PKI-tanúsítványkövetelmények a System Center Configuration ManagerbenPKI certificate requirements for System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat, amelyekre szüksége lehet, hogy a System Center Configuration Manager az alábbi táblázatban láthatók.The public key infrastructure (PKI) certificates that you might require for System Center Configuration Manager are listed in the following tables. Ez az információ a PKI-tanúsítványok alapszintű ismeretét feltételezi.This information assumes basic knowledge of PKI certificates. Részletes üzembe helyezési útmutatót lásd: részletes példa a nyilvános kulcsokra épülő infrastruktúra telepítése a System Center Configuration Manager-tanúsítványok: A Windows Server 2008 hitelesítésszolgáltató.For step-by-step deployment guidance see Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority.

További információ az Active Directory tanúsítványszolgáltatás a következő dokumentációban tekintheti meg:For more about Active Directory Certificate Services, see the following documentation:

Információ a kriptográfiai API-val: Tekintse meg a következő generációja (CNG) tanúsítványok a Configuration Managerrel CNG-tanúsítványok áttekintése.For information about using Cryptography API: Next Generation (CNG) certificates with Configuration Manager, see CNG certificates overview.

Fontos

A System Center Configuration Manager támogatja a tanúsítványok biztonságos kivonatoló algoritmus 2 (SHA-2).System Center Configuration Manager supports Secure Hash Algorithm 2 (SHA-2) certificates. SHA-2-tanúsítványok használata fontos biztonsági előnyökkel jár.SHA-2 certificates bring an important security advantage. Ezért ajánlott a következők:Therefore, we recommend the following:

  • Új kiszolgálói és ügyféltanúsítványokat aláírt ki az SHA-2, amely tartalmazza az SHA-256 algoritmust és SHA-512, többek között.Issue new server and client authentication certificates that are signed with SHA-2, which includes SHA-256 and SHA-512, among others.
  • Összes internetes szolgáltatást kell használnia az SHA-2 tanúsítvány.All Internet-facing services should use a SHA-2 certificate. Például ha a nyilvános tanúsítványt a felhőfelügyeleti átjáróval folytatott, győződjön meg arról, hogy vásároljon SHA-2 tanúsítvány.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate.

2017. február 14-én érvényes Windows már nem bízik meg bizonyos tanúsítványok SHA-1 algoritmussal aláírt.Effective February 14, 2017, Windows no longer trusts certain certificates signed with SHA-1. Általában javasoljuk, hogy ki új kiszolgáló és ügyfél-hitelesítési tanúsítványok (amely tartalmazza az SHA-256 algoritmust és SHA-512, többek között) SHA-2 algoritmussal aláírva.In general, we recommend that you issue new server and client authentication certificates signed with SHA-2 (which includes SHA-256 and SHA-512, among others). Emellett javasoljuk, hogy bármely internethez csatlakoztatott szolgáltatás használja-e az SHA-2 tanúsítvány.Additionally, we recommend that any Internet-facing services use a SHA-2 certificate. Például ha a nyilvános tanúsítványt a felhőfelügyeleti átjáróval folytatott, győződjön meg arról, hogy vásároljon SHA-2 tanúsítvány."For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate."

A legtöbb esetben az SHA-2 tanúsítvány módosítása nem befolyásolja műveleteket.In most cases, the change to SHA-2 certificates has no impact on operations. További információkért lásd: SHA1 kényszerítési Windows tanúsítványok.For more information, see Windows Enforcement of SHA1 certificates.

Az ügyféltanúsítványok, hogy a System Center Configuration Manager belépteti a mobileszközök és Mac számítógépek, tanúsítványok, hogy a Microsoft Intune automatikusan létrehozza a mobileszközök kezeléséhez, és a System Center-tanúsítványok kivételével A Configuration Manager telepítése AMT-alapú számítógépekre, létrehozása, üzembe helyezése és kezelése a következő tanúsítványok bármilyen PKI használhatja.With the exception of client certificates that System Center Configuration Manager enrolls on mobile devices and Mac computers, certificates that Microsoft Intune automatically creates to manage mobile devices, and certificates that System Center Configuration Manager installs on AMT-based computers, you can use any PKI to create, deploy, and manage the following certificates. Azonban az Active Directory tanúsítványszolgáltatás és tanúsítványsablonokat használ, amikor a Microsoft PKI-megoldás megkönnyítheti a felügyeleti tanúsítványok.However, when you use Active Directory Certificate Services and certificate templates, this Microsoft PKI solution can ease the management of certificates. A következő táblázatok Használandó Microsoft-tanúsítványsablon oszlopa tartalmazza a tanúsítványokra vonatkozó követelményeknek leginkább megfelelő tanúsítványsablonokat.Use the Microsoft certificate template to use column in the following tables to identify the certificate template that most closely matches the certificate requirements. Csak a vállalati hitelesítésszolgáltató, amely az Enterprise Edition vagy Datacenter Edition verzióját a kiszolgáló operációs rendszer, például a Windows Server 2008 Enterprise és a Windows Server 2008 Datacenter, használhatja a sablonalapú tanúsítványokat.Only an enterprise certification authority that runs on the Enterprise Edition or Datacenter Edition of the server operating system, like Windows Server 2008 Enterprise and Windows Server 2008 Datacenter, can use template-based certificates.

