Configuration requise des certificats PKI pour Configuration ManagerPKI certificate requirements for Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Les certificats d’infrastructure à clé publique (PKI) dont vous pouvez avoir besoin pour Configuration Manager sont répertoriés dans les tableaux suivants.The public key infrastructure (PKI) certificates that you might require for Configuration Manager are listed in the following tables. Ces informations présupposent une connaissance élémentaire des certificats PKI.This information assumes basic knowledge of PKI certificates. Pour plus d’informations, consultez Exemple détaillé de déploiement des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008.For more information, see Step-by-step example deployment of the PKI certificates for Configuration Manager: Windows Server 2008 Certification Authority.

Pour plus d’informations sur les services de certificats Active Directory, consultez Vue d’ensemble des services de certificats Active Directory.For more about Active Directory Certificate Services, see Active Directory Certificate Services Overview.

Pour plus d’informations sur l’utilisation des certificats de l’API CNG Certificats nouvelle génération (CNG) v3 avec Configuration Manager, consultez Vue d’ensemble des certificats CNG v3.For information about using Cryptography API: Next Generation (CNG) v3 certificates with Configuration Manager, see CNG v3 certificates overview.

Important

Configuration Manager prend en charge les certificats (SHA-2) (Secure Hash Algorithm 2).Configuration Manager supports Secure Hash Algorithm 2 (SHA-2) certificates. Les certificats SHA-2 apportent un avantage important en termes de sécurité.SHA-2 certificates bring an important security advantage. Par conséquent, nous vous recommandons ce qui suit :Therefore, we recommend the following:

  • Émettez de nouveaux certificats d’authentification serveur et client signés avec SHA-2 (qui inclut entre autres SHA-256 et SHA-512).Issue new server and client authentication certificates that are signed with SHA-2, which includes SHA-256 and SHA-512, among others.
  • Tous les services doivent utiliser un certificat SHA-2.All internet-facing services should use a SHA-2 certificate. Par exemple, si vous achetez un certificat public pour une utilisation avec une passerelle de gestion cloud, vérifiez qu’il s’agit d’un certificat SHA-2.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate.

À compter du 14 février 2017, Windows ne fait plus confiance à certains certificats signés avec SHA-1.Effective February 14, 2017, Windows no longer trusts certain certificates signed with SHA-1. En général, nous vous recommandons d’émettre de nouveaux certificats d’authentification serveur et client signés avec SHA-2 (qui inclut entre autres SHA-256 et SHA-512).In general, we recommend that you issue new server and client authentication certificates signed with SHA-2 (which includes SHA-256 and SHA-512, among others). Nous vous recommandons aussi d’utiliser un certificat SHA-2 pour tout service Internet.Additionally, we recommend that any internet-facing services use a SHA-2 certificate. Par exemple, si vous achetez un certificat public pour une utilisation avec une passerelle de gestion cloud, vérifiez qu’il s’agit d’un certificat SHA-2.»For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate."

Dans la plupart des cas, le passage à des certificats SHA-2 n’a pas d’impact sur les opérations.In most cases, the change to SHA-2 certificates has no impact on operations. Pour plus d’informations, consultez cet article sur l’application Windows des certificats SHA1.For more information, see Windows Enforcement of SHA1 certificates.

Vous pouvez utiliser n’importe quelle PKI pour créer, déployer et gérer ces certificats, avec les exceptions suivantes :You can use any PKI to create, deploy, and manage these certificates, with the following exceptions:

  • Certificats clients que Configuration Manager inscrit sur des appareils mobiles et des ordinateurs MacClient certificates that Configuration Manager enrolls on mobile devices and Mac computers
  • Certificats que Microsoft Intune crée automatiquement pour gérer les appareils mobilesCertificates that Microsoft Intune automatically creates to manage mobile devices

