通过

CNG v3 证书概述

  • 项目

Configuration Manager支持加密:下一代 (CNG) 证书。 Configuration Manager客户端可以使用 PKI 客户端身份验证证书,并将私钥 (KSP) 生成并存储在 CNG 密钥存储提供程序中。 借助 KSP 支持,Configuration Manager客户端支持基于硬件的私钥,例如用于 PKI 客户端身份验证证书的 TPM KSP。

注意

使用 CNG 证书时,Configuration Manager客户端仅支持使用 RSA 加密算法的证书。

支持的方案

对于以下方案,可以使用 加密 API:下一代 (CNG) v3 证书模板:

  • 客户端注册和与 HTTPS 管理点通信
  • 使用 HTTPS 分发点进行软件分发和应用程序部署
  • 操作系统部署
  • 具有最新更新) 和 ISV 代理的客户端消息传送 SDK (
  • 云管理网关 (CMG) 配置
  • 软件中心中面向用户的可用应用程序

此外,对以下启用了 HTTPS 的服务器角色使用 CNG v3 证书:

  • 管理点
  • 分发点
  • 软件更新点
  • 状态迁移点
  • 证书注册点,包括具有Configuration Manager策略模块的 NDES 服务器

注意

CNG 与加密 API (CAPI) 向后兼容。 即使客户端上启用了 CNG 支持,CAPI 证书仍受支持。

不支持的方案

目前不支持以下方案:

  • 在 HTTPS 模式下安装时,以下服务器角色在 INTERNET Information Services (IIS) 中绑定到网站的 CNG v3 证书时无法正常运行:

    • 注册点
    • 注册代理点

使用 CNG 证书

若要使用 CNG v3 证书,证书颁发机构 (CA) 需要为目标计算机提供 CNG 证书模板。 模板详细信息因方案而异;但是,需要以下属性:

  • “兼容性 ”选项卡

    • 证书颁发机构 必须是 Windows Server 2008 或更高版本。 建议 (Windows Server 2012。)

    • 证书收件人 必须是 Windows Vista/Server 2008 或更高版本。 建议 (Windows 8/Windows Server 2012。)

  • “加密 ”选项卡

    • 提供程序类别 必须是 密钥存储提供程序。 (必需)

    • 算法名称 必须为 RSA。 需要 ()

    • 请求必须使用以下提供程序之一:必须Microsoft软件密钥存储提供程序

注意

环境或组织的要求可能有所不同。 请联系 PKI 专家。 要考虑的要点是证书模板必须使用密钥存储提供程序来利用 CNG。

为了获得最佳结果,我们建议从 Active Directory 信息生成使用者名称。 将 DNS 名称用于 使用者名称格式 ,并在备用使用者名称中包含 DNS 名称。 否则,必须在设备注册到证书配置文件时提供此信息。