PKI-tanúsítványkövetelmények a System Center Configuration ManagerbenPKI certificate requirements for System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A nyilvános kulcsokra épülő infrastruktúra (PKI) tanúsítványokat, a System Center Configuration Manager alkalmazáshoz szükséges a következő táblázatokban találhatók.The public key infrastructure (PKI) certificates that you might require for System Center Configuration Manager are listed in the following tables. Ez az információ a PKI-tanúsítványok alapszintű ismeretét feltételezi.This information assumes basic knowledge of PKI certificates. Részletes üzembe helyezési útmutatót lásd: részletes példa a nyilvános kulcsokra épülő infrastruktúra központi telepítése a System Center Configuration Manager tanúsítványok: Windows Server 2008 hitelesítésszolgáltató.For step-by-step deployment guidance see Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority.

További információt az Active Directory tanúsítványszolgáltatások a következő dokumentációjában olvasható:For more about Active Directory Certificate Services, see the following documentation:

Használatáról Cryptography API: Next Generation (CNG) típusú tanúsítványokat a Configuration Managerrel, tekintse meg CNG tanúsítványok – áttekintés.For information about using Cryptography API: Next Generation (CNG) certificates with Configuration Manager, see CNG certificates overview.

Fontos

A System Center Configuration Manager támogatja a tanúsítványok biztonságos kivonatoló algoritmus 2 (SHA-2).System Center Configuration Manager supports Secure Hash Algorithm 2 (SHA-2) certificates. Az SHA-2 tanúsítvány kapcsolja a fontos biztonsági előnyös.SHA-2 certificates bring an important security advantage. Ezért ajánlott a következők:Therefore, we recommend the following:

  • Új kiszolgálói és ügyféltanúsítványokat aláírt ki SHA-2-es, ide tartozik az SHA-256 algoritmust és SHA-512, többek között.Issue new server and client authentication certificates that are signed with SHA-2, which includes SHA-256 and SHA-512, among others.
  • Az összes internetes szolgáltatások használjon SHA-2 tanúsítvány.All Internet-facing services should use a SHA-2 certificate. Például ha megvásárolja a nyilvános tanúsítvány, egy felügyeleti átjáró való használatra, győződjön meg arról, hogy SHA-2 tanúsítvány vásárlása.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate.

Hatékony 2017. február 14., a Windows már nem bízik meg bizonyos tanúsítványokat az SHA-1 aláírva.Effective February 14, 2017, Windows no longer trusts certain certificates signed with SHA-1. Általánosságban ajánlott új kiszolgálói és ügyfél-hitelesítési tanúsítványok SHA-2-es (amely tartalmazza az SHA-256 algoritmust és SHA-512, többek között) aláírt ki.In general, we recommend that you issue new server and client authentication certificates signed with SHA-2 (which includes SHA-256 and SHA-512, among others). Emellett javasoljuk, hogy a más internetes szolgáltatások SHA-2 tanúsítvány használatára.Additionally, we recommend that any Internet-facing services use a SHA-2 certificate. Például ha egy felügyeleti átjáró való használatra nyilvános tanúsítvány vásárlása, győződjön meg arról, hogy SHA-2 tanúsítvány vásárlása."For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate."

A legtöbb esetben az SHA-2 tanúsítvány módosítása nem érinti rendelkezzen műveletek.In most cases, the change to SHA-2 certificates has no impact on operations. További információkért lásd: SHA1 kényszerítési Windows tanúsítványok.For more information, see Windows Enforcement of SHA1 certificates.

System Center Configuration Manager a mobileszközök és a Mac számítógépek, a tanúsítványokat, amelyek a Microsoft Intune automatikusan létrehozza a mobileszközök kezeléséhez és a tanúsítványokat, amelyek a System Center Configuration Manager telepíti az AMT-alapú számítógépeken beléptetett ügyféltanúsítványok kivételével bármely PKI segítségével létrehozásához, telepítéséhez és felügyeletéhez az alábbi tanúsítványok.With the exception of client certificates that System Center Configuration Manager enrolls on mobile devices and Mac computers, certificates that Microsoft Intune automatically creates to manage mobile devices, and certificates that System Center Configuration Manager installs on AMT-based computers, you can use any PKI to create, deploy, and manage the following certificates. Azonban az Active Directory tanúsítványszolgáltatás és tanúsítványsablonok használata esetén a Microsoft PKI-megoldás megkönnyítheti a tanúsítványok kezelését.However, when you use Active Directory Certificate Services and certificate templates, this Microsoft PKI solution can ease the management of certificates. A következő táblázatok Használandó Microsoft-tanúsítványsablon oszlopa tartalmazza a tanúsítványokra vonatkozó követelményeknek leginkább megfelelő tanúsítványsablonokat.Use the Microsoft certificate template to use column in the following tables to identify the certificate template that most closely matches the certificate requirements. Csak a vállalati hitelesítésszolgáltató, amely az Enterprise Edition vagy Datacenter Edition, például a Windows Server 2008 Enterprise és Windows Server 2008 Datacenter, a kiszolgáló operációs rendszer fut sablonalapú tanúsítványokat is használhat.Only an enterprise certification authority that runs on the Enterprise Edition or Datacenter Edition of the server operating system, like Windows Server 2008 Enterprise and Windows Server 2008 Datacenter, can use template-based certificates.

Fontos

Ha egy vállalati hitelesítésszolgáltató és tanúsítványsablonokat használ, ne használja a 3-as verziójú sablonokat.When you use an enterprise certification authority and certificate templates, do not use the Version 3 templates. Ezek a tanúsítványsablonok tanúsítványokat hoznak létre, nem kompatibilis a System Center Configuration Managerrel.These certificate templates create certificates that are incompatible with System Center Configuration Manager. Ehelyett a 2-es verzió sablonok használatára a következő útmutatás szerint:Instead, use Version 2 templates by using the following instructions:

  • A Windows Server 2012 hitelesítésszolgáltató: Az a kompatibilitási lapon adja meg a tanúsítványsablon tulajdonságainak Windows Server 2003 a a hitelesítésszolgáltató lehetőséget, és Windows XP / Server 2003 a a tanúsítvány kedvezményezettje lehetőséget.For a CA on Windows Server 2012: On the Compatibility tab of the certificate template properties, specify Windows Server 2003 for the Certification Authority option, and Windows XP / Server 2003 for the Certificate recipient option.
    • Windows Server 2008 hitelesítésszolgáltató: Amikor másolatot készít egy tanúsítványsablonról, tartsa meg az alapértelmezett Windows Server 2003 Enterprise, ha a rendszer kéri a sablon másolása párbeszédpanel megnyitásához.For a CA on Windows Server 2008: When you duplicate a certificate template, keep the default selection, Windows Server 2003 Enterprise, when you are prompted by the Duplicate Template dialog box. Ne válassza a Windows Server 2008, Enterprise Edition.Do not select Windows Server 2008, Enterprise Edition.

A következő szakaszok segítségével megtekintheti a tanúsítványokkal szemben támasztott követelmények.Use the following sections to view the certificate requirements.

A kiszolgálók PKI-tanúsítványaiPKI Certificates for Servers

A System Center Configuration Manager összetevőSystem Center Configuration Manager component Tanúsítvány céljaCertificate purpose Használandó Microsoft-tanúsítványsablonMicrosoft certificate template to use A tanúsítványban szereplő konkrét információkSpecific information in the certificate A tanúsítvány használatának módja a System Center Configuration ManagerbenHow the certificate is used in System Center Configuration Manager
Beléptetésihely-rendszerek, amelyek be vannak állítva a HTTPS-kapcsolatok vagy futó Internet Information Services (IIS):Site systems that run Internet Information Services (IIS) and that are set up for HTTPS client connections:

  • Felügyeleti pontManagement point
  • Terjesztési pontDistribution point
  • Szoftverfrissítési pontSoftware update point
  • állapotáttelepítési pontState migration point
  • Beléptetési pontEnrollment point
  • Beléptetési proxypontEnrollment proxy point
  • Alkalmazáskatalógus webszolgáltatási pontjaApplication Catalog web service point
  • Alkalmazáskatalógus weboldal-elérési pontjaApplication Catalog website point
  • Tanúsítványregisztrációs pontACertificate registration point
Kiszolgálói hitelesítésServer authentication WebkiszolgálóWeb Server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Ha a helyrendszer az internetről érkező kapcsolatokat fogad, a tulajdonos neve vagy a tulajdonos alternatív neve az internetes teljesen minősített tartománynevét (FQDN) kell tartalmaznia.If the site system accepts connections from the Internet, the Subject Name or Subject Alternative Name must contain the Internet fully qualified domain name (FQDN).

Ha a helyrendszer az intranetről érkező kapcsolatokat fogad, a tulajdonos neve vagy a tulajdonos alternatív neve tartalmaznia kell az intranetes teljes Tartománynevet (ajánlott) vagy a számítógép nevét, attól függően, hogy a helyrendszer beállítására.If the site system accepts connections from the intranet, the Subject Name or Subject Alternative Name must contain either the intranet FQDN (recommended) or the computer's name, depending on how the site system is set up.

Ha a helyrendszer az internetről és az intranetről érkező kapcsolatokat fogad, mind az internetes teljes Tartománynevet és a intranetes teljes Tartománynevet (vagy számítógép neve) kell megadni a és jellel (&) a két nevet.If the site system accepts connections from both the Internet and the intranet, both the Internet FQDN and the intranet FQDN (or computer name) must be specified by using the ampersand (&) symbol delimiter between the two names.

Megjegyzés: Ha a szoftverfrissítési pont csak az internetről érkező ügyfélkapcsolatokat fogad, a tanúsítványnak tartalmaznia kell az internetes és az intranetes teljes Tartománynevet is.Note: When the software update point accepts client connections from the Internet only, the certificate must contain both the Internet FQDN and the intranet FQDN.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

A System Center Configuration Manager nem adja meg a maximális támogatott kulcshosszúságot ennél a tanúsítványnál.System Center Configuration Manager does not specify a maximum supported key length for this certificate. A nyilvános kulcsokra épülő infrastruktúra és az IIS dokumentációjában tanulmányozza ezt a tanúsítványt a kulcs méretű kapcsolódó problémákat.Consult your PKI and IIS documentation for any key-size related issues for this certificate.
Ennek a tanúsítványnak a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.This certificate must reside in the Personal store in the Computer certificate store.

A webkiszolgáló-tanúsítványt hitelesíteni ezeket a kiszolgálókat az ügyfél és a Secure Sockets Layer (SSL) használatával az ügyfél és a kiszolgálók között továbbított összes adat titkosítására szolgál.This web server certificate is used to authenticate these servers to the client and to encrypt all data that's transferred between the client and these servers by using Secure Sockets Layer (SSL).
Felhőalapú terjesztési pontCloud-based distribution point Kiszolgálói hitelesítésServer authentication WebkiszolgálóWeb Server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

A tulajdonos nevét, a felhőalapú terjesztési pont meghatározott példányának köznapi neveként tartalmaznia kell egy felhasználó által meghatározott szolgáltatásnevet és a tartomány nevét FQDN formátumban.The Subject Name must contain a customer-defined service name and domain name in an FQDN format as the Common Name for the specific instance of the cloud-based distribution point.

A titkos kulcsának exportálhatónak kell lennie.The private key must be exportable.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Támogatott kulcshosszúságok: 2048 bit.Supported key lengths: 2,048 bits.
Ez a szolgáltatási tanúsítvány Configuration Manager-ügyfelek számára a felhőalapú terjesztési pont szolgáltatásának hitelesítésére és a Secure Sockets Layer (SSL) használatával között továbbított összes adat titkosítására szolgál.This service certificate is used to authenticate the cloud-based distribution point service to Configuration Manager clients and to encrypt all data transferred between them by using Secure Sockets Layer (SSL). Egy szabványos nyilvános kulcsú tanúsítvány (PKCS #12) formátumában kell exportálni ezt a tanúsítványt, és a jelszót kell lennie ahhoz, hogy, hogy importálni lehessen a felhőalapú terjesztési pont létrehozásakor.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported when you create a cloud-based distribution point.

Megjegyzés: Ez a tanúsítvány a Windows Azure felügyeleti tanúsítvánnyal együtt használható.Note: This certificate is used in conjunction with the Windows Azure management certificate.
A Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálókSite system servers that run Microsoft SQL Server Kiszolgálói hitelesítésServer authentication Web serverWeb server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

A tulajdonos nevét a intranetes teljes tartománynevet (FQDN) kell tartalmaznia.The Subject Name must contain the intranet fully qualified domain name (FQDN).

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Ez a tanúsítvány a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.This certificate must be in the Personal store in the Computer certificate store. A System Center Configuration Manager automatikusan átmásolja a megbízható személyek tárolójába, a kiszolgálók a System Center Configuration Manager-hierarchiában, amely előfordulhat, hogy megbízhatósági kapcsolatot kell létrehoznia a kiszolgálóval.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Ezek a tanúsítványok a kiszolgálók hitelesítéshez használhatók.These certificates are used for server-to-server authentication.
SQL Server-fürt: A Microsoft SQL Server rendszert futtató helyrendszer-kiszolgálókSQL Server cluster: Site system servers that run Microsoft SQL Server Kiszolgálói hitelesítésServer authentication Web serverWeb server A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

A tulajdonos nevének tartalmaznia kell az intranetes teljes tartománynevet (FQDN) a fürt.The Subject Name must contain the intranet fully qualified domain name (FQDN) of the cluster.

A titkos kulcsának exportálhatónak kell lennie.The private key must be exportable.

A tanúsítvány érvényességi időtartamának legalább két évnek System Center Configuration Manager az SQL Server-fürt használatára való konfigurálásakor kell lennie.The certificate must have a validity period of at least two years when you configure System Center Configuration Manager to use the SQL Server cluster.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Miután a kért, és ez a tanúsítvány telepítése a fürt egyik csomópontján, exportálja a tanúsítványt, és importálja azt az SQL Server-fürt minden további csomópontjának.After you have requested and installed this certificate on one node in the cluster, export the certificate and import it to each additional node in the SQL Server cluster.

Ez a tanúsítvány a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.This certificate must be in the Personal store in the Computer certificate store. A System Center Configuration Manager automatikusan átmásolja a megbízható személyek tárolójába, a kiszolgálók a System Center Configuration Manager-hierarchiában, amely előfordulhat, hogy megbízhatósági kapcsolatot kell létrehoznia a kiszolgálóval.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Ezek a tanúsítványok a kiszolgálók hitelesítéshez használhatók.These certificates are used for server-to-server authentication.
Helyrendszer, a következő helyrendszerszerepkörök figyelése:Site system monitoring for the following site system roles:

  • Felügyeleti pontManagement point
  • állapotáttelepítési pontState migration point
Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A számítógépekhez egyedi értéknek kell tartoznia a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.Computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Megjegyzés: Ha több értéket használ a tulajdonos alternatív nevének, csak az első értéket használja.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
A tanúsítványra szükség van a felsorolt helyrendszer-kiszolgálókon, még akkor is, ha a System Center Configuration Manager-ügyfél nincs telepítve.This certificate is required on the listed site system servers, even if the System Center Configuration Manager client is not installed. Ez a beállítás lehetővé teszi, hogy a figyelt és jelentéseket tudjon küldeni a helynek ezen helyrendszerszerepkörök állapotát.This setup enables the health of these site system roles to be monitored and reported to the site.

E helyrendszerek tanúsítványának a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában kell lennie.The certificate for these site systems must reside in the Personal store of the Computer certificate store.
A System Center Configuration Manager házirend modulját és a hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatást futtató kiszolgálókServers running the System Center Configuration Manager Policy Module with the Network Device Enrollment Service role service Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) meghatározott követelmények van.There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). A hálózati eszközök tanúsítványigénylési szolgáltatását futtató több kiszolgáló használhatja ugyanazt a tanúsítványt.You can use the same certificate for multiple servers running the Network Device Enrollment Service.

Az SHA-2 és SHA-3 kivonatoló algoritmus támogatott.SHA-2 and SHA-3 hash algorithms are supported.

Támogatott kulcshosszúságok: 1024 bit és 2048 bit.Supported key lengths: 1,024 bits and 2,048 bits.
Telepített terjesztési ponttal rendelkező helyrendszerekSite systems that have a distribution point installed Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A tanúsítvány tulajdonosára vagy a tulajdonos alternatív nevére (SAN) meghatározott követelmények van.There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Azonos tanúsítvány pedig több terjesztési ponthoz is használható.You can use the same certificate for multiple distribution points. Azonban célszerű minden terjesztési ponton ugyanazt a tanúsítványt használja.However, it's a good idea to use a different certificate for each distribution point.

A titkos kulcsának exportálhatónak kell lennie.The private key must be exportable.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Ennek a tanúsítványnak két célja van:This certificate has two purposes:

  • Mielőtt a terjesztési pont elküldi az állapotüzeneteket hitelesíti a terjesztési pontot egy HTTPS használatára konfigurált felügyeleti ponton.It authenticates the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.
  • Ha a PXE-támogatás engedélyezése ügyfeleknek terjesztési pont beállítás meg van adva, a rendszer elküldi a tanúsítványt a számítógépekre.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers. Ha az operációs rendszer központi telepítésének folyamata a feladatütemezések ügyfél műveletek, például az ügyfélházirend lekérését vagy a leltáradatok küldését, az ügyfélszámítógépek csatlakozhatnak a HTTPS használatára konfigurált felügyeleti ponthoz az operációs rendszer központi telepítése során.If task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information, the client computers can connect to a HTTPS-enabled management point during the deployment of the operating system.
Ezt a tanúsítványt csak az operációs rendszer központi telepítésének időtartama alatt kell használni, a rendszer nem telepíti az ügyfélre.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. A használat ideiglenes jellegéből, mert ugyanaz a tanúsítvány használható minden operációs rendszer központi telepítésének Ha nem szeretne több ügyféltanúsítványt használni.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Ezt a tanúsítványt a szabványos nyilvános kulcsú tanúsítvány (PKCS #12) formátumában kell exportálni.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format. A jelszót, hogy importálhassa a terjesztési pont tulajdonságainál kell megállapítani.The password must be known so that it can be imported into the distribution point properties.

Megjegyzés: A tanúsítványra vonatkozó követelmények ugyanazok, mint az ügyféltanúsítványt a rendszerindító lemezképeket, operációs rendszerek központi telepítéséhez.Note: The requirements for this certificate are the same as the client certificate for boot images that deploy operating systems. Mivel a követelmények azonosak, használhatja ugyanazt a tanúsítványfájlt.Because the requirements are the same, you can use the same certificate file.
Sávon kívüli szolgáltatási pontOut-of-band service point AMT kiépítésAMT provisioning Webkiszolgáló (módosított)Web Server (modified) Kibővített kulcshasználat értéknek tartalmaznia kell kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1) és a következő objektumazonosítónak: 2.16.840.1.113741.1.2.3.Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1) and the following object identifier: 2.16.840.1.113741.1.2.3.

A tulajdonos neve mezőnek a sávon kívüli szolgáltatási pontot futtató kiszolgáló teljes Tartománynevét kell tartalmaznia.The subject name field must contain the FQDN of the server that is hosting the out-of-band service point.

Megjegyzés: Az AMT kiépítési tanúsítványt, amely kér ahelyett, hogy egy külső hitelesítésszolgáltatótól a saját belső Hitelesítésszolgáltatója nem támogatja az AMT kiépítési objektumazonosítót, 2.16.840.1.113741.1.2.3.Note: An AMT provisioning certificate that you request from an external CA instead of from your own internal CA might not support the AMT provisioning object identifier, 2.16.840.1.113741.1.2.3. Másik megoldásként egy szervezeti egységhez (OU) attribútumaként a tanúsítvány tulajdonos neve adja meg a következő karakterláncot: Intel(R) Client Setup Certificate.You can alternatively specify the following text string as an organizational unit (OU) attribute in the certificate subject name: Intel(R) Client Setup Certificate. Az azonos esetében, sorzáró pont nélkül angolul, a teljes szöveges karakterláncot kell használnia, és a sávon kívüli szolgáltatási pont üzemeltető mellett a kiszolgáló teljes Tartományneve.You must use the exact text string in English, in the same case, without a trailing period, and in addition to the FQDN of the server that is hosting the out-of-band service point.

Támogatott kulcshosszúságok: 1024 és 2048.Supported key lengths: 1,024 and 2,048. Az AMT 6.0 és újabb verziók a 4096 bites kulcshosszúság is támogatott.For AMT 6.0 and later versions, the key length of 4,096 bits is also supported.
Ez a tanúsítvány a sávon kívüli szolgáltatási pont helyrendszer-kiszolgáló a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában van.This certificate is in the Personal store in the Computer certificate store of the out-of-band service point site system server.

Az AMT kiépítési tanúsítvány segítségével készítheti elő a számítógépeket a sávon kívüli felügyeleti.This AMT provisioning certificate is used to prepare computers for out-of-band management.

Ez a tanúsítvány egy AMT kiépítési tanúsítványokat támogató hitelesítésszolgáltatótól kell igényelnie.You must request this certificate from a CA that supplies AMT provisioning certificates. Az Intel AMT-alapú számítógépek BIOS-kiterjesztését a főtanúsítvány ujjlenyomatának (más néven a tanúsítvány kivonata) a kiépítési tanúsítvány használatára kell beállítani.The BIOS extension for the Intel AMT-based computers must be set up to use the root certificate thumbprint (also referred to as the certificate hash) for this provisioning certificate.

VeriSign Hitelesítésszolgáltatótól AMT kiépítési tanúsítványokat például, de használhatja a saját belső Hitelesítésszolgáltatója.VeriSign is a typical example of an external CA that provides AMT provisioning certificates, but you can also use your own internal CA.

A tanúsítvány telepítése a kiszolgálón, amelyen a sávon kívüli szolgáltatási pont, ami a tanúsítvány legfelső szintű hitelesítésszolgáltató sikeresen hozzákapcsolva képesnek kell lennie.Install the certificate on the server that hosts the out-of-band service point, which must be able to chain successfully to the certificate's root CA. (Alapértelmezés szerint a VeriSign főtanúsítványa és köztes tanúsítványa a Windows rendszerrel együtt telepíthető.)(By default, the root CA certificate and intermediate CA certificate for VeriSign are installed when Windows installs.)
A Microsoft Intune-összekötőt futtató helyrendszer-kiszolgálóSite system server that runs the Microsoft Intune connector Ügyfél-hitelesítésClient authentication Nem alkalmazható: Intune automatikusan létrehozza ezt a tanúsítványt.Not applicable: Intune automatically creates this certificate. Kibővített kulcshasználat értéke tartalmaz ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Három egyéni bővítmény egyedi módon azonosítja az ügyfél Intune-előfizetést.Three custom extensions uniquely identify the customer's Intune subscription.

A kulcs mérete pedig 2048 bit, és az SHA-1 kivonatoló algoritmust használ.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Megjegyzés: Ezek a beállítások nem módosíthatók.Note: You cannot change these settings. Az információ csak tájékoztató jellegű.This information is provided for informational purposes only.
Ez a tanúsítvány van és telepítése automatikusan végbemegy a Configuration Manager adatbázisa a Microsoft Intune-előfizetés.This certificate is automatically requested and installed to the Configuration Manager database when you subscribe to Microsoft Intune. A Microsoft Intune-összekötő telepítésekor ez a tanúsítvány települ a Microsoft Intune-összekötőt futtató helyrendszer-kiszolgálón.When you install the Microsoft Intune connector, this certificate is then installed on the site system server that runs the Microsoft Intune connector. A számítógép tanúsítványtárolójában van telepítve.It is installed in the Computer certificate store.

Ezzel a tanúsítvánnyal hitelesíthető a Configuration Manager hierarchiája, a Microsoft Intune a Microsoft Intune-összekötő használatával.This certificate is used to authenticate the Configuration Manager hierarchy to Microsoft Intune by using the Microsoft Intune connector. Az adatok átvitele titkosítottan történik a Secure Sockets Layer (SSL) protokoll használatával.All data that is transferred between them uses Secure Sockets Layer (SSL).

Proxy-webkiszolgálót Internet alapú ügyfélfelügyelethezProxy web servers for Internet-based client management

Ha a hely támogatja az Internet alapú ügyfélfelügyelethez, és proxy-webkiszolgáló SSL-hídképzés a bejövő internetkapcsolatokhoz használatával használ, a proxywebkiszolgálóra a következő táblázatban felsorolt tanúsítványkövetelmények.If the site supports Internet-based client management, and you are using a proxy web server by using SSL termination (bridging) for incoming Internet connections, the proxy web server has the certificate requirements listed in the following table.

Megjegyzés

Használ proxywebkiszolgálót (bújtatás) SSL-lezárás nélkül, ha a proxy-webkiszolgáló nem külön tanúsítványokra van szükség.If you are using a proxy web server without SSL termination (tunneling), no additional certificates are required on the proxy web server.

Hálózati infrastruktúra összetevőjeNetwork infrastructure component Tanúsítvány céljaCertificate purpose Használandó Microsoft-tanúsítványsablonMicrosoft certificate template to use A tanúsítványban szereplő konkrét információkSpecific information in the certificate A tanúsítvány használatának módja a System Center Configuration ManagerbenHow the certificate is used in System Center Configuration Manager
Az interneten érkező ügyfélkapcsolatokat fogadó proxywebkiszolgálóProxy web server accepting client connections over the Internet Kiszolgáló hitelesítése és ügyfél hitelesítéseServer authentication and client authentication 1.1.
WebkiszolgálóWeb Server

2.2.
Munkaállomás hitelesítéseWorkstation Authentication
Internet FQDN a tulajdonos neve mezőben vagy a tulajdonos alternatív neve mezőben.Internet FQDN in the Subject Name field or in the Subject Alternative Name field. Ha Microsoft tanúsítványsablonokat használ, csak a munkaállomási sablonnal a tulajdonos alternatív neve érhető el.If you are using Microsoft certificate templates, the Subject Alternative Name is available with the workstation template only.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.
Ezzel a tanúsítvánnyal hitelesíthetők a következő kiszolgálók az internetes ügyfelek és SSL-t használ az ügyfél és a kiszolgáló között továbbított összes adat titkosítására:This certificate is used to authenticate the following servers to Internet clients and to encrypt all data transferred between the client and this server by using SSL:

  • Internet alapú felügyeleti pontInternet-based management point
  • Az internetalapú terjesztési pontInternet-based distribution point
  • Internet alapú szoftverfrissítési pontInternet-based software update point
Az ügyfél-hitelesítés használható a System Center Configuration Manager-ügyfelek és az Internet alapú helyrendszerek közötti kapcsolatok hídjaként.The client authentication is used to bridge client connections between the System Center Configuration Manager clients and the Internet-based site systems.

Az ügyfelek PKI-tanúsítványokPKI certificates for clients

A System Center Configuration Manager összetevőSystem Center Configuration Manager component Tanúsítvány céljaCertificate purpose Használandó Microsoft-tanúsítványsablonMicrosoft certificate template to use A tanúsítványban szereplő konkrét információkSpecific information in the certificate A tanúsítvány használatának módja a System Center Configuration ManagerbenHow the certificate is used in System Center Configuration Manager
Windows alapú ügyfélszámítógépekWindows client computers Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Ügyfélszámítógépeken kell egy egyedi érték, a tulajdonos neve mezőben vagy a tulajdonos alternatív neve mezőben.Client computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Megjegyzés: Ha több értéket használ a tulajdonos alternatív nevének, csak az első értéket használja.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Alapértelmezés szerint a System Center Configuration Manager keresi a számítógép tanúsítványtárolójának személyes tanúsítványokat tartalmazó tárolójában.By default, System Center Configuration Manager looks for computer certificates in the Personal store in the Computer certificate store.

A szoftverfrissítési pont és az Alkalmazáskatalógus weboldal-elérési pontja kivételével ez a tanúsítvány hitelesíti az ügyfelet a helyrendszer-kiszolgálókon, amely az IIS-t futtató, és, hogy be vannak állítva a HTTPS protokoll használatát.Except for the software update point and the Application Catalog website point, this certificate authenticates the client to site system servers that run IIS and that are set up to use HTTPS.
Mobileszközök mint ügyfelekMobile device clients Ügyfél-hitelesítésClient authentication Hitelesített munkamenetAuthenticated Session A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

AZ SHA-1SHA-1

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.

Megjegyzések:Notes:

  • Ezeknek a tanúsítványoknak megkülönböztető Encoding Rules (DER) kódolású bináris X.509 formátumúaknak kell lenni.These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format.
  • A Base64 kódolású X.509 formátum nem támogatott.Base64 encoded X.509 format is not supported.
Ez a tanúsítvány hitelesíti a mobileszközön lévő ügyfél számára kommunikál, például a felügyeleti pontok és terjesztési pontok helyrendszer-kiszolgálók számára.This certificate authenticates the mobile device client to the site system servers that it communicates with, like management points and distribution points.
Rendszerindító lemezképek operációs rendszerek központi telepítéséhezBoot images for deploying operating systems Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Nincsenek a tanúsítvány tulajdonos neve mezőben vagy a tulajdonos alternatív nevére (SAN) megadott követelmények, és minden rendszerindító lemezképhez használható ugyanaz a tanúsítvány.There are no specific requirements for the certificate Subject Name field or Subject Alternative Name (SAN), and you can use the same certificate for all boot mages.

A titkos kulcsának exportálhatónak kell lennie.The private key must be exportable.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
A tanúsítvány akkor használatos, ha a feladatütemezés az operációs rendszer telepítési folyamatát ügyfél műveleteket, például az ügyfélházirend lekérését vagy a leltáradatok küldését tartalmazni.The certificate is used if task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information.

Ezt a tanúsítványt csak az operációs rendszer központi telepítésének időtartama alatt kell használni, a rendszer nem telepíti az ügyfélre.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. A használat ideiglenes jellegéből, mert ugyanaz a tanúsítvány használható minden operációs rendszer központi telepítésének Ha nem szeretne több ügyféltanúsítványt használni.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Egy szabványos nyilvános kulcsú tanúsítvány (PKCS #12) formátumában kell exportálni ezt a tanúsítványt, és a jelszót kell lennie ahhoz, hogy, hogy importálni lehessen a System Center Configuration Manager rendszerindító lemezképekhez.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported to the System Center Configuration Manager boot images.

Ez a tanúsítvány ideiglenesen jön létre a feladatütemezést, és az ügyfél telepítése nem használ.This certificate is temporary for the task sequence and not used to install the client. Csak HTTPS protokollt használó környezet esetén az ügyfélnek érvényes tanúsítvánnyal kell rendelkeznie ahhoz, hogy kommunikálhasson a hellyel, és a központi telepítés folytatódhasson.When you have an environment with HTTPS only, the client must have a valid certificate for the client to communicate with the site and for the deployment to continue. Az ügyfél automatikusan hozhat létre egy tanúsítványt, amikor az ügyfél csatlakozik az Active Directory, vagy más módszerrel telepítheti az ügyféltanúsítványt.The client can automatically generate a certificate when the client is joined to Active Directory, or you can install a client certificate by using another method.

Megjegyzés: A tanúsítványra vonatkozó követelmények ugyanazok, mint a terjesztési ponttal telepített helyrendszerek kiszolgálói tanúsítványainak.Note: The requirements for this certificate are the same as the server certificate for site systems that have a distribution point installed. Mivel a követelmények azonosak, használhatja ugyanazt a tanúsítványfájlt.Because the requirements are the same, you can use the same certificate file.
Mac alapú ügyfélszámítógépekMac client computers Ügyfél-hitelesítésClient authentication A System Center Configuration Manager beléptetéséhez: Hitelesített munkamenetFor System Center Configuration Manager enrollment: Authenticated Session

A System Center Configuration Manager független Tanúsítványtelepítés: Munkaállomás hitelesítéseFor certificate installation independent from System Center Configuration Manager: Workstation Authentication
A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A System Center Configuration Manager, amely a felhasználói tanúsítványt hoz létre, a tanúsítványon a tulajdonos neve automatikusan beírja a felhasználónevet a személy, aki belépteti a Mac számítógépet.For System Center Configuration Manager that creates a User certificate, the certificate Subject value is automatically populated with the user name of the person who enrolls the Mac computer.

A tanúsítvány telepítése nem használja a System Center Configuration Manager-regisztrációt, de a számítógép tanúsítványát egymástól függetlenül a System Center Configuration Manager a tanúsítványon a tulajdonos neve egyedinek kell lennie.For certificate installation that does not use System Center Configuration Manager enrollment but deploys a Computer certificate independently from System Center Configuration Manager, the certificate Subject value must be unique. Például adja meg a számítógép teljes Tartománynevét.For example, specify the FQDN of the computer.

A tulajdonos alternatív neve mező nem támogatott.The Subject Alternative Name field is not supported.

Az SHA-2 kivonatoló algoritmus támogatott.The SHA-2 hash algorithm is supported.

Maximális támogatott kulcshossz 2048 bit.Maximum supported key length is 2,048 bits.
Ez a tanúsítvány hitelesíti ügyfélként a Mac számítógépet, amely kommunikál, például a felügyeleti pontok és terjesztési pontok helyrendszer-kiszolgálók számára.This certificate authenticates the Mac client computer to the site system servers that it communicates with, like management points and distribution points.
Linux és UNIX alapú ügyfélszámítógépekLinux and UNIX client computers Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A tulajdonos alternatív neve mező nem támogatott.The Subject Alternative Name field is not supported.

A titkos kulcsának exportálhatónak kell lennie.The private key must be exportable.

Az SHA-2 kivonatoló algoritmus akkor támogatott, ha az ügyfél operációs rendszere támogatja az SHA-2.SHA-2 hash algorithm is supported if the operating system of the client supports SHA-2. További információkért lásd: a kapcsolatos Linux és UNIX operációs rendszerek, hogy tegye nem támogatja az SHA-256 szakasz Linux és UNIX rendszerű számítógépekre a System Center Configuration Manager ügyfél központi telepítésének tervezése.For more information, see the About Linux and UNIX Operating Systems That do not Support SHA-256 section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.

Támogatott kulcshosszúságok: 2048 bit.Supported key lengths: 2,048 bits.

Megjegyzés: Ezeknek a tanúsítványoknak megkülönböztető Encoding Rules (DER) kódolású bináris X.509 formátumúaknak kell lenni.Note: These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format. A Base64 kódolású X.509 formátum nem támogatott.Base64 encoded X.509 format is not supported.
Ez a tanúsítvány hitelesíti a Linux vagy UNIX rendszerű ügyfélszámítógép, amely kommunikál, például a felügyeleti pontok és terjesztési pontok helyrendszer-kiszolgálók.This certificate authenticates the Linux or UNIX client computer to the site system servers that it communicates with, like management points and distribution points. Egy szabványos nyilvános kulcsú tanúsítvány (PKCS #12) formátumában kell exportálni ezt a tanúsítványt, és a jelszót kell lennie, meg kell adnia azt az ügyfél a PKI-tanúsítvány megadása.This certificate must be exported in a Public Key Certificate Standard (PKCS#12) format, and the password must be known so you can specify it to the client when you specify the PKI certificate.

További információkért lásd: a biztonság és a tanúsítványok tervezése Linux és UNIX rendszerű kiszolgálók szakasz Linux és UNIX rendszerű számítógépekre a System Center Configuration Manager ügyfél központi telepítésének tervezése.For additional information, see the Planning for Security and Certificates for Linux and UNIX Servers section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.
Legfelső szintű hitelesítésszolgáltató (CA) tanúsítványai a következő esetekben:Root certification authority (CA) certificates for the following scenarios:

  • Operációs rendszer központi telepítéseOperating system deployment
  • A mobileszközök regisztrációjaMobile device enrollment
  • RADIUS kiszolgáló hitelesítése Intel AMT-alapú számítógépekRADIUS server authentication for Intel AMT-based computers
  • Ügyféltanúsítvány-alapú hitelesítésClient certificate authentication
Tanúsítványlánc megbízható forráshozCertificate chain to a trusted source Nem alkalmazható.Not applicable. Szabványos legfelső szintű hitelesítésszolgáltató tanúsítványaStandard root CA certificate. Legfelső szintű hitelesítésszolgáltatói tanúsítványt kell biztosítani, ha az ügyfeleknek a kommunikáló kiszolgáló tanúsítványait a megbízható forrás részére láncolni kell.The root CA certificate must be provided when clients have to chain the certificates of the communicating server to a trusted source. Ez vonatkozik, a következő esetekben:This applies in the following scenarios:

  • Amikor központilag telepít operációs rendszert, és feladatütemezések futnak, hogy az ügyfélszámítógép csatlakozni egy felügyeleti pont, amely be van állítva a HTTPS PROTOKOLLT használja.When you deploy an operating system, and task sequences run that connect the client computer to a management point that is set up to use HTTPS.
  • Amikor beléptet mobileszközt, hogy a System Center Configuration Manager által kezelhető.When you enroll a mobile device to be managed by System Center Configuration Manager.
  • Ha az AMT alapú számítógépekhez 802.1 X hitelesítést használja, és szeretne megadni a RADIUS kiszolgáló legfelső szintű tanúsítvány egy fájlba.When you use 802.1X authentication for AMT-based computers, and you want to specify a file for the RADIUS server's root certificate.
Ezenkívül az ügyfelek a legfelső szintű Hitelesítésszolgáltatói tanúsítványt meg kell adni, ha az ügyfél továbbra is kiállít tanúsítványokat más Hitelesítésszolgáltatói hierarchia, mint a CA-hierarchiában, amely ki a felügyeleti pont tanúsítványa.In addition, the root CA certificate for clients must be provided if the client certificates are issued by a different CA hierarchy than the CA hierarchy that issued the management point certificate.
Intel AMT-alapú számítógépekIntel AMT-based computers Kiszolgálói hitelesítés.Server authentication. Webkiszolgáló (módosított)Web Server (modified)

Konfigurálnia kell a tulajdonos nevét a az Active Directoryból, majd válassza ki köznapi név a a tulajdonos nevének formátuma.You must configure the Subject Name for Build from this Active Directory information, and then select Common name for the Subject name format.

Meg kell adnia olvasási és beléptetés az univerzális biztonsági csoportot, amely a sávon kívüli felügyeleti összetevő tulajdonságaiban megadott engedélyekkel.You must grant Read and Enroll permissions to the universal security group that you specify in the out-of-band management component properties.
A Kibővített kulcshasználat beállításnál a Kiszolgálói hitelesítés (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

A Tulajdonos nevének tartalmazni kell az AMT alapú számítógép teljes tartománynevét, ez automatikusan töltődik ki az Active Directory Domain Servicesből.The Subject Name must contain the FQDN of the AMT-based computer, which is supplied automatically from Active Directory Domain Services.
A tanúsítvány megtalálható a számítógépen a felügyeletvezérlő nem felejtő közvetlen elérésű memóriájában, és nincs megtekinthető a Windows felhasználói felületén.This certificate is in the nonvolatile random access memory of the management controller in the computer and is not viewable in the Windows user interface.

