Požadavky na certifikát PKI pro Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Certifikáty infrastruktury veřejných klíčů (PKI), které můžete potřebovat pro Configuration Manager, jsou uvedeny v následujících tabulkách. Tyto informace předpokládají základní znalosti certifikátů PKI.

K vytvoření, nasazení a správě většiny certifikátů v Configuration Manager můžete použít libovolnou infrastrukturu veřejných klíčů. Pro klientské certifikáty, které Configuration Manager registrují na mobilních zařízeních a počítačích Mac, vyžadují použití služby Active Directory Certificate Services.

Pokud používáte službu Active Directory Certificate Services a šablony certifikátů, může toto řešení PKI společnosti Microsoft usnadnit správu certifikátů. Pomocí odkazu na šablonu certifikátu Microsoftu v následujících částech identifikujte šablonu certifikátu, která nejlépe odpovídá požadavkům na certifikát. Certifikáty založené na šablonách může používat jenom certifikační autorita organizace, která běží v edicích Enterprise nebo Datacenter systému Windows Server.

Další informace najdete v následujících článcích:

• Podrobný příklad nasazení certifikátů PKI pro Configuration Manager: Certifikační autorita systému Windows Server 2008

• Přehled služby Active Directory Certificate Services

• Povolení protokolu TLS (Transport Layer Security) 1.2

Podporované typy certifikátů

Certifikáty SHA-2 (Secure Hash Algorithm 2)

Vydáte nové ověřovací certifikáty serveru a klienta, které jsou podepsané pomocí SHA-2, včetně SHA-256 a SHA-512. Všechny internetové služby by měly používat certifikát SHA-2. Pokud si například koupíte veřejný certifikát pro použití s bránou pro správu cloudu, ujistěte se, že jste si koupili certifikát SHA-2.

Systém Windows nedůvěřuje certifikátům podepsaným pomocí SHA-1. Další informace najdete v tématu vynucování certifikátů SHA1 ve Windows.

Certifikáty CNG v3

Configuration Manager podporuje certifikáty Cryptography: Next Generation (CNG) v3. Configuration Manager klienti můžou používat ověřovací certifikát klienta PKI s privátním klíčem ve zprostředkovateli úložiště klíčů CNG (KSP). S podporou KSP Configuration Manager klienti podporují privátní klíče založené na hardwaru, jako je tpm KSP pro certifikáty ověřování klientů PKI.

Další informace najdete v tématu Přehled certifikátů CNG v3.

Certifikáty PKI pro servery

Systémy lokality, které spouští službu IIS a podporují připojení klientů HTTPS

Tento certifikát webového serveru slouží k:

• Ověření serverů v klientovi
• Zašifrujte všechna data přenášená mezi klientem a těmito servery pomocí protokolu TLS.

Platí pro:

• Bod správy
• Distribuční bod
• Bod aktualizace softwaru
• Bod migrace stavu
• Bod registrace
• Zprostředkuje bod registrace
• Bod registrace certifikátu

Požadavky na certifikáty:

• Účel certifikátu: Ověřování serveru

• Šablona certifikátu Microsoftu: Webový server

• Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

• Název subjektu:

  • Pokud systém lokality přijímá připojení z internetu, musí název subjektu nebo alternativní název subjektu obsahovat plně kvalifikovaný název domény (FQDN) v internetu.

  • Pokud systém lokality přijímá připojení z intranetu, musí název subjektu nebo alternativní název subjektu obsahovat intranetový plně kvalifikovaný název domény (doporučeno) nebo název počítače v závislosti na nastavení systému lokality.

  • Pokud systém lokality přijímá připojení z internetu i intranetu, musí být zadán internetový plně kvalifikovaný název domény i intranetový plně kvalifikovaný název domény (nebo název počítače). Mezi těmito dvěma názvy použijte oddělovač symbolů ampersand (&).

  Poznámka

  Pokud bod aktualizace softwaru přijímá připojení klientů pouze z internetu, certifikát musí obsahovat internetový plně kvalifikovaný název domény i intranetový plně kvalifikovaný název domény.

• Délka klíče: Configuration Manager neurčí maximální podporovanou délku klíče pro tento certifikát. Informace o jakýchkoli problémech souvisejících s velikostí klíče tohoto certifikátu najdete v dokumentaci k infrastruktuře infrastruktury veřejných klíčů a službě IIS.

