PKI-tanúsítványkövetelmények a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
A nyilvános kulcsú infrastruktúra (PKI) tanúsítványai, amelyekre Configuration Manager szüksége lehet, az alábbi táblázatokban találhatók. Ez az információ feltételezi a PKI-tanúsítványok alapszintű ismeretét.
Bármilyen PKI-t használhat a tanúsítványok többségének létrehozására, üzembe helyezésére és kezelésére Configuration Manager. A mobileszközökön és Mac számítógépeken Configuration Manager ügyféltanúsítványok esetében az Active Directory tanúsítványszolgáltatást kell használniuk.
Az Active Directory tanúsítványszolgáltatások és tanúsítványsablonok használata esetén ez a Microsoft PKI-megoldás megkönnyíti a tanúsítványok kezelését. Az alábbi szakaszokban található Microsoft-tanúsítványsablon-referencia segítségével azonosíthatja a tanúsítványkövetelményeknek leginkább megfelelő tanúsítványsablont. Csak a Windows Server Enterprise vagy Datacenter kiadásain futó vállalati hitelesítésszolgáltató (CA) használhat sablonalapú tanúsítványokat.
További információért olvassa el az alábbi témaköröket:
Támogatott tanúsítványtípusok
Secure Hash Algorithm 2 (SHA-2) tanúsítványok
Adja ki az SHA-2-vel aláírt új kiszolgáló- és ügyfél-hitelesítési tanúsítványokat, amelyek tartalmazzák az SHA-256-ot és az SHA-512-t. Minden internetkapcsolattal rendelkező szolgáltatásnak SHA-2 tanúsítványt kell használnia. Ha például nyilvános tanúsítványt vásárol egy felhőfelügyeleti átjáróhoz, győződjön meg arról, hogy sha-2 tanúsítványt vásárol.
A Windows nem bízik meg az SHA-1-nel aláírt tanúsítványokban. További információ: Az SHA1-tanúsítványok Windows-kényszerítése.
CNG v3-tanúsítványok
Configuration Manager támogatja a Cryptography: Next Generation (CNG) v3 tanúsítványokat. Configuration Manager-ügyfelek PKI-ügyfélhitelesítő tanúsítványt használhatnak titkos kulccsal egy CNG-kulcstároló szolgáltatóban (KSP). A KSP-támogatással Configuration Manager-ügyfelek támogatják a hardveralapú titkos kulcsokat, például a PKI ügyfél-hitelesítési tanúsítványaihoz használható TPM KSP-t.
További információ: CNG v3-tanúsítványok áttekintése.
PKI-tanúsítványok kiszolgálókhoz
IIS-t futtató és HTTPS-ügyfélkapcsolatokat támogató helyrendszerek
Ez a webkiszolgáló-tanúsítvány a következő célokra használható:
- A kiszolgálók hitelesítése az ügyfélen
- A TLS használatával titkosítja az ügyfél és a kiszolgálók között átvitt összes adatot.
A következőkre vonatkozik:
- Felügyeleti pont
- Terjesztési pont
- Szoftverfrissítési pont
- Állapotáttelepítési pont
- Regisztrációs pont
- Regisztrációs proxypont
- Tanúsítványregisztrációs pont
Tanúsítványkövetelmények:
Tanúsítvány célja: Kiszolgálóhitelesítés
Microsoft-tanúsítványsablon: Webkiszolgáló
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Server Authentication (1.3.6.1.5.5.7.3.1)
Tulajdonos neve:
Ha a helyrendszer fogadja az internetről érkező kapcsolatokat, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben szerepelnie kell az internet teljes tartománynevének (FQDN).
Ha a helyrendszer intranetről fogad kapcsolatokat, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben szerepelnie kell az intranetes teljes tartománynévnek (ajánlott) vagy a számítógép nevének a helyrendszer beállításától függően.
Ha a helyrendszer az internetről és az intranetről is fogad kapcsolatokat, az internetes teljes tartománynevet és az intranetes teljes tartománynevet (vagy számítógépnevet) is meg kell adni. Használja az és (
&
) szimbólum határolójelet a két név között.
Megjegyzés:
Ha a szoftverfrissítési pont csak az internetről fogad ügyfélkapcsolatokat, a tanúsítványnak tartalmaznia kell az internetes teljes tartománynevet és az intranetes teljes tartománynevet is.
