PKI-certificaatvereisten voor Configuration Manager

Van toepassing op: Configuration Manager (current branch)

De PKI-certificaten (Public Key Infrastructure) die u mogelijk nodig hebt voor Configuration Manager, worden vermeld in de volgende tabellen. Voor deze informatie wordt uitgegaan van basiskennis van PKI-certificaten.

U kunt elke PKI gebruiken om de meeste certificaten in Configuration Manager te maken, implementeren en beheren. Voor clientcertificaten die Configuration Manager worden ingeschreven op mobiele apparaten en Mac-computers, is het gebruik van Active Directory Certificate Services vereist.

Wanneer u Active Directory Certificate Services en certificaatsjablonen gebruikt, kan deze Microsoft PKI-oplossing het beheer van certificaten vereenvoudigen. Gebruik de microsoft-certificaatsjabloonreferentie in de onderstaande secties om de certificaatsjabloon te identificeren die het meest overeenkomt met de certificaatvereisten. Alleen een certificeringsinstantie (CA) die wordt uitgevoerd op de Enterprise- of Datacenter-editie van Windows-server kan certificaten op basis van sjablonen gebruiken.

Zie de volgende artikelen voor meer informatie:

• Stapsgewijze voorbeeldimplementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie

• Overzicht van Active Directory Certificate Services

• Transport Layer Security (TLS) 1.2 inschakelen

Ondersteunde certificaattypen

Sha-2-certificaten (Secure Hash Algorithm 2)

Geef nieuwe server- en clientverificatiecertificaten uit die zijn ondertekend met SHA-2, waaronder SHA-256 en SHA-512. Alle internetgerichte services moeten een SHA-2-certificaat gebruiken. Als u bijvoorbeeld een openbaar certificaat koopt voor gebruik met een cloudbeheergateway, moet u ervoor zorgen dat u een SHA-2-certificaat koopt.

Windows vertrouwt geen certificaten die zijn ondertekend met SHA-1. Zie Windows-afdwinging van SHA1-certificaten voor meer informatie.

CNG v3-certificaten

Configuration Manager ondersteunt Cryptografie: Volgende generatie (CNG) v3-certificaten. Configuration Manager clients kunnen een PKI-clientverificatiecertificaat met een persoonlijke sleutel gebruiken in een CNG Key Storage Provider (KSP). Met KSP-ondersteuning ondersteunen Configuration Manager clients persoonlijke sleutels op basis van hardware, zoals een TPM-KSP voor PKI-clientverificatiecertificaten.

Zie Overzicht van CNG v3-certificaten voor meer informatie.

PKI-certificaten voor servers

Sitesystemen die IIS uitvoeren en HTTPS-clientverbindingen ondersteunen

Dit webservercertificaat wordt gebruikt voor het volgende:

• De servers verifiëren bij de client
• Versleutel alle gegevens die worden overgedragen tussen de client en deze servers met TLS.

Van toepassing op:

• Beheerpunt
• Distributiepunt
• Software-updatepunt
• Statusmigratiepunt
• Inschrijvingspunt
• Proxypunt voor inschrijving
• Certificaatregistratiepunt

Certificaatvereisten:

• Certificaatdoel: Serververificatie

• Microsoft-certificaatsjabloon: Webserver

• De waarde uitgebreid sleutelgebruik moet bevatten Server Authentication (1.3.6.1.5.5.7.3.1)

• Onderwerpnaam:

  • Als het sitesysteem verbindingen van internet accepteert, moet de onderwerpnaam of alternatieve onderwerpnaam de FQDN (Fully Qualified Domain Name) voor internet bevatten.

  • Als het sitesysteem verbindingen van het intranet accepteert, moet de onderwerpnaam of alternatieve onderwerpnaam de intranet-FQDN (aanbevolen) of de naam van de computer bevatten, afhankelijk van hoe het sitesysteem is ingesteld.

  • Als het sitesysteem verbindingen van zowel internet als het intranet accepteert, moeten zowel de internet-FQDN als de intranet-FQDN (of computernaam) worden opgegeven. Gebruik het scheidingsteken voor ampersand (&) tussen de twee namen.