Fontos

Amikor vállalati hitelesítésszolgáltatót és tanúsítványsablonokat használ, ne használja a 3-as verziójú sablonokat.When you use an enterprise certification authority and certificate templates, do not use the Version 3 templates. Ezek a tanúsítványsablonok olyan tanúsítványokat hoznak létre nem kompatibilis a System Center Configuration Managerrel.These certificate templates create certificates that are incompatible with System Center Configuration Manager. Ehelyett használja a 2-es verziójú sablonokat a következő útmutatás szerint:Instead, use Version 2 templates by using the following instructions:

  • A hitelesítésszolgáltató Windows Server 2012 rendszeren: Az a kompatibilitási lapon adja meg a tanúsítványsablon tulajdonságainak Windows Server 2003 számára a hitelesítésszolgáltató lehetőséget, és Windows XP / Server 2003 számára a tanúsítvány kedvezményezettje lehetőséget.For a CA on Windows Server 2012: On the Compatibility tab of the certificate template properties, specify Windows Server 2003 for the Certification Authority option, and Windows XP / Server 2003 for the Certificate recipient option.
    • A Windows Server 2008 hitelesítésszolgáltató: Amikor egy tanúsítványt, hagyja meg az alapértelmezett Windows Server 2003 Enterprise, amikor a rendszer kéri a sablon másolása párbeszédpanel bezárásához.For a CA on Windows Server 2008: When you duplicate a certificate template, keep the default selection, Windows Server 2003 Enterprise, when you are prompted by the Duplicate Template dialog box. Ne válassza a Windows Server 2008, Enterprise Edition.Do not select Windows Server 2008, Enterprise Edition.

Az alábbi szakaszok segítségével megtekintheti a tanúsítványokra vonatkozó követelményeket.Use the following sections to view the certificate requirements.

A kiszolgálók PKI-tanúsítványaiPKI Certificates for Servers

A System Center Configuration Manager összetevőSystem Center Configuration Manager component Tanúsítvány céljaCertificate purpose Használandó Microsoft-tanúsítványsablonMicrosoft certificate template to use A tanúsítványban szereplő konkrét információkSpecific information in the certificate A tanúsítvány hogyan használja a System Center Configuration ManagerbenHow the certificate is used in System Center Configuration Manager
Beléptetésihely-rendszerek, amelyek be vannak állítva HTTPS-kapcsolatok vagy az Internet Information Services (IIS) rendszert futtató:Site systems that run Internet Information Services (IIS) and that are set up for HTTPS client connections:

  • Felügyeleti pontManagement point
  • Terjesztési pontDistribution point
  • Szoftverfrissítési pontSoftware update point
  • állapotáttelepítési pontState migration point
  • Beléptetési pontEnrollment point
  • Beléptetési proxypontEnrollment proxy point
  • Alkalmazáskatalógus webszolgáltatási pontjaApplication Catalog web service point
  • Alkalmazáskatalógus weboldal-elérési pontjaApplication Catalog website point
  • A tanúsítványregisztrációs pontA certificate registration point
Kiszolgálói hitelesítésServer authentication WebkiszolgálóWeb Server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Ha a helyrendszer az internetről érkező kapcsolatokat fogad, a tulajdonos neve vagy a tulajdonos alternatív neve tartalmaznia kell az internetes teljes tartománynév (FQDN).If the site system accepts connections from the Internet, the Subject Name or Subject Alternative Name must contain the Internet fully qualified domain name (FQDN).

Ha a helyrendszer az intranetről érkező kapcsolatokat fogad, a tulajdonos neve vagy a tulajdonos alternatív neve tartalmaznia kell az intranetes teljes Tartománynevet (ajánlott) vagy a számítógép nevét, attól függően, hogy a helyrendszer be van állítva.If the site system accepts connections from the intranet, the Subject Name or Subject Alternative Name must contain either the intranet FQDN (recommended) or the computer's name, depending on how the site system is set up.