Kulcshossz: Configuration Manager nem ad meg maximálisan támogatott kulcshosszt ehhez a tanúsítványhoz. A tanúsítvány kulcsméretével kapcsolatos problémákért tekintse meg a PKI és az IIS dokumentációját.
A legtöbb helyrendszerszerepkör támogatja a titkos tanúsítványkulcsok kulcstároló-szolgáltatóit (v3). További információ: CNG v3-tanúsítványok áttekintése.
Ennek a tanúsítványnak a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie.
Felhőfelügyeleti átjáró (CMG)
Ez a szolgáltatástanúsítvány a következő célokra használható:
A CMG szolgáltatás hitelesítése az Azure-ban az ügyfelek Configuration Manager
A TLS használatával titkosítja a közöttük átvitt összes adatot.
Exportálja ezt a tanúsítványt nyilvános kulcsú tanúsítvány standard (PKCS #12) formátumban. Ismernie kell a jelszót, hogy importálhassa a tanúsítványt a CMG létrehozásakor.
Tanúsítványkövetelmények:
Tanúsítvány célja: Kiszolgálóhitelesítés
Microsoft-tanúsítványsablon: Webkiszolgáló
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Server Authentication (1.3.6.1.5.5.7.3.1)
A Tulajdonos nevének tartalmaznia kell egy ügyfél által definiált szolgáltatásnevet a felhőfelügyeleti átjáró adott példányának köznapi neveként .
A titkos kulcsnak exportálhatónak kell lennie.
Támogatott kulcshosszok: 2048 bites vagy 4096 bites
Ez a tanúsítvány támogatja a titkos tanúsítványkulcsok (v3) kulcstároló-szolgáltatóinak használatát.
További információ: CMG-kiszolgáló hitelesítési tanúsítványa.
A Microsoft SQL Server futtató helyrendszer-kiszolgálók
Ez a tanúsítvány a kiszolgálók közötti hitelesítéshez használatos.
Tanúsítványkövetelmények:
Tanúsítvány célja: Kiszolgálóhitelesítés
Microsoft-tanúsítványsablon: Webkiszolgáló
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Server Authentication (1.3.6.1.5.5.7.3.1)
A Tulajdonos nevének tartalmaznia kell az intranet teljes tartománynevét (FQDN)
A maximális támogatott kulcshossz 2048 bit.
Ennek a tanúsítványnak a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie. Configuration Manager automatikusan átmásolja a megbízható Kapcsolatok tárolóba a Configuration Manager hierarchiában lévő kiszolgálók számára, amelyeknek megbízhatósági kapcsolatot kell létesítenie a kiszolgálóval.
SQL Server Always On feladatátvevőfürt-példány
Ez a tanúsítvány a kiszolgálók közötti hitelesítéshez használatos.
Tanúsítványkövetelmények:
Tanúsítvány célja: Kiszolgálóhitelesítés
Microsoft-tanúsítványsablon: Webkiszolgáló
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Server Authentication (1.3.6.1.5.5.7.3.1)
A Tulajdonos nevének tartalmaznia kell a fürt intranetes teljes tartománynevét (FQDN)
A titkos kulcsnak exportálhatónak kell lennie
A tanúsítvány érvényességi időtartama legalább két év, ha a Configuration Manager konfigurálja a feladatátvevőfürt-példány használatára
A maximális támogatott kulcshossz 2048 bit.
Kérje le és telepítse ezt a tanúsítványt a fürt egyik csomópontján. Ezután exportálja a tanúsítványt, és importálja a többi csomópontra.
Ennek a tanúsítványnak a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie. Configuration Manager automatikusan átmásolja a megbízható Kapcsolatok tárolóba a Configuration Manager hierarchiában lévő kiszolgálók számára, amelyeknek megbízhatósági kapcsolatot kell létesítenie a kiszolgálóval.
Helyrendszer monitorozása
A következőkre vonatkozik:
- Felügyeleti pont
- Állapotáttelepítési pont
Tanúsítványkövetelmények:
Tanúsítvány célja: Ügyfél-hitelesítés
Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Client Authentication (1.3.6.1.5.5.7.3.2)
A számítógépeknek egyedi értékkel kell rendelkezniük a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.
