Requisiti del certificato PKI per Configuration Manager

Si applica a: Configuration Manager (Current Branch)

I certificati PKI (Public Key Infrastructure) che potrebbero essere necessari per Configuration Manager sono elencati nelle tabelle seguenti. Queste informazioni presuppongono una conoscenza di base dei certificati PKI.

È possibile usare qualsiasi infrastruttura a chiave pubblica per creare, distribuire e gestire la maggior parte dei certificati in Configuration Manager. Per i certificati client che Configuration Manager registrati nei dispositivi mobili e nei computer Mac, è necessario l'uso di Servizi certificati Active Directory.

Quando si usano Servizi certificati Active Directory e modelli di certificato, questa soluzione PKI Microsoft può semplificare la gestione dei certificati. Usare il riferimento al modello di certificato Microsoft nelle sezioni seguenti per identificare il modello di certificato che corrisponde maggiormente ai requisiti del certificato. Solo un'autorità di certificazione (CA) aziendale eseguita nelle edizioni Enterprise o Datacenter di Windows Server può usare certificati basati su modelli.

Per altre informazioni, vedere gli articoli seguenti:

• Distribuzione dettagliata di esempio dei certificati PKI per Configuration Manager: Autorità di certificazione di Windows Server 2008

• Panoramica di Servizi certificati Active Directory

• Come abilitare Transport Layer Security (TLS) 1.2

Tipi di certificato supportati

Certificati sha-2 (Secure Hash Algorithm 2)

Rilasciare nuovi certificati di autenticazione client e server firmati con SHA-2, inclusi SHA-256 e SHA-512. Tutti i servizi con connessione Internet devono usare un certificato SHA-2. Ad esempio, se si acquista un certificato pubblico da usare con un gateway di gestione cloud, assicurarsi di acquistare un certificato SHA-2.

Windows non considera attendibili i certificati firmati con SHA-1. Per altre informazioni, vedere Imposizione di Windows dei certificati SHA1.

Certificati CNG v3

Configuration Manager supporta i certificati CNG (Cryptography: Next Generation) v3. Configuration Manager client possono usare un certificato di autenticazione client PKI con chiave privata in un provider di archiviazione chiavi CNG. Con il supporto KSP, i client Configuration Manager supportano chiavi private basate su hardware, ad esempio un KSP TPM per i certificati di autenticazione client PKI.

Per altre informazioni, vedere Panoramica dei certificati CNG v3.

Certificati PKI per i server

Sistemi del sito che eseguono IIS e supportano connessioni client HTTPS

Questo certificato del server Web viene usato per:

• Autenticare i server nel client
• Crittografare tutti i dati trasferiti tra il client e questi server con TLS.

Si applica a:

• Punto di gestione
• Punto di distribuzione
• Punto di aggiornamento software
• Punto di migrazione stato
• Punto di registrazione
• Punto proxy di registrazione
• Punto di registrazione certificati

Requisiti del certificato:

• Scopo del certificato: autenticazione server

• Modello di certificato Microsoft: Server Web

• Il valore Utilizzo chiavi avanzato deve contenere Server Authentication (1.3.6.1.5.5.7.3.1)

• Nome soggetto:

  • Se il sistema del sito accetta connessioni da Internet, il nome soggetto o il nome alternativo del soggetto deve contenere il nome di dominio completo (FQDN) di Internet.

  • Se il sistema del sito accetta connessioni dalla intranet, il nome soggetto o il nome alternativo del soggetto deve contenere il nome di dominio completo della rete Intranet (scelta consigliata) o il nome del computer, a seconda della configurazione del sistema del sito.

  • Se il sistema del sito accetta connessioni sia da Internet che dalla intranet, è necessario specificare sia il nome di dominio completo internet che il nome di dominio completo (o il nome del computer) intranet. Usare il delimitatore di simboli e commerciale (&) tra i due nomi.

  Nota

  Quando il punto di aggiornamento software accetta solo connessioni client da Internet, il certificato deve contenere sia l'FQDN Internet che il nome di dominio completo intranet.

• Lunghezza chiave: Configuration Manager non specifica una lunghezza massima supportata della chiave per questo certificato. Per eventuali problemi relativi alle dimensioni della chiave per questo certificato, consultare la documentazione relativa a PKI e IIS.

La maggior parte dei ruoli del sistema del sito supporta i provider di archiviazione delle chiavi per le chiavi private del certificato (v3). Per altre informazioni, vedere Panoramica dei certificati CNG v3.

Questo certificato deve trovarsi nell'archivio personale nell'archivio certificati computer.

Cloud Management Gateway (CMG)

Questo certificato di servizio viene usato per:

• Autenticare il servizio CMG in Azure per Configuration Manager client

• Crittografare tutti i dati trasferiti tra di essi usando TLS.

