Požadavky na certifikát PKI pro Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Certifikáty infrastruktury veřejných klíčů (PKI), které můžete potřebovat pro Configuration Manager, jsou uvedené v následujících tabulkách. Tyto informace předpokládají základní znalosti certifikátů PKI.

K vytváření, nasazování a správě většiny certifikátů v Configuration Manager můžete použít libovolnou infrastrukturu veřejných klíčů. Pro klientské certifikáty, které Configuration Manager registrují na mobilních zařízeních a počítačích Mac, vyžadují použití služby Active Directory Certificate Services.

Při použití služby Active Directory Certificate Services a šablon certifikátů může toto řešení infrastruktury veřejných klíčů společnosti Microsoft usnadnit správu certifikátů. Pomocí odkazu na šablonu certifikátu Microsoftu v následujících částech identifikujte šablonu certifikátu, která nejlépe odpovídá požadavkům na certifikát. Certifikáty založené na šablonách může používat pouze certifikační autorita (CA) organizace, která běží na edici Enterprise nebo datacentra Windows serveru.

Další informace najdete v následujících článcích:

Podporované typy certifikátů

Certifikáty SHA-2 (Secure Hash Algorithm 2)

Vystavte nové ověřovací certifikáty serveru a klienta podepsané pomocí SHA-2, které zahrnují SHA-256 a SHA-512. Všechny internetové služby by měly používat certifikát SHA-2. Pokud například zakoupíte veřejný certifikát pro použití s bránou pro správu cloudu, ujistěte se, že jste si koupili certifikát SHA-2.

Windows nedůvěřuje certifikátům podepsaným pomocí SHA-1. Další informace najdete v tématu Windows vynucení certifikátů SHA1.

Certifikáty CNG v3

Configuration Manager podporuje kryptografii: Certifikáty nové generace (CNG) v3. Configuration Manager klienti můžou používat ověřovací certifikát klienta PKI s privátním klíčem ve zprostředkovateli Storage klíčů CNG(KSP). S podporou ZPROSTŘEDKOVATELE Configuration Manager klienti podporují hardwarové privátní klíče, jako je tpm KSP pro certifikáty ověřování klientů PKI.

Další informace najdete v tématu Přehled certifikátů CNG v3.

Certifikáty PKI pro servery

Systémy lokality, které spouštějí službu IIS a podporují připojení klientů HTTPS

Tento certifikát webového serveru slouží k tomuto:

  • Ověření serverů v klientovi
  • Zašifrujte všechna data přenášená mezi klientem a těmito servery pomocí protokolu TLS.

Platí pro:

  • Bod správy
  • Distribuční bod
  • Bod aktualizace softwaru
  • Bod migrace stavu
  • Bod registrace
  • Zprostředkující bod registrace
  • Bod registrace certifikátu

Požadavky na certifikát:

  • Účel certifikátu: Ověřování serveru

  • Šablona certifikátu Microsoftu: Webový server

  • Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

  • Název subjektu:

    • Pokud systém lokality přijímá připojení z internetu, musí název subjektu nebo alternativní název subjektu obsahovat plně kvalifikovaný název domény (FQDN).

    • Pokud systém lokality přijímá připojení z intranetu, musí název subjektu nebo alternativní název subjektu obsahovat buď intranetový plně kvalifikovaný název domény (doporučeno), nebo název počítače v závislosti na nastavení systému lokality.

    • Pokud systém lokality přijímá připojení z internetu i intranetu, musí být zadán internetový plně kvalifikovaný název domény i intranetový plně kvalifikovaný název domény (nebo název počítače). Mezi těmito dvěma názvy použijte oddělovač symbolů ampersand (&).

    Poznámka

    Pokud bod aktualizace softwaru přijímá pouze připojení klientů z internetu, musí certifikát obsahovat internetový plně kvalifikovaný název domény i plně kvalifikovaný název domény intranetu.

  • Délka klíče: Configuration Manager neurčuje maximální podporovanou délku klíče pro tento certifikát. Všechny problémy související s velikostí klíče pro tento certifikát najdete v dokumentaci k pki a službě IIS.

Většina rolí systému lokality podporuje zprostředkovatele úložiště klíčů pro privátní klíče certifikátu (v3). Další informace najdete v tématu Přehled certifikátů CNG v3.

Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače.

Brána pro správu cloudu (CMG)

Tento certifikát služby slouží k tomuto:

  • Ověření služby CMG v Azure pro Configuration Manager klienty

  • Zašifrujte všechna přenášená data pomocí protokolu TLS.

Exportujte tento certifikát ve formátu PKCS č. 12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli certifikát importovat při vytváření skupiny cmg.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování serveru

  • Šablona certifikátu Microsoftu: Webový server

  • Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

  • Název subjektu musí obsahovat název služby definovaný zákazníkem jako běžný název konkrétní instance brány pro správu cloudu.

  • Privátní klíč musí být exportovatelný.

  • Podporované délky klíčů: 2048bitová nebo 4096bitová verze

Tento certifikát podporuje zprostředkovatele úložiště klíčů pro privátní klíče certifikátu (v3).

Další informace najdete v tématu Ověřovací certifikát serveru CMG.

Servery systému lokality, na kterých běží Microsoft SQL Server

Tento certifikát se používá k ověřování mezi servery.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování serveru

  • Šablona certifikátu Microsoftu: Webový server

  • Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

  • Název subjektu musí obsahovat plně kvalifikovaný název domény (FQDN) intranetu.

  • Maximální podporovaná délka klíče je 2 048 bitů.

Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače. Configuration Manager ho automaticky zkopíruje do úložiště důvěryhodných osob pro servery v hierarchii Configuration Manager, které mohou vyžadovat navázání vztahu důvěryhodnosti se serverem.

SQL Server instance clusteru s podporou převzetí služeb při selhání AlwaysOn

Tento certifikát se používá k ověřování mezi servery.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování serveru

  • Šablona certifikátu Microsoftu: Webový server

  • Hodnota Použití rozšířeného klíče musí obsahovat Server Authentication (1.3.6.1.5.5.7.3.1)

  • Název subjektu musí obsahovat plně kvalifikovaný název domény (FQDN) intranetu clusteru.

  • Privátní klíč musí být exportovatelný.

  • Při konfiguraci Configuration Manager pro použití instance clusteru s podporou převzetí služeb při selhání musí mít certifikát dobu platnosti alespoň dva roky.

  • Maximální podporovaná délka klíče je 2 048 bitů.

Požádejte a nainstalujte tento certifikát na jeden uzel v clusteru. Potom certifikát exportujte a importujte do ostatních uzlů.

Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače. Configuration Manager ho automaticky zkopíruje do úložiště důvěryhodných osob pro servery v hierarchii Configuration Manager, které mohou vyžadovat navázání vztahu důvěryhodnosti se serverem.

Monitorování systému lokality

Platí pro:

  • Bod správy
  • Bod migrace stavu

Požadavky na certifikát:

  • Účel certifikátu: Ověřování klientů

  • Šablona certifikátu Microsoftu: Ověřování pracovní stanice

  • Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

  • Počítače musí mít jedinečnou hodnotu v poli Název subjektu nebo v poli Alternativní název subjektu .

    Poznámka

    Pokud pro alternativní název subjektu použijete více hodnot, použije se pouze první hodnota.

  • Maximální podporovaná délka klíče je 2 048 bitů.

Tento certifikát se vyžaduje na uvedených serverech systému lokality, i když není nainstalovaný klient Configuration Manager. Tato konfigurace umožňuje lokalitě monitorovat stav těchto rolí systému lokality a hlásit je.

Certifikát pro tyto systémy lokality musí být v osobním úložišti úložiště certifikátů počítače.

Servery s modulem zásad Configuration Manager se službou role Služba zápisu síťových zařízení (NDES)

Požadavky na certifikát:

  • Účel certifikátu: Ověřování klientů

  • Šablona certifikátu Microsoftu: Ověřování pracovní stanice

  • Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

  • Pro název subjektu certifikátu nebo alternativní název subjektu (SAN) neexistují žádné konkrétní požadavky. Stejný certifikát můžete použít pro více serverů, na kterých běží Služba zápisu síťových zařízení.

  • Podporované délky klíčů: 1 024 bitů a 2 048 bitů.

Systémy lokality s nainstalovaným distribučním bodem

Tento certifikát má dva účely:

  • Před odesláním stavových zpráv distribučním bodem ověří distribuční bod do bodu správy s povoleným protokolem HTTPS.

