Exigences de certificat PKI pour Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Les certificats d’infrastructure à clé publique (PKI) dont vous pouvez avoir besoin pour Configuration Manager sont répertoriés dans les tableaux suivants. Ces informations supposent des connaissances de base sur les certificats PKI.

Vous pouvez utiliser n’importe quelle infrastructure à clé publique pour créer, déployer et gérer la plupart des certificats dans Configuration Manager. Pour les certificats clients qui Configuration Manager les inscriptions sur des appareils mobiles et des ordinateurs Mac, ils nécessitent l’utilisation des services de certificats Active Directory.

Lorsque vous utilisez des services de certificats Active Directory et des modèles de certificat, cette solution d’infrastructure à clé publique Microsoft peut faciliter la gestion des certificats. Utilisez la référence du modèle de certificat Microsoft dans les sections ci-dessous pour identifier le modèle de certificat qui correspond le plus aux exigences de certificat. Seule une autorité de certification d’entreprise qui s’exécute sur les éditions Enterprise ou Datacenter de Windows serveur peut utiliser des certificats basés sur des modèles.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Types de certificats pris en charge

Certificats Sha-2 (Secure Hash Algorithm 2)

Émettez de nouveaux certificats d’authentification serveur et client qui sont signés avec SHA-2, qui inclut SHA-256 et SHA-512. Tous les services accessibles sur Internet doivent utiliser un certificat SHA-2. Par exemple, si vous achetez un certificat public à utiliser avec une passerelle de gestion cloud, assurez-vous d’acheter un certificat SHA-2.

Windows n’approuve pas les certificats signés avec SHA-1. Pour plus d’informations, consultez Windows application des certificats SHA1.

Certificats CNG v3

Configuration Manager prend en charge le chiffrement : certificats CNG (Next Generation) v3. Configuration Manager clients peuvent utiliser un certificat d’authentification client PKI avec une clé privée dans un fournisseur de Stockage clé CNG (KSP). Avec la prise en charge de KSP, Configuration Manager clients prennent en charge les clés privées basées sur le matériel, telles qu’un fournisseur de services de plateforme sécurisée (KSP) pour les certificats d’authentification client PKI.

Pour plus d’informations, consultez la vue d’ensemble des certificats CNG v3.

Certificats PKI pour les serveurs

Systèmes de site qui exécutent IIS et prennent en charge les connexions clientES HTTPS

Ce certificat de serveur web est utilisé pour :

  • Authentifier les serveurs auprès du client
  • Chiffrez toutes les données transférées entre le client et ces serveurs avec TLS.

S’applique à :

  • Point de gestion
  • Point de distribution
  • Point de mise à jour logicielle
  • Point de migration d’état
  • Point d’inscription
  • Point proxy d’inscription
  • Point d’inscription de certificat

Exigences en matière de certificat :

  • Objectif du certificat : authentification du serveur

  • Modèle de certificat Microsoft : serveur web

  • La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

  • Nom de l’objet :

    • Si le système de site accepte les connexions à partir d’Internet, le nom de l’objet ou le nom de l’autre objet doit contenir le nom de domaine complet (FQDN) Internet.

    • Si le système de site accepte les connexions à partir de l’intranet, le nom de l’objet ou l’autre nom de l’objet doit contenir le nom de domaine complet (recommandé) intranet ou le nom de l’ordinateur, selon la façon dont le système de site est configuré.

    • Si le système de site accepte les connexions à partir d’Internet et de l’intranet, le nom de domaine complet Internet et le nom de domaine complet (ou nom d’ordinateur) intranet doivent être spécifiés. Utilisez le séparateur de symboles ampersand (&) entre les deux noms.

    Notes

    Lorsque le point de mise à jour logicielle accepte les connexions clientes à partir d’Internet uniquement, le certificat doit contenir à la fois le nom de domaine complet Internet et le nom de domaine complet intranet.

  • Longueur de clé : Configuration Manager ne spécifie pas de longueur de clé maximale prise en charge pour ce certificat. Consultez votre documentation PKI et IIS pour connaître les problèmes liés à la taille des clés pour ce certificat.

La plupart des rôles de système de site prennent en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3). Pour plus d’informations, consultez la vue d’ensemble des certificats CNG v3.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats Ordinateur.