Mindegyik Intel AMT alapú számítógép ezt a tanúsítványt kér az AMT kiépítés során, és a további frissítésekor.Each Intel AMT-based computer requests this certificate during AMT provisioning and for subsequent updates. Ha eltávolítja az AMT kiépítési információk ezekről a számítógépekről, azok visszavonják a tanúsítványukat.If you remove AMT provisioning information from these computers, they revoke this certificate.

Ez a tanúsítvány Intel AMT-alapú számítógépre telepítve van, amikor a legfelső szintű hitelesítésszolgáltató a tanúsítványlánc telepítése is megtörténik.When this certificate is installed on Intel AMT-based computers, the certificate chain to the root CA is also installed. AMT-alapú számítógépek nem támogatja a Hitelesítésszolgáltatói tanúsítványokat, amelyek kulcshossza több, mint 2048 bit.AMT-based computers cannot support CA certificates with a key length larger than 2,048 bits.

Miután a tanúsítvány telepítve lett Intel AMT-alapú számítógépeken, a tanúsítvány hitelesíti az AMT-alapú számítógépeket a sávon kívüli szolgáltatási pont helyrendszer-kiszolgáló és a sávon kívüli felügyeleti konzolt futtató számítógépeken, és a Transport Layer Security (TLS) között továbbított összes adat titkosítását.After the certificate is installed on Intel AMT-based computers, this certificate authenticates the AMT-based computers to the out-of-band service point site system server and to computers that run the out-of-band management console, and encrypts all data transferred between them by using Transport Layer Security (TLS).
Intel AMT 802.1X ügyféltanúsítványIntel AMT 802.1X client certificate Ügyfél-hitelesítésClient authentication Munkaállomás hitelesítéseWorkstation Authentication

Be kell állítania a tulajdonos nevét a az Active Directoryból, jelölje be köznapi név a a tulajdonos nevének formátuma, a DNS-nevet törölni, és válassza ki az egyszerű felhasználónév (UPN) értéket az alternatív tulajdonosnév beállításánál.You must set up the Subject Name for Build from this Active Directory information, select Common name for the Subject name format, clear the DNS name, and then select the User principal name (UPN) for the alternative subject name.

Meg kell adnia az univerzális biztonsági csoport adja meg a sávon kívüli felügyeleti összetevő tulajdonságai olvasási és beléptetés tanúsítványsablonra engedélyeket.You must grant the universal security group that you specify in the out-of-band management component properties Read and Enroll permissions to this certificate template.
A Kibővített kulcshasználat beállításnál a Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

A tulajdonos neve mezőnek tartalmaznia kell az AMT-alapú számítógép teljes Tartománynevét, és a tulajdonos alternatív nevének tartalmaznia kell az egyszerű Felhasználónevet.The subject name field must contain the FQDN of the AMT-based computer and the subject alternative name must contain the UPN.

Maximális támogatott kulcshossz: 2048 bit.Maximum supported key length: 2,048 bits.
A tanúsítvány megtalálható a számítógépen a felügyeletvezérlő nem felejtő közvetlen elérésű memóriájában, és nincs megtekinthető a Windows felhasználói felületén.This certificate is in the nonvolatile random access memory of the management controller in the computer and is not viewable in the Windows user interface.

Minden egyes Intel AMT-alapú számítógép lekérheti ezt a tanúsítványt AMT kiépítés során, de a számítógép megvonhatja ezt a tanúsítványt az AMT jogosultságkiosztási információ eltávolításakor.Each Intel AMT-based computer can request this certificate during AMT provisioning, but the computer does not revoke this certificate when its AMT provisioning information is removed.

Miután a tanúsítvány telepítve lett az AMT-alapú számítógépeken, ez a tanúsítvány hitelesíti az AMT-alapú számítógépek a RADIUS-kiszolgálónak, így majd engedélyezhető a hálózati hozzáféréshez.After the certificate is installed on AMT-based computers, this certificate authenticates the AMT-based computers to the RADIUS server so that it can then be authorized for network access.
A Microsoft Intune által beléptetett mobileszközökMobile devices that are enrolled by Microsoft Intune Ügyfél-hitelesítésClient authentication Nem alkalmazható: Intune automatikusan létrehozza ezt a tanúsítványt.Not applicable: Intune automatically creates this certificate. Kibővített kulcshasználat értéke tartalmaz ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Három egyéni bővítmény egyedi módon azonosítja az ügyfél Intune-előfizetést.Three custom extensions uniquely identify the customer Intune subscription.

Felhasználók a regisztráció során megadhatja a tanúsítványon a tulajdonos neve.Users can supply the certificate Subject value during enrollment. Azonban Intune nem használja ezt az értéket az eszköz azonosítására.However, Intune does not use this value to identify the device.

A kulcs mérete pedig 2048 bit, és az SHA-1 kivonatoló algoritmust használ.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Megjegyzés: Ezek a beállítások nem módosíthatók.Note: You cannot change these settings. Az információ csak tájékoztató jellegű.This information is provided for informational purposes only.
Ez a tanúsítvány van és telepítése automatikusan végbemegy, amikor a hitelesített felhasználók a Microsoft Intune használatával beléptetik mobileszközüket.This certificate is automatically requested and installed when authenticated users enroll their mobiles devices by using Microsoft Intune. Az eszközön az eredményül kapott tanúsítvány számítógéptárban tárolja a, és ezzel hitelesíti az Intune-hoz, a beléptetett mobileszközt, így majd kezelhető.The resulting certificate on the device resides in the Computer store and authenticates the enrolled mobile device to Intune, so that it can then be managed.

A tanúsítvány egyéni bővítményei miatt a hitelesítés az korlátozódik, az Intune-előfizetést, amely a vállalat számára lett létrehozva.Because of the custom extensions in the certificate, authentication is restricted to the Intune subscription that has been established for the organization.