Ha a helyrendszer az internetről és az intranetről is érkező kapcsolatokat fogad, mind az internetes teljes Tartománynevet és a intranetes teljes Tartománynevet (vagy számítógép neve) kell adni az és jel (&) a két nevet szimbólum elválasztó használatával.If the site system accepts connections from both the Internet and the intranet, both the Internet FQDN and the intranet FQDN (or computer name) must be specified by using the ampersand (&) symbol delimiter between the two names.

Megjegyzés: Amikor a szoftverfrissítési pont csak az internetről érkező ügyfélkapcsolatokat fogad, a tanúsítványnak tartalmaznia kell az internetes és az intranetes teljes Tartománynevet egyaránt.Note: When the software update point accepts client connections from the Internet only, the certificate must contain both the Internet FQDN and the intranet FQDN.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

A System Center Configuration Manager nem adja meg a maximális támogatott kulcshossz ezt a tanúsítványt.System Center Configuration Manager does not specify a maximum supported key length for this certificate. A nyilvános kulcsokra épülő infrastruktúra és az IIS dokumentációjában tanulmányozza ezt a tanúsítványt a key méretű kapcsolódó problémákat.Consult your PKI and IIS documentation for any key-size related issues for this certificate.
Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.This certificate must reside in the Personal store in the Computer certificate store.

Ezek a kiszolgálók az ügyfél hitelesítéséhez és a Secure Sockets Layer (SSL) használatával az ügyfél és a kiszolgálók között átvitt minden adat titkosítása a webkiszolgáló-tanúsítványt használja.This web server certificate is used to authenticate these servers to the client and to encrypt all data that's transferred between the client and these servers by using Secure Sockets Layer (SSL).
Felhőalapú terjesztési pontCloud-based distribution point Kiszolgálói hitelesítésServer authentication WebkiszolgálóWeb Server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

A tulajdonos nevét kell tartalmaznia egy felhasználó által meghatározott szolgáltatásnevet és tartománynevet (FQDN) formátumban, a felhőalapú terjesztési pont meghatározott példányának köznapi neveként.The Subject Name must contain a customer-defined service name and domain name in an FQDN format as the Common Name for the specific instance of the cloud-based distribution point.

A titkos kulcsnak exportálhatónak kell lennie.The private key must be exportable.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Támogatott kulcshosszúságok: 2048 bit.Supported key lengths: 2,048 bits.
Ez a szolgáltatási tanúsítvány a felhőalapú terjesztési pont szolgáltatásának a Configuration Manager-ügyfelek hitelesítésére és a Secure Sockets Layer (SSL) használatával közöttük továbbított összes adat titkosítására szolgál.This service certificate is used to authenticate the cloud-based distribution point service to Configuration Manager clients and to encrypt all data transferred between them by using Secure Sockets Layer (SSL). Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumban kell exportálni, és a jelszót kell lennie, hogy importálhassa a felhőalapú terjesztési pont létrehozásakor.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported when you create a cloud-based distribution point.

Megjegyzés: Ez a tanúsítvány a Windows Azure felügyeleti tanúsítvánnyal együtt használható.Note: This certificate is used in conjunction with the Windows Azure management certificate.
A Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálókSite system servers that run Microsoft SQL Server Kiszolgálói hitelesítésServer authentication Web serverWeb server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

A tulajdonos nevének tartalmaznia kell az intranetes teljes tartománynevet (FQDN).The Subject Name must contain the intranet fully qualified domain name (FQDN).

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tárolójában kell lennie.This certificate must be in the Personal store in the Computer certificate store. A System Center Configuration Manager automatikusan átmásolja a megbízható személyek Store kiszolgálók a System Center Configuration Manager-hierarchiában, amely előfordulhat, hogy megbízhatósági kapcsolatot kell a kiszolgálóval.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Ezek a tanúsítványok a kiszolgálók közötti hitelesítéshez használhatók.These certificates are used for server-to-server authentication.
Az SQL Server-fürt: A Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálókSQL Server cluster: Site system servers that run Microsoft SQL Server Kiszolgálói hitelesítésServer authentication Web serverWeb server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

A tulajdonos nevének tartalmaznia kell az intranetes teljes tartománynevet (FQDN) a fürt nevére.The Subject Name must contain the intranet fully qualified domain name (FQDN) of the cluster.