Passerelle de gestion du cloud (CMG)

Ce certificat de service est utilisé pour :

  • Authentifier le service de passerelle de gestion cloud dans Azure auprès de clients Configuration Manager

  • Chiffrez toutes les données transférées entre elles à l’aide de TLS.

Exportez ce certificat dans un format PKCS (Public Key Certificate Standard #12). Vous devez connaître le mot de passe pour pouvoir importer le certificat lorsque vous créez la passerelle de gestion cloud.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du serveur

  • Modèle de certificat Microsoft : serveur web

  • La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

  • Le nom de l’objet doit contenir un nom de service défini par le client comme nom commun pour l’instance spécifique de la passerelle de gestion cloud.

  • La clé privée doit être exportable.

  • Longueurs de clé prises en charge : 2 048 bits ou 4 096 bits

Ce certificat prend en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3).

Pour plus d’informations, consultez le certificat d’authentification du serveur de passerelle de gestion cloud.

Serveurs de système de site qui exécutent Microsoft SQL Server

Ce certificat est utilisé pour l’authentification de serveur à serveur.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du serveur

  • Modèle de certificat Microsoft : serveur web

  • La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

  • Le nom de l’objet doit contenir le nom de domaine complet (FQDN) de l’intranet.

  • La longueur maximale de la clé prise en charge est de 2 048 bits.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats Ordinateur. Configuration Manager le copie automatiquement dans le magasin de personnes autorisées pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir à établir une relation de confiance avec le serveur.

SQL Server Always On instance de cluster de basculement

Ce certificat est utilisé pour l’authentification de serveur à serveur.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du serveur

  • Modèle de certificat Microsoft : serveur web

  • La valeur Utilisation améliorée de la clé doit contenir Server Authentication (1.3.6.1.5.5.7.3.1)

  • Le nom de l’objet doit contenir le nom de domaine complet (FQDN) intranet du cluster.

  • La clé privée doit être exportable

  • Le certificat doit avoir une période de validité d’au moins deux ans lorsque vous configurez Configuration Manager pour utiliser l’instance de cluster de basculement

  • La longueur maximale de la clé prise en charge est de 2 048 bits.

Demandez et installez ce certificat sur un nœud du cluster. Ensuite, exportez le certificat et importez-le sur les autres nœuds.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats Ordinateur. Configuration Manager le copie automatiquement dans le magasin de personnes autorisées pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir à établir une relation de confiance avec le serveur.

Surveillance du système de site

S’applique à :

  • Point de gestion
  • Point de migration d’état

Exigences en matière de certificat :

  • Objectif du certificat : authentification du client

  • Modèle de certificat Microsoft : Authentification de station de travail

  • La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

  • Les ordinateurs doivent avoir une valeur unique dans le champ Nom de l’objet ou dans le champ Autre nom de l’objet.

    Notes

    Si vous utilisez plusieurs valeurs pour l’autre nom de l’objet, elle utilise uniquement la première valeur.

  • La longueur maximale de la clé prise en charge est de 2 048 bits.

Ce certificat est requis sur les serveurs de système de site répertoriés, même si le client Configuration Manager n’est pas installé. Cette configuration permet au site de surveiller et de signaler l’intégrité de ces rôles de système de site.

Le certificat de ces systèmes de site doit se trouver dans le magasin personnel du magasin de certificats ordinateur.

Serveurs exécutant le module de stratégie Configuration Manager avec le service de rôle NDES (Network Device Enrollment Service)

Exigences en matière de certificat :

  • Objectif du certificat : authentification du client

  • Modèle de certificat Microsoft : Authentification de station de travail

  • La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

  • Il n’existe aucune exigence spécifique pour le nom d’objet du certificat ou l’autre nom de l’objet (SAN). Vous pouvez utiliser le même certificat pour plusieurs serveurs exécutant le service d’inscription d’appareil réseau.

  • Longueurs de clé prises en charge : 1 024 bits et 2 048 bits.

Systèmes de site sur lequel un point de distribution est installé

Ce certificat a deux objectifs :

  • Il authentifie le point de distribution à un point de gestion compatible HTTPS avant que le point de distribution n’envoie des messages d’état.

    Notes

    Lorsque vous configurez tous les points de gestion pour HTTPS, les points de distribution compatibles HTTPS doivent utiliser un certificat émis par l’infrastructure à clé publique. N’utilisez pas de certificats auto-signés sur les points de distribution lorsque les points de gestion utilisent des certificats. Des problèmes peuvent se produire dans le cas contraire. Par exemple, les points de distribution n’envoient pas de messages d’état.

  • Un point de distribution compatible PXE envoie ce certificat aux ordinateurs. Si la séquence de tâches inclut des actions clientes telles que la récupération de la stratégie cliente ou l’envoi d’informations d’inventaire, l’ordinateur peut se connecter à un point de gestion compatible HTTPS pendant le processus de déploiement du système d’exploitation.

    Notes

    Pour ce scénario PXE, ce certificat est utilisé uniquement pendant le processus de déploiement du système d’exploitation. Il n’est pas installé sur le client. En raison de cette utilisation temporaire, vous pouvez utiliser le même certificat pour chaque déploiement de système d’exploitation si vous ne souhaitez pas utiliser plusieurs certificats clients.

    La configuration requise pour ce certificat est la même que celle du certificat client pour les images de démarrage. Étant donné que les exigences sont les mêmes, vous pouvez utiliser le même fichier de certificat.

    Le certificat que vous spécifiez pour activer HTTPS un point de distribution s’applique à toutes les opérations de distribution de contenu, et pas seulement au déploiement du système d’exploitation.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du client

  • Modèle de certificat Microsoft : Authentification de station de travail

  • La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

  • Il n’existe aucune exigence spécifique pour le nom d’objet du certificat ou l’autre nom de l’objet (SAN). Il est recommandé d’utiliser un certificat différent pour chaque point de distribution, mais vous pouvez utiliser le même certificat.

  • La clé privée doit être exportable.

  • La longueur maximale de la clé prise en charge est de 2 048 bits.

Exportez ce certificat dans un format PKCS (Public Key Certificate Standard #12). Vous devez connaître le mot de passe pour pouvoir importer le certificat dans les propriétés du point de distribution.

Serveurs web proxy pour la gestion des clients basés sur Internet

Si le site prend en charge la gestion des clients basés sur Internet et que vous utilisez un serveur web proxy à l’aide de l’arrêt SSL (pontage) pour les connexions Internet entrantes, le serveur web proxy a les exigences de certificat suivantes :

Notes

Si vous utilisez un serveur web proxy sans terminaison SSL (tunneling), aucun certificat supplémentaire n’est requis sur le serveur web proxy.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du serveur et authentification du client

  • Modèle de certificat Microsoft : Authentification de serveur web et de station de travail

  • Nom de domaine complet Internet dans le champ Nom de l’objet ou Autre nom de l’objet . Si vous utilisez des modèles de certificat Microsoft, l’autre nom de l’objet n’est disponible qu’avec le modèle de station de travail.

Ce certificat est utilisé pour authentifier les serveurs suivants auprès des clients Internet et pour chiffrer toutes les données transférées entre le client et ce serveur avec TLS :

  • Point de gestion Basé sur Internet
  • Point de distribution Internet
  • Point de mise à jour logicielle basé sur Internet

L’authentification client est utilisée pour relier les connexions client entre les clients Configuration Manager et les systèmes de site basés sur Internet.

Certificats PKI pour les clients

Windows ordinateurs clients

À l’exception du point de mise à jour logicielle, ce certificat authentifie le client auprès des systèmes de site qui exécutent IIS et prennent en charge les connexions client HTTPS.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du client

  • Modèle de certificat Microsoft : Authentification de station de travail

  • La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

  • La valeur Utilisation de la clé doit contenir Digital Signature, Key Encipherment (a0)

  • Les ordinateurs clients doivent avoir une valeur unique dans le champ Nom de l’objet ou Autre nom de l’objet . S’il est utilisé, le champ Nom de l’objet doit contenir le nom de l’ordinateur local, sauf si un autre critère de sélection de certificat est spécifié. Pour plus d’informations, consultez Plan for PKI client certificate selection.

    Notes

    Si vous utilisez plusieurs valeurs pour l’autre nom de l’objet, elle utilise uniquement la première valeur.

  • Il n’existe aucune longueur de clé maximale prise en charge.

Par défaut, Configuration Manager recherche des certificats d’ordinateur dans le magasin personnel du magasin de certificats Ordinateur.

