Requisitos de certificados PKI para Configuration ManagerPKI certificate requirements for Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

En las tablas siguientes se enumeran los certificados de infraestructura de clave pública (PKI) que pueda necesitar para Configuration Manager.The public key infrastructure (PKI) certificates that you might require for Configuration Manager are listed in the following tables. Esta información supone un conocimiento básico de los certificados PKI.This information assumes basic knowledge of PKI certificates. Para obtener más información, consulte Ejemplo paso a paso de implementación de los certificados PKI para System Center Configuration Manager: entidad de certificación de Windows Server 2008.For more information, see Step-by-step example deployment of the PKI certificates for Configuration Manager: Windows Server 2008 Certification Authority.

Para obtener más información acerca de los servicios de certificados de Active Directory, consulte la siguiente documentación:For more about Active Directory Certificate Services, see the following documentation:

Para obtener información sobre el uso de certificados Cryptography API: Next Generation (CNG) con Configuration Manager, vea Introducción a los certificados CNG.For information about using Cryptography API: Next Generation (CNG) certificates with Configuration Manager, see CNG certificates overview.

Importante

Configuration Manager admite certificados Algoritmo hash seguro 2 (SHA-2).Configuration Manager supports Secure Hash Algorithm 2 (SHA-2) certificates. Los certificados SHA-2 ofrecen una ventaja de seguridad importante.SHA-2 certificates bring an important security advantage. Por lo tanto, se recomienda lo siguiente:Therefore, we recommend the following:

  • Emita nuevos certificados de autenticación de cliente y servidor firmados con SHA-2, lo que incluye SHA-256 y SHA-512, entre otros.Issue new server and client authentication certificates that are signed with SHA-2, which includes SHA-256 and SHA-512, among others.
  • Todos los servicios accesibles desde Internet deben usar un certificado SHA-2.All internet-facing services should use a SHA-2 certificate. Por ejemplo, si adquiere un certificado público para su uso con una puerta de enlace de administración en la nube, asegúrese de que se trata de un certificado SHA-2.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate.

Windows deja de confiar en determinados certificados firmados con SHA-1 a partir del 14 de febrero de 2017.Effective February 14, 2017, Windows no longer trusts certain certificates signed with SHA-1. En general, se recomienda emitir nuevos certificados de autenticación de cliente y servidor firmados con SHA-2 (lo que incluye SHA-256 y SHA-512, entre otros).In general, we recommend that you issue new server and client authentication certificates signed with SHA-2 (which includes SHA-256 and SHA-512, among others). Además, se recomienda que todos los servicios accesibles desde Internet usen un certificado SHA-2.Additionally, we recommend that any internet-facing services use a SHA-2 certificate. Por ejemplo, si adquiere un certificado público para su uso con una puerta de enlace de administración en la nube, asegúrese de que se trata de un certificado SHA-2.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate."

En la mayoría de los casos, el cambio a certificados SHA-2 no afecta a las operaciones.In most cases, the change to SHA-2 certificates has no impact on operations. Para obtener más información, vea Windows Enforcement of SHA1 certificates (Cumplimiento de certificados SHA1 de Windows).For more information, see Windows Enforcement of SHA1 certificates.

Puede usar cualquier PKI para crear, implementar y administrar estos certificados, con las siguientes excepciones:You can use any PKI to create, deploy, and manage these certificates, with the following exceptions:

  • Certificados de cliente que Configuration Manager inscribe en dispositivos móviles y equipos MacClient certificates that Configuration Manager enrolls on mobile devices and Mac computers
  • Certificados que Microsoft Intune crea automáticamente para administrar dispositivos móvilesCertificates that Microsoft Intune automatically creates to manage mobile devices