Esportare questo certificato in un formato PKCS #12 (Public Key Certificate Standard). È necessario conoscere la password, in modo da poter importare il certificato quando si crea il cmg.

Requisiti del certificato:

• Scopo del certificato: autenticazione server

• Modello di certificato Microsoft: Server Web

• Il valore Utilizzo chiavi avanzato deve contenere Server Authentication (1.3.6.1.5.5.7.3.1)

• Il nome del soggetto deve contenere un nome di servizio definito dal cliente come nome comune per l'istanza specifica del gateway di gestione cloud.

• La chiave privata deve essere esportabile.

• Lunghezze di chiave supportate: 2048 bit o 4096 bit

Questo certificato supporta i provider di archiviazione delle chiavi per le chiavi private del certificato (v3).

Per altre informazioni, vedere Certificato di autenticazione del server CMG.

Server del sistema del sito che eseguono Microsoft SQL Server

Questo certificato viene usato per l'autenticazione da server a server.

Requisiti del certificato:

• Scopo del certificato: autenticazione server

• Modello di certificato Microsoft: Server Web

• Il valore Utilizzo chiavi avanzato deve contenere Server Authentication (1.3.6.1.5.5.7.3.1)

• Il nome soggetto deve contenere il nome di dominio completo intranet (FQDN)

• La lunghezza massima supportata della chiave è di 2.048 bit.

Questo certificato deve trovarsi nell'archivio personale nell'archivio certificati computer. Configuration Manager lo copia automaticamente nell'archivio Persone attendibile per i server nella gerarchia Configuration Manager che potrebbe dover stabilire un trust con il server.

SQL Server Always On'istanza del cluster di failover

Questo certificato viene usato per l'autenticazione da server a server.

Requisiti del certificato:

• Scopo del certificato: autenticazione server

• Modello di certificato Microsoft: Server Web

• Il valore Utilizzo chiavi avanzato deve contenere Server Authentication (1.3.6.1.5.5.7.3.1)

• Il nome del soggetto deve contenere il nome di dominio completo (FQDN) intranet del cluster

• La chiave privata deve essere esportabile

• Il certificato deve avere un periodo di validità di almeno due anni quando si configura Configuration Manager per l'uso dell'istanza del cluster di failover

• La lunghezza massima supportata della chiave è di 2.048 bit.

Richiedere e installare questo certificato in un nodo del cluster. Esportare quindi il certificato e importarlo negli altri nodi.

Questo certificato deve trovarsi nell'archivio personale nell'archivio certificati computer. Configuration Manager lo copia automaticamente nell'archivio Persone attendibile per i server nella gerarchia Configuration Manager che potrebbe dover stabilire un trust con il server.

Monitoraggio del sistema del sito

Si applica a:

• Punto di gestione
• Punto di migrazione stato

Requisiti del certificato:

• Scopo del certificato: autenticazione client

• Modello di certificato Microsoft: Autenticazione della workstation

• Il valore Utilizzo chiavi avanzato deve contenere Client Authentication (1.3.6.1.5.5.7.3.2)

• I computer devono avere un valore univoco nel campo Nome soggetto o nel campo Nome alternativo soggetto .

  Nota

  Se si usano più valori per il nome alternativo del soggetto, viene usato solo il primo valore.

• La lunghezza massima supportata della chiave è di 2.048 bit.

Questo certificato è obbligatorio nei server del sistema del sito elencati, anche se il client Configuration Manager non è installato. Questa configurazione consente al sito di monitorare e segnalare l'integrità di questi ruoli del sistema del sito.

Il certificato per questi sistemi del sito deve trovarsi nell'archivio personale dell'archivio certificati computer.

Server che eseguono il modulo criteri di Configuration Manager con il servizio ruolo Servizio registrazione dispositivi di rete

Requisiti del certificato:

• Scopo del certificato: autenticazione client

• Modello di certificato Microsoft: Autenticazione della workstation

• Il valore Utilizzo chiavi avanzato deve contenere Client Authentication (1.3.6.1.5.5.7.3.2)

• Non sono previsti requisiti specifici per il nome soggetto del certificato o il nome alternativo del soggetto (SAN). È possibile usare lo stesso certificato per più server che eseguono il servizio Registrazione dispositivi di rete.

• Lunghezze di chiave supportate: 1.024 bit e 2.048 bit.

Sistemi del sito in cui è installato un punto di distribuzione

Questo certificato ha due scopi:

• Autentica il punto di distribuzione in un punto di gestione abilitato per HTTPS prima che il punto di distribuzione invii messaggi di stato.