Images de démarrage pour le déploiement de systèmes d’exploitation

Le certificat est utilisé si la séquence de tâches inclut des actions clientes telles que la récupération de la stratégie cliente ou l’envoi d’informations d’inventaire. Il permet à l’ordinateur de se connecter à un point de gestion compatible HTTPS pendant le processus de déploiement du système d’exploitation.

Ce certificat est utilisé uniquement pendant le processus de déploiement du système d’exploitation. Il n’est pas utilisé pour installer le client ou installé sur l’appareil. En raison de cette utilisation temporaire, vous pouvez utiliser le même certificat pour chaque déploiement de système d’exploitation si vous ne souhaitez pas utiliser plusieurs certificats clients.

Lorsque vous disposez d’un environnement HTTPS uniquement, l’image de démarrage doit avoir un certificat valide. Ce certificat permet à l’appareil de communiquer avec le site et de poursuivre le déploiement. Le client peut générer automatiquement un certificat lorsque l’appareil est joint à Active Directory, ou vous pouvez installer un certificat client à l’aide d’une autre méthode.

Notes

La configuration requise pour ce certificat est la même que celle du certificat de serveur pour les systèmes de site avec le rôle de point de distribution. Étant donné que les exigences sont les mêmes, vous pouvez utiliser le même fichier de certificat.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du client

  • Modèle de certificat Microsoft : Authentification de station de travail

  • La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

  • Il n’existe aucune exigence spécifique pour les champs Nom de l’objet de certificat ou Autre nom de l’objet (SAN). Vous pouvez utiliser le même certificat pour toutes les images de démarrage.

  • La clé privée doit être exportable.

  • La longueur maximale de la clé prise en charge est de 2 048 bits.

Exportez ce certificat dans un format PKCS (Public Key Certificate Standard #12). Vous devez connaître le mot de passe pour pouvoir importer le certificat dans les propriétés de l’image de démarrage.

Ordinateurs clients macOS

Ce certificat authentifie l’ordinateur client macOS auprès des serveurs de système de site avec lesquels il communique. Par exemple, les points de gestion et les points de distribution.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du client

  • Modèle de certificat Microsoft :

    • Pour Configuration Manager inscription : Session authentifiée
    • Pour l’installation de certificat indépendante de Configuration Manager : Authentification de station de travail
  • La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

  • Nom de l’objet :

    • Pour Configuration Manager qui crée un certificat utilisateur, la valeur objet du certificat est automatiquement renseignée avec le nom d’utilisateur de la personne qui inscrit l’ordinateur macOS.
    • Pour une installation de certificat qui n’utilise pas Configuration Manager’inscription, mais déploie un certificat d’ordinateur indépendamment de Configuration Manager, la valeur objet du certificat doit être unique. Par exemple, spécifiez le nom de domaine complet de l’ordinateur.
    • Le champ Autre nom de l’objet n’est pas pris en charge.
  • La longueur maximale de la clé prise en charge est de 2 048 bits.

Clients d’appareils mobiles

Ce certificat authentifie le client d’appareil mobile auprès des serveurs de système de site avec lesquels il communique. Par exemple, les points de gestion et les points de distribution.

Exigences en matière de certificat :

  • Objectif du certificat : authentification du client

  • Modèle de certificat Microsoft : Session authentifiée

  • La valeur Utilisation améliorée de la clé doit contenir Client Authentication (1.3.6.1.5.5.7.3.2)

  • La longueur maximale de la clé prise en charge est de 2 048 bits.

Ces certificats doivent être au format binaire X.509 encodé Distinguished Encoding Rules (DER). Le format X.509 encodé en base64 n’est pas pris en charge.

Certificats d’autorité de certification racine

Ce certificat est un certificat d’autorité de certification racine standard.

S’applique à :

  • Déploiement du système d’exploitation
  • Authentification de certificats clients
  • Inscription d’appareils mobiles

Objectif du certificat : chaîne de certificats vers une source approuvée

Le certificat d’autorité de certification racine doit être fourni lorsque les clients doivent chaîner les certificats du serveur de communication à une source approuvée. Le certificat d’autorité de certification racine pour les clients doit être fourni si les certificats clients sont émis par une hiérarchie d’autorité de certification différente de celle qui a émis le certificat de point de gestion.