Cuando utilice Servicios de certificados de Active Directory y plantillas de certificado, esta solución PKI de Microsoft puede facilitar la administración de los certificados.When you use Active Directory Certificate Services and certificate templates, this Microsoft PKI solution can ease the management of certificates. Use la columna Plantilla de certificado de Microsoft para usar en las tablas siguientes para identificar la plantilla de certificado que mejor satisfaga sus requisitos de certificado.Use the Microsoft certificate template to use column in the following tables to identify the certificate template that most closely matches the certificate requirements. Solo una entidad de certificación (CA) empresarial que se ejecute en las ediciones Enterprise o Datacenter del sistema operativo del servidor, como Windows Server 2008 Enterprise y Windows Server 2008 Datacenter, puede usar certificados basados en plantilla.Only an enterprise certification authority that runs on the Enterprise Edition or Datacenter Edition of the server operating system, like Windows Server 2008 Enterprise and Windows Server 2008 Datacenter, can use template-based certificates.

Consulte las secciones siguientes para ver los requisitos de certificado.Use the following sections to view the certificate requirements.

Certificados PKI para servidoresPKI Certificates for Servers

Componente de Configuration ManagerConfiguration Manager component Propósito del certificadoCertificate purpose Plantilla de certificado de Microsoft para usarMicrosoft certificate template to use Información específica en el certificadoSpecific information in the certificate Cómo se usa el certificado en Configuration ManagerHow the certificate is used in Configuration Manager
Sistemas de sitio que ejecutan Internet Information Services (IIS) y que están configurados para conexiones de cliente HTTPS:Site systems that run internet Information Services (IIS) and that are set up for HTTPS client connections:

  • Punto de administraciónManagement point
  • Punto de distribuciónDistribution point
  • Punto de actualización de softwareSoftware update point
  • Punto de migración de estadoState migration point
  • Punto de inscripciónEnrollment point
  • Punto de proxy de inscripciónEnrollment proxy point
  • Punto de servicio web del catálogo de aplicacionesApplication Catalog web service point
  • Punto de sitios web del catálogo de aplicacionesApplication Catalog website point
  • Un punto de registro de certificadosA certificate registration point
Autenticación de servidorServer authentication Servidor webWeb Server El valor Uso mejorado de clave debe contener Autenticación del servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Si el sistema de sitio acepta conexiones de Internet, el nombre del firmante o nombre alternativo del firmante debe contener el nombre de dominio completo (FQDN) de Internet.If the site system accepts connections from the internet, the Subject Name or Subject Alternative Name must contain the internet fully qualified domain name (FQDN).

Si el sistema de sitio acepta conexiones de la intranet, el nombre del firmante o el nombre alternativo del firmante debe contener el FQDN de la intranet (recomendado) o el nombre del equipo, dependiendo de la configuración del sistema de sitio.If the site system accepts connections from the intranet, the Subject Name or Subject Alternative Name must contain either the intranet FQDN (recommended) or the computer's name, depending on how the site system is set up.

Si el sistema de sitio acepta conexiones tanto de Internet como de la intranet, deberá especificar el FQDN de Internet y el FQDN de la intranet (o nombre del equipo) con el símbolo de y comercial (&) como delimitador entre los dos nombres.If the site system accepts connections from both the internet and the intranet, both the internet FQDN and the intranet FQDN (or computer name) must be specified by using the ampersand (&) symbol delimiter between the two names.

Nota: Cuando el punto de actualización de software acepte conexiones de cliente solo de Internet, el certificado deberá contener el FQDN de Internet y el FQDN de la intranet.Note: When the software update point accepts client connections from the internet only, the certificate must contain both the internet FQDN and the intranet FQDN.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

Configuration Manager no especifica una longitud máxima de la clave para este certificado.Configuration Manager does not specify a maximum supported key length for this certificate. Consulte la documentación de IIS y PKI en caso de problemas relacionados con el tamaño de la clave de este certificado.Consult your PKI and IIS documentation for any key-size related issues for this certificate.
Este certificado debe encontrarse en el almacén personal del almacén de certificados del equipo.This certificate must reside in the Personal store in the Computer certificate store.

