• Artikel

PKI-certificaatvereisten voor Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

De PKI (public key infrastructure)-certificaten die u nodig kunt hebben voor System Center 2012 Configuration Manager zijn opgenomen in de volgende tabellen. Bij deze informatie wordt ervan uitgegaan dat u basiskennis hebt van PKI-certificaten. Zie Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie voor een voorbeeld van stapsgewijze implementatie van deze certificaten. Zie de volgende documentatie voor meer informatie over Active Directory Certificate Services:

Met uitzondering van de clientcertificaten die Configuration Manager registreert op mobiele apparaten en Mac-computers, de certificaten die Microsoft Intune automatisch maakt voor beheer van mobiele apparaten en de certificaten die Configuration Manager installeert op AMT-computers, kunt u iedere PKI gebruiken om de volgende certificaten te maken, implementeren en beheren. Als u echter Active Directory Certificate Services en certificaatsjablonen gebruikt, kan deze Microsoft PKI-oplossing beheer van de certificaten vereenvoudigen. Gebruik de kolom Te gebruiken Microsoft-certificaatsjabloon in de volgende tabellen om het certificaatsjabloon te identificeren dat het beste overeenkomt met de certificaatvereisten. Op sjabloons gebaseerde certificaten kunnen alleen worden uitgegeven door een bedrijfscertificeringsinstantie die op de Enterprise Edition of Datacenter Edition van het besturingssysteem van de server wordt uitgevoerd, zoals Windows Server 2008 Enterprise en Windows Server 2008 Datacenter.

System_CAPS_importantBelangrijk

Als u een bedrijfscertificeringsinstantie en certificaatsjablonen gebruikt, gebruik dan niet de sjablonen van versie 3. Deze certificaatsjablonen maken certificaten die niet compatibel zijn met Configuration Manager. Gebruik in plaats daarvan versie 2 sjablonen met behulp van de volgende instructies:

  • Voor een certificeringsinstantie op WindowsServer 2012: Geef op het tabblad Compatibiliteit van de certificaatsjablooneigenschappen Windows Server 2003 op voor de optie Certificeringsinstantie en Windows XP / Server 2003 voor de optie Ontvanger van certificaat.

  • Voor een certificeringsinstantie op WindowsServer 2008: Als u een certificaatsjabloon dupliceert, behoudt u de standaardselectie van Windows Server 2003 Enterprise wanneer u hierom wordt gevraagd door het pop-updialoogvenster Sjabloon dupliceren. Selecteer Windows Server 2008, Enterprise Edition niet.

Gebruik de volgende secties om de certificaatvereisten weer te geven.

PKI-certificaten voor Servers

Configuration Manager component

Certificaatdoeleinde

Te gebruiken Microsoft-certificaatsjabloon

Specifieke informatie in het certificaat

Hoe het certificaat wordt gebruikt in Configuration Manager

Sitesystemen die op IIS (Internet Information Services) worden uitgevoerd en die zijn geconfigureerd voor HTTPS-clientverbindingen:

  • Beheerpunt

  • Distributiepunt

  • Software-updatepunt

  • Statusmigratiepunt

  • Inschrijvingspunt

  • Proxypunt voor inschrijving

  • Application Catalog-webservicepunt

  • Application Catalog-websitepunt

Verificatie van de server

Webserver

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.1) bevatten.

Als het sitesysteem internetverbindingen accepteert, moet de onderwerpnaam of alternatieve naam voor onderwerp de internet-FQDN (fully qualified domain name) bevatten.

Als het sitesysteem intranetverbindingen accepteert, moet de onderwerpnaam of alternatieve naam voor onderwerp de intranet-FQDN of, afhankelijk van de configuratie van het sitesysteem, de naam van de computer bevatten.

Als het sitesysteem zowel internet- als intranetverbindingen accepteert, moeten zowel de FQDN van het internet als van het intranet (of de naam van de computer) worden opgegeven met het ampersand (&)-symbool als scheidingsteken tussen beide namen.

System_CAPS_importantBelangrijk

Wanneer het software-updatepunt alleen clientverbindingen van het internet accepteert, moet het certificaat zowel de FQDN van het internet als van het intranet bevatten.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

Configuration Manager geeft geen maximaal ondersteunde sleutellengte op voor dit certificaat. Raadpleeg uw PKI- en IIS-documentatie voor zaken omtrent de sleutelgrootte voor dit certificaat.

Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden.

Dit webservercertificaat wordt gebruikt om deze servers te verifiëren bij de client en alle gegevens te codificeren die tussen de client en deze servers worden overgedragen met behulp van SSL (Secure Sockets Layer).

Cloud-gebaseerd distributiepunt

Verificatie van de server

Webserver

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.1) bevatten.

De onderwerpnaam moet een door een klant gedefinieerde servicenaam en domeinnaam bevatten in FQDN-indeling als de algemene naam voor het specifieke exemplaar van het cloud-gebaseerde distributiepunt.

De persoonlijke sleutel moet exporteerbaar zijn.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

Ondersteunde sleutellengten: 2048 bits.

Voor System Center 2012 Configuration Manager SP1 en later:

Het servicecertificaat wordt gebruikt om de cloud-gebaseerde distributiepuntservice te verifiëren bij Configuration Manager-clients en alle gegevens te codificeren die tussen hen worden overgedragen met behulp van SSL (Secure Sockets Layer).

Dit certificaat moet in een PKCS #12 (Public Key Certificate Standard)-indeling worden geëxporteerd en het wachtwoord moet bekend zijn zodat het kan worden geïmporteerd wanneer u een cloud-gebaseerde distributiepunt maakt.

Notitie

Dit certificaat wordt samen met het Windows Azure-beheercertificaat gebruikt. Zie Create and Upload a Management Certificate for Azure (Een beheercertificaat voor Azure maken en uploaden) en How to Add a Management Certificate to a Windows Azure Subscription (Een beheercertificaat toevoegen aan een Microsoft Azure-abonnement) in het Microsoft Azure-platformgedeelte van de MSDN-bibliotheek voor meer informatie over dit certificaat.

NLB (Network Load Balancing)-cluster voor een software-updatepunt

Verificatie van de server

Webserver

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.1) bevatten.

  1. De FQDN van het NLB-cluster in het veld Onderwerpnaam of Alternatieve naam voor onderwerp:

    • Gebruik voor netwerktaakverdelingsservers die internetclientbeheer ondersteunen NLB FQDN van het internet.

    • Gebruik voor netwerktaakverdelingsservers die intranetclients ondersteunen de NLB FQDN van het intranet.

  2. De computernaam van het sitesysteem in het NLB-cluster in het veld Onderwerpnaam of Alternatieve naam voor onderwerp. Deze servernaam moet worden opgegeven achter de naam voor het NLB-cluster en het ampersand (&)-symbool als scheidingsteken:

    • Gebruik voor sitesystemen op het intranet de intranet-FQDN als u deze specificeert (aanbevolen) of de NetBIOS-naam van de computer.

    • Gebruik de internet-FQDN voor sitesystemen die internetclientbeheer ondersteunen.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

Voor System Center 2012 Configuration Manager zonder service pack:

Dit certificaat wordt gebruikt om het software-updatepunt voor netwerktaakverdeling naar de client te verifiëren en om alle gegevens te codificeren die tussen de client en deze servers worden overgedragen met behulp van SSL.

Notitie

Dit certificaat is alleen van toepassing op Configuration Manager zonder servicepack omdat NLB-software-updatepunten niet worden ondersteund vanaf System Center 2012 Configuration Manager SP1.

Sitesysteemservers die Microsoft SQL Server uitvoeren

Verificatie van de server

Webserver

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.1) bevatten.

De onderwerpnaam moet de FQDN van het intranet bevatten.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden en Configuration Manager kopieert het automatisch naar het vertrouwde personen-archief voor servers in de Configuration Manager-hiërarchie die mogelijk voor vertrouwen met de server moet zorgen.

Deze certificaten worden gebruikt voor de server naar server-verificatie.

SQL Server-cluster: Sitesysteemservers die Microsoft SQL Server uitvoeren

Verificatie van de server

Webserver

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.1) bevatten.

De onderwerpnaam moet de FQDN voor het intranet van het cluster bevatten.

De persoonlijke sleutel moet exporteerbaar zijn.

Dit certificaat moet een geldigheidsperiode hebben van ten minste twee jaar wanneer u Configuration Manager instelt op gebruik van het SQL Server-cluster.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

Nadat u dit certificaat hebt aangevraagd en geïnstalleerd op een knooppunt van het cluster, exporteert u het certificaat en importeert u het naar ieder extra knooppunt in het SQL Server-cluster.