Megjegyzés:
Ha több értéket használ a Tulajdonos alternatív neve mezőben, az csak az első értéket használja.
A maximális támogatott kulcshossz 2048 bit.
Ez a tanúsítvány akkor is szükséges a felsorolt helyrendszer-kiszolgálókon, ha a Configuration Manager-ügyfél nincs telepítve. Ez a konfiguráció lehetővé teszi, hogy a hely monitorozza és jelentse ezeknek a helyrendszerszerepköröknek az állapotát.
Ezeknek a helyrendszereknek a tanúsítványának a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie.
A Configuration Manager házirendmodult a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) szerepkör-szolgáltatással futtató kiszolgálók
Tanúsítványkövetelmények:
Tanúsítvány célja: Ügyfél-hitelesítés
Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Client Authentication (1.3.6.1.5.5.7.3.2)
A tanúsítvány tulajdonosának vagytulajdonos alternatív nevének (SAN) nincsenek konkrét követelményei. Ugyanazt a tanúsítványt több, a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálóhoz is használhatja.
Támogatott kulcshosszok: 1024 bit és 2048 bit.
Terjesztési ponttal rendelkező helyrendszerek
Ennek a tanúsítványnak két célja van:
Hitelesíti a terjesztési pontot egy HTTPS-kompatibilis felügyeleti ponttal, mielőtt a terjesztési pont állapotüzeneteket küld.
Megjegyzés:
Ha az összes felügyeleti pontot HTTPS-re konfigurálja, akkor a HTTPS-kompatibilis terjesztési pontoknak PKI által kibocsátott tanúsítványt kell használniuk. Ne használjon önaláírt tanúsítványokat a terjesztési pontokon, ha a felügyeleti pontok tanúsítványokat használnak. Egyéb esetben problémák léphetnek fel. A terjesztési pontok például nem küldenek állapotüzeneteket.
Egy PXE-kompatibilis terjesztési pont elküldi ezt a tanúsítványt a számítógépeknek. Ha a feladatütemezés olyan ügyfélműveleteket tartalmaz, mint például az ügyfélházirend lekérése vagy a leltáradatok küldése, a számítógép az operációs rendszer központi telepítési folyamata során csatlakozhat egy HTTPS-kompatibilis felügyeleti ponthoz.
Megjegyzés:
Ebben a PXE-forgatókönyvben ezt a tanúsítványt csak az operációs rendszer üzembehelyezési folyamata során használja a rendszer. Nincs telepítve az ügyfélen. Az ideiglenes használat miatt ugyanazt a tanúsítványt minden operációsrendszer-telepítéshez használhatja, ha nem szeretne több ügyféltanúsítványt használni.
A tanúsítvány követelményei megegyeznek a feladatütemezési adathordozó ügyféltanúsítványával. Mivel a követelmények ugyanazok, használhatja ugyanazt a tanúsítványfájlt.
A terjesztési pont HTTPS-engedélyezéséhez megadott tanúsítvány az összes tartalomterjesztési műveletre vonatkozik, nem csak az operációs rendszer üzemelő példányára.
Tanúsítványkövetelmények:
Tanúsítvány célja: Ügyfél-hitelesítés
Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Client Authentication (1.3.6.1.5.5.7.3.2)
A tanúsítvány tulajdonosának vagytulajdonos alternatív nevének (SAN) nincsenek konkrét követelményei. Javasoljuk, hogy minden terjesztési ponthoz használjon másik tanúsítványt, de használhatja ugyanazt a tanúsítványt.
A titkos kulcsnak exportálhatónak kell lennie.
A maximális támogatott kulcshossz 2048 bit.
Exportálja ezt a tanúsítványt nyilvános kulcsú tanúsítvány standard (PKCS #12) formátumban. Ismernie kell a jelszót, hogy importálhassa a tanúsítványt a terjesztési pont tulajdonságaiba.
Proxy webkiszolgálók internetalapú ügyfélfelügyelethez
Ha a hely támogatja az internetalapú ügyfélkezelést, és ssl-lezárással (áthidalással) proxy webkiszolgálót használ a bejövő internetkapcsolatokhoz, a proxy-webkiszolgálóra a következő tanúsítványkövetelmények vonatkoznak:
Megjegyzés:
Ha SSL-leállítás (bújtatás) nélkül használ proxy-webkiszolgálót, a proxy-webkiszolgálón nincs szükség további tanúsítványokra.