A titkos kulcsnak exportálhatónak kell lennie.The private key must be exportable.

A tanúsítvány érvényességi időtartamának legalább két évnek System Center Configuration Manager az SQL Server-fürt használatára való konfigurálásakor kell rendelkeznie.The certificate must have a validity period of at least two years when you configure System Center Configuration Manager to use the SQL Server cluster.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Miután a kért és a tanúsítvány telepítve a fürtben több csomóponton, exportálja a tanúsítványt, és importálni kell az SQL Server-fürt minden további csomópontjának.After you have requested and installed this certificate on one node in the cluster, export the certificate and import it to each additional node in the SQL Server cluster.

Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tárolójában kell lennie.This certificate must be in the Personal store in the Computer certificate store. A System Center Configuration Manager automatikusan átmásolja a megbízható személyek Store kiszolgálók a System Center Configuration Manager-hierarchiában, amely előfordulhat, hogy megbízhatósági kapcsolatot kell a kiszolgálóval.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Ezek a tanúsítványok a kiszolgálók közötti hitelesítéshez használhatók.These certificates are used for server-to-server authentication.
Helyrendszer figyelése a következő helyrendszerszerepkörök esetében:Site system monitoring for the following site system roles:

  • Felügyeleti pontManagement point
  • állapotáttelepítési pontState migration point
Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A számítógépekhez egyedi értéknek kell tartoznia a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.Computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Megjegyzés: Ha a tulajdonos alternatív nevének több értékét használ, csak az első értéket használja.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Ez a tanúsítvány szükséges a felsorolt helyrendszer-kiszolgálókon, még akkor is, ha a System Center Configuration Manager-ügyfél nincs telepítve.This certificate is required on the listed site system servers, even if the System Center Configuration Manager client is not installed. Ez a beállítás lehetővé teszi, hogy a helyrendszerszerepköröket kell figyelni, és a hely jelenteni állapotát.This setup enables the health of these site system roles to be monitored and reported to the site.

E helyrendszerek tanúsítványának a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.The certificate for these site systems must reside in the Personal store of the Computer certificate store.
A System Center Configuration Manager házirend modulját és a hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást futtató kiszolgálókServers running the System Center Configuration Manager Policy Module with the Network Device Enrollment Service role service Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Nem vonatkoznak konkrét követelmények a tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Használhatja ugyanazt a tanúsítványt a hálózati eszközök tanúsítványigénylési szolgáltatását futtató több kiszolgáló.You can use the same certificate for multiple servers running the Network Device Enrollment Service.

SHA-2 és SHA-3 kivonatoló algoritmus támogatott.SHA-2 and SHA-3 hash algorithms are supported.

Támogatott kulcshosszúságok: 1024 bit és 2048 bit.Supported key lengths: 1,024 bits and 2,048 bits.
Telepített terjesztési ponttal rendelkező helyrendszerekSite systems that have a distribution point installed Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Nem vonatkoznak konkrét követelmények a tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Használhatja egy tanúsítvány pedig több terjesztési ponthoz.You can use the same certificate for multiple distribution points. Azonban célszerű eltérő tanúsítvány használata az egyes terjesztési pontok.However, it's a good idea to use a different certificate for each distribution point.

A titkos kulcsnak exportálhatónak kell lennie.The private key must be exportable.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Ennek a tanúsítványnak két célja van:This certificate has two purposes:

  • Hitelesíti a terjesztési pontot egy HTTPS használatára konfigurált felügyeleti ponton, mielőtt a terjesztési pont elküldi az állapotüzeneteket.It authenticates the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.
  • Ha a PXE-támogatás engedélyezése ügyfeleknek terjesztési pont funkció be van jelölve, a rendszer elküldi a tanúsítványt a számítógépekre.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers. Feladat a az operációs rendszer központi telepítésének folyamata ügyfélműveleteket is tartalmaz például az ügyfélházirend lekérését vagy a leltáradatok küldését, ha az ügyfélszámítógépek kapcsolódhatnak egy HTTPS használatára konfigurált felügyeleti ponthoz az operációs rendszer központi telepítése során .If task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information, the client computers can connect to a HTTPS-enabled management point during the deployment of the operating system.
Ezt a tanúsítványt csak az operációs rendszer központi telepítésének időtartama alatt kell használni, a rendszer nem telepíti az ügyfélre.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. A használat ideiglenes miatt ugyanaz a tanúsítvány használható minden operációs rendszer központi telepítésére, ha nem szeretné, hogy több ügyféltanúsítványt használni.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumban kell exportálni.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format. A jelszót, hogy a terjesztési pont tulajdonságainak importálhatók ismertnek kell lennie.The password must be known so that it can be imported into the distribution point properties.