  Opmerking

  Wanneer het software-updatepunt alleen clientverbindingen van internet accepteert, moet het certificaat zowel de internet-FQDN als de intranet-FQDN bevatten.

• Sleutellengte: Configuration Manager geeft geen maximale ondersteunde sleutellengte op voor dit certificaat. Raadpleeg uw PKI- en IIS-documentatie voor problemen met de sleutelgrootte voor dit certificaat.

De meeste sitesysteemrollen ondersteunen sleutelopslagproviders voor persoonlijke certificaatsleutels (v3). Zie Overzicht van CNG v3-certificaten voor meer informatie.

Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden.

Cloudbeheergateway (CMG)

Dit servicecertificaat wordt gebruikt voor het volgende:

• De CMG-service in Azure verifiëren voor Configuration Manager-clients

• Versleutel alle gegevens die tussen hen worden overgedragen met behulp van TLS.

Exporteer dit certificaat in een PKCS #12-indeling (Public Key Certificate Standard). U moet het wachtwoord weten, zodat u het certificaat kunt importeren wanneer u de CMG maakt.

Certificaatvereisten:

• Certificaatdoel: Serververificatie

• Microsoft-certificaatsjabloon: Webserver

• De waarde uitgebreid sleutelgebruik moet bevatten Server Authentication (1.3.6.1.5.5.7.3.1)

• De onderwerpnaam moet een door de klant gedefinieerde servicenaam bevatten als algemene naam voor het specifieke exemplaar van de cloudbeheergateway.

• De persoonlijke sleutel moet exporteerbaar zijn.

• Ondersteunde sleutellengten: 2048-bits of 4096-bits

Dit certificaat ondersteunt sleutelopslagproviders voor persoonlijke certificaatsleutels (v3).

Zie CMG-serververificatiecertificaat voor meer informatie.

Sitesysteemservers waarop Microsoft SQL Server

Dit certificaat wordt gebruikt voor server-naar-serververificatie.

Certificaatvereisten:

• Certificaatdoel: Serververificatie

• Microsoft-certificaatsjabloon: Webserver

• De waarde uitgebreid sleutelgebruik moet bevatten Server Authentication (1.3.6.1.5.5.7.3.1)

• De onderwerpnaam moet de FQDN (Fully Qualified Domain Name) van het intranet bevatten

• De maximale ondersteunde sleutellengte is 2048 bits.

Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden. Configuration Manager kopieert deze automatisch naar de Vertrouwde Mensen Store voor servers in de Configuration Manager-hiërarchie die mogelijk een vertrouwensrelatie met de server tot stand moeten brengen.

SQL Server AlwaysOn-failoverclusterexemplaren

Dit certificaat wordt gebruikt voor server-naar-serververificatie.

Certificaatvereisten:

• Certificaatdoel: Serververificatie

• Microsoft-certificaatsjabloon: Webserver

• De waarde uitgebreid sleutelgebruik moet bevatten Server Authentication (1.3.6.1.5.5.7.3.1)

• De onderwerpnaam moet de FQDN(FQDN) van het intranet van het cluster bevatten

• De persoonlijke sleutel moet exporteerbaar zijn

• Het certificaat moet een geldigheidsperiode van ten minste twee jaar hebben wanneer u Configuration Manager configureert voor het gebruik van het failoverclusterexemplaren

• De maximale ondersteunde sleutellengte is 2048 bits.

Dit certificaat aanvragen en installeren op één knooppunt in het cluster. Exporteer vervolgens het certificaat en importeer het naar de andere knooppunten.

Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden. Configuration Manager kopieert deze automatisch naar de Vertrouwde Mensen Store voor servers in de Configuration Manager-hiërarchie die mogelijk een vertrouwensrelatie met de server tot stand moeten brengen.

Sitesysteembewaking

Van toepassing op:

• Beheerpunt
• Statusmigratiepunt

Certificaatvereisten:

• Certificaatdoel: Clientverificatie

• Microsoft-certificaatsjabloon: Verificatie van werkstation

• De waarde uitgebreid sleutelgebruik moet bevatten Client Authentication (1.3.6.1.5.5.7.3.2)

• Computers moeten een unieke waarde hebben in het veld Onderwerpnaam of in het veld Alternatieve onderwerpnaam .

