Condividi tramite


Panoramica sui certificati CNG v3

Configuration Manager supporta i certificati CNG (Cryptography: Next Generation). Configuration Manager client possono usare un certificato di autenticazione client PKI con la chiave privata generata e archiviata in un provider di archiviazione chiavi CNG.Configuration Manager client authentication certificate with the private key generated and stored in a CNG Key Storage Provider (KSP). Con il supporto KSP, i client Configuration Manager supportano chiavi private basate su hardware, ad esempio un KSP TPM per i certificati di autenticazione client PKI.

Nota

Quando si usano certificati CNG, Configuration Manager client supportano solo i certificati che usano l'algoritmo di crittografia RSA.

Scenari supportati

È possibile usare l'API di crittografia: modelli di certificato CNG (Next Generation) v3 per gli scenari seguenti:

  • Registrazione e comunicazione client con un punto di gestione HTTPS
  • Distribuzione software e distribuzione di applicazioni con un punto di distribuzione HTTPS
  • Distribuzione del sistema operativo
  • Client messaging SDK (con l'aggiornamento più recente) e ISV Proxy
  • Configurazione di Cloud Management Gateway (CMG)
  • Applicazioni disponibili destinate all'utente in Software Center

Usare anche i certificati CNG v3 per i ruoli del server abilitati per HTTPS seguenti:

  • Punto di gestione
  • Punto di distribuzione
  • Punto di aggiornamento software
  • Punto di migrazione stato
  • Punto di registrazione del certificato, incluso il server NDES con il modulo dei criteri di Configuration Manager

Nota

CNG è compatibile con le versioni precedenti con l'API Crypto (CAPI). I certificati CAPI continuano a essere supportati anche quando il supporto CNG è abilitato nel client.

Scenari non supportati

Gli scenari seguenti non sono attualmente supportati:

  • I ruoli del server seguenti non sono operativi se installati in modalità HTTPS con un certificato CNG v3 associato al sito Web in Internet Information Services (IIS):

    • Punto di registrazione
    • Punto proxy di registrazione

Per usare i certificati CNG

Per usare i certificati CNG v3, l'autorità di certificazione deve fornire modelli di certificato CNG per i computer di destinazione. I dettagli del modello variano in base allo scenario; tuttavia, sono necessarie le proprietà seguenti:

  • Scheda Compatibilità

    • Autorità di certificazione deve essere Windows Server 2008 o versione successiva. (è consigliabile Windows Server 2012).

    • Il destinatario del certificato deve essere Windows Vista/Server 2008 o versione successiva. È consigliabile Windows 8/Windows Server 2012.

  • Scheda Crittografia

    • La categoria provider deve essere provider di archiviazione chiavi. (obbligatorio)

    • Il nome dell'algoritmo deve essere RSA. (obbligatorio)

    • La richiesta deve usare uno dei provider seguenti: deve essere Microsoft provider di archiviazione delle chiavi software.

Nota

I requisiti per l'ambiente o l'organizzazione possono essere diversi. Contattare l'esperto PKI. Il punto importante da considerare è che un modello di certificato deve usare un provider di archiviazione delle chiavi per sfruttare il CNG.

Per ottenere risultati ottimali, è consigliabile compilare il nome del soggetto dalle informazioni di Active Directory. Usare il nome DNS per il formato nome soggetto e includere il nome DNS nel nome soggetto alternativo. In caso contrario, è necessario fornire queste informazioni quando il dispositivo si registra nel profilo certificato.