Megjegyzés: A tanúsítványra vonatkozó követelmények ugyanazok, mint az ügyféltanúsítványt a rendszerindító lemezképeket, amelyek az operációs rendszerek központi telepítéséhez.Note: The requirements for this certificate are the same as the client certificate for boot images that deploy operating systems. Mivel a követelmények azonosak, használhatja ugyanazt a tanúsítványfájlt.Because the requirements are the same, you can use the same certificate file.
A Microsoft Intune-összekötőt futtató helyrendszer-kiszolgálóSite system server that runs the Microsoft Intune connector Ügyfél-hitelesítésClient authentication Nem alkalmazható: Az Intune automatikusan létrehozza ezt a tanúsítványt.Not applicable: Intune automatically creates this certificate. Kibővített kulcshasználat értéket tartalmaz ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Három egyéni bővítmény egyedi módon azonosítja az ügyfél az Intune-előfizetés.Three custom extensions uniquely identify the customer's Intune subscription.

A kulcshosszúság 2048 bit, és az SHA-1 kivonatoló algoritmust használ.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Megjegyzés: Ezek a beállítások nem módosíthatók.Note: You cannot change these settings. Az információ csak tájékoztató jellegű.This information is provided for informational purposes only.
Ez a tanúsítvány automatikusan kért és telepítve van a Configuration Manager adatbázisába, amikor előfizet a Microsoft Intune-bA.This certificate is automatically requested and installed to the Configuration Manager database when you subscribe to Microsoft Intune. A Microsoft Intune-összekötő telepítésekor ez a tanúsítvány települ az a, hogy a Microsoft Intune-összekötőt futtató helyrendszer-kiszolgáló.When you install the Microsoft Intune connector, this certificate is then installed on the site system server that runs the Microsoft Intune connector. A számítógép tanúsítványtárolójában van telepítve.It is installed in the Computer certificate store.

Ezt a tanúsítványt a Microsoft Intune-összekötő használatával a Microsoft Intune-bA a Configuration Manager-hierarchia hitelesítésére szolgál.This certificate is used to authenticate the Configuration Manager hierarchy to Microsoft Intune by using the Microsoft Intune connector. Az adatok átvitele titkosítottan történik a Secure Sockets Layer (SSL) protokoll használatával.All data that is transferred between them uses Secure Sockets Layer (SSL).

Proxy-webkiszolgálók az internetalapú ügyfélfelügyelethezProxy web servers for Internet-based client management

Ha a hely támogatja az internetalapú ügyfélfelügyeletet, és proxywebkiszolgálót használ az SSL-hídképzés bejövő internetkapcsolatokhoz, a proxywebkiszolgálóra a következő táblázatban felsorolt tanúsítványkövetelmények.If the site supports Internet-based client management, and you are using a proxy web server by using SSL termination (bridging) for incoming Internet connections, the proxy web server has the certificate requirements listed in the following table.

Megjegyzés

Ha proxywebkiszolgálót (bújtatás) SSL-lezárás nélkül használ, nem további igényel tanúsítványt, a proxy-webkiszolgálón.If you are using a proxy web server without SSL termination (tunneling), no additional certificates are required on the proxy web server.

Hálózati infrastruktúra összetevőjeNetwork infrastructure component Tanúsítvány céljaCertificate purpose Használandó Microsoft-tanúsítványsablonMicrosoft certificate template to use A tanúsítványban szereplő konkrét információkSpecific information in the certificate A tanúsítvány hogyan használja a System Center Configuration ManagerbenHow the certificate is used in System Center Configuration Manager
Az interneten érkező ügyfélkapcsolatokat fogadó proxywebkiszolgálóProxy web server accepting client connections over the Internet Kiszolgáló hitelesítése és ügyfél hitelesítéseServer authentication and client authentication 1.1.
WebkiszolgálóWeb Server

2.2.
Munkaállomás hitelesítéseWorkstation Authentication
Internet FQDN a tulajdonos neve mezőben vagy a tulajdonos alternatív neve mezőben.Internet FQDN in the Subject Name field or in the Subject Alternative Name field. Ha Microsoft tanúsítványsablonokat használ, a tulajdonos alternatív neve csak a munkaállomási sablonnal.If you are using Microsoft certificate templates, the Subject Alternative Name is available with the workstation template only.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.
Ezt a tanúsítványt a következő kiszolgálók az internetes ügyfelek hitelesítésére és az SSL-t használ az ügyfél és az ilyen kiszolgálók között továbbított összes adat titkosítására szolgál:This certificate is used to authenticate the following servers to Internet clients and to encrypt all data transferred between the client and this server by using SSL:

  • Az Internet alapú felügyeleti pontInternet-based management point
  • Internetalapú terjesztési pontInternet-based distribution point
  • Internet alapú szoftverfrissítési pontInternet-based software update point
Az ügyfél-hitelesítés segítségével a System Center Configuration Manager-ügyfelek és az Internet alapú helyrendszerek közötti kapcsolatok hídjaként.The client authentication is used to bridge client connections between the System Center Configuration Manager clients and the Internet-based site systems.

Ügyfelek PKI-tanúsítványaiPKI certificates for clients

A System Center Configuration Manager összetevőSystem Center Configuration Manager component Tanúsítvány céljaCertificate purpose Használandó Microsoft-tanúsítványsablonMicrosoft certificate template to use A tanúsítványban szereplő konkrét információkSpecific information in the certificate A tanúsítvány hogyan használja a System Center Configuration ManagerbenHow the certificate is used in System Center Configuration Manager
Windows alapú ügyfélszámítógépekWindows client computers Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Ügyfélszámítógépek egyedi értékkel kell rendelkeznie, a tulajdonos neve mezőben vagy a tulajdonos alternatív neve mezőben.Client computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Megjegyzés: Ha a tulajdonos alternatív nevének több értékét használ, csak az első értéket használja.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Alapértelmezés szerint a System Center Configuration Manager a számítógép tanúsítványtárolójában a személyes tárban keresi.By default, System Center Configuration Manager looks for computer certificates in the Personal store in the Computer certificate store.

A szoftverfrissítési pont és az Alkalmazáskatalógus weboldal-elérési pontja kivételével ez a tanúsítvány hitelesíti az ügyfelet a helyrendszer-kiszolgáló, amely az IIS-t futtató történik, és, amely a HTTPS protokoll használatát.Except for the software update point and the Application Catalog website point, this certificate authenticates the client to site system servers that run IIS and that are set up to use HTTPS.
Mobileszközök mint ügyfelekMobile device clients Ügyfél-hitelesítésClient authentication Hitelesített munkamenetAuthenticated Session A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

AZ SHA-1SHA-1

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.

Megjegyzések:Notes:

  • Ezek a tanúsítványok megkülönböztető használjon Encoding Rules (DER) kódolású bináris X.509 formátumúaknak kell lennie.These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format.
  • A Base64 kódolású X.509 formátum nem támogatott.Base64 encoded X.509 format is not supported.
Ez a tanúsítvány hitelesíti a mobileszköz ügyfélszoftvere, a helyrendszer-kiszolgálókon, amely kommunikál, mint például a felügyeleti pontok és terjesztési pontok.This certificate authenticates the mobile device client to the site system servers that it communicates with, like management points and distribution points.
Rendszerindító lemezképek operációs rendszerek központi telepítéséhezBoot images for deploying operating systems Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Nem vonatkoznak konkrét követelmények a tanúsítvány tulajdonos neve mezőben vagy a tulajdonos alternatív nevére (SAN), és használhatja ugyanazt a tanúsítványt minden rendszerindító lemezképhez.There are no specific requirements for the certificate Subject Name field or Subject Alternative Name (SAN), and you can use the same certificate for all boot mages.

A titkos kulcsnak exportálhatónak kell lennie.The private key must be exportable.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
A tanúsítványt használja, ha a feladat a az operációs rendszer központi telepítésének folyamata ügyfélműveleteket is tartalmaz például az ügyfélházirend lekérését vagy a leltáradatok küldését.The certificate is used if task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information.

Ezt a tanúsítványt csak az operációs rendszer központi telepítésének időtartama alatt kell használni, a rendszer nem telepíti az ügyfélre.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. A használat ideiglenes miatt ugyanaz a tanúsítvány használható minden operációs rendszer központi telepítésére, ha nem szeretné, hogy több ügyféltanúsítványt használni.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumban kell exportálni, és a jelszót kell lehet, hogy importálhassa a System Center Configuration Manager rendszerindító lemezképekhez.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported to the System Center Configuration Manager boot images.