  Nota

  Quando si configurano tutti i punti di gestione per HTTPS, i punti di distribuzione abilitati per HTTPS devono usare un certificato rilasciato da PKI. Non usare certificati autofirmati nei punti di distribuzione quando i punti di gestione usano i certificati. In caso contrario, potrebbero verificarsi problemi. Ad esempio, i punti di distribuzione non invieranno messaggi di stato.

• Un punto di distribuzione abilitato per PXE invia questo certificato ai computer. Se la sequenza di attività include azioni client come il recupero dei criteri client o l'invio di informazioni di inventario, il computer può connettersi a un punto di gestione abilitato per HTTPS durante il processo di distribuzione del sistema operativo.

  Nota

  Per questo scenario PXE, questo certificato viene usato solo durante il processo di distribuzione del sistema operativo. Non è installato nel client. A causa di questo uso temporaneo, è possibile usare lo stesso certificato per ogni distribuzione del sistema operativo se non si vuole usare più certificati client.

  I requisiti per questo certificato sono gli stessi del certificato client per il supporto della sequenza di attività. Poiché i requisiti sono gli stessi, è possibile usare lo stesso file di certificato.

  Il certificato specificato per abilitare HTTPS un punto di distribuzione si applica a tutte le operazioni di distribuzione del contenuto, non solo alla distribuzione del sistema operativo.

Requisiti del certificato:

• Scopo del certificato: autenticazione client

• Modello di certificato Microsoft: Autenticazione della workstation

• Il valore Utilizzo chiavi avanzato deve contenere Client Authentication (1.3.6.1.5.5.7.3.2)

• Non sono previsti requisiti specifici per il nome soggetto del certificato o il nome alternativo del soggetto (SAN). È consigliabile usare un certificato diverso per ogni punto di distribuzione, ma è possibile usare lo stesso certificato.

• La chiave privata deve essere esportabile.

• La lunghezza massima supportata della chiave è di 2.048 bit.

Esportare questo certificato in un formato PKCS #12 (Public Key Certificate Standard). È necessario conoscere la password, in modo da poter importare il certificato nelle proprietà del punto di distribuzione.

Server Web proxy per la gestione client basata su Internet

Se il sito supporta la gestione client basata su Internet e si usa un server Web proxy usando la terminazione SSL (bridging) per le connessioni Internet in ingresso, il server Web proxy ha i requisiti di certificato seguenti:

Nota

Se si usa un server Web proxy senza terminazione SSL (tunneling), non sono necessari certificati aggiuntivi nel server Web proxy.

Requisiti del certificato:

• Scopo del certificato: autenticazione server e autenticazione client

• Modello di certificato Microsoft: Autenticazione server Web e workstation

• FQDN Internet nel campo Nome soggetto o Nome alternativo soggetto . Se si usano modelli di certificato Microsoft, il nome alternativo del soggetto è disponibile solo con il modello di workstation.

Questo certificato viene usato per autenticare i server seguenti nei client Internet e per crittografare tutti i dati trasferiti tra il client e il server con TLS:

• Punto di gestione basato su Internet
• Punto di distribuzione basato su Internet
• Punto di aggiornamento software basato su Internet

L'autenticazione client viene usata per collegare le connessioni client tra i client Configuration Manager e i sistemi del sito basati su Internet.

Certificati PKI per i client

Computer client Windows

Ad eccezione del punto di aggiornamento software, questo certificato autentica il client nei sistemi del sito che eseguono IIS e supportano le connessioni client HTTPS.

Requisiti del certificato:

• Scopo del certificato: autenticazione client

• Modello di certificato Microsoft: Autenticazione della workstation

• Il valore Utilizzo chiavi avanzato deve contenere Client Authentication (1.3.6.1.5.5.7.3.2)

• Il valore utilizzo chiave deve contenere Digital Signature, Key Encipherment (a0)

• I computer client devono avere un valore univoco nel campo Nome soggetto o Nome alternativo soggetto . Se utilizzato, il campo Nome soggetto deve contenere il nome del computer locale, a meno che non sia specificato un criterio di selezione del certificato alternativo. Per altre informazioni, vedere Pianificare la selezione del certificato client PKI.

  Nota

  Se si usano più valori per il nome alternativo del soggetto, viene usato solo il primo valore.

• La lunghezza massima della chiave supportata non è disponibile.

Per impostazione predefinita, Configuration Manager cerca i certificati del computer nell'archivio personale nell'archivio certificati computer.

Supporto della sequenza di attività per la distribuzione di sistemi operativi

Questo certificato viene usato da una sequenza di attività OSD e consente al computer di connettersi a un punto di gestione e a un punto di distribuzione abilitati per HTTPS durante il processo di distribuzione del sistema operativo. Le connessioni al punto di gestione e al punto di distribuzione possono includere azioni come il recupero dei criteri client dal punto di gestione e il download del contenuto dal punto di distribuzione.

