CNG v3 憑證概觀

Configuration Manager 支援密碼編譯：新一代 (CNG) 憑證。 Configuration Manager 用戶端可以使用 PKI 用戶端驗證憑證搭配產生並儲存在 CNG 金鑰儲存提供者 (KSP) 中的私鑰。 透過 KSP 支援，Configuration Manager 用戶端支援硬體型私鑰，例如適用於 PKI 用戶端驗證憑證的 TPM KSP。

注意事項

使用 CNG 憑證時，Configuration Manager 用戶端僅支援使用 RSA 密碼編譯演算法的憑證。

支援的案例

您可以針對下列案例使用 密碼編譯 API：新一代 (CNG) v3 證書範本：

• 用戶端註冊和與 HTTPS 管理點的通訊
• 使用 HTTPS 發佈點進行軟體發佈和應用程式部署
• 作業系統部署
• 具有最新更新) 和 ISV Proxy 的用戶端傳訊 SDK (
• 雲端管理閘道 (CMG) 設定
• 軟體中心內以用戶為目標的可用應用程式

也請針對下列已啟用 HTTPS 的伺服器角色使用 CNG v3 憑證：

• 管理點
• 發佈點
• 軟體更新點
• 狀態移轉點
• 憑證註冊點，包括具有 Configuration Manager 原則模組的 NDES 伺服器

注意事項

CNG 與 Crypto API (CAPI) 回溯相容。 即使在用戶端上啟用 CNG 支援時，仍會繼續支援 CAPI 憑證。

不支持的案例

目前不支援下列案例：

• 在 HTTPS 模式中安裝的 CNG v3 憑證系結至 Internet Information Services 中的網站時，下列伺服器角色無法運作 (IIS) ：

  • 註冊點
  • 註冊 Proxy 點

使用 CNG 憑證

若要使用 CNG v3 憑證，您的證書頒發機構單位 (CA) 必須為目標機器提供 CNG 證書範本。 範本詳細數據會根據案例而有所不同;不過，需要下列屬性：

• 相容性索引 標籤

  • 證書頒發機構單位必須 Windows Server 2008 或更新版本。 建議 (Windows Server 2012。)

  • 憑證收件者 必須是 Windows Vista/Server 2008 或更新版本。 建議 (Windows 8/Windows Server 2012。)

• [密碼編譯] 索引標籤

  • 提供者類別 必須是 金鑰儲存提供者。 (必要)

  • 演算法名稱 必須是 RSA。 (必要)

  • 要求必須使用下列其中一個提供者：必須Microsoft軟體密鑰儲存提供者。

注意事項

您環境或組織的需求可能不同。 請連絡您的 PKI 專家。 要考慮的重點是證書範本必須使用密鑰儲存提供者來利用 CNG。

為了獲得最佳結果，建議您從 Active Directory 資訊建置主體名稱。 使用主體 名稱格式 的 DNS 名稱，並將 DNS 名稱包含在替代主體名稱中。 否則，當裝置註冊到憑證配置檔時，您必須提供這項資訊。