Dit certificaat moet zich in het persoonlijke archief in het certificaatarchief van de computer bevinden en Configuration Manager kopieert het automatisch naar het vertrouwde personen-archief voor servers in de Configuration Manager-hiërarchie die mogelijk voor vertrouwen met de server moet zorgen.

Deze certificaten worden gebruikt voor de server naar server-verificatie.

Sitesysteembewaking voor de volgende sitesysteemrollen:

  • Beheerpunt

  • Statusmigratiepunt

Clientverificatie

Verificatie van werkstation

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Computers moeten een unieke waarde bevatten in het veld Onderwerpnaam of Alternatieve naam voor onderwerp.

Notitie

Als u meerdere waarden gebruikt voor het veld Alternatieve naam voor onderwerp, wordt alleen de eerste waarde gebruikt.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

Dit certificaat is vereist op de opgenomen systeemservers, zelfs als de System Center 2012 Configuration Manager-client niet is geïnstalleerd, zodat de gezondheid van deze sitesysteemrollen kan worden bewaakt en gemeld aan de site.

Het certificaat voor deze sitesystemen moet zich bevinden in het persoonlijke archief van het certificaatarchief van de computer.

Servers die de Configuration Manager-beleidsmodule uitvoeren met de rolservice Registratieservice voor netwerkapparaten.

Clientverificatie

Verificatie van werkstation

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Er zijn geen specifieke vereisten voor het onderwerp van het certificaat of de alternatieve naam voor het onderwerp (SAN); u kunt hetzelfde certificaat gebruiken voor meerdere servers die de registratieservice voor netwerkapparaten uitvoeren.

De hash-algoritmen SHA-1, SHA-2 en SHA-3 worden ondersteund.

Ondersteunde sleutellengten: 1024 bit en 2048 bits.

De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.

Met dit certificaat verifieert u de Configuration Manager-beleidsmodule naar de sitesysteemserver van het certificaatregistratiepunt zodat Configuration Manager certificaten kan registreren voor gebruikers en apparaten.

Sitesystemen die u een distributiepunt geïnstalleerd hebben

Clientverificatie

Verificatie van werkstation

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Er zijn geen specifieke vereisten voor het onderwerp van het certificaat of de alternatieve naam voor het onderwerp (SAN); u kunt hetzelfde certificaat gebruiken voor meerdere distributiepunten. Het wordt echter aanbevolen om een ander certificaat te gebruiken voor elk distributiepunt.

De persoonlijke sleutel moet exporteerbaar zijn.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

Dit certificaat heeft twee doeleinden:

  • Hiermee verifieert u het distributiepunt naar een HTTPS-beheerpunt voordat het distributiepunt statusberichten verzendt.

  • Als u de distributiepuntoptie PXE-ondersteuning voor clients inschakelen hebt geselecteerd, wordt het certificaat naar computers gestuurd, zodat als taakreeksen in het implementatieproces van het besturingssysteem clientacties bevatten, zoals het ophalen van clientbeleid of het verzenden van inventarisgegevens, de clientcomputers tijdens de implementatie van het besturingssysteem verbinding kunnen maken met een HTTPS-beheerpunt.

    Dit certificaat wordt alleen gebruikt voor de duur van het implementatieproces van het besturingssysteem en wordt niet op de client geïnstalleerd. Omdat het tijdelijk wordt gebruikt, kan hetzelfde certificaat voor ieder implementatieproces van besturingssystemen worden gebruikt als u geen meerdere clientcertificaten wilt gebruiken.

Dit certificaat moet in een PKCS #12 (Public Key Certificate Standard)-indeling worden geëxporteerd en het wachtwoord moet bekend zijn zodat het kan worden geïmporteerd in de distributiepunteigenschappen.

Notitie

De vereisten voor dit certificaat zijn dezelfde als het clientcertificaat voor installatiekopieën voor de implementatie van besturingssystemen. U kunt hetzelfde certificaatbestand gebruiken omdat de vereisten dezelfde zijn.

Buiten-bandservicepunt

AMT-inrichting

Webserver (gewijzigd)

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.1) en de volgende object-id bevatten: 2.16.840.1.113741.1.2.3.