Este certificado de servidor web se usa para autenticar estos servidores en el cliente y para cifrar todos los datos transferidos entre el cliente y estos servidores mediante Capa de sockets seguros (SSL).This web server certificate is used to authenticate these servers to the client and to encrypt all data that's transferred between the client and these servers by using Secure Sockets Layer (SSL).
Punto de distribución basado en la nubeCloud-based distribution point Autenticación de servidorServer authentication Servidor webWeb Server El valor Uso mejorado de clave debe contener Autenticación del servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

El nombre del firmante debe contener un nombre de servicio definido por el cliente y un nombre de dominio en un formato de FQDN como el nombre común para la instancia específica del punto de distribución basado en la nube.The Subject Name must contain a customer-defined service name and domain name in an FQDN format as the Common Name for the specific instance of the cloud-based distribution point.

La clave privada debe ser exportable.The private key must be exportable.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

Longitudes de clave compatibles: 2.048 bits.Supported key lengths: 2,048 bits.
Este certificado de servicio se usa para autenticar el servicio de punto de distribución basado en la nube en clientes de Configuration Manager y para cifrar todos los datos transferidos entre ellos mediante Capa de sockets seguros (SSL).This service certificate is used to authenticate the cloud-based distribution point service to Configuration Manager clients and to encrypt all data transferred between them by using Secure Sockets Layer (SSL). Este certificado debe exportarse en un formato Public Key Certificate Standard (PKCS #12) y la contraseña debe conocerse para que se pueda importar al crear un punto de distribución basado en la nube.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported when you create a cloud-based distribution point.

Nota: Este certificado se utiliza junto con el certificado de administración de Microsoft Azure.Note: This certificate is used in conjunction with the Windows Azure management certificate.
Servidores de sistema de sitio que ejecutan Microsoft SQL ServerSite system servers that run Microsoft SQL Server Autenticación de servidorServer authentication Web serverWeb server El valor Uso mejorado de clave debe contener Autenticación del servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

El nombre del firmante debe contener el nombre de dominio completo (FQDN) de la intranet.The Subject Name must contain the intranet fully qualified domain name (FQDN).

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.
Este certificado debe encontrarse en el almacén personal del almacén de certificados del equipo.This certificate must be in the Personal store in the Computer certificate store. Configuration Manager lo copia automáticamente en el almacén de usuarios de confianza de los servidores de la jerarquía de Configuration Manager que puedan tener que establecer confianza con el servidor.Configuration Manager automatically copies it to the Trusted People Store for servers in the Configuration Manager hierarchy that might have to establish trust with the server.

Estos certificados se utilizan para la autenticación de servidor a servidor.These certificates are used for server-to-server authentication.
Clúster de SQL Server: Servidores de sistema de sitio que ejecutan Microsoft SQL ServerSQL Server cluster: Site system servers that run Microsoft SQL Server Autenticación de servidorServer authentication Web serverWeb server El valor Uso mejorado de clave debe contener Autenticación del servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

El nombre del firmante debe contener el nombre de dominio completo (FQDN) de la intranet del clúster.The Subject Name must contain the intranet fully qualified domain name (FQDN) of the cluster.

La clave privada debe ser exportable.The private key must be exportable.

El certificado debe tener un período de validez de al menos dos años cuando configure Configuration Manager para que use el clúster de SQL Server.The certificate must have a validity period of at least two years when you configure Configuration Manager to use the SQL Server cluster.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.
Una vez que haya solicitado e instalado este certificado en un nodo del clúster, exporte el certificado e impórtelo en cada nodo adicional en el clúster de SQL Server.After you have requested and installed this certificate on one node in the cluster, export the certificate and import it to each additional node in the SQL Server cluster.

