CNG tanúsítványok – áttekintésCNG certificates overview

A Configuration Manager korlátozott mértékben támogatja a kriptográfiai: Next Generation (CNG) típusú tanúsítványokat.Configuration Manager has limited support for Cryptography: Next Generation (CNG) certificates. Configuration Manager-ügyfelek PKI ügyfél-hitelesítési tanúsítvány titkos kulcsot a CNG kulcstároló szolgáltató (KSP) használhatja.Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Configuration Manager-ügyfelek KSP támogatásával támogatja a személyes hardveralapú kulcs, például a TPM kulcstároló-Szolgáltatóra vonatkozó PKI ügyfél-hitelesítési tanúsítványok.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates.

Támogatott esetekSupported scenarios

Használhat Cryptography API: Következő generációs (CNG) -tanúsítványsablonok esetében a következő esetekben:You can use Cryptography API: Next Generation (CNG) certificate templates for the following scenarios:

  • Ügyfél-regisztrációk és egy HTTPS-felügyeleti ponttal való kommunikációClient registration and communication with an HTTPS management point
  • Szoftver terjesztési és az alkalmazás központi telepítése, egy HTTPS-terjesztési pontSoftware distribution and application deployment with an HTTPS distribution point
  • Operációs rendszer központi telepítéseOperating system deployment
  • Az ügyfél SDK-t (a legújabb frissítés) és ISV Proxy üzenetkezelésiClient messaging SDK (with latest update) and ISV Proxy
  • Adatkezelési átjáró felhőkonfigurációCloud Management Gateway configuration

CNG-tanúsítványoknál 1802 verziójától kezdve, használja a következő HTTPS használatára konfigurált kiszolgálói szerepkörök: Starting with version 1802, use CNG certificates for the following HTTPS-enabled server roles:

  • Felügyeleti pontManagement point
  • Terjesztési pontDistribution point
  • Szoftverfrissítési pontSoftware update point
  • állapotáttelepítési pontState migration point

Megjegyzés

CNG visszamenőlegesen kompatibilis a titkosítási API (CAPI).CNG is backward compatible with Crypto API (CAPI). CAPI tanúsítványok továbbra is támogatják, akkor is, ha a CNG támogatása engedélyezve van az ügyfélen.CAPI certificates continue to be supported even when CNG support is enabled on the client.

Nem támogatott helyzetekUnsupported scenarios

Jelenleg nem támogatottak a következő esetekben:The following scenarios are currently not supported:

  • A következő kiszolgálói szerepköröket, amelyek nem működik, ha HTTPS módban a CNG tanúsítványhoz kötve a webhely Internet Information Services (IIS) telepítve:The following server roles are not operational when installed in HTTPS mode with a CNG certificate bound to the web site in Internet Information Services (IIS):

    • Az alkalmazáskatalógus webszolgáltatásApplication catalog web service
    • Alkalmazás alkalmazáskatalógus weboldal-elérésiApplication catalog website
    • Beléptetési pontEnrollment point
    • Beléptetési proxypontEnrollment proxy point
  • A Szoftverközpont nem jelenik meg, alkalmazások és csomagok rendelkezésre állásra, amely a felhasználó vagy felhasználói csoport gyűjteményt is települ.Software Center does not display applications and packages as available that are deployed to user or user group collections.

  • A felhőalapú terjesztési pont létrehozása a CNG-tanúsítványoknál használatával.Using CNG certificates to create a Cloud Distribution Point.

  • Ha az NDES policy module CNG tanúsítványt használ az ügyfél-hitelesítéshez, a tanúsítványregisztrációs pont kommunikáció sikertelen lesz.If the NDES policy module is using a CNG certificate for client authentication, communication to the certificate registration point fails.

  • Feladatütemezési média létrehozásakor a CNG tanúsítványt ad meg, ha a rendszerindító adathordozó létrehozásához a varázsló hibát jelez.If you specify a CNG certificate when creating task sequence media, the wizard fails to create bootable media.

A CNG-tanúsítványokat használTo use CNG certificates

A CNG-tanúsítványoknál használatához a hitelesítésszolgáltató (CA) kell megadni. CNG tanúsítványsablonok a célszámítógépekre.To use CNG certificates, your certification authority (CA) needs to provide CNG certificate templates for target machines. A forgatókönyv; függvényében sablon részletei azonban szükségesek a következő tulajdonságokkal:Template details vary according to the scenario; however, the following properties are required:

  • Kompatibilitási lapCompatibility tab

    • Hitelesítésszolgáltatói tanúsítvány kell a Windows Server 2008 vagy újabb.Certificate Authority must be Windows Server 2008 or later. (Windows Server 2012 ajánlott.)(Windows Server 2012 is recommended.)

    • Tanúsítvány kedvezményezettje kell lennie a Windows Vista/Server 2008 vagy újabb.Certificate recipient must be Windows Vista/Server 2008 or later. (Windows 8 és Windows Server 2012 ajánlott.)(Windows 8/Windows Server 2012 is recommended.)

  • Titkosítás lapCryptography tab

    • Szolgáltató besorolása kell kulcstároló-szolgáltató.Provider Category must be Key Storage Provider. (kötelező)(required)

Megjegyzés

A környezet vagy a szervezet követelményei lehetnek.The requirements for your environment or organization may be different. Lépjen kapcsolatba a nyilvános kulcsokra épülő infrastruktúra szakértő.Contact your PKI expert. A fontos és megfontolandó szempont egy tanúsítványsablont kell használnia a kulcstároló-szolgáltató CNG előnyeit.The important point to consider is a certificate template must use a Key Storage Provider to take advantage of CNG.

A legjobb eredmények elérése érdekében ajánlott összeállítása a tulajdonos neve az Active Directoryból.For best results, we recommend building the Subject Name from Active Directory information. A DNS-nevét használja tulajdonos nevének formátuma és a DNS-nevet adja meg a tulajdonos alternatív neve.Use the DNS Name for Subject name format and include the DNS name in the alternate subject name. Ellenkező esetben kell megadnia ezeket az információkat az eszköz a tanúsítvány profilba regisztráció alkalmával.Otherwise, you must provide this information when the device enrolls into the certificate profile.