Lorsque vous utilisez des services de certificats Active Directory et des modèles de certificat, cette solution d’infrastructure à clé publique Microsoft peut faciliter la gestion des certificats.When you use Active Directory Certificate Services and certificate templates, this Microsoft PKI solution can ease the management of certificates. Utilisez la colonne Modèle de certificat Microsoft à utiliser des tableaux ci-dessous pour identifier le modèle de certificat qui correspond le plus aux spécifications du certificat.Use the Microsoft certificate template to use column in the following tables to identify the certificate template that most closely matches the certificate requirements. Seule une autorité de certification d’entreprise exécutée sur l’édition Enterprise ou Datacenter du système d’exploitation serveur, par exemple Windows Server 2008 Enterprise et Windows Server 2008 Datacenter, peut utiliser des certificats basés sur des modèles.Only an enterprise certification authority that runs on the Enterprise Edition or Datacenter Edition of the server operating system, like Windows Server 2008 Enterprise and Windows Server 2008 Datacenter, can use template-based certificates.

Utilisez les sections suivantes pour afficher les spécifications du certificat.Use the following sections to view the certificate requirements.

Certificats PKI pour serveursPKI Certificates for Servers

Composant de Configuration ManagerConfiguration Manager component Rôle du certificatCertificate purpose Modèle de certificat Microsoft à utiliserMicrosoft certificate template to use Informations spécifiques du certificatSpecific information in the certificate Mode d'utilisation du certificat dans Configuration ManagerHow the certificate is used in Configuration Manager
Systèmes de site qui exécutent Internet Information Services (IIS) et qui sont configurés pour les connexions clientes HTTPS :Site systems that run internet Information Services (IIS) and that are set up for HTTPS client connections:

  • Point de gestionManagement point
  • Point de distributionDistribution point
  • Point de mise à jour logicielleSoftware update point
  • Point de migration d’étatState migration point
  • Point d'inscriptionEnrollment point
  • Point proxy d'inscriptionEnrollment proxy point
  • Point de service web du catalogue des applicationsApplication Catalog web service point
  • Point du site web du catalogue des applicationsApplication Catalog website point
  • Point d’enregistrement de certificatA certificate registration point
Authentification du serveurServer authentication Serveur WebWeb Server Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1) .Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Si le système du site accepte les connexions en provenance d'Internet, Nom d'objet ou Autre nom de l'objet doit correspondre au nom de domaine Internet complet (FQDN).If the site system accepts connections from the internet, the Subject Name or Subject Alternative Name must contain the internet fully qualified domain name (FQDN).

Si le système de site accepte les connexions en provenance de l’intranet, Nom d’objet ou Autre nom de l’objet doit correspondre soit au nom de domaine complet de l’intranet (recommandé), soit au nom de l’ordinateur, selon la configuration du système de site.If the site system accepts connections from the intranet, the Subject Name or Subject Alternative Name must contain either the intranet FQDN (recommended) or the computer's name, depending on how the site system is set up.

Si le système de site accepte les connexions entrantes Internet et intranet, il est nécessaire de spécifier le nom de domaine Internet complet et le nom de domaine complet de l'intranet (ou le nom de l'ordinateur) en les séparant par une esperluette (&.If the site system accepts connections from both the internet and the intranet, both the internet FQDN and the intranet FQDN (or computer name) must be specified by using the ampersand (&) symbol delimiter between the two names.

Remarque : Lorsque le point de mise à jour logicielle accepte des connexions clientes provenant d’Internet uniquement, le certificat doit contenir à la fois le FQDN Internet et le FQDN intranet.Note: When the software update point accepts client connections from the internet only, the certificate must contain both the internet FQDN and the intranet FQDN.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

Configuration Manager ne spécifie pas de longueur de clé maximale prise en charge pour ce certificat.Configuration Manager does not specify a maximum supported key length for this certificate. Pour tout problème lié à la taille de clé pour ce certificat, consultez votre PKI et la documentation IIS.Consult your PKI and IIS documentation for any key-size related issues for this certificate.
Ce certificat doit se trouver dans le magasin personnel du magasin de certificats de l'ordinateur.This certificate must reside in the Personal store in the Computer certificate store.