Tanúsítványkövetelmények:
Tanúsítvány célja: Kiszolgálóhitelesítés és ügyfél-hitelesítés
Microsoft-tanúsítványsablon: Webkiszolgáló - és munkaállomás-hitelesítés
Internetes teljes tartománynév a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben. Ha Microsoft-tanúsítványsablonokat használ, a Tulajdonos alternatív neve csak a munkaállomás-sablonnal érhető el.
Ez a tanúsítvány a következő kiszolgálók internetes ügyfelek felé történő hitelesítésére, valamint az ügyfél és a kiszolgáló közötti összes adat TLS-lel történő titkosítására szolgál:
- Internetalapú felügyeleti pont
- Internetalapú terjesztési pont
- Internetalapú szoftverfrissítési pont
Az ügyfél-hitelesítés a Configuration Manager-ügyfelek és az internetalapú helyrendszerek közötti ügyfélkapcsolatok áthidalására szolgál.
PKI-tanúsítványok ügyfelek számára
Windows rendszerű ügyfélszámítógépek
A szoftverfrissítési pont kivételével ez a tanúsítvány hitelesíti az ügyfelet az IIS-t futtató és HTTPS-ügyfélkapcsolatokat támogató helyrendszereken.
Tanúsítványkövetelmények:
Tanúsítvány célja: Ügyfél-hitelesítés
Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Client Authentication (1.3.6.1.5.5.7.3.2)
A kulcshasználat értékének tartalmaznia kell a következőt:
Digital Signature, Key Encipherment (a0)
Az ügyfélszámítógépeken egyedi értéknek kell lennie a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben. Ha ezt használja, a Tulajdonos neve mezőnek tartalmaznia kell a helyi számítógépnevet, kivéve, ha alternatív tanúsítványkijelölési feltétel van megadva. További információ: Plan for PKI client certificate selection (A PKI-ügyféltanúsítvány kiválasztásának megtervezása).
Megjegyzés:
Ha több értéket használ a Tulajdonos alternatív neve mezőben, az csak az első értéket használja.
Nincs maximális támogatott kulcshossz.
Alapértelmezés szerint Configuration Manager a számítógép tanúsítványtárolójának Személyes tárolójában keres számítógép-tanúsítványokat.
Feladatütemezési adathordozó operációs rendszerek központi telepítéséhez
Ezt a tanúsítványt egy OSD-feladatütemezés használja, és lehetővé teszi a számítógép számára, hogy az operációs rendszer központi telepítése során HTTPS-kompatibilis felügyeleti ponthoz és terjesztési ponthoz csatlakozzon. A felügyeleti ponttal és a terjesztési ponttal létesített kapcsolatok tartalmazhatnak olyan műveleteket, mint az ügyfélházirend lekérése a felügyeleti pontról és a tartalom letöltése a terjesztési pontról.
Ezt a tanúsítványt csak az operációs rendszer üzembehelyezési folyamata során használja a rendszer. A rendszer nem használja az ügyfél telepítési tulajdonságainak részeként, ha az ügyfél telepítve van a Windows és a ConfigMgr telepítése feladat során, és nem is települ az eszközön. Az ideiglenes használat miatt ugyanazt a tanúsítványt minden operációsrendszer-telepítéshez használhatja, ha nem szeretne több ügyféltanúsítványt használni.
Ha csak HTTPS-alapú környezettel rendelkezik, a feladatütemezési adathordozónak érvényes tanúsítvánnyal kell rendelkeznie. Ez a tanúsítvány lehetővé teszi, hogy az eszköz kommunikáljon a hellyel, és hogy az üzembe helyezés folytatódjon. A feladatütemezés befejeződése után, amikor az eszköz csatlakozik az Active Directoryhoz, az ügyfél automatikusan létrehozhat egy PKI-tanúsítványt egy csoportházirend-objektumon keresztül, vagy telepíthet egy PKI-tanúsítványt egy másik módszerrel.
Megjegyzés:
A tanúsítvány követelményei megegyeznek a terjesztési pont szerepkörrel rendelkező helyrendszerek kiszolgálótanúsítványával. Mivel a követelmények ugyanazok, használhatja ugyanazt a tanúsítványfájlt.
