Déterminer si vous devez spécifier les paramètres de certificat du client (Mode natif)
Mis à jour: novembre 2009
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Lorsque des clients Configuration Manager 2007 se connectent à leurs points de gestion, ils utilisent un certificat de client à des fins d'authentification.
Un client Configuration Manager 2007 utilise un certificat situé dans le magasin de certificats de l'ordinateur. Par défaut, le client identifie un certificat dans le magasin Personnel qui inclut l'authentification du client dans le champ concerné, puis utilise ce certificat pour une communication en mode natif. Si un ordinateur client dispose d'un seul certificat valide qui répond à cette exigence, aucun paramètre de certificat n'est à configurer dans Configuration Manager 2007.
En revanche, vous devrez configurer les paramètres de certificat du client si l'une des conditions suivantes s'applique :
Le certificat de client à utiliser avec Configuration Manager 2007 n'est pas stocké dans le magasin Personnel mais à un emplacement différent dans le magasin de certificats de l'ordinateur.
Plusieurs certificats sont valides et contiennent le rôle d'authentification du client. Dans ce scénario, Configuration Manager ne sait pas quel certificat utiliser.
Lorsque des clients disposent de plusieurs certificats pouvant servir dans le cadre d'une communication en mode natif, deux méthodes de sélection disponibles peuvent être configurées pour plusieurs clients afin de déterminer quel certificat sera employé :
Une correspondance partielle des chaînes pour les valeurs Nom d'objet du certificat du client. Cette correspondance ne tient pas compte de la casse et convient parfaitement si vous utilisez le nom de domaine complet (FQDN) d'un ordinateur dans le champ Objet et souhaitez que la sélection du certificat soit basée sur le suffixe de domaine (par exemple, contoso.com). Vous pouvez, en revanche, utiliser cette méthode de sélection pour identifier toutes les chaînes de caractères séquentielles qui différencient le certificat des autres certificats du magasin de certificats du client.
Une correspondance pour les valeurs d'attribut Nom d'objet ou Autre nom de l'objet du certificat du client. Cette correspondance tient compte de la casse et convient parfaitement si vous utilisez un nom unique X500 ou des identificateurs d'objet équivalents (OID) dans le champ Objet conformément à la norme RFC 3280 et souhaitez que la sélection du certificat soit fondée sur les valeurs d'attribut. Vous pouvez spécifier uniquement les attributs et leurs valeurs s'ils doivent identifier de manière unique ou valider le certificat et le différencier des autres certificats du magasin de certificats.
Les valeurs d'attribut prises en charge dans Configuration Manager 2007 pour les critères de sélection du certificat sont répertoriées dans le tableau ci-dessous.
| Attribut d'OID | Attribut de nom unique | Définition de l'attribut |
|---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
Composant de domaine |
1.2.840.113549.1.9.1 |
E ou E-mail |
Adresse de messagerie |
2.5.4.3 |
CN |
Nom commun |
2.5.4.4 |
SN |
Nom d'objet |
2.5.4.5 |
SERIALNUMBER |
Numéro de série |
2.5.4.6 |
C |
Code du pays |
2.5.4.7 |
L |
Localité |
2.5.4.8 |
S ou ST |
Nom de département/province |
2.5.4.9 |
STREET |
Adresse |
2.5.4.10 |
O |
Nom de l'organisation |
2.5.4.11 |
OU |
Unité d'organisation |
2.5.4.12 |
T ou Title |
Titre |
2.5.4.42 |
G ou GN ou GivenName |
Prénom |
2.5.4.43 |
I ou Initials |
Initiales |
2.5.29.17 |
(aucune valeur) |
Autre nom de l'objet |
Si plusieurs certificats appropriés sont détectés même après application des critères de sélection, vous pouvez spécifier le comportement du client en matière de sélection du certificat. Lorsqu'un certificat ne peut être choisi de manière unique, le paramètre par défaut est qu'aucun certificat n'est sélectionné, ce qui entraîne un échec de communication avec le point de gestion. Dans ce scénario, le client transmet un message d'erreur au point d'état de secours qui lui est attribué pour vous prévenir de l'échec de sélection du certificat et vous permettre de modifier ou d'affiner vos critères de sélection de certificat.
Vous pouvez également configurer des clients afin de sélectionner l'un des certificats appropriés et correspondants. Si le client exécute Configuration Manager 2007 SP1 ou version ultérieure, le certificat ayant la période de validité la plus longue est sélectionné, ce qui peut s'avérer nécessaire si vous utilisez la protection d'accès réseau et la contrainte IPsec. Ce paramètre peut entraîner une communication en mode natif, ce qui constitue cependant une configuration moins fiable étant donné qu'il n'y aura plus de contrôle quant au certificat client utilisé.
Voir aussi
Tâches
Comment spécifier les critères de sélection du certificat du client
Comment spécifier le magasin de certificats du client
Concepts
Certificats requis pour le mode natif
Comment installer les clients Configuration Manager manuellement
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.