Ce certificat de serveur web est utilisé pour authentifier ces serveurs sur le client et pour chiffrer toutes les données transférées entre le client et ces serveurs à l’aide du protocole SSL (Secure Sockets Layer).This web server certificate is used to authenticate these servers to the client and to encrypt all data that's transferred between the client and these servers by using Secure Sockets Layer (SSL).
Point de distribution cloudCloud-based distribution point Authentification du serveurServer authentication Serveur WebWeb Server Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1) .Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Le nom d'objet doit contenir un nom de service défini par le client et un nom de domaine sous forme de nom de domaine complet, servant de nom commun pour l'instance spécifique du point de distribution cloud.The Subject Name must contain a customer-defined service name and domain name in an FQDN format as the Common Name for the specific instance of the cloud-based distribution point.

La clé privée doit être exportable.The private key must be exportable.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

Longueurs de clé prises en charge : 4 096 bits.Supported key lengths: 4,096 bits.
Ce certificat de service permet d’authentifier le service du point de distribution cloud auprès des clients Configuration Manager et de chiffrer l’intégralité des données transférées entre ces clients par le biais du protocole SSL (Secure Sockets Layer).This service certificate is used to authenticate the cloud-based distribution point service to Configuration Manager clients and to encrypt all data transferred between them by using Secure Sockets Layer (SSL). Ce certificat doit être exporté au format Public Key Certificate Standard (PKCS #12), et le mot de passe doit être connu, de sorte qu'il puisse être importé lors de la création d'un point de distribution cloud.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported when you create a cloud-based distribution point.

Remarque : Ce certificat est utilisé conjointement au certificat de gestion de Microsoft Azure.Note: This certificate is used in conjunction with the Windows Azure management certificate.
serveurs de système de site exécutant Microsoft SQL ServerSite system servers that run Microsoft SQL Server Authentification du serveurServer authentication Web serverWeb server Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1) .Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Le nom du sujet doit contenir le nom de domaine complet (FQDN) de l'intranet.The Subject Name must contain the intranet fully qualified domain name (FQDN).

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.
Ce certificat doit se trouver dans le magasin personnel du magasin de certificats de l’ordinateur.This certificate must be in the Personal store in the Computer certificate store. Configuration Manager le copie automatiquement dans le magasin Personnes autorisées pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir besoin d’établir une relation de confiance avec le serveur.Configuration Manager automatically copies it to the Trusted People Store for servers in the Configuration Manager hierarchy that might have to establish trust with the server.

Ces certificats sont utilisés pour l'authentification de serveur à serveur.These certificates are used for server-to-server authentication.
Instance de cluster de basculement Always On SQL Server : serveurs de système de site exécutant Microsoft SQL ServerSQL Server Always On failover cluster instance: Site system servers that run Microsoft SQL Server Authentification du serveurServer authentication Web serverWeb server Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du serveur (1.3.6.1.5.5.7.3.1) .Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Le nom d'objet doit contenir le nom de domaine complet (FQDN) de l'intranet du cluster.The Subject Name must contain the intranet fully qualified domain name (FQDN) of the cluster.

La clé privée doit être exportable.The private key must be exportable.

Le certificat doit avoir une période de validité d’au moins deux ans quand vous configurez Configuration Manager de sorte qu’il utilise l’instance de cluster de basculement.The certificate must have a validity period of at least two years when you configure Configuration Manager to use the failover cluster instance.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.
Après avoir demandé et installé ce certificat sur un nœud du cluster, exportez le certificat et importez-le dans chaque nœud supplémentaire de l’instance de cluster de basculement.After you have requested and installed this certificate on one node in the cluster, export the certificate and import it to each additional node in the failover cluster instance.

Ce certificat doit se trouver dans le magasin personnel du magasin de certificats de l’ordinateur.This certificate must be in the Personal store in the Computer certificate store. Configuration Manager le copie automatiquement dans le magasin Personnes autorisées pour les serveurs de la hiérarchie Configuration Manager qui peuvent avoir besoin d’établir une relation de confiance avec le serveur.Configuration Manager automatically copies it to the Trusted People Store for servers in the Configuration Manager hierarchy that might have to establish trust with the server.