Het veld Onderwerpnaam moet de FQDN bevatten van de server waarop het buiten-bandservicepunt zich bevindt.

Notitie

Als u een AMT-inrichtingscertificaat aanvraagt van een externe certificeringsinstantie in plaats van uw eigen interne certificeringsinstantie, en het ondersteunt niet de object-id 2.16.840.1.113741.1.2.3 van de AMT-inrichting, kunt u ook de volgende tekstreeks als een organisatie-eenheidkenmerk in de objectnaam van het certificaat opgeven: Intel(R) clientinstallatiecertificaat. De exacte tekstreeks in het Engels moet worden gebruikt, met hetzelfde hoofdlettergebruik, zonder punt achteraan en ter aanvulling van de FQDN van de server waarop het buiten-bandservicepunt zich bevindt.

SHA-1 is het enige hash-algoritme dat wordt ondersteund.

Ondersteunde sleutellengten: 1024 en 2048. Voor AMT 6.0 en latere versies wordt de sleutellengte van 4096 bits ook ondersteund.

Dit certificaat bevindt zich in het persoonlijke archief in het certificaatarchief van de computer van de systeemserver van het buiten-bandservicepunt.

Dit AMT-inrichtingscertificaat wordt gebruikt om computers voor te bereiden op buiten-bandbeheer.

U moet dit certificaat aanvragen bij een certificeringsinstantie die AMT-inrichtingscertificaten afgeeft en de BIOS-extensie voor de Intel AMT-computers moet worden ingesteld op het gebruik van de vingerafdruk van het basiscertificaat (ook certificaathekje genoemd) voor dit inrichtingscertificaat.

VeriSign is een typisch voorbeeld van een externe certificeringsinstantie die AMT-inrichtingscertificaten afgeeft. U kunt echter ook uw eigen interne certificeringsinstantie gebruiken.

Installeer het certificaat op de server waarop het buiten-bandservicepunt zich bevindt, dat kan worden gekoppeld aan de basiscertificeringsinstantie van het certificaat. (Het basiscertificaat en tussenliggende certificaat voor VeriSign worden standaard geïnstalleerd wanneer Windows wordt geïnstalleerd.)

Sitesysteemserver met de Microsoft Intune-connector

Clientverificatie

Niet van toepassing: dit certificaat wordt automatisch gemaakt door Intune.

De waarde voor Enhanced Key Usage bevat clientverificatie (1.3.6.1.5.5.7.3.2).

3 aangepaste extensies bevatten de unieke identificatie van het Intune-abonnement van de klant.

De sleutelgrootte is 2048 bits en gebruikt het hash-algoritme SHA-1.

Notitie

U kunt deze instellingen niet wijzigen: Deze informatie is uitsluitend ter informatie bedoeld.

Dit certificaat wordt automatisch aangevraagd en geïnstalleerd naar de Configuration Manager-database wanneer u zich abonneert op Microsoft Intune. Wanneer u de Microsoft Intune-connector installeert, wordt dit certificaat geïnstalleerd op de sitesysteemserver die de Microsoft Intune-connector uitvoert. Het wordt geïnstalleerd in het certificaatarchief van de computer.

Dit certificaat wordt gebruikt om de Configuration Manager-hiërarchie naar Microsoft Intune te verifiëren met de Microsoft Intune-connector. Voor alle gegevens die worden overgebracht tussen deze twee wordt SSL (Secure Sockets Layer) gebruikt.

Proxywebservers voor internet-gebaseerd clientbeheer

Als de site internet-gebaseerd clientbeheer ondersteunt, en u gebruikt een proxywebserver door middel van SSL-bridging voor binnenkomende internetverbindingen, heeft de proxywebserver de certificaatvereisten die zijn opgenomen in de volgende tabel.

Notitie

Als u een proxywebserver gebruikt zonder SSL-tunneling, zijn er geen extra certificaten nodig op de proxywebserver.

Onderdeel van de netwerkinfrastructuur

Certificaatdoeleinde

Te gebruiken Microsoft-certificaatsjabloon

Specifieke informatie in het certificaat

Hoe het certificaat wordt gebruikt in Configuration Manager 

Proxywebserver die clientverbindingen accepteren via internet

Serververificatie en clientverificatie

  1. Webserver

  2. Verificatie van werkstation

Internet FQDN in het veld Onderwerpnaam of in het veld Alternatieve naam voor onderwerp (als u certificaatsjablonen van Microsoft gebruikt, is de Alternatieve naam voor onderwerp alleen beschikbaar voor de werkstationsjabloon).