Este certificado debe encontrarse en el almacén personal del almacén de certificados del equipo.This certificate must be in the Personal store in the Computer certificate store. Configuration Manager lo copia automáticamente en el almacén de usuarios de confianza de los servidores de la jerarquía de Configuration Manager que puedan tener que establecer confianza con el servidor.Configuration Manager automatically copies it to the Trusted People Store for servers in the Configuration Manager hierarchy that might have to establish trust with the server.

Estos certificados se utilizan para la autenticación de servidor a servidor.These certificates are used for server-to-server authentication.
Supervisión del sistema de sitio para los siguientes roles de sistema de sitio:Site system monitoring for the following site system roles:

  • Punto de administraciónManagement point
  • Punto de migración de estadoState migration point
Autenticación de clienteClient authentication Autenticación de estación de trabajoWorkstation Authentication El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Los equipos deben tener un valor único en el campo de nombre del firmante o nombre alternativo del firmante.Computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Nota: Si se utilizan varios valores para el nombre alternativo del sujeto, se utilizará solo el primer valor.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.
Este certificado es necesario en los servidores de sistema de sitio enumerados, incluso si no está instalado el cliente de Configuration Manager.This certificate is required on the listed site system servers, even if the Configuration Manager client is not installed. Esta configuración permite supervisar el estado de estos roles del sistema de sitio y notificarlo al sitio.This setup enables the health of these site system roles to be monitored and reported to the site.

El certificado para estos sistemas de sitio debe encontrarse en el almacén personal del almacén de certificados del equipo.The certificate for these site systems must reside in the Personal store of the Computer certificate store.
Servidores que ejecutan el módulo de directivas de Configuration Manager con el servicio de rol Servicio de inscripción de dispositivos de redServers running the Configuration Manager Policy Module with the Network Device Enrollment Service role service Autenticación de clienteClient authentication Autenticación de estación de trabajoWorkstation Authentication El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

No hay ningún requisito específico para el firmante del certificado o el nombre alternativo del firmante (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Puede utilizar el mismo certificado para varios servidores que ejecutan el Servicio de inscripción de dispositivos de red.You can use the same certificate for multiple servers running the Network Device Enrollment Service.

Se admiten los algoritmos hash SHA-2 y SHA-3.SHA-2 and SHA-3 hash algorithms are supported.

Longitudes de clave compatibles: 1.024 bits y 2.048 bits.Supported key lengths: 1,024 bits and 2,048 bits.
Sistemas de sitio que tienen instalado un punto de distribuciónSite systems that have a distribution point installed Autenticación de clienteClient authentication Autenticación de estación de trabajoWorkstation Authentication El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

No hay ningún requisito específico para el firmante del certificado o el nombre alternativo del firmante (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Puede utilizar el mismo certificado para varios puntos de distribución.You can use the same certificate for multiple distribution points. Sin embargo, se recomienda usar un certificado diferente para cada punto de distribución.However, it's a good idea to use a different certificate for each distribution point.

La clave privada debe ser exportable.The private key must be exportable.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.
Este certificado tiene dos propósitos:This certificate has two purposes:

  • Autentica el punto de distribución en un punto de administración habilitado para HTTPS antes de que el punto de distribución envíe mensajes de estado.It authenticates the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.
  • Cuando se selecciona la opción de punto de distribución Habilitar compatibilidad de PXE para clientes, el certificado se envía a los equipos.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers. Si las secuencias de tareas en el proceso de implementación de sistema operativo incluyen acciones de cliente tales como la recuperación de directiva de cliente o el envío de información del inventario, los equipos cliente se pueden conectar a un punto de administración habilitado para HTTPS durante la implementación del sistema operativo.If task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information, the client computers can connect to a HTTPS-enabled management point during the deployment of the operating system.
Este certificado solo se utiliza durante el tiempo que dure el proceso de implementación del sistema operativo y no se instala en el cliente.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Debido a este uso temporal, puede utilizarse el mismo certificado para cada implementación del sistema operativo si no desea usar varios certificados de cliente.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Este certificado debe exportarse en un formato Public Key Certificate Standard (PKCS #12).This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format. La contraseña debe conocerse para que pueda importarse en las propiedades del punto de distribución.The password must be known so that it can be imported into the distribution point properties.

Nota: Los requisitos de este certificado son los mismos que los del certificado de cliente para imágenes de arranque que implementan sistemas operativos.Note: The requirements for this certificate are the same as the client certificate for boot images that deploy operating systems. Debido a que los requisitos son los mismos, puede utilizar el mismo archivo de certificado.Because the requirements are the same, you can use the same certificate file.
Servidor de sistema de sitio que ejecuta el conector de Microsoft IntuneSite system server that runs the Microsoft Intune connector Autenticación de clienteClient authentication No aplicable: Intune crea este certificado de forma automática.Not applicable: Intune automatically creates this certificate. El valor Uso mejorado de clave contiene Autenticación de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Existen tres extensiones personalizadas que identifican de forma exclusiva la suscripción a Intune del cliente.Three custom extensions uniquely identify the customer's Intune subscription.

El tamaño de clave es de 2048 bits y se utiliza el algoritmo hash SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Nota: No se puede cambiar esta configuración.Note: You cannot change these settings. Esta información se proporciona únicamente con propósito informativo.This information is provided for informational purposes only.
Este certificado se solicita y se instala automáticamente en la base de datos de Configuration Manager al suscribirse a Microsoft Intune.This certificate is automatically requested and installed to the Configuration Manager database when you subscribe to Microsoft Intune. Cuando se instala el conector de Microsoft Intune, este certificado se instala en el servidor de sistema de sitio que ejecuta el conector de Microsoft Intune.When you install the Microsoft Intune connector, this certificate is then installed on the site system server that runs the Microsoft Intune connector. Se instala en el almacén de certificados del equipo.It is installed in the Computer certificate store.

Este certificado se usa para autenticar la jerarquía de Configuration Manager para Microsoft Intune mediante el conector de Microsoft Intune.This certificate is used to authenticate the Configuration Manager hierarchy to Microsoft Intune by using the Microsoft Intune connector. Todos los datos que se transfieren entre ellos utilizan la capa de sockets seguros (SSL).All data that is transferred between them uses Secure Sockets Layer (SSL).

Servidores proxy web para la administración de clientes basada en InternetProxy web servers for internet-based client management

Si el sitio admite la administración de cliente basada en Internet y, además, se usa un servidor proxy web con la terminación SSL (puente) para las conexiones entrantes de Internet, el servidor proxy web reúne los requisitos de certificado enumerados en la tabla siguiente.If the site supports internet-based client management, and you are using a proxy web server by using SSL termination (bridging) for incoming internet connections, the proxy web server has the certificate requirements listed in the following table.

Nota

Si se utiliza un servidor proxy web sin terminación SSL (tunelización), no se requieren certificados adicionales en el servidor proxy web.If you are using a proxy web server without SSL termination (tunneling), no additional certificates are required on the proxy web server.

Componente de la infraestructura de redNetwork infrastructure component Propósito del certificadoCertificate purpose Plantilla de certificado de Microsoft para usarMicrosoft certificate template to use Información específica en el certificadoSpecific information in the certificate Cómo se usa el certificado en Configuration ManagerHow the certificate is used in Configuration Manager
Servidor proxy web que acepta conexiones de cliente a través de InternetProxy web server accepting client connections over the internet Autenticación de servidor y clienteServer authentication and client authentication 1.1.
Servidor webWeb Server

2.2.
Autenticación de estación de trabajoWorkstation Authentication
FQDN de Internet en los campos Nombre del firmante o Nombre alternativo del firmante.internet FQDN in the Subject Name field or in the Subject Alternative Name field. Si utiliza plantillas de certificado de Microsoft, el nombre alternativo del firmante solo está disponible con la plantilla de estación de trabajo.If you are using Microsoft certificate templates, the Subject Alternative Name is available with the workstation template only.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.
Este certificado se usa para autenticar los servidores siguientes para los clientes de Internet y para cifrar mediante SSL todos los datos transferidos entre el cliente y este servidor:This certificate is used to authenticate the following servers to internet clients and to encrypt all data transferred between the client and this server by using SSL:

  • Punto de administración basado en InternetInternet-based management point
  • Punto de distribución basado en InternetInternet-based distribution point
  • Punto de actualización de software basado en InternetInternet-based software update point
La autenticación de cliente se usa para enlazar las conexiones de cliente entre los clientes de Configuration Manager y los sistemas de sitio basados en Internet.The client authentication is used to bridge client connections between the Configuration Manager clients and the internet-based site systems.

Certificados PKI para clientesPKI certificates for clients

Componente de Configuration ManagerConfiguration Manager component Propósito del certificadoCertificate purpose Plantilla de certificado de Microsoft para usarMicrosoft certificate template to use Información específica en el certificadoSpecific information in the certificate Cómo se usa el certificado en Configuration ManagerHow the certificate is used in Configuration Manager
Equipos cliente de WindowsWindows client computers Autenticación de clienteClient authentication Autenticación de estación de trabajoWorkstation Authentication El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Los equipos cliente deben tener un valor único en el campo de Nombre de sujeto o Nombre alternativo del sujeto.Client computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Nota: Si se utilizan varios valores para el nombre alternativo del sujeto, se utilizará solo el primer valor.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.
De forma predeterminada, Configuration Manager busca los certificados de equipo en el almacén personal del almacén de certificados del equipo.By default, Configuration Manager looks for computer certificates in the Personal store in the Computer certificate store.

A excepción del punto de actualización de software y el punto de sitios web del catálogo de aplicaciones, este certificado autentica el cliente para los servidores de sistema de sitio que ejecutan IIS y que están configurados para utilizar HTTPS.Except for the software update point and the Application Catalog website point, this certificate authenticates the client to site system servers that run IIS and that are set up to use HTTPS.
Clientes de dispositivos móvilesMobile device clients Autenticación de clienteClient authentication Sesión autenticadaAuthenticated Session El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

SHA-1SHA-1

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.

Notas:Notes:

  • Estos certificados deben tener el formato DER (Distinguished Encoding Rules) binario codificado X.509.These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format.
  • No se admite el formato X.509 codificado base 64.Base64 encoded X.509 format is not supported.
Este certificado autentica el cliente de dispositivo móvil para los servidores de sistema de sitio con que se comunica, como los puntos de administración y distribución.This certificate authenticates the mobile device client to the site system servers that it communicates with, like management points and distribution points.
Imágenes de arranque para la implementación de sistemas operativosBoot images for deploying operating systems Autenticación de clienteClient authentication Autenticación de estación de trabajoWorkstation Authentication El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

No hay requisitos específicos para los campos Nombre de sujeto o Nombre alternativo del sujeto del certificado, y puede utilizar el mismo certificado para todas las imágenes de arranque.There are no specific requirements for the certificate Subject Name field or Subject Alternative Name (SAN), and you can use the same certificate for all boot images.

La clave privada debe ser exportable.The private key must be exportable.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.
El certificado se utiliza si las secuencias de tareas del proceso de implementación del sistema operativo incluyen acciones de cliente tales como el envío de información de inventario o la recuperación de la directiva de cliente.The certificate is used if task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information.

Este certificado solo se utiliza durante el tiempo que dure el proceso de implementación del sistema operativo y no se instala en el cliente.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Debido a este uso temporal, puede utilizarse el mismo certificado para cada implementación del sistema operativo si no desea usar varios certificados de cliente.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Este certificado debe exportarse en un formato Public Key Certificate Standard (PKCS #12) y debe conocerse la contraseña para que se pueda importar en las imágenes de arranque de Configuration Manager.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported to the Configuration Manager boot images.

Este certificado es temporal para la secuencia de tareas y no se utiliza para instalar el cliente.This certificate is temporary for the task sequence and not used to install the client. Si tiene un entorno con HTTPS exclusivamente, el cliente debe tener un certificado válido para el cliente para comunicarse con el sitio y para que la implementación continúe.When you have an environment with HTTPS only, the client must have a valid certificate for the client to communicate with the site and for the deployment to continue. El cliente puede generar automáticamente un certificado cuando se une a Active Directory, o puede instalar un certificado de cliente mediante otro método.The client can automatically generate a certificate when the client is joined to Active Directory, or you can install a client certificate by using another method.

Nota: Los requisitos para este certificado son los mismos que para el certificado de servidor para los sistemas de sitio que tienen instalado un punto de distribución.Note: The requirements for this certificate are the same as the server certificate for site systems that have a distribution point installed. Debido a que los requisitos son los mismos, puede utilizar el mismo archivo de certificado.Because the requirements are the same, you can use the same certificate file.
Equipos cliente MacMac client computers Autenticación de clienteClient authentication Para la inscripción de Configuration Manager: Sesión autenticadaFor Configuration Manager enrollment: Authenticated Session

Para la instalación de certificados independiente de Configuration Manager: Autenticación de estación de trabajoFor certificate installation independent from Configuration Manager: Workstation Authentication
El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Cuando Configuration Manager crea un certificado de usuario, el valor del sujeto del certificado se rellena automáticamente con el nombre de usuario de la persona inscrita en el equipo Mac.For Configuration Manager that creates a User certificate, the certificate Subject value is automatically populated with the user name of the person who enrolls the Mac computer.

Para la instalación de certificados en que no se usa la inscripción en Configuration Manager, sino que se implementa un certificado de equipo independiente de Configuration Manager, el valor del sujeto del certificado debe ser único.For certificate installation that does not use Configuration Manager enrollment but deploys a Computer certificate independently from Configuration Manager, the certificate Subject value must be unique. Por ejemplo, especifique el FQDN del equipo.For example, specify the FQDN of the computer.

No se admite el campo Nombre alternativo del sujeto.The Subject Alternative Name field is not supported.

Se admite el algoritmo hash SHA-2.The SHA-2 hash algorithm is supported.

La longitud de clave compatible máxima es de 2048 bits.Maximum supported key length is 2,048 bits.
Este certificado autentica el equipo cliente Mac para los servidores de sistema de sitio con que se comunica, como los puntos de administración y distribución.This certificate authenticates the Mac client computer to the site system servers that it communicates with, like management points and distribution points.
Equipos cliente Linux y UNIXLinux and UNIX client computers Autenticación de clienteClient authentication Autenticación de estación de trabajoWorkstation Authentication El valor Uso mejorado de clave debe contener Autenticación del cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

No se admite el campo Nombre alternativo del sujeto.The Subject Alternative Name field is not supported.

La clave privada debe ser exportable.The private key must be exportable.

El algoritmo hash SHA-2 se admite si el sistema operativo del cliente admite SHA-2.SHA-2 hash algorithm is supported if the operating system of the client supports SHA-2. Para obtener más información, vea la sección Versiones que no admiten SHA-256 del tema Planeamiento de la implementación de cliente en equipos Linux y UNIX en Configuration Manager.For more information, see the About Linux and UNIX Operating Systems That do not Support SHA-256 section in Planning for client deployment to Linux and UNIX computers in Configuration Manager.

Longitudes de clave compatibles: 2.048 bits.Supported key lengths: 2,048 bits.

Nota: Estos certificados deben tener el formato DER (Distinguished Encoding Rules) binario codificado X.509.Note: These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format. No se admite el formato X.509 codificado base 64.Base64 encoded X.509 format is not supported.
Este certificado autentica el equipo cliente Linux o UNIX para los servidores de sistema de sitio con que se comunica, como los puntos de administración y distribución.This certificate authenticates the Linux or UNIX client computer to the site system servers that it communicates with, like management points and distribution points. Este certificado debe exportarse en un formato Public Key Certificate Standard (PKCS #12) y la contraseña debe conocerse para que se pueda indicar al cliente al especificar el certificado PKI.This certificate must be exported in a Public Key Certificate Standard (PKCS#12) format, and the password must be known so you can specify it to the client when you specify the PKI certificate.