  Opmerking

  Als u meerdere waarden gebruikt voor de alternatieve naam van het onderwerp, wordt alleen de eerste waarde gebruikt.

• De maximale ondersteunde sleutellengte is 2048 bits.

Dit certificaat is vereist op de vermelde sitesysteemservers, zelfs als de Configuration Manager-client niet is geïnstalleerd. Met deze configuratie kan de site de status van deze sitesysteemrollen bewaken en rapporteren.

Het certificaat voor deze sitesystemen moet zich in het persoonlijke archief van het certificaatarchief van de computer bevinden.

Servers waarop de Configuration Manager Policy Module met de NDES-functieservice (Network Device Enrollment Service) wordt uitgevoerd

Certificaatvereisten:

• Certificaatdoel: Clientverificatie

• Microsoft-certificaatsjabloon: Verificatie van werkstation

• De waarde uitgebreid sleutelgebruik moet bevatten Client Authentication (1.3.6.1.5.5.7.3.2)

• Er zijn geen specifieke vereisten voor de onderwerpnaam van het certificaat of de alternatieve onderwerpnaam (SAN). U kunt hetzelfde certificaat gebruiken voor meerdere servers waarop de registratieservice voor netwerkapparaten wordt uitgevoerd.

• Ondersteunde sleutellengten: 1024 bits en 2048 bits.

Sitesystemen waarop een distributiepunt is geïnstalleerd

Dit certificaat heeft twee doelen:

• Het distributiepunt wordt geverifieerd bij een HTTPS-beheerpunt voordat het distributiepunt statusberichten verzendt.

  Opmerking

  Wanneer u alle beheerpunten voor HTTPS configureert, moeten HTTPS-distributiepunten een door PKI uitgegeven certificaat gebruiken. Gebruik geen zelfondertekende certificaten op distributiepunten wanneer beheerpunten certificaten gebruiken. Anders kunnen er problemen optreden. Distributiepunten verzenden bijvoorbeeld geen statusberichten.

• Een distributiepunt met PXE-functionaliteit verzendt dit certificaat naar computers. Als de takenreeks clientacties bevat, zoals het ophalen van clientbeleid of het verzenden van inventarisgegevens, kan de computer verbinding maken met een HTTPS-beheerpunt tijdens het implementatieproces van het besturingssysteem.

  Opmerking

  Voor dit PXE-scenario wordt dit certificaat alleen gebruikt tijdens het implementatieproces van het besturingssysteem. Deze is niet geïnstalleerd op de client. Vanwege dit tijdelijke gebruik kunt u hetzelfde certificaat voor elke implementatie van het besturingssysteem gebruiken als u niet meerdere clientcertificaten wilt gebruiken.

  De vereisten voor dit certificaat zijn hetzelfde als het clientcertificaat voor takenreeksmedia. Omdat de vereisten hetzelfde zijn, kunt u hetzelfde certificaatbestand gebruiken.

  Het certificaat dat u opgeeft voor HTTPS-inschakelen van een distributiepunt, is van toepassing op alle distributiebewerkingen voor inhoud, niet alleen op de implementatie van het besturingssysteem.

Certificaatvereisten:

• Certificaatdoel: Clientverificatie

• Microsoft-certificaatsjabloon: Verificatie van werkstation

• De waarde uitgebreid sleutelgebruik moet bevatten Client Authentication (1.3.6.1.5.5.7.3.2)

• Er zijn geen specifieke vereisten voor de onderwerpnaam van het certificaat of de alternatieve onderwerpnaam (SAN). Het wordt aanbevolen om voor elk distributiepunt een ander certificaat te gebruiken, maar u kunt hetzelfde certificaat gebruiken.

• De persoonlijke sleutel moet exporteerbaar zijn.

• De maximale ondersteunde sleutellengte is 2048 bits.

Exporteer dit certificaat in een PKCS #12-indeling (Public Key Certificate Standard). U moet het wachtwoord weten, zodat u het certificaat kunt importeren in de eigenschappen van het distributiepunt.

Proxywebservers voor clientbeheer op internet

Als de site ondersteuning biedt voor clientbeheer via internet en u een proxywebserver gebruikt met SSL-beëindiging (bridging) voor binnenkomende internetverbindingen, heeft de proxywebserver de volgende certificaatvereisten:

Opmerking

Als u een proxywebserver gebruikt zonder SSL-beëindiging (tunneling), zijn er geen extra certificaten vereist op de proxywebserver.

Certificaatvereisten:

• Certificaatdoel: Serververificatie en Clientverificatie

• Microsoft-certificaatsjabloon: Webserver - en werkstationverificatie

• Internet-FQDN in het veld Onderwerpnaam of Alternatieve onderwerpnaam . Als u Microsoft-certificaatsjablonen gebruikt, is de alternatieve onderwerpnaam alleen beschikbaar voor de werkstationsjabloon.

Dit certificaat wordt gebruikt om de volgende servers te verifiëren voor internetclients en om alle gegevens te versleutelen die tussen de client en deze server worden overgedragen met TLS:

• Op internet gebaseerd beheerpunt
• Distributiepunt op internet
• Software-updatepunt op internet

De clientverificatie wordt gebruikt om clientverbindingen tussen de Configuration Manager clients en de op internet gebaseerde sitesystemen te overbruggingen.

PKI-certificaten voor clients

Windows-clientcomputers

Met uitzondering van het software-updatepunt verifieert dit certificaat de client bij sitesystemen die IIS uitvoeren en HTTPS-clientverbindingen ondersteunen.

Certificaatvereisten:

• Certificaatdoel: Clientverificatie

• Microsoft-certificaatsjabloon: Verificatie van werkstation

• De waarde uitgebreid sleutelgebruik moet bevatten Client Authentication (1.3.6.1.5.5.7.3.2)

• De waarde sleutelgebruik moet bevatten Digital Signature, Key Encipherment (a0)

• Clientcomputers moeten een unieke waarde hebben in het veld Onderwerpnaam of Alternatieve onderwerpnaam . Indien gebruikt, moet het veld Onderwerpnaam de naam van de lokale computer bevatten, tenzij er een alternatief selectiecriterium voor certificaten wordt opgegeven. Zie Selectie van PKI-clientcertificaat plannen voor meer informatie.

  Opmerking

  Als u meerdere waarden gebruikt voor de alternatieve naam van het onderwerp, wordt alleen de eerste waarde gebruikt.

• Er is geen maximale ondersteunde sleutellengte.

Standaard zoekt Configuration Manager naar computercertificaten in het persoonlijke archief in het certificaatarchief van de computer.

Takenreeksmedia voor het implementeren van besturingssystemen

Dit certificaat wordt gebruikt door een OSD-takenreeks en stelt de computer in staat om verbinding te maken met een HTTPS-beheerpunt en distributiepunt tijdens het implementatieproces van het besturingssysteem. Verbindingen met het beheerpunt en het distributiepunt kunnen acties omvatten, zoals het ophalen van clientbeleid van het beheerpunt en het downloaden van inhoud van het distributiepunt.

Dit certificaat wordt alleen gebruikt tijdens het implementatieproces van het besturingssysteem. Het wordt niet gebruikt als onderdeel van de eigenschappen van de clientinstallatie wanneer de client wordt geïnstalleerd tijdens de installatie van Windows en ConfigMgr-taak en wordt deze ook niet op het apparaat geïnstalleerd. Vanwege dit tijdelijke gebruik kunt u hetzelfde certificaat voor elke implementatie van het besturingssysteem gebruiken als u niet meerdere clientcertificaten wilt gebruiken.

Wanneer u een omgeving hebt die alleen HTTPS is, moet de takenreeksmedia een geldig certificaat hebben. Met dit certificaat kan het apparaat communiceren met de site en kan de implementatie worden voortgezet. Nadat de takenreeks is voltooid en het apparaat is gekoppeld aan Active Directory, kan de client automatisch een PKI-certificaat genereren via een groepsbeleidsobject, of u kunt een PKI-certificaat installeren met behulp van een andere methode.

Opmerking

De vereisten voor dit certificaat zijn hetzelfde als het servercertificaat voor sitesystemen met de distributiepuntrol. Omdat de vereisten hetzelfde zijn, kunt u hetzelfde certificaatbestand gebruiken.

Certificaatvereisten:

• Certificaatdoel: Clientverificatie

• Microsoft-certificaatsjabloon: Verificatie van werkstation

• De waarde uitgebreid sleutelgebruik moet bevatten Client Authentication (1.3.6.1.5.5.7.3.2)

• Er zijn geen specifieke vereisten voor de velden Onderwerpnaam of Alternatieve onderwerpnaam (SAN). U kunt hetzelfde certificaat gebruiken voor alle takenreeksmedia.

• De persoonlijke sleutel moet exporteerbaar zijn.

• De maximale ondersteunde sleutellengte is 2048 bits.

Exporteer dit certificaat in een PKCS #12-indeling (Public Key Certificate Standard). U moet het wachtwoord weten, zodat u het certificaat kunt importeren bij het maken van de takenreeksmedia.

Belangrijk

Opstartinstallatiekopieën bevatten geen PKI-certificaten om met de site te communiceren. In plaats daarvan gebruiken opstartinstallatiekopieën het PKI-certificaat dat is toegevoegd aan de takenreeksmedia om met de site te communiceren.

Zie Opstartbare media maken en Voorbereide media maken voor meer informatie over het toevoegen van een PKI-certificaat aan takenreeksmedia.

macOS-clientcomputers

Met dit certificaat wordt de macOS-clientcomputer geverifieerd bij de sitesysteemservers waarmee wordt gecommuniceerd. Bijvoorbeeld beheerpunten en distributiepunten.

Certificaatvereisten:

• Certificaatdoel: Clientverificatie

• Microsoft-certificaatsjabloon:

  • Voor Configuration Manager inschrijving: Geverifieerde sessie
  • Voor certificaatinstallatie onafhankelijk van Configuration Manager: Verificatie van werkstation

• De waarde uitgebreid sleutelgebruik moet bevatten Client Authentication (1.3.6.1.5.5.7.3.2)

• Onderwerpnaam:

  • Voor Configuration Manager die een gebruikerscertificaat maakt, wordt de waarde Van het certificaat automatisch ingevuld met de gebruikersnaam van de persoon die de macOS-computer inschrijft.
  • Voor certificaatinstallatie die geen gebruik maakt van Configuration Manager-inschrijving, maar een computercertificaat onafhankelijk van Configuration Manager implementeert, moet de waarde van het certificaat Onderwerp uniek zijn. Geef bijvoorbeeld de FQDN van de computer op.
  • Het veld Alternatieve naam onderwerp wordt niet ondersteund.

• De maximale ondersteunde sleutellengte is 2048 bits.

Clients voor mobiele apparaten

Met dit certificaat wordt de client van het mobiele apparaat geverifieerd bij de sitesysteemservers waarmee het communiceert. Bijvoorbeeld beheerpunten en distributiepunten.

Certificaatvereisten:

• Certificaatdoel: Clientverificatie

• Microsoft-certificaatsjabloon: Geverifieerde sessie

• De waarde uitgebreid sleutelgebruik moet bevatten Client Authentication (1.3.6.1.5.5.7.3.2)

• De maximale ondersteunde sleutellengte is 2048 bits.

Deze certificaten moeten een met Distinguished Encoding Rules gecodeerde binaire X.509-indeling hebben. De met Base64 gecodeerde X.509-indeling wordt niet ondersteund.

Ca-certificaten (basiscertificeringsinstantie)

Dit certificaat is een standaard basis-CA-certificaat.

Van toepassing op:

• Besturingssysteemimplementatie
• Clientcertificaatverificatie
• Inschrijving van mobiele apparaten

Certificaatdoel: Certificaatketen naar een vertrouwde bron

Het basis-CA-certificaat moet worden opgegeven wanneer clients de certificaten van de communicerende server moeten koppelen aan een vertrouwde bron. Het basis-CA-certificaat voor clients moet worden opgegeven als de clientcertificaten worden uitgegeven door een andere CA-hiërarchie dan de CA-hiërarchie die het beheerpuntcertificaat heeft uitgegeven.