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

Via dit certificaat worden de volgende servers geverifieerd voor internetclients en worden alle tussen de client en deze server door middel van SSL overgedragen gegevens gecodeerd:

  • Beheerpunt op internet

  • Distributiepunt op internet

  • Software-updatepunt op internet

Door verificatie van de client worden clientverbindingen tussen de System Center 2012 Configuration Manager-clients en de sitesystemen op internet overbrugd.

PKI-certificaten voor clients

Configuration Manager component

Certificaatdoeleinde

Te gebruiken Microsoft-certificaatsjabloon

Specifieke informatie in het certificaat

Hoe het certificaat wordt gebruikt in Configuration Manager 

Windows-clientcomputers

Clientverificatie

Verificatie van werkstation

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Clientcomputers moeten over een unieke waarde beschikken in het veld Onderwerpnaam of Alternatieve naam voor onderwerp.

Notitie

Als u meerdere waarden gebruikt voor het veld Alternatieve naam voor onderwerp, wordt alleen de eerste waarde gebruikt.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

Standaard zoekt Configuration Manager naar computercertificaten in het archief Persoonlijk van het certificatenarchief Computer.

Met uitzondering van het software-updatepunt en het Application Catalog-websitepunt verifieert dit certificaat de client voor sitesysteemservers waarop IIS wordt uitgevoerd en welke zijn geconfigureerd voor het gebruik van HTTPS.

Clients voor mobiele apparaten

Clientverificatie

Geverifieerde sessie

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

SHA-1 is het enige hash-algoritme dat wordt ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

System_CAPS_importantBelangrijk

Deze certificaten moeten een met DER (Distinguished Encoding Rules) gecodeerde binaire X.509-indeling hebben.

Met Base64 gecodeerde X.509-indeling wordt niet ondersteund.

Dit certificaat verifieert de client voor mobiele apparaten voor de sitesysteemservers waarmee deze communiceert, zoals beheer- en distributiepunten.

Installatiekopieën voor de implementatie van besturingssystemen

Clientverificatie

Verificatie van werkstation

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Er zijn geen specifieke vereisten voor het veld Onderwerpnaam of Alternatieve naam voor het onderwerp (SAN) van het certificaat; u kunt hetzelfde certificaat gebruiken voor alle installatiekopieën.

De persoonlijke sleutel moet exporteerbaar zijn.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

Het certificaat wordt gebruikt als takenreeksen in het implementatieproces van het besturingssysteem clientacties bevatten als clientbeleid ophalen of inventarisgegevens verzenden.

Dit certificaat wordt alleen gebruikt voor de duur van het implementatieproces van het besturingssysteem en wordt niet op de client geïnstalleerd. Omdat het tijdelijk wordt gebruikt, kan hetzelfde certificaat voor ieder implementatieproces van besturingssystemen worden gebruikt als u geen meerdere clientcertificaten wilt gebruiken.

U moet dit certificaat in de PKCS #12-indeling (PKCS: Public Key Certificate Standard) exporteren en het wachtwoord bekendmaken, zodat het mogelijk is om het in de Configuration Manager-installatiekopieën te importeren.

Notitie

De vereisten voor dit certificaat zijn gelijk aan die van het servercertificaat voor sitesystemen waarop een distributiepunt is geïnstalleerd. U kunt hetzelfde certificaatbestand gebruiken omdat de vereisten dezelfde zijn.

Mac-clientcomputers

Clientverificatie

Voor Configuration Manager-inschrijving:Geverifieerde sessie

Voor installatie van het certificaat onafhankelijk van Configuration Manager: Verificatie van werkstation

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Bij Configuration Manager, dat een gebruikerscertificaat maakt, wordt de waarde Onderwerp van het certificaat automatisch ingevuld met de gebruikersnaam van de persoon die de Mac-computer inschrijft.

Bij de installatie van het certificaat waarbij geen gebruik wordt gemaakt van Configuration Manager-inschrijving, maar onafhankelijk van Configuration Manager een computercertificaat wordt geïmplementeerd, moet de waarde Onderwerp van het certificaat uniek zijn. Geef bijvoorbeeld de FQDN van de computer op.