    Poznámka

    Při konfiguraci všech bodů správy pro protokol HTTPS musí distribuční body s povoleným protokolem HTTPS používat certifikát vydaný infrastrukturou veřejných klíčů. Nepoužívejte certifikáty podepsané svým držitelem v distribučních bodech, pokud body správy používají certifikáty. V opačném případě může dojít k problémům. Distribuční body například neodesílají stavové zprávy.

  • Distribuční bod s povoleným PXE odešle tento certifikát do počítačů. Pokud pořadí úkolů zahrnuje klientské akce, jako je načtení zásad klienta nebo odesílání informací o inventáři, může se počítač během procesu nasazení operačního systému připojit k bodu správy s povoleným protokolem HTTPS.

    Poznámka

    V tomto scénáři s technologií PXE se tento certifikát používá pouze během procesu nasazení operačního systému. Není nainstalovaná v klientovi. Z důvodu tohoto dočasného použití můžete použít stejný certifikát pro každé nasazení operačního systému, pokud nechcete používat více klientských certifikátů.

    Požadavky na tento certifikát jsou stejné jako klientský certifikát pro spouštěcí image. Vzhledem k tomu, že požadavky jsou stejné, můžete použít stejný soubor certifikátu.

    Certifikát, který zadáte pro povolení protokolu HTTPS, se distribuční bod vztahuje na všechny operace distribuce obsahu, nejen na nasazení operačního systému.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování klientů

  • Šablona certifikátu Microsoftu: Ověřování pracovní stanice

  • Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

  • Pro název subjektu certifikátu nebo alternativní název subjektu (SAN) neexistují žádné konkrétní požadavky. Pro každý distribuční bod se doporučuje použít jiný certifikát, ale můžete použít stejný certifikát.

  • Privátní klíč musí být exportovatelný.

  • Maximální podporovaná délka klíče je 2 048 bitů.

Exportujte tento certifikát ve formátu PKCS č. 12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli certifikát importovat do vlastností distribučního bodu.

Proxy webové servery pro internetovou správu klientů

Pokud web podporuje internetovou správu klientů a používáte proxy webový server pomocí ukončení protokolu SSL (přemostění) pro příchozí internetová připojení, má proxy webový server následující požadavky na certifikát:

Poznámka

Pokud používáte webový proxy server bez ukončení protokolu SSL (tunelování), nejsou na webovém proxy serveru vyžadovány žádné další certifikáty.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování serveru a ověřování klientů

  • Šablona certifikátu Microsoftu: Ověřování webových serverů a pracovních stanic

  • Internetový plně kvalifikovaný název domény v poli Název subjektu nebo Alternativní název subjektu Pokud používáte šablony certifikátů Microsoftu, alternativní název subjektu je k dispozici pouze se šablonou pracovní stanice.

Tento certifikát slouží k ověření následujících serverů pro internetové klienty a k šifrování všech dat přenášených mezi klientem a tímto serverem pomocí protokolu TLS:

  • Internetový bod správy
  • Internetový distribuční bod
  • Internetový bod aktualizace softwaru

Ověřování klienta se používá k přemostitování klientských připojení mezi klienty Configuration Manager a internetovými systémy lokality.

Certifikáty PKI pro klienty

Windows klientských počítačů

S výjimkou bodu aktualizace softwaru tento certifikát ověřuje klienta v systémech lokality, ve kterých běží služba IIS a podporují připojení klientů HTTPS.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování klientů

  • Šablona certifikátu Microsoftu: Ověřování pracovní stanice

  • Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

  • Hodnota Použití klíče musí obsahovat Digital Signature, Key Encipherment (a0)

  • Klientské počítače musí mít jedinečnou hodnotu v poli Název subjektu nebo Alternativní název subjektu . Pokud je pole Název subjektu použito, musí obsahovat název místního počítače, pokud není zadáno alternativní kritérium výběru certifikátu. Další informace najdete v tématu Plánování výběru klientského certifikátu PKI.

    Poznámka

    Pokud pro alternativní název subjektu použijete více hodnot, použije se pouze první hodnota.

  • Neexistuje žádná maximální podporovaná délka klíče.

Ve výchozím nastavení Configuration Manager vyhledá certifikáty počítačů v osobním úložišti v úložišti certifikátů počítače.