Ces certificats sont utilisés pour l'authentification de serveur à serveur.These certificates are used for server-to-server authentication.
Surveillance de système de site pour les rôles de système de site suivants :Site system monitoring for the following site system roles:

  • Point de gestionManagement point
  • Point de migration d’étatState migration point
Authentification du clientClient authentication Authentification de station de travailWorkstation Authentication Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Les ordinateurs doivent présenter une valeur unique dans les champs Nom de l'objet ou Autre nom de l'objet.Computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Remarque : Si vous indiquez plusieurs valeurs pour Autre nom de l’objet, seule la première est utilisée.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.
Ce certificat est requis sur les serveurs de système de site répertoriés, même si le client Gestionnaire de configuration n’est pas installé.This certificate is required on the listed site system servers, even if the Configuration Manager client is not installed. Cette configuration permet de surveiller et de signaler au site l’intégrité de ces rôles de système de site.This setup enables the health of these site system roles to be monitored and reported to the site.

Le certificat de ces systèmes de site doit se trouver dans le magasin personnel du magasin de certificats de l'ordinateur.The certificate for these site systems must reside in the Personal store of the Computer certificate store.
Serveurs exécutant le module de stratégie Configuration Manager avec le service de rôle du Service d’inscription de périphérique réseauServers running the Configuration Manager Policy Module with the Network Device Enrollment Service role service Authentification du clientClient authentication Authentification de station de travailWorkstation Authentication Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Il n’existe aucune exigence particulière pour l’objet du certificat ou l’autre nom de l’objet.There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Vous pouvez utiliser le même certificat pour plusieurs serveurs exécutant le service d’inscription de périphérique réseau.You can use the same certificate for multiple servers running the Network Device Enrollment Service.

Les algorithmes de hachage SHA-2 et SHA-3 sont pris en charge.SHA-2 and SHA-3 hash algorithms are supported.

Longueurs de clé prises en charge : 1 024 bits et 2 048 bits.Supported key lengths: 1,024 bits and 2,048 bits.
Systèmes de site ayant un point de distribution installéSite systems that have a distribution point installed Authentification du clientClient authentication Authentification de station de travailWorkstation Authentication Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Il n’existe aucune exigence particulière pour l’objet du certificat ou l’autre nom de l’objet.There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Vous pouvez utiliser le même certificat pour plusieurs points de distribution.You can use the same certificate for multiple distribution points. Toutefois, nous vous recommandons d’utiliser un certificat différent pour chaque point de distribution.However, it's a good idea to use a different certificate for each distribution point.

La clé privée doit être exportable.The private key must be exportable.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.
Ce certificat a deux objectifs :This certificate has two purposes:

  • Il authentifie le point de distribution sur un point de gestion HTTPS avant que le point de distribution n'envoie des messages d'état.It authenticates the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.
  • Lorsque l’option de point de distribution Activer la prise en charge PXE pour les clients est activée, le certificat est envoyé aux ordinateurs.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers. Si des séquences de tâches du processus de déploiement du système d’exploitation comportent des actions du client, comme la récupération de la stratégie client ou l’envoi d’informations d’inventaire, les ordinateurs clients peuvent se connecter à un point de gestion HTTPS pendant le déploiement du système d’exploitation.If task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information, the client computers can connect to a HTTPS-enabled management point during the deployment of the operating system.
Ce certificat n'est utilisé que pour la durée de la procédure de déploiement du système d'exploitation et n'est pas installé sur le client.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. En raison de cette utilisation temporaire, le même certificat peut être utilisé pour chaque déploiement du système d'exploitation si vous ne souhaitez pas utiliser plusieurs certificats de client.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Le certificat doit être exporté au format Public Key Certificate Standard (PKCS #12).This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format. Le mot de passe doit être connu, de sorte qu’il puisse être importé dans les propriétés du point de distribution.The password must be known so that it can be imported into the distribution point properties.