Ez a tanúsítvány ideiglenesen jön létre a feladatütemezést, és az ügyfél telepítésére nem használható.This certificate is temporary for the task sequence and not used to install the client. Csak HTTPS protokollt használó környezet esetén az ügyfélnek érvényes tanúsítvánnyal kell rendelkeznie ahhoz, hogy kommunikálhasson a hellyel, és a központi telepítés folytatódhasson.When you have an environment with HTTPS only, the client must have a valid certificate for the client to communicate with the site and for the deployment to continue. Az ügyfél automatikusan hozhat létre olyan tanúsítványt, amikor az ügyfél csatlakozik az Active Directory, vagy más módszerrel telepítheti az ügyféltanúsítványt.The client can automatically generate a certificate when the client is joined to Active Directory, or you can install a client certificate by using another method.

Megjegyzés: A tanúsítványra vonatkozó követelmények ugyanazok, mint a terjesztési ponttal telepített helyrendszerek kiszolgálói tanúsítványainak.Note: The requirements for this certificate are the same as the server certificate for site systems that have a distribution point installed. Mivel a követelmények azonosak, használhatja ugyanazt a tanúsítványfájlt.Because the requirements are the same, you can use the same certificate file.
Mac alapú ügyfélszámítógépekMac client computers Ügyfél-hitelesítésClient authentication A System Center Configuration Manager-regisztrációhoz: Hitelesített munkamenetFor System Center Configuration Manager enrollment: Authenticated Session

A System Center Configuration Manager független Tanúsítványtelepítés: Munkaállomás hitelesítéseFor certificate installation independent from System Center Configuration Manager: Workstation Authentication
A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A System Center Configuration Managerben, amely a felhasználói tanúsítványt hoz létre, a tanúsítványt a tulajdonos értékével automatikusan megjelenik a felhasználónevet, a személy, aki belépteti a Mac számítógépet.For System Center Configuration Manager that creates a User certificate, the certificate Subject value is automatically populated with the user name of the person who enrolls the Mac computer.

A tanúsítvány telepítése nem használja a System Center Configuration Manager-regisztráció, de a számítógép tanúsítványát egymástól függetlenül a System Center Configuration Managerből a tanúsítványt a tulajdonos értékével egyedinek kell lennie.For certificate installation that does not use System Center Configuration Manager enrollment but deploys a Computer certificate independently from System Center Configuration Manager, the certificate Subject value must be unique. Például adja meg a számítógép teljes Tartománynevét.For example, specify the FQDN of the computer.

A tulajdonos alternatív neve mező nem támogatott.The Subject Alternative Name field is not supported.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Ez a tanúsítvány hitelesíti ügyfélként a Mac számítógépet azon helyrendszer-kiszolgáló, amely kommunikál, mint például a felügyeleti pontok és terjesztési pontok.This certificate authenticates the Mac client computer to the site system servers that it communicates with, like management points and distribution points.
Linux és UNIX alapú ügyfélszámítógépekLinux and UNIX client computers Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A tulajdonos alternatív neve mező nem támogatott.The Subject Alternative Name field is not supported.

A titkos kulcsnak exportálhatónak kell lennie.The private key must be exportable.

SHA-2 kivonatoló algoritmus akkor támogatott, ha az ügyfél operációs rendszere támogatja az SHA-2.SHA-2 hash algorithm is supported if the operating system of the client supports SHA-2. További információkért lásd: a Linux és UNIX operációs rendszerek nem SHA-256 algoritmust támogató szakasz Linux és UNIX rendszerű számítógépekre a System Center Configuration Managerbenügyfelekközpontitelepítésénektervezése.For more information, see the About Linux and UNIX Operating Systems That do not Support SHA-256 section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.

Támogatott kulcshosszúságok: 2048 bit.Supported key lengths: 2,048 bits.

Megjegyzés: Ezek a tanúsítványok megkülönböztető használjon Encoding Rules (DER) kódolású bináris X.509 formátumúaknak kell lennie.Note: These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format. A Base64 kódolású X.509 formátum nem támogatott.Base64 encoded X.509 format is not supported.
Ez a tanúsítvány hitelesíti a Linux vagy UNIX rendszerű ügyfélszámítógép, amely kommunikál, mint például a felügyeleti pontok és terjesztési pontok helyrendszer-kiszolgálók.This certificate authenticates the Linux or UNIX client computer to the site system servers that it communicates with, like management points and distribution points. Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítványok (PKCS #12) formátumban kell exportálni, és a jelszót kell igazodniuk, adja meg azt az ügyfélnek a PKI-tanúsítvány megadása esetén.This certificate must be exported in a Public Key Certificate Standard (PKCS#12) format, and the password must be known so you can specify it to the client when you specify the PKI certificate.