Para obtener más información, vea la sección Planeamiento de seguridad y certificados para servidores Linux y UNIX de Planeamiento de la implementación de cliente en equipos Linux y UNIX en Configuration Manager.For additional information, see the Planning for Security and Certificates for Linux and UNIX Servers section in Planning for client deployment to Linux and UNIX computers in Configuration Manager.
La entidad de certificación (CA) raíz certifica en los siguientes casos:Root certification authority (CA) certificates for the following scenarios:

  • Implementación de sistema operativoOperating system deployment
  • Inscripción de dispositivo móvilMobile device enrollment
  • Autenticación de certificado de clienteClient certificate authentication
Cadena de certificados a una fuente de confianzaCertificate chain to a trusted source No aplicable.Not applicable. Certificado de CA raíz estándar.Standard root CA certificate. El certificado de CA raíz se debe proporcionar cuando los clientes tienen que establecer una cadena de certificados desde el servidor de comunicación hasta la fuente de confianza.The root CA certificate must be provided when clients have to chain the certificates of the communicating server to a trusted source. Esto se aplica en los casos siguientes:This applies in the following scenarios:

  • Al implementar un sistema operativo y cuando las secuencias de tareas se ejecutan de manera que conectan el equipo cliente con un punto de administración configurado para utilizar HTTPS.When you deploy an operating system, and task sequences run that connect the client computer to a management point that is set up to use HTTPS.
  • Cuando inscribe un dispositivo móvil para que lo administre Configuration Manager.When you enroll a mobile device to be managed by Configuration Manager.
Además, el certificado de CA raíz para clientes debe concederse si los certificados clientes los emite una jerarquía de CA distinta a la que ha emitido el certificado del punto de administración.In addition, the root CA certificate for clients must be provided if the client certificates are issued by a different CA hierarchy than the CA hierarchy that issued the management point certificate.
Dispositivos móviles que están inscritos por Microsoft IntuneMobile devices that are enrolled by Microsoft Intune Autenticación de clienteClient authentication No aplicable: Intune crea este certificado de forma automática.Not applicable: Intune automatically creates this certificate. El valor Uso mejorado de clave contiene Autenticación de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Existen tres extensiones personalizadas que identifican de forma exclusiva la suscripción a Intune de los clientes.Three custom extensions uniquely identify the customer Intune subscription.

Los usuarios pueden proporcionar el valor de sujeto del certificado durante la inscripción.Users can supply the certificate Subject value during enrollment. Sin embargo, Intune no usa este valor para identificar el dispositivo.However, Intune does not use this value to identify the device.

El tamaño de clave es de 2048 bits y se utiliza el algoritmo hash SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Nota: No se puede cambiar esta configuración.Note: You cannot change these settings. Esta información se proporciona únicamente con propósito informativo.This information is provided for informational purposes only.
Este certificado se solicita e instala automáticamente cuando los usuarios autenticados se inscriben en los dispositivos móviles mediante Microsoft Intune.This certificate is automatically requested and installed when authenticated users enroll their mobiles devices by using Microsoft Intune. El certificado creado para el dispositivo se encuentra en el almacén del equipo y autentica el dispositivo móvil inscrito en Intune para que se pueda administrar.The resulting certificate on the device resides in the Computer store and authenticates the enrolled mobile device to Intune, so that it can then be managed.

Las extensiones personalizadas del certificado hacen que la autenticación se limite a la suscripción a Intune establecida para la organización.Because of the custom extensions in the certificate, authentication is restricted to the Intune subscription that has been established for the organization.