Tanúsítványkövetelmények:
Tanúsítvány célja: Ügyfél-hitelesítés
Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Client Authentication (1.3.6.1.5.5.7.3.2)
A tanúsítvány Tulajdonos neve vagy a Tulajdonos alternatív neve (SAN) mezőinek nincsenek konkrét követelményei. Ugyanazt a tanúsítványt használhatja az összes feladatütemezési adathordozóhoz.
A titkos kulcsnak exportálhatónak kell lennie.
A maximális támogatott kulcshossz 2048 bit.
Exportálja ezt a tanúsítványt nyilvános kulcsú tanúsítvány standard (PKCS #12) formátumban. Ismernie kell a jelszót, hogy importálhassa a tanúsítványt a feladatütemezési adathordozó létrehozásakor.
Fontos
A rendszerindító lemezképek nem tartalmaznak PKI-tanúsítványokat a helytel való kommunikációhoz. Ehelyett a rendszerindító lemezképek a feladatütemezési adathordozóhoz hozzáadott PKI-tanúsítványt használják a helytel való kommunikációhoz.
A PKI-tanúsítvány feladatütemezési adathordozóhoz való hozzáadásával kapcsolatos további információkért lásd: Rendszerindító adathordozó létrehozása és Előkészített adathordozó létrehozása.
macOS-ügyfélszámítógépek
Ez a tanúsítvány hitelesíti a macOS-ügyfélszámítógépet azon helyrendszer-kiszolgálókon, amelyekkel kommunikál. Ilyenek például a felügyeleti pontok és a terjesztési pontok.
Tanúsítványkövetelmények:
Tanúsítvány célja: Ügyfél-hitelesítés
Microsoft-tanúsítványsablon:
- Configuration Manager-regisztráció esetén: Hitelesített munkamenet
- A Configuration Manager-től független tanúsítványtelepítés esetén: Munkaállomás-hitelesítés
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Client Authentication (1.3.6.1.5.5.7.3.2)
Tulajdonos neve:
- Felhasználói tanúsítványt létrehozó Configuration Manager esetén a rendszer automatikusan kitölti a tanúsítvány Tulajdonos értékét a macOS-számítógépet regisztráló személy felhasználónevével.
- Olyan tanúsítványtelepítés esetén, amely nem Configuration Manager-regisztrációt használ, de a számítógép-tanúsítványt a Configuration Manager-től függetlenül telepíti, a tanúsítvány tulajdonosának egyedinek kell lennie. Adja meg például a számítógép teljes tartománynevét.
- A Tulajdonos alternatív neve mező nem támogatott.
A maximális támogatott kulcshossz 2048 bit.
Mobileszköz-ügyfelek
Ez a tanúsítvány hitelesíti a mobileszköz-ügyfelet azon helyrendszer-kiszolgálókon, amelyekkel kommunikál. Ilyenek például a felügyeleti pontok és a terjesztési pontok.
Tanúsítványkövetelmények:
Tanúsítvány célja: Ügyfél-hitelesítés
Microsoft-tanúsítványsablon: Hitelesített munkamenet
A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket:
Client Authentication (1.3.6.1.5.5.7.3.2)
A maximális támogatott kulcshossz 2048 bit.
Ezeknek a tanúsítványoknak DER-szabályok (DER) kódolású bináris X.509 formátumban kell lenniük. A Base64 kódolású X.509 formátum nem támogatott.
Legfelső szintű hitelesítésszolgáltatói (CA-) tanúsítványok
Ez a tanúsítvány egy standard legfelső szintű hitelesítésszolgáltatói tanúsítvány.
Érintett szolgáltatás:
- Operációs rendszer üzembe helyezése
- Ügyféltanúsítvány-hitelesítés
- Mobileszköz-regisztráció
Tanúsítvány célja: Tanúsítványlánc megbízható forráshoz
A legfelső szintű hitelesítésszolgáltatói tanúsítványt akkor kell megadni, ha az ügyfeleknek a kommunikáló kiszolgáló tanúsítványait megbízható forráshoz kell láncolnia. Az ügyfelek fő hitelesítésszolgáltatói tanúsítványát akkor kell megadni, ha az ügyféltanúsítványokat a felügyeletipont-tanúsítványt kiállító hitelesítésszolgáltatói hierarchiától eltérő hitelesítésszolgáltatói hierarchia állítja ki.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: