CNG v3 証明書の概要

Configuration Manager では、暗号化: 次世代 (CNG) 証明書がサポートされています。 Configuration Manager クライアントは、プライベート キーが生成され、CNG キー プロバイダー (KSP) にStorage PKI クライアント認証証明書を使用できます。 KSP のサポートにより、Configuration Manager クライアントは、PKI クライアント認証証明書用の TPM KSP などのハードウェア ベースのプライベート キーをサポートします。

注意

CNG 証明書を使用する場合、Configuration Manager クライアントは RSA 暗号化アルゴリズムを使用する 証明書のみを サポートします。

サポートされるシナリオ

次のシナリオでは、Cryptography API: Next Generation (CNG) v3 証明書テンプレートを使用できます。

  • HTTPS 管理ポイントとのクライアント登録と通信
  • HTTPS 配布ポイントを使用したソフトウェア配布とアプリケーションの展開
  • OS の展開
  • クライアント メッセージング SDK (最新の更新プログラムを含む) と ISV プロキシ
  • クラウド管理ゲートウェイ (CMG) 構成
  • ソフトウェア センターのユーザーを対象とした利用可能なアプリケーション

次の HTTPS が有効なサーバーの役割にも CNG v3 証明書を使用します。

  • 管理ポイント
  • 配布ポイント
  • ソフトウェアの更新ポイント
  • 状態移行ポイント
  • Configuration Manager ポリシー モジュールを含む NDES サーバーを含む証明書登録ポイント

注意

CNG は、Crypto API (CAPI) と下位互換性があります。 クライアントで CNG サポートが有効になっている場合でも、CAPI 証明書は引き続きサポートされます。

対象外のシナリオ

現在、次のシナリオはサポートされていません。

  • 次のサーバーの役割は、WEB サイト (IIS) にバインドされた CNG v3 証明書を使用して HTTPS モードでインストールインターネット インフォメーション サービスされません。

    • 登録ポイント
    • 登録プロキシ ポイント

CNG 証明書を使用するには

CNG v3 証明書を使用するには、証明機関 (CA) が CNG 証明書テンプレートをターゲット コンピューターに提供する必要があります。 テンプレートの詳細はシナリオによって異なります。ただし、次のプロパティが必要です。

  • [互換性] タブ

    • 証明機関は、サーバー 2008 以降Windows必要があります。 (Windows Server 2012推奨)

    • 証明書の受信者 は、Vista/Server 2008 以降Windowsする必要があります。 (Windows 8/Windows Server 2012をお勧めします)。

  • [暗号化] タブ

    • プロバイダー カテゴリは、Key Storageプロバイダーである必要があります。 (必須)

    • アルゴリズム名は RSA である必要があります。 (必須)

    • 要求では、次のいずれかのプロバイダーを使用する必要があります Storage。

注意

環境または組織の要件が異なる場合があります。 PKI エキスパートにお問い合わせください。 重要な点は、証明書テンプレートが CNG を利用するには、キー Storageプロバイダーを使用する必要がある点です。

最適な結果を得る場合は、Active Directory 情報からサブジェクト名を作成することをお勧めします。 サブジェクト名形式の DNS 名 を使用し 、代替サブジェクト名に DNS 名を含める。 それ以外の場合は、デバイスが証明書プロファイルに登録するときに、この情報を指定する必要があります。