Requisitos de certificado PKI para Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Los certificados de infraestructura de clave pública (PKI) que puede necesitar para Configuration Manager se enumeran en las tablas siguientes. Esta información supone conocimientos básicos de los certificados PKI.

Puede usar cualquier PKI para crear, implementar y administrar la mayoría de los certificados de Configuration Manager. Para los certificados de cliente que Configuration Manager se inscriben en dispositivos móviles y equipos Mac, requieren el uso de Servicios de certificados de Active Directory.

Cuando se usan servicios de certificados de Active Directory y plantillas de certificado, esta solución PKI de Microsoft puede facilitar la administración de certificados. Use la referencia de plantilla de certificado de Microsoft en las secciones siguientes para identificar la plantilla de certificado que mejor se adapte a los requisitos de certificado. Solo una entidad de certificación empresarial (CA) que se ejecuta en las ediciones Enterprise o Datacenter de Windows Server puede usar certificados basados en plantillas.

Para más información, consulte los siguientes artículos:

• Implementación paso a paso de los certificados PKI para Configuration Manager: Entidad de certificación de Windows Server 2008

• Introducción a Servicios de certificados de Active Directory

• Habilitación de la seguridad de la capa de transporte (TLS) 1.2

Tipos de certificado admitidos

Certificados del algoritmo hash seguro 2 (SHA-2)

Emita nuevos certificados de autenticación de cliente y servidor firmados con SHA-2, que incluye SHA-256 y SHA-512. Todos los servicios accesibles desde Internet deben usar un certificado SHA-2. Por ejemplo, si compra un certificado público para usarlo con una puerta de enlace de administración en la nube, asegúrese de comprar un certificado SHA-2.

Windows no confía en los certificados firmados con SHA-1. Para obtener más información, vea Cumplimiento de Windows de certificados SHA1.

Certificados CNG v3

Configuration Manager admite certificados Cryptography: Next Generation (CNG) v3. Configuration Manager clientes pueden usar un certificado de autenticación de cliente PKI con clave privada en un proveedor de almacenamiento de claves CNG (KSP). Con la compatibilidad con KSP, Configuration Manager clientes admiten claves privadas basadas en hardware, como un KSP de TPM para certificados de autenticación de cliente PKI.

Para obtener más información, consulte Introducción a los certificados CNG v3.

Certificados PKI para servidores

Sistemas de sitio que ejecutan IIS y admiten conexiones de cliente HTTPS

Este certificado de servidor web se usa para:

• Autenticación de los servidores en el cliente
• Cifre todos los datos transferidos entre el cliente y estos servidores con TLS.

Se aplica a:

• Punto de administración
• Punto de distribución
• Punto de actualización de software
• Punto de migración de estado
• Punto de inscripción
• Punto de proxy de inscripción
• Punto de registro de certificados

Requisitos de certificado:

• Propósito del certificado: Autenticación del servidor

• Plantilla de certificado de Microsoft: servidor web

• El valor de uso de clave mejorada debe contener Server Authentication (1.3.6.1.5.5.7.3.1)

• Nombre del firmante:

  • Si el sistema de sitio acepta conexiones desde Internet, el nombre del firmante o el nombre alternativo del firmante deben contener el nombre de dominio completo (FQDN) de Internet.

  • Si el sistema de sitio acepta conexiones desde la intranet, el nombre del firmante o el nombre alternativo del firmante deben contener el FQDN de intranet (recomendado) o el nombre del equipo, en función de cómo esté configurado el sistema de sitio.

  • Si el sistema de sitio acepta conexiones desde Internet y la intranet, se deben especificar tanto el FQDN de Internet como el FQDN de intranet (o nombre de equipo). Use el delimitador de símbolos ampersand (&) entre los dos nombres.

  Nota:

  Cuando el punto de actualización de software acepta conexiones de cliente solo desde Internet, el certificado debe contener el FQDN de Internet y el FQDN de intranet.

• Longitud de clave: Configuration Manager no especifica una longitud de clave máxima admitida para este certificado. Consulte la documentación de PKI e IIS para conocer los problemas relacionados con el tamaño de clave de este certificado.

La mayoría de los roles de sistema de sitio admiten proveedores de almacenamiento de claves para claves privadas de certificado (v3). Para obtener más información, consulte Introducción a los certificados CNG v3.

Este certificado debe estar en el almacén Personal del almacén de certificados del equipo.

Cloud management gateway (CMG)

Este certificado de servicio se usa para:

• Autenticación del servicio CMG en Azure para Configuration Manager clientes

• Cifre todos los datos transferidos entre ellos mediante TLS.

Exporte este certificado en un formato estándar de certificado de clave pública (PKCS 12). Debe conocer la contraseña para poder importar el certificado al crear la instancia de CMG.

Requisitos de certificado:

• Propósito del certificado: Autenticación del servidor

• Plantilla de certificado de Microsoft: servidor web

• El valor de uso de clave mejorada debe contener Server Authentication (1.3.6.1.5.5.7.3.1)

• El nombre del firmante debe contener un nombre de servicio definido por el cliente como nombre común para la instancia específica de la puerta de enlace de administración en la nube.

• La clave privada debe ser exportable.

• Longitudes de clave admitidas: 2048 bits o 4096 bits

Este certificado admite proveedores de almacenamiento de claves para claves privadas de certificado (v3).

Para obtener más información, consulte Certificado de autenticación de servidor CMG.

Servidores de sistema de sitio que ejecutan Microsoft SQL Server

Este certificado se usa para la autenticación de servidor a servidor.

Requisitos de certificado:

• Propósito del certificado: Autenticación del servidor

• Plantilla de certificado de Microsoft: servidor web

• El valor de uso de clave mejorada debe contener Server Authentication (1.3.6.1.5.5.7.3.1)

• El nombre del firmante debe contener el nombre de dominio completo (FQDN) de la intranet.

• La longitud máxima de la clave admitida es de 2048 bits.

Este certificado debe estar en el almacén Personal del almacén de certificados del equipo. Configuration Manager lo copia automáticamente en el Almacén de Personas de confianza para los servidores de la jerarquía de Configuration Manager que podrían tener que establecer confianza con el servidor.

SQL Server Always On instancia de clúster de conmutación por error

Este certificado se usa para la autenticación de servidor a servidor.

Requisitos de certificado:

• Propósito del certificado: Autenticación del servidor

• Plantilla de certificado de Microsoft: servidor web

• El valor de uso de clave mejorada debe contener Server Authentication (1.3.6.1.5.5.7.3.1)

• El nombre del firmante debe contener el nombre de dominio completo (FQDN) de la intranet del clúster.

• La clave privada debe ser exportable

• El certificado debe tener un período de validez de al menos dos años al configurar Configuration Manager para usar la instancia del clúster de conmutación por error.

• La longitud máxima de la clave admitida es de 2048 bits.

Solicite e instale este certificado en un nodo del clúster. A continuación, exporte el certificado e impórtelo a los demás nodos.

Este certificado debe estar en el almacén Personal del almacén de certificados del equipo. Configuration Manager lo copia automáticamente en el Almacén de Personas de confianza para los servidores de la jerarquía de Configuration Manager que podrían tener que establecer confianza con el servidor.

Supervisión del sistema de sitio

Se aplica a:

• Punto de administración
• Punto de migración de estado

Requisitos de certificado:

• Propósito del certificado: autenticación de cliente

• Plantilla de certificado de Microsoft: Autenticación de estación de trabajo

• El valor de uso de clave mejorada debe contener Client Authentication (1.3.6.1.5.5.7.3.2)

• Los equipos deben tener un valor único en el campo Nombre del firmante o en el campo Nombre alternativo del firmante .

  Nota:

  Si usa varios valores para el nombre alternativo del firmante, solo usa el primer valor.

• La longitud máxima de la clave admitida es de 2048 bits.

Este certificado es necesario en los servidores de sistema de sitio enumerados, incluso si el cliente de Configuration Manager no está instalado. Esta configuración permite al sitio supervisar e informar sobre el estado de estos roles de sistema de sitio.

El certificado para estos sistemas de sitio debe estar en el almacén Personal del almacén de certificados del equipo.

Servidores que ejecutan el módulo de directivas de Configuration Manager con el servicio de rol servicio de inscripción de dispositivos de red (NDES)

Requisitos de certificado:

• Propósito del certificado: autenticación de cliente

• Plantilla de certificado de Microsoft: Autenticación de estación de trabajo

• El valor de uso de clave mejorada debe contener Client Authentication (1.3.6.1.5.5.7.3.2)

• No hay requisitos específicos para el nombre del firmante del certificado o el nombre alternativo del firmante (SAN). Puede usar el mismo certificado para varios servidores que ejecutan el servicio de inscripción de dispositivos de red.

• Longitudes de clave admitidas: 1.024 bits y 2.048 bits.

Sistemas de sitio que tienen instalado un punto de distribución

Este certificado tiene dos propósitos:

• Autentica el punto de distribución en un punto de administración habilitado para HTTPS antes de que el punto de distribución envíe mensajes de estado.

  Nota:

  Al configurar todos los puntos de administración para HTTPS, los puntos de distribución habilitados para HTTPS deben usar un certificado emitido por PKI. No use certificados autofirmados en puntos de distribución cuando los puntos de administración usen certificados. De lo contrario, pueden producirse problemas. Por ejemplo, los puntos de distribución no enviarán mensajes de estado.

• Un punto de distribución habilitado para PXE envía este certificado a los equipos. Si la secuencia de tareas incluye acciones de cliente como la recuperación de directivas de cliente o el envío de información de inventario, el equipo puede conectarse a un punto de administración habilitado para HTTPS durante el proceso de implementación del sistema operativo.

  Nota:

  En este escenario PXE, este certificado solo se usa durante el proceso de implementación del sistema operativo. No está instalado en el cliente. Debido a este uso temporal, puede usar el mismo certificado para cada implementación del sistema operativo si no desea usar varios certificados de cliente.

  Los requisitos de este certificado son los mismos que el certificado de cliente para los medios de secuencia de tareas. Dado que los requisitos son los mismos, puede usar el mismo archivo de certificado.

  El certificado que especifique para habilitar HTTPS un punto de distribución se aplica a todas las operaciones de distribución de contenido, no solo a la implementación del sistema operativo.

Requisitos de certificado:

• Propósito del certificado: autenticación de cliente

• Plantilla de certificado de Microsoft: Autenticación de estación de trabajo

• El valor de uso de clave mejorada debe contener Client Authentication (1.3.6.1.5.5.7.3.2)

• No hay requisitos específicos para el nombre del firmante del certificado o el nombre alternativo del firmante (SAN). Se recomienda usar un certificado diferente para cada punto de distribución, pero puede usar el mismo certificado.

• La clave privada debe ser exportable.

• La longitud máxima de la clave admitida es de 2048 bits.

Exporte este certificado en un formato estándar de certificado de clave pública (PKCS 12). Debe conocer la contraseña para poder importar el certificado a las propiedades del punto de distribución.

Servidores web proxy para la administración de clientes basada en Internet

Si el sitio admite la administración de clientes basada en Internet y usa un servidor web proxy mediante la terminación SSL (puente) para las conexiones entrantes a Internet, el servidor web proxy tiene los siguientes requisitos de certificado:

Nota:

Si usa un servidor web proxy sin terminación SSL (tunelización), no se requieren certificados adicionales en el servidor web proxy.

Requisitos de certificado:

• Propósito del certificado: autenticación de servidor y autenticación de cliente

• Plantilla de certificado de Microsoft: Autenticación de servidor web y estación de trabajo

• FQDN de Internet en el campo Nombre del firmante o Nombre alternativo del firmante . Si usa plantillas de certificado de Microsoft, el nombre alternativo del firmante solo está disponible con la plantilla de estación de trabajo.

Este certificado se usa para autenticar los siguientes servidores en clientes de Internet y para cifrar todos los datos transferidos entre el cliente y este servidor con TLS:

• Punto de administración basado en Internet
• Punto de distribución basado en Internet
• Punto de actualización de software basado en Internet

La autenticación de cliente se usa para enlazar las conexiones de cliente entre los clientes Configuration Manager y los sistemas de sitio basados en Internet.

Certificados PKI para clientes

Equipos cliente de Windows

Excepto en el punto de actualización de software, este certificado autentica el cliente en sistemas de sitio que ejecutan IIS y admiten conexiones de cliente HTTPS.

Requisitos de certificado:

• Propósito del certificado: autenticación de cliente

• Plantilla de certificado de Microsoft: Autenticación de estación de trabajo

• El valor de uso de clave mejorada debe contener Client Authentication (1.3.6.1.5.5.7.3.2)

• El valor de uso de clave debe contener Digital Signature, Key Encipherment (a0)

• Los equipos cliente deben tener un valor único en el campo Nombre del firmante o Nombre alternativo del firmante . Si se usa, el campo Nombre del firmante debe contener el nombre del equipo local a menos que se especifiquen criterios alternativos de selección de certificados. Para obtener más información, vea Planear la selección de certificados de cliente PKI.

  Nota:

  Si usa varios valores para el nombre alternativo del firmante, solo usa el primer valor.

• No hay ninguna longitud de clave máxima admitida.

De forma predeterminada, Configuration Manager busca certificados de equipo en el almacén Personal del almacén de certificados de equipo.

Medios de secuencia de tareas para implementar sistemas operativos

Este certificado lo usa una secuencia de tareas OSD y permite al equipo conectarse a un punto de administración y un punto de distribución habilitados para HTTPS durante el proceso de implementación del sistema operativo. Las conexiones al punto de administración y al punto de distribución pueden incluir acciones como la recuperación de directivas de cliente desde el punto de administración y la descarga de contenido desde el punto de distribución.