Remarque : La configuration requise pour ce certificat est la même que celle du certificat client des images de démarrage pour le déploiement de systèmes d’exploitation.Note: The requirements for this certificate are the same as the client certificate for boot images that deploy operating systems. Dans la mesure où les exigences sont les mêmes, vous pouvez utiliser le même fichier de certificat.Because the requirements are the same, you can use the same certificate file.
Serveur de système de site exécutant le connecteur Microsoft IntuneSite system server that runs the Microsoft Intune connector Authentification du clientClient authentication Non applicable : Intune crée automatiquement ce certificat.Not applicable: Intune automatically creates this certificate. La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Trois extensions personnalisées identifient de manière unique l’abonnement Intune du client.Three custom extensions uniquely identify the customer's Intune subscription.

La taille de la clé est de 2 048 bits et elle utilise l’algorithme de hachage SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Remarque : Vous ne pouvez pas modifier ces paramètres.Note: You cannot change these settings. ces informations sont fournies uniquement à titre d'information.This information is provided for informational purposes only.
Ce certificat est demandé et installé automatiquement dans la base de données de Configuration Manager quand vous vous abonnez à Microsoft Intune.This certificate is automatically requested and installed to the Configuration Manager database when you subscribe to Microsoft Intune. Quand vous installez le connecteur Microsoft Intune, ce certificat est ensuite installé sur le serveur de système de site qui exécute le connecteur Microsoft Intune.When you install the Microsoft Intune connector, this certificate is then installed on the site system server that runs the Microsoft Intune connector. Il est installé dans le magasin de certificats de l’ordinateur.It is installed in the Computer certificate store.

Ce certificat est utilisé pour authentifier la hiérarchie Configuration Manager auprès de Microsoft Intune à l’aide du connecteur Microsoft Intune.This certificate is used to authenticate the Configuration Manager hierarchy to Microsoft Intune by using the Microsoft Intune connector. Toutes les données ainsi transférées utilisent le protocole SSL (Secure Sockets Layer).All data that is transferred between them uses Secure Sockets Layer (SSL).

Serveurs web proxy pour la gestion du client basée sur InternetProxy web servers for internet-based client management

Si le site prend en charge la gestion des clients basés sur Internet et que vous utilisez un serveur Web proxy avec terminaison SSL (pontage) pour les connexions Internet entrantes, le serveur Web proxy exige les certificats répertoriés dans le tableau suivant.If the site supports internet-based client management, and you are using a proxy web server by using SSL termination (bridging) for incoming internet connections, the proxy web server has the certificate requirements listed in the following table.

Notes

Si vous utilisez un serveur Web proxy sans terminaison SSL (tunnel), aucun autre certificat n'est requis sur le serveur Web proxy.If you are using a proxy web server without SSL termination (tunneling), no additional certificates are required on the proxy web server.

Composant d'infrastructure réseauNetwork infrastructure component Rôle du certificatCertificate purpose Modèle de certificat Microsoft à utiliserMicrosoft certificate template to use Informations spécifiques du certificatSpecific information in the certificate Mode d'utilisation du certificat dans Configuration ManagerHow the certificate is used in Configuration Manager
Serveur Web proxy acceptant les connexions de clients sur InternetProxy web server accepting client connections over the internet Authentification de serveur et authentification de clientServer authentication and client authentication 1.1.
Serveur WebWeb Server

2.2.
Authentification de station de travailWorkstation Authentication
Nom de domaine complet Internet dans le champ Nom de l’objet ou Autre nom de l’objet :internet FQDN in the Subject Name field or in the Subject Alternative Name field. Si vous utilisez des modèles de certificats Microsoft, l’autre nom de l’objet n’est disponible qu’avec le modèle pour station de travail.If you are using Microsoft certificate templates, the Subject Alternative Name is available with the workstation template only.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.
Ce certificat est utilisé pour authentifier les serveurs suivants auprès de clients Internet et pour crypter toutes les données transférées entre le client et ce serveur en utilisant le protocole SSL :This certificate is used to authenticate the following servers to internet clients and to encrypt all data transferred between the client and this server by using SSL:

  • Point de gestion InternetInternet-based management point
  • Point de distribution basé sur InternetInternet-based distribution point
  • point de mise à jour logicielle InternetInternet-based software update point
L’authentification client est utilisée pour des connexions pont-client entre les clients Gestionnaire de configuration et les systèmes de site basés internet.The client authentication is used to bridge client connections between the Configuration Manager clients and the internet-based site systems.

