PKI-tanúsítványkövetelmények a Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

A nyilvános kulcsú infrastruktúra (PKI) tanúsítványai, amelyekre Configuration Manager szüksége lehet, az alábbi táblázatokban találhatók. Ez az információ feltételezi a PKI-tanúsítványok alapszintű ismeretét.

Bármilyen PKI-t használhat a tanúsítványok többségének létrehozására, üzembe helyezésére és kezelésére Configuration Manager. A mobileszközökön és Mac számítógépeken Configuration Manager ügyféltanúsítványok esetében az Active Directory tanúsítványszolgáltatást kell használniuk.

Az Active Directory tanúsítványszolgáltatások és tanúsítványsablonok használata esetén ez a Microsoft PKI-megoldás megkönnyíti a tanúsítványok kezelését. Az alábbi szakaszokban található Microsoft-tanúsítványsablon-referencia segítségével azonosíthatja a tanúsítványkövetelményeknek leginkább megfelelő tanúsítványsablont. Csak a Windows Server Enterprise vagy Datacenter kiadásain futó vállalati hitelesítésszolgáltató (CA) használhat sablonalapú tanúsítványokat.

További információért olvassa el az alábbi témaköröket:

• Részletes példa a PKI-tanúsítványok üzembe helyezésére Configuration Manager esetén: Windows Server 2008 hitelesítésszolgáltató

• Az Active Directory tanúsítványszolgáltatások áttekintése

• A Transport Layer Security (TLS) 1.2 engedélyezése

Támogatott tanúsítványtípusok

Secure Hash Algorithm 2 (SHA-2) tanúsítványok

Adja ki az SHA-2-vel aláírt új kiszolgáló- és ügyfél-hitelesítési tanúsítványokat, amelyek tartalmazzák az SHA-256-ot és az SHA-512-t. Minden internetkapcsolattal rendelkező szolgáltatásnak SHA-2 tanúsítványt kell használnia. Ha például nyilvános tanúsítványt vásárol egy felhőfelügyeleti átjáróhoz, győződjön meg arról, hogy sha-2 tanúsítványt vásárol.

A Windows nem bízik meg az SHA-1-nel aláírt tanúsítványokban. További információ: Az SHA1-tanúsítványok Windows-kényszerítése.

CNG v3-tanúsítványok

Configuration Manager támogatja a Cryptography: Next Generation (CNG) v3 tanúsítványokat. Configuration Manager-ügyfelek PKI-ügyfélhitelesítő tanúsítványt használhatnak titkos kulccsal egy CNG-kulcstároló szolgáltatóban (KSP). A KSP-támogatással Configuration Manager-ügyfelek támogatják a hardveralapú titkos kulcsokat, például a PKI ügyfél-hitelesítési tanúsítványaihoz használható TPM KSP-t.

További információ: CNG v3-tanúsítványok áttekintése.

PKI-tanúsítványok kiszolgálókhoz

IIS-t futtató és HTTPS-ügyfélkapcsolatokat támogató helyrendszerek

Ez a webkiszolgáló-tanúsítvány a következő célokra használható:

• A kiszolgálók hitelesítése az ügyfélen
• A TLS használatával titkosítja az ügyfél és a kiszolgálók között átvitt összes adatot.

A következőkre vonatkozik:

• Felügyeleti pont
• Terjesztési pont
• Szoftverfrissítési pont
• Állapotáttelepítési pont
• Regisztrációs pont
• Regisztrációs proxypont
• Tanúsítványregisztrációs pont

Tanúsítványkövetelmények:

• Tanúsítvány célja: Kiszolgálóhitelesítés

• Microsoft-tanúsítványsablon: Webkiszolgáló

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Server Authentication (1.3.6.1.5.5.7.3.1)

• Tulajdonos neve:

  • Ha a helyrendszer fogadja az internetről érkező kapcsolatokat, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben szerepelnie kell az internet teljes tartománynevének (FQDN).

  • Ha a helyrendszer intranetről fogad kapcsolatokat, a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben szerepelnie kell az intranetes teljes tartománynévnek (ajánlott) vagy a számítógép nevének a helyrendszer beállításától függően.

  • Ha a helyrendszer az internetről és az intranetről is fogad kapcsolatokat, az internetes teljes tartománynevet és az intranetes teljes tartománynevet (vagy számítógépnevet) is meg kell adni. Használja az és (&) szimbólum határolójelet a két név között.

  Megjegyzés:

  Ha a szoftverfrissítési pont csak az internetről fogad ügyfélkapcsolatokat, a tanúsítványnak tartalmaznia kell az internetes teljes tartománynevet és az intranetes teljes tartománynevet is.

• Kulcshossz: Configuration Manager nem ad meg maximálisan támogatott kulcshosszt ehhez a tanúsítványhoz. A tanúsítvány kulcsméretével kapcsolatos problémákért tekintse meg a PKI és az IIS dokumentációját.

A legtöbb helyrendszerszerepkör támogatja a titkos tanúsítványkulcsok kulcstároló-szolgáltatóit (v3). További információ: CNG v3-tanúsítványok áttekintése.

Ennek a tanúsítványnak a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie.

Felhőfelügyeleti átjáró (CMG)

Ez a szolgáltatástanúsítvány a következő célokra használható:

• A CMG szolgáltatás hitelesítése az Azure-ban az ügyfelek Configuration Manager

• A TLS használatával titkosítja a közöttük átvitt összes adatot.

Exportálja ezt a tanúsítványt nyilvános kulcsú tanúsítvány standard (PKCS #12) formátumban. Ismernie kell a jelszót, hogy importálhassa a tanúsítványt a CMG létrehozásakor.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Kiszolgálóhitelesítés

• Microsoft-tanúsítványsablon: Webkiszolgáló

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Server Authentication (1.3.6.1.5.5.7.3.1)

• A Tulajdonos nevének tartalmaznia kell egy ügyfél által definiált szolgáltatásnevet a felhőfelügyeleti átjáró adott példányának köznapi neveként .

• A titkos kulcsnak exportálhatónak kell lennie.

• Támogatott kulcshosszok: 2048 bites vagy 4096 bites

Ez a tanúsítvány támogatja a titkos tanúsítványkulcsok (v3) kulcstároló-szolgáltatóinak használatát.

További információ: CMG-kiszolgáló hitelesítési tanúsítványa.

A Microsoft SQL Server futtató helyrendszer-kiszolgálók

Ez a tanúsítvány a kiszolgálók közötti hitelesítéshez használatos.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Kiszolgálóhitelesítés

• Microsoft-tanúsítványsablon: Webkiszolgáló

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Server Authentication (1.3.6.1.5.5.7.3.1)

• A Tulajdonos nevének tartalmaznia kell az intranet teljes tartománynevét (FQDN)

• A maximális támogatott kulcshossz 2048 bit.

Ennek a tanúsítványnak a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie. Configuration Manager automatikusan átmásolja a megbízható Kapcsolatok tárolóba a Configuration Manager hierarchiában lévő kiszolgálók számára, amelyeknek megbízhatósági kapcsolatot kell létesítenie a kiszolgálóval.

SQL Server Always On feladatátvevőfürt-példány

Ez a tanúsítvány a kiszolgálók közötti hitelesítéshez használatos.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Kiszolgálóhitelesítés

• Microsoft-tanúsítványsablon: Webkiszolgáló

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Server Authentication (1.3.6.1.5.5.7.3.1)

• A Tulajdonos nevének tartalmaznia kell a fürt intranetes teljes tartománynevét (FQDN)

• A titkos kulcsnak exportálhatónak kell lennie

• A tanúsítvány érvényességi időtartama legalább két év, ha a Configuration Manager konfigurálja a feladatátvevőfürt-példány használatára

• A maximális támogatott kulcshossz 2048 bit.

Kérje le és telepítse ezt a tanúsítványt a fürt egyik csomópontján. Ezután exportálja a tanúsítványt, és importálja a többi csomópontra.

Ennek a tanúsítványnak a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie. Configuration Manager automatikusan átmásolja a megbízható Kapcsolatok tárolóba a Configuration Manager hierarchiában lévő kiszolgálók számára, amelyeknek megbízhatósági kapcsolatot kell létesítenie a kiszolgálóval.

Helyrendszer monitorozása

A következőkre vonatkozik:

• Felügyeleti pont
• Állapotáttelepítési pont

Tanúsítványkövetelmények:

• Tanúsítvány célja: Ügyfél-hitelesítés

• Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Client Authentication (1.3.6.1.5.5.7.3.2)

• A számítógépeknek egyedi értékkel kell rendelkezniük a Tulajdonos neve mezőben vagy a Tulajdonos alternatív neve mezőben.

  Megjegyzés:

  Ha több értéket használ a Tulajdonos alternatív neve mezőben, az csak az első értéket használja.

• A maximális támogatott kulcshossz 2048 bit.

Ez a tanúsítvány akkor is szükséges a felsorolt helyrendszer-kiszolgálókon, ha a Configuration Manager-ügyfél nincs telepítve. Ez a konfiguráció lehetővé teszi, hogy a hely monitorozza és jelentse ezeknek a helyrendszerszerepköröknek az állapotát.

Ezeknek a helyrendszereknek a tanúsítványának a Számítógép tanúsítványtárolójának Személyes tárolójában kell lennie.

A Configuration Manager házirendmodult a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) szerepkör-szolgáltatással futtató kiszolgálók

Tanúsítványkövetelmények:

• Tanúsítvány célja: Ügyfél-hitelesítés

• Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Client Authentication (1.3.6.1.5.5.7.3.2)

• A tanúsítvány tulajdonosának vagytulajdonos alternatív nevének (SAN) nincsenek konkrét követelményei. Ugyanazt a tanúsítványt több, a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálóhoz is használhatja.

• Támogatott kulcshosszok: 1024 bit és 2048 bit.

Terjesztési ponttal rendelkező helyrendszerek

Ennek a tanúsítványnak két célja van:

• Hitelesíti a terjesztési pontot egy HTTPS-kompatibilis felügyeleti ponttal, mielőtt a terjesztési pont állapotüzeneteket küld.

  Megjegyzés:

  Ha az összes felügyeleti pontot HTTPS-re konfigurálja, akkor a HTTPS-kompatibilis terjesztési pontoknak PKI által kibocsátott tanúsítványt kell használniuk. Ne használjon önaláírt tanúsítványokat a terjesztési pontokon, ha a felügyeleti pontok tanúsítványokat használnak. Egyéb esetben problémák léphetnek fel. A terjesztési pontok például nem küldenek állapotüzeneteket.

• Egy PXE-kompatibilis terjesztési pont elküldi ezt a tanúsítványt a számítógépeknek. Ha a feladatütemezés olyan ügyfélműveleteket tartalmaz, mint például az ügyfélházirend lekérése vagy a leltáradatok küldése, a számítógép az operációs rendszer központi telepítési folyamata során csatlakozhat egy HTTPS-kompatibilis felügyeleti ponthoz.

  Megjegyzés:

  Ebben a PXE-forgatókönyvben ezt a tanúsítványt csak az operációs rendszer üzembehelyezési folyamata során használja a rendszer. Nincs telepítve az ügyfélen. Az ideiglenes használat miatt ugyanazt a tanúsítványt minden operációsrendszer-telepítéshez használhatja, ha nem szeretne több ügyféltanúsítványt használni.

  A tanúsítvány követelményei megegyeznek a feladatütemezési adathordozó ügyféltanúsítványával. Mivel a követelmények ugyanazok, használhatja ugyanazt a tanúsítványfájlt.

  A terjesztési pont HTTPS-engedélyezéséhez megadott tanúsítvány az összes tartalomterjesztési műveletre vonatkozik, nem csak az operációs rendszer üzemelő példányára.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Ügyfél-hitelesítés

• Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Client Authentication (1.3.6.1.5.5.7.3.2)

• A tanúsítvány tulajdonosának vagytulajdonos alternatív nevének (SAN) nincsenek konkrét követelményei. Javasoljuk, hogy minden terjesztési ponthoz használjon másik tanúsítványt, de használhatja ugyanazt a tanúsítványt.

• A titkos kulcsnak exportálhatónak kell lennie.

• A maximális támogatott kulcshossz 2048 bit.

Exportálja ezt a tanúsítványt nyilvános kulcsú tanúsítvány standard (PKCS #12) formátumban. Ismernie kell a jelszót, hogy importálhassa a tanúsítványt a terjesztési pont tulajdonságaiba.

Proxy webkiszolgálók internetalapú ügyfélfelügyelethez

Ha a hely támogatja az internetalapú ügyfélkezelést, és ssl-lezárással (áthidalással) proxy webkiszolgálót használ a bejövő internetkapcsolatokhoz, a proxy-webkiszolgálóra a következő tanúsítványkövetelmények vonatkoznak:

Megjegyzés:

Ha SSL-leállítás (bújtatás) nélkül használ proxy-webkiszolgálót, a proxy-webkiszolgálón nincs szükség további tanúsítványokra.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Kiszolgálóhitelesítés és ügyfél-hitelesítés

• Microsoft-tanúsítványsablon: Webkiszolgáló - és munkaállomás-hitelesítés

• Internetes teljes tartománynév a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben. Ha Microsoft-tanúsítványsablonokat használ, a Tulajdonos alternatív neve csak a munkaállomás-sablonnal érhető el.

Ez a tanúsítvány a következő kiszolgálók internetes ügyfelek felé történő hitelesítésére, valamint az ügyfél és a kiszolgáló közötti összes adat TLS-lel történő titkosítására szolgál:

• Internetalapú felügyeleti pont
• Internetalapú terjesztési pont
• Internetalapú szoftverfrissítési pont

Az ügyfél-hitelesítés a Configuration Manager-ügyfelek és az internetalapú helyrendszerek közötti ügyfélkapcsolatok áthidalására szolgál.

PKI-tanúsítványok ügyfelek számára

Windows rendszerű ügyfélszámítógépek

A szoftverfrissítési pont kivételével ez a tanúsítvány hitelesíti az ügyfelet az IIS-t futtató és HTTPS-ügyfélkapcsolatokat támogató helyrendszereken.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Ügyfél-hitelesítés

• Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Client Authentication (1.3.6.1.5.5.7.3.2)

• A kulcshasználat értékének tartalmaznia kell a következőt: Digital Signature, Key Encipherment (a0)

• Az ügyfélszámítógépeken egyedi értéknek kell lennie a Tulajdonos neve vagy a Tulajdonos alternatív neve mezőben. Ha ezt használja, a Tulajdonos neve mezőnek tartalmaznia kell a helyi számítógépnevet, kivéve, ha alternatív tanúsítványkijelölési feltétel van megadva. További információ: Plan for PKI client certificate selection (A PKI-ügyféltanúsítvány kiválasztásának megtervezása).

  Megjegyzés:

  Ha több értéket használ a Tulajdonos alternatív neve mezőben, az csak az első értéket használja.

• Nincs maximális támogatott kulcshossz.

Alapértelmezés szerint Configuration Manager a számítógép tanúsítványtárolójának Személyes tárolójában keres számítógép-tanúsítványokat.

Feladatütemezési adathordozó operációs rendszerek központi telepítéséhez

Ezt a tanúsítványt egy OSD-feladatütemezés használja, és lehetővé teszi a számítógép számára, hogy az operációs rendszer központi telepítése során HTTPS-kompatibilis felügyeleti ponthoz és terjesztési ponthoz csatlakozzon. A felügyeleti ponttal és a terjesztési ponttal létesített kapcsolatok tartalmazhatnak olyan műveleteket, mint az ügyfélházirend lekérése a felügyeleti pontról és a tartalom letöltése a terjesztési pontról.

Ezt a tanúsítványt csak az operációs rendszer üzembehelyezési folyamata során használja a rendszer. A rendszer nem használja az ügyfél telepítési tulajdonságainak részeként, ha az ügyfél telepítve van a Windows és a ConfigMgr telepítése feladat során, és nem is települ az eszközön. Az ideiglenes használat miatt ugyanazt a tanúsítványt minden operációsrendszer-telepítéshez használhatja, ha nem szeretne több ügyféltanúsítványt használni.

Ha csak HTTPS-alapú környezettel rendelkezik, a feladatütemezési adathordozónak érvényes tanúsítvánnyal kell rendelkeznie. Ez a tanúsítvány lehetővé teszi, hogy az eszköz kommunikáljon a hellyel, és hogy az üzembe helyezés folytatódjon. A feladatütemezés befejeződése után, amikor az eszköz csatlakozik az Active Directoryhoz, az ügyfél automatikusan létrehozhat egy PKI-tanúsítványt egy csoportházirend-objektumon keresztül, vagy telepíthet egy PKI-tanúsítványt egy másik módszerrel.

Megjegyzés:

A tanúsítvány követelményei megegyeznek a terjesztési pont szerepkörrel rendelkező helyrendszerek kiszolgálótanúsítványával. Mivel a követelmények ugyanazok, használhatja ugyanazt a tanúsítványfájlt.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Ügyfél-hitelesítés

• Microsoft-tanúsítványsablon: Munkaállomás-hitelesítés

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Client Authentication (1.3.6.1.5.5.7.3.2)

• A tanúsítvány Tulajdonos neve vagy a Tulajdonos alternatív neve (SAN) mezőinek nincsenek konkrét követelményei. Ugyanazt a tanúsítványt használhatja az összes feladatütemezési adathordozóhoz.

• A titkos kulcsnak exportálhatónak kell lennie.

• A maximális támogatott kulcshossz 2048 bit.

Exportálja ezt a tanúsítványt nyilvános kulcsú tanúsítvány standard (PKCS #12) formátumban. Ismernie kell a jelszót, hogy importálhassa a tanúsítványt a feladatütemezési adathordozó létrehozásakor.

Fontos

A rendszerindító lemezképek nem tartalmaznak PKI-tanúsítványokat a helytel való kommunikációhoz. Ehelyett a rendszerindító lemezképek a feladatütemezési adathordozóhoz hozzáadott PKI-tanúsítványt használják a helytel való kommunikációhoz.

A PKI-tanúsítvány feladatütemezési adathordozóhoz való hozzáadásával kapcsolatos további információkért lásd: Rendszerindító adathordozó létrehozása és Előkészített adathordozó létrehozása.

macOS-ügyfélszámítógépek

Ez a tanúsítvány hitelesíti a macOS-ügyfélszámítógépet azon helyrendszer-kiszolgálókon, amelyekkel kommunikál. Ilyenek például a felügyeleti pontok és a terjesztési pontok.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Ügyfél-hitelesítés

• Microsoft-tanúsítványsablon:

  • Configuration Manager-regisztráció esetén: Hitelesített munkamenet
  • A Configuration Manager-től független tanúsítványtelepítés esetén: Munkaállomás-hitelesítés

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Client Authentication (1.3.6.1.5.5.7.3.2)

• Tulajdonos neve:

  • Felhasználói tanúsítványt létrehozó Configuration Manager esetén a rendszer automatikusan kitölti a tanúsítvány Tulajdonos értékét a macOS-számítógépet regisztráló személy felhasználónevével.
  • Olyan tanúsítványtelepítés esetén, amely nem Configuration Manager-regisztrációt használ, de a számítógép-tanúsítványt a Configuration Manager-től függetlenül telepíti, a tanúsítvány tulajdonosának egyedinek kell lennie. Adja meg például a számítógép teljes tartománynevét.
  • A Tulajdonos alternatív neve mező nem támogatott.

• A maximális támogatott kulcshossz 2048 bit.

Mobileszköz-ügyfelek

Ez a tanúsítvány hitelesíti a mobileszköz-ügyfelet azon helyrendszer-kiszolgálókon, amelyekkel kommunikál. Ilyenek például a felügyeleti pontok és a terjesztési pontok.

Tanúsítványkövetelmények:

• Tanúsítvány célja: Ügyfél-hitelesítés

• Microsoft-tanúsítványsablon: Hitelesített munkamenet

• A Kibővített kulcshasználat értéknek tartalmaznia kell a következőket: Client Authentication (1.3.6.1.5.5.7.3.2)

• A maximális támogatott kulcshossz 2048 bit.

Ezeknek a tanúsítványoknak DER-szabályok (DER) kódolású bináris X.509 formátumban kell lenniük. A Base64 kódolású X.509 formátum nem támogatott.

Legfelső szintű hitelesítésszolgáltatói (CA-) tanúsítványok

Ez a tanúsítvány egy standard legfelső szintű hitelesítésszolgáltatói tanúsítvány.

Érintett szolgáltatás:

• Operációs rendszer üzembe helyezése
• Ügyféltanúsítvány-hitelesítés
• Mobileszköz-regisztráció

Tanúsítvány célja: Tanúsítványlánc megbízható forráshoz

A legfelső szintű hitelesítésszolgáltatói tanúsítványt akkor kell megadni, ha az ügyfeleknek a kommunikáló kiszolgáló tanúsítványait megbízható forráshoz kell láncolnia. Az ügyfelek fő hitelesítésszolgáltatói tanúsítványát akkor kell megadni, ha az ügyféltanúsítványokat a felügyeletipont-tanúsítványt kiállító hitelesítésszolgáltatói hierarchiától eltérő hitelesítésszolgáltatói hierarchia állítja ki.