Este certificado solo se usa durante el proceso de implementación del sistema operativo. No se usa como parte de las propiedades de instalación del cliente cuando el cliente se instala durante la tarea Configurar Windows y ConfigMgr ni se instala en el dispositivo. Debido a este uso temporal, puede usar el mismo certificado para cada implementación del sistema operativo si no desea usar varios certificados de cliente.

Cuando tiene un entorno que solo es HTTPS, los medios de secuencia de tareas deben tener un certificado válido. Este certificado permite que el dispositivo se comunique con el sitio y que la implementación continúe. Una vez completada la secuencia de tareas, cuando el dispositivo se une a Active Directory, el cliente puede generar automáticamente un certificado PKI a través de un GPO o puede instalar un certificado PKI mediante otro método.

Nota:

Los requisitos de este certificado son los mismos que el certificado de servidor para los sistemas de sitio con el rol de punto de distribución. Dado que los requisitos son los mismos, puede usar el mismo archivo de certificado.

Requisitos de certificado:

• Propósito del certificado: autenticación de cliente

• Plantilla de certificado de Microsoft: Autenticación de estación de trabajo

• El valor de uso de clave mejorada debe contener Client Authentication (1.3.6.1.5.5.7.3.2)

• No hay requisitos específicos para los campos Nombre de firmante o Nombre alternativo de firmante (SAN) del certificado. Puede usar el mismo certificado para todos los medios de secuencia de tareas.

• La clave privada debe ser exportable.

• La longitud máxima de la clave admitida es de 2048 bits.

Exporte este certificado en un formato estándar de certificado de clave pública (PKCS 12). Debe conocer la contraseña para poder importar el certificado al crear el medio de secuencia de tareas.

Importante

Las imágenes de arranque no contienen certificados PKI para comunicarse con el sitio. En su lugar, las imágenes de arranque usan el certificado PKI agregado al medio de secuencia de tareas para comunicarse con el sitio.

Para obtener más información sobre cómo agregar un certificado PKI a los medios de secuencia de tareas, consulte Creación de medios de arranque y Creación de medios preconfigurados.

Equipos cliente de macOS

Este certificado autentica el equipo cliente macOS en los servidores del sistema de sitio con los que se comunica. Por ejemplo, puntos de administración y puntos de distribución.

Requisitos de certificado:

• Propósito del certificado: autenticación de cliente

• Plantilla de certificado de Microsoft:

  • Para Configuration Manager inscripción: sesión autenticada
  • Para la instalación de certificados independiente de Configuration Manager: Autenticación de estación de trabajo

• El valor de uso de clave mejorada debe contener Client Authentication (1.3.6.1.5.5.7.3.2)

• Nombre del firmante:

  • Para Configuration Manager que crea un certificado de usuario, el valor del firmante del certificado se rellena automáticamente con el nombre de usuario de la persona que inscribe el equipo macOS.
  • Para la instalación de certificados que no usa Configuration Manager inscripción, pero implementa un certificado de equipo independientemente de Configuration Manager, el valor del firmante del certificado debe ser único. Por ejemplo, especifique el FQDN del equipo.
  • No se admite el campo Nombre alternativo del firmante .

• La longitud máxima de la clave admitida es de 2048 bits.

Clientes de dispositivos móviles

Este certificado autentica el cliente de dispositivo móvil en los servidores de sistema de sitio con los que se comunica. Por ejemplo, puntos de administración y puntos de distribución.

Requisitos de certificado:

• Propósito del certificado: autenticación de cliente

• Plantilla de certificado de Microsoft: sesión autenticada

• El valor de uso de clave mejorada debe contener Client Authentication (1.3.6.1.5.5.7.3.2)

• La longitud máxima de la clave admitida es de 2048 bits.

Estos certificados deben estar en formato binario X.509 codificado reglas de codificación distinguida (DER). No se admite el formato X.509 codificado en Base64.

Certificados de entidad de certificación raíz (CA)

Este certificado es un certificado de entidad de certificación raíz estándar.

Se aplica a:

• Implementación de OS
• Autenticación de certificados de cliente
• Inscripción de dispositivos móviles

Propósito del certificado: cadena de certificados a un origen de confianza

El certificado de ca raíz debe proporcionarse cuando los clientes tienen que encadenar los certificados del servidor de comunicación a un origen de confianza. El certificado de CA raíz para los clientes debe proporcionarse si los certificados de cliente los emite una jerarquía de CA diferente a la jerarquía de CA que emitió el certificado de punto de administración.