Questo certificato viene usato solo durante il processo di distribuzione del sistema operativo. Non viene usato come parte delle proprietà di installazione client quando il client viene installato durante l'attività Di installazione di Windows e ConfigMgr né è installato nel dispositivo. A causa di questo uso temporaneo, è possibile usare lo stesso certificato per ogni distribuzione del sistema operativo se non si vuole usare più certificati client.

Quando si dispone di un ambiente solo HTTPS, il supporto della sequenza di attività deve avere un certificato valido. Questo certificato consente al dispositivo di comunicare con il sito e di continuare la distribuzione. Al termine della sequenza di attività, quando il dispositivo viene aggiunto ad Active Directory, il client può generare automaticamente un certificato PKI tramite un oggetto Criteri di gruppo oppure è possibile installare un certificato PKI usando un altro metodo.

Nota

I requisiti per questo certificato sono gli stessi del certificato server per i sistemi del sito con il ruolo del punto di distribuzione. Poiché i requisiti sono gli stessi, è possibile usare lo stesso file di certificato.

Requisiti del certificato:

• Scopo del certificato: autenticazione client

• Modello di certificato Microsoft: Autenticazione della workstation

• Il valore Utilizzo chiavi avanzato deve contenere Client Authentication (1.3.6.1.5.5.7.3.2)

• Non sono previsti requisiti specifici per i campi Nome soggetto certificato o Nome alternativo soggetto (SAN). È possibile usare lo stesso certificato per tutti i supporti della sequenza di attività.

• La chiave privata deve essere esportabile.

• La lunghezza massima supportata della chiave è di 2.048 bit.

Esportare questo certificato in un formato PKCS #12 (Public Key Certificate Standard). È necessario conoscere la password, in modo da poter importare il certificato durante la creazione del supporto della sequenza di attività.

Importante

Le immagini di avvio non contengono certificati PKI per comunicare con il sito. Le immagini di avvio usano invece il certificato PKI aggiunto al supporto della sequenza di attività per comunicare con il sito.

Per altre informazioni sull'aggiunta di un certificato PKI al supporto della sequenza di attività, vedere Creare supporti di avvio e Creare supporti pre-installati.

Computer client macOS

Questo certificato autentica il computer client macOS nei server del sistema del sito con cui comunica. Ad esempio, punti di gestione e punti di distribuzione.

Requisiti del certificato:

• Scopo del certificato: autenticazione client

• Modello di certificato Microsoft:

  • Per la registrazione Configuration Manager: Sessione autenticata
  • Per l'installazione del certificato indipendente da Configuration Manager: Autenticazione workstation

• Il valore Utilizzo chiavi avanzato deve contenere Client Authentication (1.3.6.1.5.5.7.3.2)

• Nome soggetto:

  • Per Configuration Manager che crea un certificato utente, il valore soggetto del certificato viene popolato automaticamente con il nome utente della persona che registra il computer macOS.
  • Per l'installazione del certificato che non usa la registrazione Configuration Manager, ma distribuisce un certificato computer in modo indipendente da Configuration Manager, il valore soggetto del certificato deve essere univoco. Ad esempio, specificare il nome di dominio completo del computer.
  • Il campo Nome alternativo soggetto non è supportato.

• La lunghezza massima supportata della chiave è di 2.048 bit.

Client di dispositivi mobili

Questo certificato autentica il client del dispositivo mobile nei server del sistema del sito con cui comunica. Ad esempio, punti di gestione e punti di distribuzione.

Requisiti del certificato:

• Scopo del certificato: autenticazione client

• Modello di certificato Microsoft: Sessione autenticata

• Il valore Utilizzo chiavi avanzato deve contenere Client Authentication (1.3.6.1.5.5.7.3.2)

• La lunghezza massima supportata della chiave è di 2.048 bit.

Questi certificati devono essere in formato binario X.509 con codifica Distinguished Encoding Rules (DER). Il formato X.509 con codifica Base64 non è supportato.

Certificati dell'autorità di certificazione radice

Questo certificato è un certificato CA radice standard.

Si applica a:

• Distribuzione del sistema operativo
• Autenticazione dei certificati client
• Registrazione dei dispositivi mobili

Scopo del certificato: catena di certificati a un'origine attendibile

Il certificato CA radice deve essere fornito quando i client devono concatenare i certificati del server di comunicazione a un'origine attendibile. Il certificato CA radice per i client deve essere fornito se i certificati client vengono rilasciati da una gerarchia ca diversa rispetto alla gerarchia ca che ha rilasciato il certificato del punto di gestione.