Introducción a los certificados CNGCNG certificates overview

Configuration Manager tiene compatibilidad limitada con Cryptography: Next Generation (CNG).Configuration Manager has limited support for Cryptography: Next Generation (CNG) certificates. Los clientes de Configuration Manager pueden usar un certificado de autenticación del cliente PKI con clave privada en el proveedor de almacenamiento de claves (KSP) de CNG.Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Gracias a la compatibilidad con KSP, los clientes de Configuration Manager admiten una clave privada basada en hardware, como el KSP de TPM para los certificados de autenticación de cliente PKI.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates.

Escenarios admitidosSupported scenarios

Puede usar las plantillas de certificado Cryptography API: Next Generation (CNG) en los escenarios siguientes:You can use Cryptography API: Next Generation (CNG) certificate templates for the following scenarios:

  • Registro de cliente y comunicación con un punto de administración de HTTPS.Client registration and communication with an HTTPS management point
  • Distribución de software e implementación de aplicaciones con un punto de distribución de HTTPS.Software distribution and application deployment with an HTTPS distribution point
  • Implementación de sistema operativoOperating system deployment
  • SDK de mensajería de cliente (con la actualización más reciente) y proxy de ISV.Client messaging SDK (with latest update) and ISV Proxy
  • Configuración de Cloud Management GatewayCloud Management Gateway configuration

A partir de la versión 1802, use certificados CNG para los siguientes roles de servidor habilitados para HTTPS:Starting with version 1802, use CNG certificates for the following HTTPS-enabled server roles:

  • Punto de administraciónManagement point
  • Punto de distribuciónDistribution point
  • Punto de actualización de softwareSoftware update point
  • Punto de migración de estadoState migration point

A partir de la versión 1806, use certificados CNG para los siguientes roles de servidor habilitados para HTTPS:Starting with version 1806, use CNG certificates for the following HTTPS-enabled server roles:

  • Punto de registro de certificados, incluido el servidor NDES con el módulo de directivas de Configuration ManagerCertificate registration point, including the NDES server with the Configuration Manager policy module

Nota

CNG es compatible con Crypto API (CAPI).CNG is backward compatible with Crypto API (CAPI). Los certificados CAPI siguen siendo compatibles, incluso cuando se habilita la compatibilidad con CNG en el cliente.CAPI certificates continue to be supported even when CNG support is enabled on the client.

Escenarios no admitidosUnsupported scenarios

Actualmente no se admiten los escenarios siguientes:The following scenarios are currently not supported:

  • Los roles de servidor siguientes no funcionan cuando se instalan en modo HTTPS con un certificado CNG enlazado al sitio web en Internet Information Services (IIS):The following server roles are not operational when installed in HTTPS mode with a CNG certificate bound to the web site in Internet Information Services (IIS):

    • Servicio web del catálogo de aplicacionesApplication catalog web service
    • Sitio web del catálogo de aplicacionesApplication catalog website
    • Punto de inscripciónEnrollment point
    • Punto de proxy de inscripciónEnrollment proxy point
  • El Centro de software no muestra como disponibles los paquetes y las aplicaciones que se implementan en recopilaciones de grupos de usuarios o de usuarios.Software Center does not display applications and packages as available that are deployed to user or user group collections.

  • El uso de certificados CNG para crear un punto de distribución en la nube.Using CNG certificates to create a Cloud Distribution Point.

  • Si el módulo de directivas de NDES usa un certificado CNG para la autenticación del cliente, se produce un error en la comunicación con el punto de registro de certificado.If the NDES policy module is using a CNG certificate for client authentication, communication to the certificate registration point fails.

    • Se admite a partir de la versión 1806 de Configuration Manager.This is supported starting in Configuration Manager version 1806.
  • Si se especifica un certificado CNG al crear los medios de secuencia de tareas, el asistente no puede crear medios de arranque.If you specify a CNG certificate when creating task sequence media, the wizard fails to create bootable media.

    • Se admite a partir de la versión 1806 de Configuration Manager.This is supported starting in Configuration Manager version 1806.

Uso de los certificados CNGTo use CNG certificates

Para usar certificados CNG, la entidad de certificación (CA) debe proporcionar plantillas de certificado CNG para las máquinas de destino.To use CNG certificates, your certification authority (CA) needs to provide CNG certificate templates for target machines. Los detalles de la plantilla varían según el escenario; sin embargo, se requieren las siguientes propiedades:Template details vary according to the scenario; however, the following properties are required:

  • Pestaña CompatibilidadCompatibility tab

    • La entidad de certificación debe ser Windows Server 2008 o posterior.Certificate Authority must be Windows Server 2008 or later. (Se recomienda Windows Server 2012).(Windows Server 2012 is recommended.)

    • El destinatario del certificado debe ser Windows Vista o Server 2008 o posterior.Certificate recipient must be Windows Vista/Server 2008 or later. (Se recomienda Windows 8/Windows Server 2012).(Windows 8/Windows Server 2012 is recommended.)

  • Pestaña CriptografíaCryptography tab

    • La categoría del proveedor debe ser Proveedor de almacenamiento de claves.Provider Category must be Key Storage Provider. (obligatorio)(required)
    • La solicitud debe usar uno de los siguientes proveedores: debe ser Proveedor de almacenamiento de claves (KSP) de Microsoft.Request must use one of the following providers: must be Microsoft Software Key Storage Provider.

Nota

Los requisitos para su entorno u organización pueden ser diferentes.The requirements for your environment or organization may be different. Póngase en contacto con su experto PKI.Contact your PKI expert. Hay que tener en cuenta un punto importante: una plantilla de certificado debe usar un proveedor de almacenamiento de claves para utilizar CNG.The important point to consider is a certificate template must use a Key Storage Provider to take advantage of CNG.

Para obtener mejores resultados, se recomienda crear el nombre del sujeto a partir de la información de Active Directory.For best results, we recommend building the Subject Name from Active Directory information. Use el nombre de DNS como formato de nombre de sujeto e inclúyalo en el nombre de sujeto alternativo.Use the DNS Name for Subject name format and include the DNS name in the alternate subject name. De lo contrario, tendrá que proporcionar esta información cuando el dispositivo se inscriba en el perfil de certificado.Otherwise, you must provide this information when the device enrolls into the certificate profile.