CNG-tanúsítványok áttekintéseCNG certificates overview

A Configuration Manager korlátozott mértékben támogatja a titkosítást: Következő generációs (CNG) tanúsítványok.Configuration Manager has limited support for Cryptography: Next Generation (CNG) certificates. Configuration Manager-ügyfelek PKI ügyfél-hitelesítési tanúsítvány titkos kulcsát a CNG kulcstároló szolgáltató (KSP) használhatja.Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Támogatása kulcstároló-Szolgáltatójába, a Configuration Manager-ügyfelek támogatják a személyes hardveralapú kulcs, például a TPM kulcstároló-Szolgáltatójába PKI ügyfél-hitelesítési tanúsítványok esetében.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates.

Támogatott esetekSupported scenarios

Használhat titkosítási API: Következő generációs (CNG) -tanúsítványsablonok esetében a következő esetekben:You can use Cryptography API: Next Generation (CNG) certificate templates for the following scenarios:

  • Ügyfél-regisztráció és a egy HTTPS felügyeleti ponttal való kommunikációClient registration and communication with an HTTPS management point
  • Szoftver terjesztési és az alkalmazás központi telepítése, és a egy HTTPS-terjesztési pontSoftware distribution and application deployment with an HTTPS distribution point
  • Operációs rendszer központi telepítéseOperating system deployment
  • Ügyfél SDK-t (a legújabb frissítés) és ISV-proxyhoz üzenetkezelésClient messaging SDK (with latest update) and ISV Proxy
  • Cloud Management Gateway-konfigurációCloud Management Gateway configuration

CNG-tanúsítványoknál az 1802-es verzióval kezdődően, használja a következő HTTPS használatára konfigurált kiszolgálói szerepkörök: Starting with version 1802, use CNG certificates for the following HTTPS-enabled server roles:

  • Felügyeleti pontManagement point
  • Terjesztési pontDistribution point
  • Szoftverfrissítési pontSoftware update point
  • állapotáttelepítési pontState migration point

CNG-tanúsítványoknál 1806 verziójától kezdve, használja a következő HTTPS használatára konfigurált kiszolgálói szerepkörök:Starting with version 1806, use CNG certificates for the following HTTPS-enabled server roles:

  • Tanúsítványregisztrációs pont, többek között a Configuration Manager házirend modulját az NDES-kiszolgálón Certificate registration point, including the NDES server with the Configuration Manager policy module

Megjegyzés

CNG visszamenőlegesen kompatibilis a titkosítási API (CAPI).CNG is backward compatible with Crypto API (CAPI). CAPI tanúsítványok továbbra is támogatottak, akkor is, ha engedélyezve van a CNG-támogatása az ügyfélen.CAPI certificates continue to be supported even when CNG support is enabled on the client.

Nem támogatott helyzetekUnsupported scenarios

Jelenleg nem támogatottak a következő esetekben:The following scenarios are currently not supported:

  • A következő kiszolgálói szerepköröket, amelyek nem működési, ha HTTPS-mód a CNG tanúsítványhoz kötve a webhely Internet Information Services (IIS) telepítése:The following server roles are not operational when installed in HTTPS mode with a CNG certificate bound to the web site in Internet Information Services (IIS):

    • Az alkalmazáskatalógus webszolgáltatásApplication catalog web service
    • Alkalmazáskatalógus weboldal-elérésiApplication catalog website
    • Beléptetési pontEnrollment point
    • Beléptetési proxypontEnrollment proxy point
  • A Szoftverközpont alkalmazások és csomagok elérhetőként felhasználó vagy felhasználói csoport gyűjteményt telepített nem jeleníti meg.Software Center does not display applications and packages as available that are deployed to user or user group collections.

  • CNG-tanúsítványok használatával létrehoz egy felhőalapú terjesztési pontot.Using CNG certificates to create a Cloud Distribution Point.

  • Ha az NDES-házirend modul ügyfél-hitelesítéshez egy CNG-tanúsítványt használ, a tanúsítványregisztrációs pont kommunikáció sikertelen lesz.If the NDES policy module is using a CNG certificate for client authentication, communication to the certificate registration point fails.

    • Ez a Configuration Manager verziója 1806 kezdődően támogatott.This is supported starting in Configuration Manager version 1806.
  • Ha a feladatütemezési média létrehozásakor megad egy CNG-tanúsítványt, a varázsló nem rendszerindító adathordozó létrehozása.If you specify a CNG certificate when creating task sequence media, the wizard fails to create bootable media.

    • Ez a Configuration Manager verziója 1806 kezdődően támogatott.This is supported starting in Configuration Manager version 1806.

A CNG-tanúsítványok használataTo use CNG certificates

CNG-tanúsítványok használatára, a hitelesítésszolgáltató (CA) kell adnia a CNG-tanúsítványsablonok a célszámítógépekre.To use CNG certificates, your certification authority (CA) needs to provide CNG certificate templates for target machines. A forgatókönyv; sablon részleteinek függően változnak azonban az alábbi tulajdonságok szükségesek:Template details vary according to the scenario; however, the following properties are required:

  • Kompatibilitási lapCompatibility tab

    • Hitelesítésszolgáltató kell lennie a Windows Server 2008 vagy újabb.Certificate Authority must be Windows Server 2008 or later. (A Windows Server 2012 ajánlott.)(Windows Server 2012 is recommended.)

    • Tanúsítvány kedvezményezettje kell lennie a Windows Vista/Server 2008 vagy újabb.Certificate recipient must be Windows Vista/Server 2008 or later. (A Windows 8 vagy Windows Server 2012-ben ajánlott.)(Windows 8/Windows Server 2012 is recommended.)

  • Titkosítás lapCryptography tab

    • Szolgáltató besorolása kell kulcstároló-szolgáltató.Provider Category must be Key Storage Provider. (kötelező)(required)
    • Kérelem a következő szolgáltatók egyikét kell használnia: kell Microsoft Software Key Storage Provider.Request must use one of the following providers: must be Microsoft Software Key Storage Provider.

Megjegyzés

A környezet vagy a szervezet követelményei eltérőek lehetnek.The requirements for your environment or organization may be different. A nyilvános kulcsokra épülő infrastruktúra szakértőnek kapcsolatba.Contact your PKI expert. A fontos figyelembe venni, hogy tanúsítványsablont kell használnia a kulcstároló-szolgáltató CNG előnyeinek kihasználása érdekében.The important point to consider is a certificate template must use a Key Storage Provider to take advantage of CNG.

A legjobb eredmények érdekében javasoljuk, hogy a tulajdonos neve az Active Directoryból létrehozásához.For best results, we recommend building the Subject Name from Active Directory information. DNS-nevét használja tulajdonos nevének formátuma és az alternatív tulajdonosnévbe a DNS-nevét.Use the DNS Name for Subject name format and include the DNS name in the alternate subject name. Ez az információ ellenkező esetben meg kell adnia, amikor regisztrálja az eszközt a tanúsítványprofilt.Otherwise, you must provide this information when the device enrolls into the certificate profile.