Spouštěcí image pro nasazení operačních systémů

Certifikát se používá, pokud pořadí úkolů zahrnuje klientské akce, jako je načtení zásad klienta nebo odesílání informací o inventáři. Umožňuje počítači připojit se k bodu správy s povoleným protokolem HTTPS během procesu nasazení operačního systému.

Tento certifikát se používá pouze během procesu nasazení operačního systému. Nepoužívá se k instalaci klienta nebo instalaci na zařízení. Z důvodu tohoto dočasného použití můžete použít stejný certifikát pro každé nasazení operačního systému, pokud nechcete používat více klientských certifikátů.

Pokud máte prostředí, které je pouze HTTPS, musí mít spouštěcí image platný certifikát. Tento certifikát umožňuje zařízení komunikovat s lokalitou a pokračovat v nasazení. Klient může automaticky vygenerovat certifikát, když je zařízení připojeno ke službě Active Directory, nebo můžete nainstalovat klientský certifikát pomocí jiné metody.

Poznámka

Požadavky na tento certifikát jsou stejné jako certifikát serveru pro systémy lokality s rolí distribučního bodu. Vzhledem k tomu, že požadavky jsou stejné, můžete použít stejný soubor certifikátu.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování klientů

  • Šablona certifikátu Microsoftu: Ověřování pracovní stanice

  • Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

  • Pro pole Název subjektu certifikátu nebo Alternativní název subjektu (SAN) neexistují žádné konkrétní požadavky. Stejný certifikát můžete použít pro všechny spouštěcí image.

  • Privátní klíč musí být exportovatelný.

  • Maximální podporovaná délka klíče je 2 048 bitů.

Exportujte tento certifikát ve formátu PKCS č. 12 (Public Key Certificate Standard). Musíte znát heslo, abyste mohli certifikát importovat do vlastností spouštěcí bitové kopie.

klientské počítače s macOS

Tento certifikát ověřuje klientský počítač s macOS na servery systému lokality, se kterými komunikuje. Například body správy a distribuční body.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování klientů

  • Šablona certifikátu Microsoftu:

    • Registrace Configuration Manager: Ověřená relace
    • Instalace certifikátu nezávislá na Configuration Manager: Ověřování pracovní stanice
  • Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

  • Název subjektu:

    • V případě Configuration Manager, která vytvoří uživatelský certifikát, se hodnota předmětu certifikátu automaticky vyplní uživatelským jménem osoby, která zaregistruje počítač s macOS.
    • Pro instalaci certifikátu, která nepoužívá Configuration Manager registraci, ale nasadí certifikát počítače nezávisle na Configuration Manager, musí být hodnota předmětu certifikátu jedinečná. Zadejte například plně kvalifikovaný název domény počítače.
    • Pole Alternativní název subjektu není podporováno.
  • Maximální podporovaná délka klíče je 2 048 bitů.

Klienti mobilních zařízení

Tento certifikát ověřuje klienta mobilního zařízení na servery systému lokality, se kterými komunikuje. Například body správy a distribuční body.

Požadavky na certifikát:

  • Účel certifikátu: Ověřování klientů

  • Šablona certifikátu Microsoftu: Ověřená relace

  • Hodnota Použití rozšířeného klíče musí obsahovat Client Authentication (1.3.6.1.5.5.7.3.2)

  • Maximální podporovaná délka klíče je 2 048 bitů.

Tyto certifikáty musí být v binárním formátu X.509 s kódováním kódování DER (DER). Formát X.509 s kódováním Base64 se nepodporuje.

Certifikáty kořenové certifikační autority (CA)

Tento certifikát je standardní certifikát kořenové certifikační autority.

Platí pro:

  • Nasazení operačního systému
  • Ověřování klientským certifikátem
  • Registrace mobilních zařízení

Účel certifikátu: Řetěz certifikátů s důvěryhodným zdrojem

Certifikát kořenové certifikační autority musí být poskytnut, pokud klienti musí zřetězit certifikáty komunikujícího serveru s důvěryhodným zdrojem. Certifikát kořenové certifikační autority pro klienty musí být poskytnut, pokud jsou klientské certifikáty vydány jinou hierarchií certifikační autority než hierarchie certifikační autority, která vydala certifikát bodu správy.