Certificats PKI pour les clientsPKI certificates for clients

Composant de Configuration ManagerConfiguration Manager component Rôle du certificatCertificate purpose Modèle de certificat Microsoft à utiliserMicrosoft certificate template to use Informations spécifiques du certificatSpecific information in the certificate Mode d'utilisation du certificat dans Configuration ManagerHow the certificate is used in Configuration Manager
Ordinateurs clients WindowsWindows client computers Authentification du clientClient authentication Authentification de station de travailWorkstation Authentication Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Les ordinateurs clients doivent présenter une valeur unique dans les champs Nom de l'objet ou Autre nom de l'objet.Client computers must have a unique value in the Subject Name field or in the Subject Alternative Name field. Si vous l’utilisez, le champ Nom de l’objet doit contenir le nom de l’ordinateur local, sauf si un autre critère de sélection de certificat est spécifié.If used, the Subject Name field must contain the local computer name unless an alternative certificate selection criteria is specified. Pour plus d’informations, consultez Planifier la sélection des certificats clients PKI.For more information, see Plan for PKI client certificate selection.

Remarque : Si vous indiquez plusieurs valeurs pour Autre nom de l’objet, seule la première est utilisée.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.
Par défaut, Configuration Manager recherche les certificats de l'ordinateur dans le magasin personnel du magasin de certificats de l'ordinateur.By default, Configuration Manager looks for computer certificates in the Personal store in the Computer certificate store.

À l’exception du point de mise à jour logicielle et du point de site web du catalogue des applications, ce certificat authentifie le client auprès de serveurs de système de site qui exécutent IIS et qui sont configurés pour utiliser le protocole HTTPS.Except for the software update point and the Application Catalog website point, this certificate authenticates the client to site system servers that run IIS and that are set up to use HTTPS.
clients d'appareils mobilesMobile device clients Authentification du clientClient authentication Session authentifiéeAuthenticated Session Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

SHA-1SHA-1

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.

Remarques :Notes:

  • Ces certificats doivent être au format binaire codé DER X.509.These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format.
  • Le format X.509 codé en Base64 n'est pas pris en charge.Base64 encoded X.509 format is not supported.
Ce certificat authentifie le client de l’appareil mobile auprès des serveurs de système de site avec lesquels il communique, tels que les points de gestion et les points de distribution.This certificate authenticates the mobile device client to the site system servers that it communicates with, like management points and distribution points.
Images de démarrage pour le déploiement de systèmes d'exploitationBoot images for deploying operating systems Authentification du clientClient authentication Authentification de station de travailWorkstation Authentication Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Aucune exigence spécifique n'est requise pour le champ Nom de l'objet ou Autre nom de l'objet (SAN) du certificat et vous pouvez utiliser le même certificat pour toutes les images de démarrage.There are no specific requirements for the certificate Subject Name field or Subject Alternative Name (SAN), and you can use the same certificate for all boot images.

La clé privée doit être exportable.The private key must be exportable.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.
Le certificat est utilisé si les séquences des tâches dans la procédure du déploiement du système d’exploitation comprennent des actions du client telles que la récupération de la stratégie du client ou l’envoi des données d’inventaire.The certificate is used if task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information.

Ce certificat n'est utilisé que pour la durée de la procédure de déploiement du système d'exploitation et n'est pas installé sur le client.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. En raison de cette utilisation temporaire, le même certificat peut être utilisé pour chaque déploiement du système d'exploitation si vous ne souhaitez pas utiliser plusieurs certificats de client.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Ce certificat doit être exporté au format Public Key Certificate Standard (PKCS #12) et le mot de passe doit être connu de sorte qu’il puisse être importé dans les images de démarrage de Configuration Manager.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported to the Configuration Manager boot images.

Ce certificat est temporaire pour la séquence de tâches et n’est pas utilisé pour installer le client.This certificate is temporary for the task sequence and not used to install the client. Lorsque vous avez un environnement avec HTTPS uniquement, le client doit avoir un certificat valide pour communiquer avec le site et pour que le déploiement continue.When you have an environment with HTTPS only, the client must have a valid certificate for the client to communicate with the site and for the deployment to continue. Le client peut générer automatiquement un certificat quand il est joint à Active Directory, ou vous pouvez installer un certificat client à l’aide d’une autre méthode.The client can automatically generate a certificate when the client is joined to Active Directory, or you can install a client certificate by using another method.

Remarque : Les exigences de ce certificat sont les mêmes que celles du certificat de serveur des systèmes de site sur lesquels est installé un point de distribution.Note: The requirements for this certificate are the same as the server certificate for site systems that have a distribution point installed. Dans la mesure où les exigences sont les mêmes, vous pouvez utiliser le même fichier de certificat.Because the requirements are the same, you can use the same certificate file.
Ordinateurs clients MacMac client computers Authentification du clientClient authentication Pour l’inscription Configuration Manager : Session authentifiéeFor Configuration Manager enrollment: Authenticated Session

Pour une installation de certificat indépendante de Configuration Manager : Authentification de station de travailFor certificate installation independent from Configuration Manager: Workstation Authentication
Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Si Configuration Manager crée un certificat utilisateur, la valeur Objet du certificat est renseignée automatiquement en utilisant le nom d’utilisateur de la personne qui inscrit l’ordinateur Mac.For Configuration Manager that creates a User certificate, the certificate Subject value is automatically populated with the user name of the person who enrolls the Mac computer.

Dans le cas d’une installation de certificat qui n’utilise pas l’inscription Configuration Manager, mais qui déploie un certificat d’ordinateur indépendamment de Configuration Manager, la valeur Objet du certificat doit être unique.For certificate installation that does not use Configuration Manager enrollment but deploys a Computer certificate independently from Configuration Manager, the certificate Subject value must be unique. Indiquez par exemple le nom de domaine complet de l'ordinateur.For example, specify the FQDN of the computer.

Le champ Autre nom de l'objet n'est pas pris en charge.The Subject Alternative Name field is not supported.

L’algorithme de hachage SHA-2 est pris en charge.The SHA-2 hash algorithm is supported.

La longueur maximale de la clé est de 2 048 bits.Maximum supported key length is 2,048 bits.
Ce certificat authentifie l’ordinateur client Mac auprès des serveurs de système de site avec lesquels il communique, tels que les points de gestion et les points de distribution.This certificate authenticates the Mac client computer to the site system servers that it communicates with, like management points and distribution points.
Ordinateurs clients Linux et UNIXLinux and UNIX client computers Authentification du clientClient authentication Authentification de station de travailWorkstation Authentication Utilisation avancée de la clé : la valeur de ce paramètre doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Le champ Autre nom de l'objet n'est pas pris en charge.The Subject Alternative Name field is not supported.

La clé privée doit être exportable.The private key must be exportable.

L'algorithme de hachage SHA-2 est pris en charge si le système d'exploitation du client prend en charge SHA-2.SHA-2 hash algorithm is supported if the operating system of the client supports SHA-2. Pour plus d’informations, consultez la section À propos des systèmes d’exploitation Linux et UNIX qui ne prennent pas en charge SHA-256 dans la rubrique Planification du déploiement de clients sur des ordinateurs Linux et UNIX dans Configuration Manager.For more information, see the About Linux and UNIX Operating Systems That do not Support SHA-256 section in Planning for client deployment to Linux and UNIX computers in Configuration Manager.

Longueurs de clé prises en charge : 2 048 bits.Supported key lengths: 2,048 bits.

Remarque : Ces certificats doivent être au format binaire codé DER X.509.Note: These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format. Le format X.509 codé en Base64 n'est pas pris en charge.Base64 encoded X.509 format is not supported.
Ce certificat authentifie l’ordinateur client Linux ou UNIX auprès des serveurs de système de site avec lesquels il communique, tels que les points de gestion et les points de distribution.This certificate authenticates the Linux or UNIX client computer to the site system servers that it communicates with, like management points and distribution points. Le certificat doit être exporté au format Public Key Certificate Standard (PKCS#12), et le mot de passe doit être connu, de sorte que vous puissiez l'indiquer au client lors de la spécification du certificat PKI.This certificate must be exported in a Public Key Certificate Standard (PKCS#12) format, and the password must be known so you can specify it to the client when you specify the PKI certificate.

Pour plus d’informations, consultez la section Planification de la sécurité et les certificats pour les serveurs Linux et UNIX dans la rubrique Planification du déploiement de clients sur des ordinateurs Linux et UNIX dans Configuration Manager.For additional information, see the Planning for Security and Certificates for Linux and UNIX Servers section in Planning for client deployment to Linux and UNIX computers in Configuration Manager.
Certificats de l'autorité de certification (CA) racine pour les scénarios suivants :Root certification authority (CA) certificates for the following scenarios:

  • Déploiement du système d'exploitationOperating system deployment
  • Inscription d'appareil mobileMobile device enrollment
  • Authentification du certificat du clientClient certificate authentication
Chaîne de certificat pour une source approuvéeCertificate chain to a trusted source Non applicable.Not applicable. Certificat d'autorité de certification racine standard.Standard root CA certificate. Le certificat d'autorité de certification racine doit être fourni lorsque les clients doivent lier les certificats du serveur qui communique à une source fiable.The root CA certificate must be provided when clients have to chain the certificates of the communicating server to a trusted source. Cela s'applique aux scénarios suivants :This applies in the following scenarios:

  • Lorsque vous déployez un système d’exploitation et pendant l’exécution de séquences de tâches qui connectent l’ordinateur client à un point de gestion configuré pour utiliser le protocole HTTPS.When you deploy an operating system, and task sequences run that connect the client computer to a management point that is set up to use HTTPS.
  • Quand vous inscrivez un appareil mobile qui doit être managé par Configuration Manager.When you enroll a mobile device to be managed by Configuration Manager.
De plus, le certificat d'autorité de certification racine des clients doit être fourni si les certificats du client ont été émis par une hiérarchie d'autorité de certification différente de celle ayant émis le certificat du point de gestion.In addition, the root CA certificate for clients must be provided if the client certificates are issued by a different CA hierarchy than the CA hierarchy that issued the management point certificate.
Appareils mobiles inscrits par Microsoft IntuneMobile devices that are enrolled by Microsoft Intune Authentification du clientClient authentication Non applicable : Intune crée automatiquement ce certificat.Not applicable: Intune automatically creates this certificate. La valeur Utilisation avancée de la clé doit contenir Authentification du client (1.3.6.1.5.5.7.3.2) .Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Trois extensions personnalisées identifient de manière unique l’abonnement Intune du client.Three custom extensions uniquely identify the customer Intune subscription.

Les utilisateurs peuvent fournir la valeur Objet du certificat lors de l'inscription.Users can supply the certificate Subject value during enrollment. Cependant, Intune n’utilise pas cette valeur pour identifier l’appareil.However, Intune does not use this value to identify the device.

La taille de la clé est de 2 048 bits et elle utilise l’algorithme de hachage SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Remarque : Vous ne pouvez pas modifier ces paramètres.Note: You cannot change these settings. ces informations sont fournies uniquement à titre d'information.This information is provided for informational purposes only.
Ce certificat est demandé et installé automatiquement quand les utilisateurs authentifiés inscrivent leurs appareils mobiles à l’aide de Microsoft Intune.This certificate is automatically requested and installed when authenticated users enroll their mobiles devices by using Microsoft Intune. Le certificat obtenu sur l’appareil réside dans le magasin de l’ordinateur et authentifie l’appareil mobile inscrit auprès d’Intune pour qu’il puisse être géré.The resulting certificate on the device resides in the Computer store and authenticates the enrolled mobile device to Intune, so that it can then be managed.

Du fait des extensions personnalisées du certificat, l’authentification se limite à l’abonnement Intune établi pour l’organisation.Because of the custom extensions in the certificate, authentication is restricted to the Intune subscription that has been established for the organization.