További információkért lásd: a biztonság és a tanúsítványok tervezése Linux és UNIX rendszerű kiszolgálók szakasz Linux és UNIX rendszerű számítógépekre a System Center Configuration Managerben az ügyfelek központi telepítésének tervezése .For additional information, see the Planning for Security and Certificates for Linux and UNIX Servers section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.
Legfelső szintű hitelesítésszolgáltató (CA) tanúsítványai a következő forgatókönyvekhez:Root certification authority (CA) certificates for the following scenarios:

  • Operációs rendszer központi telepítéseOperating system deployment
  • Mobileszköz-beléptetésMobile device enrollment
  • RADIUS kiszolgáló hitelesítése Intel AMT-alapú számítógépekhezRADIUS server authentication for Intel AMT-based computers
  • Ügyféltanúsítvány-alapú hitelesítésClient certificate authentication
Tanúsítványlánc megbízható forráshozCertificate chain to a trusted source Nem alkalmazható.Not applicable. Szabványos legfelső szintű hitelesítésszolgáltató tanúsítványaStandard root CA certificate. Legfelső szintű hitelesítésszolgáltatói tanúsítványt kell biztosítani, ha az ügyfeleknek a kommunikáló kiszolgáló tanúsítványait a megbízható forrás részére láncolni kell.The root CA certificate must be provided when clients have to chain the certificates of the communicating server to a trusted source. Ez érvényes a következő esetekben:This applies in the following scenarios:

  • Amikor az operációs rendszer telepítése, és feladatütemezések futnak, amely az ügyfélszámítógép csatlakozni egy felügyeleti pont van beállítva a HTTPS PROTOKOLLT használja.When you deploy an operating system, and task sequences run that connect the client computer to a management point that is set up to use HTTPS.
  • Ha egy System Center Configuration Manager által kezelt mobileszköz regisztrálása.When you enroll a mobile device to be managed by System Center Configuration Manager.
  • Amikor AMT-alapú számítógépekhez 802.1 X hitelesítést használja, és szeretné megadni a RADIUS kiszolgáló legfelső szintű tanúsítvány egy fájlt.When you use 802.1X authentication for AMT-based computers, and you want to specify a file for the RADIUS server's root certificate.
Ezenkívül az ügyfelek a legfelső szintű Hitelesítésszolgáltatói tanúsítványt kell biztosítani, ha az ügyféltanúsítványokat más Hitelesítésszolgáltatói hierarchia által vannak ki, mint a CA-hierarchiában, amely ki a felügyeleti pont tanúsítványa.In addition, the root CA certificate for clients must be provided if the client certificates are issued by a different CA hierarchy than the CA hierarchy that issued the management point certificate.
A Microsoft Intune által beléptetett mobileszközökMobile devices that are enrolled by Microsoft Intune Ügyfél-hitelesítésClient authentication Nem alkalmazható: Az Intune automatikusan létrehozza ezt a tanúsítványt.Not applicable: Intune automatically creates this certificate. Kibővített kulcshasználat értéket tartalmaz ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Három egyéni bővítmény egyedi módon azonosítja az ügyfél Intune-előfizetés.Three custom extensions uniquely identify the customer Intune subscription.

Felhasználók megadhatja a tanúsítványt a tulajdonos értékével a beléptetés során.Users can supply the certificate Subject value during enrollment. Azonban az Intune nem használja ezt az értéket az eszköz azonosítására.However, Intune does not use this value to identify the device.

A kulcshosszúság 2048 bit, és az SHA-1 kivonatoló algoritmust használ.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Megjegyzés: Ezek a beállítások nem módosíthatók.Note: You cannot change these settings. Az információ csak tájékoztató jellegű.This information is provided for informational purposes only.
Ez a tanúsítvány van és telepítése automatikusan végbemegy, amikor a hitelesített felhasználók a Microsoft Intune használatával beléptetik eszközeik regisztrálását.This certificate is automatically requested and installed when authenticated users enroll their mobiles devices by using Microsoft Intune. Az eszközön az eredményül kapott tanúsítvány található a számítógéptár és végzi a hitelesítést az Intune-hoz, a beléptetett mobileszközt, hogy azt felügyelhető legyen.The resulting certificate on the device resides in the Computer store and authenticates the enrolled mobile device to Intune, so that it can then be managed.

A tanúsítvány egyéni bővítményei miatt a hitelesítés az csak az Intune-előfizetést, amely a vállalat létesítette.Because of the custom extensions in the certificate, authentication is restricted to the Intune subscription that has been established for the organization.