поскольку требования аналогичны, можно использовать тот же файл сертификата.

Клиентские компьютеры Mac

Проверка подлинности клиента

Для регистрации Configuration Manager:проверенный сеанс

Для установки сертификата независимо от Configuration Manager: проверка подлинности рабочей станции

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Для Configuration Manager, создающего сертификат пользователя, значение "Субъект" сертификата автоматически заполняется именем пользователя лица, зарегистрировавшего компьютер Mac.

Для установки сертификата, которая не использует регистрацию Configuration Manager, а разворачивает сертификат компьютера независимо от Configuration Manager, значение "Субъект" сертификата должно быть уникальным. Например, можно указать полное доменное имя компьютера.

Поле "Альтернативное имя субъекта" не поддерживается.

Поддерживается алгоритм хеширования SHA-2.

Максимальный поддерживаемый размер ключа составляет 2048 бит.

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Этот сертификат используется для проверки клиентского компьютера Mac при обращении серверов системы сайта, с которыми он обменивается данными, таких как точки управления и точки распространения.

Клиентские компьютеры Linux и UNIX

Проверка подлинности клиента

Проверка подлинности рабочей станции

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Поле "Альтернативное имя субъекта" не поддерживается.

Закрытый ключ должен быть доступен для экспорта.

Поддерживается алгоритм хэширования SHA-1.

Хэш-алгоритм SHA-2 поддерживается в том случае, если операционная система клиента поддерживает SHA-2. Дополнительные сведения см. в разделе О Linux и UNIX операционных систем, выполните не поддерживающие SHA-256 статьи Планирование развертывания клиента для серверов Linux и UNIX.

Поддерживаемая длина ключей: 2048 бит.

System_CAPS_importantВажно

Эти сертификаты должны быть зашифрованы в двоичном формате X.509 по правилам Distinguished Encoding Rules (DER). Формат X.509 с шифрованием при помощи Base64 не поддерживается.

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:

Этот сертификат используется для проверки клиента Linux и UNIX при обращении серверов системы сайта, с которыми он обменивается данными, таких как точки управления и точки распространения.

Этот сертификат должен быть экспортирован в формате PKCS#12, и чтобы его можно было указывать клиенту при указании сертификата PKI, необходимо знать пароль.

Дополнительные сведения см. в разделе Планирование безопасности и сертификаты для серверов Linux и UNIX статьи Планирование развертывания клиента для серверов Linux и UNIX.

Сертификаты корневых центров сертификации (ЦС) в следующих случаях:

  • Развертывание операционной системы

  • регистрация мобильных устройств;

  • проверка подлинности сервера RADIUS для компьютеров на базе технологии Intel AMT;

  • проверка подлинности сертификата клиента.

Цепочка сертификатов до надежного источника

Неприменимо.

Стандартный сертификат корневого ЦС.

Сертификат корневого ЦС необходимо указывать, если клиенты должны будут отслеживать цепочку сертификатов сервера, с которым они обмениваются данными, до доверенного источника. В качестве примеров можно привести следующие случаи:

  • если выполняется развертывание операционной системы и запускаются последовательности задач, подключающие клиентский компьютер к точке управления, для которой настроено использование протокола HTTPS;

  • если выполняется регистрация мобильного устройства, для управления которым будет использоваться System Center 2012 Configuration Manager;

  • если для компьютеров на базе технологии AMT используется проверка подлинности 802.1X и требуется указать файл для корневого сертификата сервера RADIUS.

Кроме того, сертификат корневого ЦС для клиентов необходимо указать, если сертификаты клиентов выдаются иерархией ЦС, которая отличается от иерархии ЦС, выдавшей сертификат точки управления.

Компьютеры на базе технологии Intel AMT

Проверка подлинности сервера

Веб-сервер (изменено)

Необходимо задать имя субъекта для параметра Строится на основе данных Active Directory, а затем для параметра Формат имени субъекта выбрать Общее имя.

Универсальной группе безопасности, указанной в свойствах компонента управления с помощью аппаратного контроллера управления, необходимо предоставить разрешения Чтение и Регистрация.

Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

Имя субъекта должно содержать полное доменное имя компьютера, основанного на технологии AMT, которое автоматически задается доменными службами Active Directory.

SHA-1 — единственный поддерживаемый хэш-алгоритм.

Максимальная поддерживаемая длина ключа: 2048 бит.

Этот сертификат размещается в энергонезависимом ОЗУ контроллера управления на компьютере. Он недоступен для просмотра из интерфейса пользователя Windows.

Все компьютеры на базе технологии Intel AMT запрашивают этот сертификат во время инициализации AMT, а также для последующих обновлений. Если удалить данные инициализации AMT с этих компьютеров, они отзовут этот сертификат.

При установке этого сертификата на компьютеры, основанные на Intel AMT, также устанавливается цепочка сертификатов до корневого ЦС. Компьютеры, основанные на АМТ, не поддерживают сертификаты центров сертификации, которые имеют длину ключа более 2048 бит.

После установки этого сертификата он подтверждает подлинность компьютеров, основанных на AMT, при обращении сервера системы сайта точки обслуживания аппаратного контроллера управления и компьютеров, на которых выполняется консоль управления аппаратного контроллера управления, а также шифрует все данные, которыми они обмениваются, с помощью протокола TLS.

Сертификат клиента 802.1X для Intel AMT

Проверка подлинности клиента

Проверка подлинности рабочей станции

Необходимо задать имя субъекта для параметра Строится на основе данных Active Directory, затем для параметра Формат имени субъекта выбрать Общее имя, очистить DNS-имя и выбрать имя участника-пользователя (UPN) в качестве альтернативного имени субъекта.

Универсальной группе безопасности, указанной в свойствах компонента управления с помощью аппаратного контроллера управления, необходимо предоставить разрешения Чтение и Регистрация для этого шаблона сертификата.

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Поле "Имя субъекта" должно содержать полное доменное имя компьютера, основанного на технологии AMT. В поле "Альтернативное имя субъекта" необходимо указать имя участника-пользователя (UPN).

Максимальная поддерживаемая длина ключа: 2048 бит.

Этот сертификат размещается в энергонезависимом ОЗУ контроллера управления на компьютере. Он недоступен для просмотра из интерфейса пользователя Windows.

Все компьютеры, основанные на технологии Intel AMT, могут запросить этот сертификат во время инициализации AMT, однако они не отзывают его при удалении соответствующих данных инициализации AMT.

После установки этого сертификата на компьютерах, основанных на AMT, он используется для проверки подлинности AMT-компьютеров при обращении сервера RADIUS, после чего им разрешается доступ к сети.

мобильные устройства, зарегистрированные с помощью Microsoft Intune;

Проверка подлинности клиента

Не применяется: Intune автоматически создает этот сертификат.

Значение "Расширенное использование ключа" содержит проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

3 пользовательских расширения однозначно идентифицируют подписку Intune клиента.

Пользователи могут предоставлять значение "Субъект" сертификата во время регистрации. Однако это значение не используется Intune для идентификации устройства.

Ключ имеет размер в 2048 бит и использует алгоритм хэширования SHA-1.

System_CAPS_noteПримечание

Эти параметры изменить невозможно. Сведения предоставляются только в информационных целях.

Этот сертификат автоматически запрашивается и устанавливается, когда прошедшие проверку подлинности пользователи регистрируют свои мобильные устройства с помощью Microsoft Intune. Итоговый сертификат на устройство размещается в хранилище компьютера и проверяет зарегистрированное мобильное устройство в Intune, чтобы им можно было управлять.

Вследствие пользовательских расширений в сертификате проверка подлинности ограничивается проверкой в отношении подписки Intune, которая установлена для организации.