Většina rolí systému lokality podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátů (v3). Další informace najdete v tématu Přehled certifikátů CNG v3.

Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače.

Brána pro správu cloudu (CMG)

Tento certifikát služby se používá k:

• Ověření služby CMG v Azure pro Configuration Manager klientů

• Zašifrujte všechna data přenášená mezi nimi pomocí protokolu TLS.

Exportujte tento certifikát ve formátu PKCS #12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli importovat certifikát při vytváření cmg.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování serveru

• Šablona certifikátu Microsoftu: Webový server

• Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

• Název subjektu musí obsahovat název služby definované zákazníkem jako běžný název konkrétní instance brány pro správu cloudu.

• Privátní klíč musí být exportovatelný.

• Podporované délky klíčů: 2048 bitů nebo 4096 bitů

Tento certifikát podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátu (v3).

Další informace najdete v tématu Ověřovací certifikát serveru CMG.

Servery systému lokality, na kterých běží Microsoft SQL Server

Tento certifikát se používá k ověřování mezi servery.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování serveru

• Šablona certifikátu Microsoftu: Webový server

• Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

• Název subjektu musí obsahovat plně kvalifikovaný název domény (FQDN) intranetu.

• Maximální podporovaná délka klíče je 2 048 bitů.

Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače. Configuration Manager automaticky zkopíruje do důvěryhodného úložiště Lidé pro servery v hierarchii Configuration Manager, které možná budou muset navázat vztah důvěryhodnosti se serverem.

SQL Server instance clusteru s podporou převzetí služeb při selhání AlwaysOn

Tento certifikát se používá k ověřování mezi servery.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování serveru

• Šablona certifikátu Microsoftu: Webový server

• Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

• Název subjektu musí obsahovat intranetový plně kvalifikovaný název domény (FQDN) clusteru.

• Privátní klíč musí být exportovatelný.

• Pokud nakonfigurujete Configuration Manager pro použití instance clusteru s podporou převzetí služeb při selhání, musí mít certifikát dobu platnosti nejméně dva roky.

• Maximální podporovaná délka klíče je 2 048 bitů.

Vyžádejte si a nainstalujte tento certifikát na jednom uzlu v clusteru. Pak certifikát exportujte a naimportujte ho do ostatních uzlů.

Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače. Configuration Manager automaticky zkopíruje do důvěryhodného úložiště Lidé pro servery v hierarchii Configuration Manager, které možná budou muset navázat vztah důvěryhodnosti se serverem.

Monitorování systému lokality

Platí pro:

• Bod správy
• Bod migrace stavu

Požadavky na certifikáty:

• Účel certifikátu: Ověřování klienta

• Šablona certifikátu Microsoftu: Ověřování pracovní stanice

• Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

• Počítače musí mít jedinečnou hodnotu v poli Název subjektu nebo v poli Alternativní název subjektu .

  Poznámka

  Pokud pro alternativní název subjektu použijete více hodnot, použije se pouze první hodnota.

• Maximální podporovaná délka klíče je 2 048 bitů.

Tento certifikát se vyžaduje na serverech systému lokality uvedených v seznamu, a to i v případě, že není nainstalovaný klient Configuration Manager. Tato konfigurace umožňuje lokalitě monitorovat a hlásit stav těchto rolí systému lokality.

Certifikát pro tyto systémy lokality musí být v osobním úložišti úložiště certifikátů počítače.

Servery, na kterých běží modul zásad Configuration Manager se službou role Služba zápisu síťových zařízení (NDES)

Požadavky na certifikáty:

• Účel certifikátu: Ověřování klienta

• Šablona certifikátu Microsoftu: Ověřování pracovní stanice

• Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

• Pro název subjektu certifikátu nebo alternativní název subjektu (SAN) nejsou žádné zvláštní požadavky. Stejný certifikát můžete použít pro více serverů, na kterých běží Služba zápisu síťových zařízení.

• Podporované délky klíčů: 1 024 bitů a 2 048 bitů.

Systémy lokality s nainstalovaným distribučním bodem

Tento certifikát má dva účely:

• Ověří distribuční bod v bodě správy s povoleným protokolem HTTPS předtím, než distribuční bod odešle stavové zprávy.

  Poznámka

  Když nakonfigurujete všechny body správy pro HTTPS, musí distribuční body s podporou HTTPS používat certifikát vystavený infrastrukturou PKI. Pokud body správy používají certifikáty, nepoužívejte v distribučních bodech certifikáty podepsané svým držitelem. K problémům může dojít jinak. Distribuční body například neodesílají stavové zprávy.

• Distribuční bod s povoleným PXE odesílá tento certifikát počítačům. Pokud pořadí úkolů zahrnuje akce klienta, jako je načtení zásad klienta nebo odesílání informací o inventáři, může se počítač během procesu nasazení operačního systému připojit k bodu správy s podporou protokolu HTTPS.

  Poznámka

  V tomto scénáři PXE se tento certifikát používá pouze během procesu nasazení operačního systému. V klientovi není nainstalovaný. Kvůli tomuto dočasnému použití můžete použít stejný certifikát pro každé nasazení operačního systému, pokud nechcete používat více klientských certifikátů.

  Požadavky na tento certifikát jsou stejné jako u klientského certifikátu pro médium pořadí úkolů. Vzhledem k tomu, že požadavky jsou stejné, můžete použít stejný soubor certifikátu.

  Certifikát, který zadáte pro povolení distribučního bodu https, se vztahuje na všechny operace distribuce obsahu, nejen na nasazení operačního systému.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování klienta

• Šablona certifikátu Microsoftu: Ověřování pracovní stanice

• Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

• Pro název subjektu certifikátu nebo alternativní název subjektu (SAN) nejsou žádné zvláštní požadavky. Pro každý distribuční bod se doporučuje použít jiný certifikát, ale můžete použít stejný certifikát.

• Privátní klíč musí být exportovatelný.

• Maximální podporovaná délka klíče je 2 048 bitů.

Exportujte tento certifikát ve formátu PKCS #12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli importovat certifikát do vlastností distribučního bodu.

Webové proxy servery pro správu internetových klientů

Pokud lokalita podporuje správu internetových klientů a pro příchozí připojení k internetu používáte webový proxy server pomocí ukončení protokolu SSL (přemostění), má webový proxy server následující požadavky na certifikát:

Poznámka

Pokud používáte webový proxy server bez ukončení protokolu SSL (tunelování), nejsou na webovém proxy serveru vyžadovány žádné další certifikáty.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování serveru a ověřování klientů

• Šablona certifikátu Microsoftu: Ověřování webového serveru a pracovní stanice

• Internetový plně kvalifikovaný název domény v poli Název subjektu nebo Alternativní název subjektu . Pokud používáte šablony certifikátů Microsoft, alternativní název subjektu je k dispozici pouze se šablonou pracovní stanice.

Tento certifikát slouží k ověřování následujících serverů u internetových klientů a k šifrování všech dat přenášených mezi klientem a tímto serverem pomocí protokolu TLS:

• Internetový bod správy
• Internetový distribuční bod
• Internetový bod aktualizace softwaru

Ověřování klienta se používá k přemostí připojení klientů mezi klienty Configuration Manager a internetovými systémy lokality.

Certifikáty PKI pro klienty

Klientské počítače s Windows

S výjimkou bodu aktualizace softwaru tento certifikát ověřuje klienta v systémech lokality, které spouští službu IIS a podporují připojení klientů HTTPS.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování klienta

• Šablona certifikátu Microsoftu: Ověřování pracovní stanice

• Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

• Hodnota Použití klíče musí obsahovat Digital Signature, Key Encipherment (a0)

• Klientské počítače musí mít jedinečnou hodnotu v poli Název subjektu nebo Alternativní název subjektu . Pokud je pole Název subjektu použito, musí obsahovat název místního počítače, pokud není zadáno alternativní kritérium výběru certifikátu. Další informace najdete v tématu Plánování výběru klientského certifikátu PKI.

  Poznámka

  Pokud pro alternativní název subjektu použijete více hodnot, použije se pouze první hodnota.

• Neexistuje žádná maximální podporovaná délka klíče.

Ve výchozím nastavení Configuration Manager hledá certifikáty počítačů v úložišti Osobní v úložišti certifikátů počítače.

Médium pořadí úkolů pro nasazení operačních systémů

Tento certifikát používá pořadí úkolů OSD a umožňuje počítači připojit se k bodu správy s povoleným protokolem HTTPS a distribučnímu bodu během procesu nasazení operačního systému. Připojení k bodu správy a distribučnímu bodu mohou zahrnovat takové akce, jako je načtení zásad klienta z bodu správy a stažení obsahu z distribučního bodu.

Tento certifikát se používá pouze během procesu nasazení operačního systému. Nepoužívá se jako součást vlastností instalace klienta, pokud je klient nainstalován během úlohy Instalace systému Windows a nástroje ConfigMgr, ani není nainstalován na zařízení. Kvůli tomuto dočasnému použití můžete použít stejný certifikát pro každé nasazení operačního systému, pokud nechcete používat více klientských certifikátů.

Pokud máte prostředí, které je jenom HTTPS, musí mít médium pořadí úkolů platný certifikát. Tento certifikát umožňuje zařízení komunikovat s lokalitou a pokračovat v nasazení. Po dokončení pořadí úkolů může klient po připojení zařízení ke službě Active Directory automaticky vygenerovat certifikát PKI prostřednictvím objektu zásad skupiny nebo můžete certifikát PKI nainstalovat jinou metodou.

Poznámka

Požadavky na tento certifikát jsou stejné jako certifikát serveru pro systémy lokality s rolí distribučního bodu. Vzhledem k tomu, že požadavky jsou stejné, můžete použít stejný soubor certifikátu.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování klienta

• Šablona certifikátu Microsoftu: Ověřování pracovní stanice

• Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

• Pro pole Název subjektu certifikátu nebo alternativní název subjektu (SAN) nejsou žádné zvláštní požadavky. Stejný certifikát můžete použít pro všechna média pořadí úkolů.

• Privátní klíč musí být exportovatelný.

• Maximální podporovaná délka klíče je 2 048 bitů.

Exportujte tento certifikát ve formátu PKCS #12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli importovat certifikát při vytváření média pořadí úkolů.

Důležité

Spouštěcí image neobsahují certifikáty PKI pro komunikaci s lokalitou. Místo toho spouštěcí image používají certifikát PKI přidaný na médium pořadí úkolů ke komunikaci s lokalitou.

Další informace o přidání certifikátu PKI na médium pořadí úkolů najdete v tématech Vytvoření spouštěcího média a Vytvoření předpřipraveného média.

Klientské počítače s macOS

Tento certifikát ověřuje klientský počítač se systémem macOS na serverech systému lokality, se kterými komunikuje. Například body správy a distribuční body.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování klienta

• Šablona certifikátu Microsoftu:

  • Pro registraci Configuration Manager: Ověřená relace
  • Instalace certifikátu nezávislá na Configuration Manager: Ověřování pracovní stanice

• Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

• Název subjektu:

  • U Configuration Manager, která vytvoří uživatelský certifikát, se do hodnoty Předmět certifikátu automaticky vyplní uživatelské jméno osoby, která počítač s macOS registruje.
  • Pro instalaci certifikátu, která nepoužívá Configuration Manager zápis, ale nasazuje certifikát počítače nezávisle na Configuration Manager, musí být hodnota Předmět certifikátu jedinečná. Zadejte například plně kvalifikovaný název domény počítače.
  • Pole Alternativní název předmětu není podporováno.

• Maximální podporovaná délka klíče je 2 048 bitů.

Klienti mobilních zařízení

Tento certifikát ověřuje klienta mobilního zařízení na serverech systému lokality, se kterými komunikuje. Například body správy a distribuční body.

Požadavky na certifikáty:

• Účel certifikátu: Ověřování klienta

• Šablona certifikátu Microsoftu: Ověřená relace

• Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

• Maximální podporovaná délka klíče je 2 048 bitů.

Tyto certifikáty musí být v binárním formátu X.509 s kódováním kódování DER (DER). Formát X.509 s kódováním Base64 se nepodporuje.

Certifikáty kořenové certifikační autority (CA)

Tento certifikát je standardní certifikát kořenové certifikační autority.

Platí pro:

• Nasazení operačního systému
• Ověřování klientským certifikátem
• Registrace mobilních zařízení

Účel certifikátu: Řetěz certifikátů k důvěryhodnému zdroji

Certifikát kořenové certifikační autority musí být poskytnut, když klienti musí zřetězovat certifikáty komunikujícího serveru s důvěryhodným zdrojem. Certifikát kořenové certifikační autority pro klienty musí být poskytnut, pokud jsou klientské certifikáty vystaveny jinou hierarchií certifikační autority, než je hierarchie certifikační autority, která vydala certifikát bodu správy.