Het veld Alternatieve naam voor onderwerp wordt niet ondersteund.

De hash-algoritmen SHA-1 en SHA-2 worden ondersteund.

De maximale ondersteunde sleutellengte is 2048 bits.

Voor System Center 2012 Configuration Manager SP1 en later:

Dit certificaat verifieert de Mac-clientcomputer voor de sitesysteemservers waarmee deze communiceert, zoals beheer- en distributiepunten.

Linux- en UNIX-clientcomputers

Clientverificatie

Verificatie van werkstation

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Het veld Alternatieve naam voor onderwerp wordt niet ondersteund.

De persoonlijke sleutel moet exporteerbaar zijn.

SHA-1-hash-algoritme wordt ondersteund.

Het SHA-2-hash-algoritme wordt ondersteund als het besturingssysteem van de client SHA-2 ondersteunt. Zie het gedeelte in het onderwerp Planning voor clientimplementatie voor Linux- en UNIX-Servers voor meer informatie.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256

Ondersteunde sleutellengten: 2048 bits.

System_CAPS_importantBelangrijk

Deze certificaten moeten een met DER (Distinguished Encoding Rules) gecodeerde binaire X.509-indeling hebben. Met Base64 gecodeerde X.509-indeling wordt niet ondersteund.

Voor System Center 2012 Configuration Manager SP1 en later:

Dit certificaat verifieert de client voor Linux en UNIX voor de sitesysteemservers waarmee deze communiceert, zoals beheer- en distributiepunten.

U moet dit certificaat in een PKCS#12-indeling (PKCS: Public Key Certificate Standard) exporteren en het wachtwoord bekendmaken, zodat u aan dit aan de client kunt opgeven wanneer u het PKI-certificaat opgeeft.

Zie de sectie in het onderwerp Planning voor clientimplementatie voor Linux- en UNIX-Servers voor meer informatie.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_SecurityforLnU

CA-basiscertificaten (CA:Certification Authority) voor de volgende scenario's:

  • Implementatie van besturingssystemen

  • Inschrijving van mobiele apparaten

  • RADIUS-serververificatie voor op Intel AMT-gebaseerde computers

  • Verificatie van clientcertificaten

Certificaatketen naar een vertrouwde bron

Niet van toepassing.

Standaard-CA-basiscertificaat.

U moet voorzien in het CA-basiscertificaat wanneer clients de certificaten van de communicerende server moeten koppelen aan een vertrouwde bron. Dit is van toepassing in de volgende scenario's:

  • Wanneer u een besturingssysteem implementeert en takenreeksen uitvoert die de clientcomputer met een beheerpunt verbinden die is geconfigureerd voor het gebruik van HTTPS.

  • Wanneer u een mobiel apparaat inschrijft dat u door System Center 2012 Configuration Manager wilt laten beheren.

  • Wanneer u 802.1X-verificatie gebruikt voor op AMT gebaseerde computers en u een bestand wilt opgeven voor het basiscertificaat van de RADIUS-server.

Bovendien moet u voorzien in het CA-basiscertificaat voor clients, als clientcertificaten door een andere CA-hiërarchie worden uitgegeven dan de CA-hiërarchie die het certificaat voor het beheerpunt heeft uitgegeven.

Op Intel AMT gebaseerde computers

Verificatie van de server.

Webserver (gewijzigd)

U moet de onderwerpnaam configureren voor Op basis van Active Directory-informatie samenstellen en vervolgens Algemene naam selecteren voor Indeling van de onderwerpnaam.

U moet de machtigingen Lezen en Inschrijven verlenen aan de universele beveiligingsgroep die u in de eigenschappen van de buiten-bandbeheercomponent opgeeft.

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.1) bevatten.

De onderwerpnaam moet de FQDN van de op AMT-gebaseerde computer bevatten die automatisch wordt voorzien vanuit Active Directory Domain Services.

SHA-1 is het enige hash-algoritme dat wordt ondersteund.

Maximaal ondersteunde sleutellengte: 2048 bits.

Dit certificaat bevindt zich in het niet-vluchtige RAM-geheugen van de beheercontroller in de computer en kan niet in de Windows-gebruikersinterface worden weergegeven.

Elke op Intel AMT gebaseerde computer vraagt om dit certificaat tijdens AMT-inrichting en voor daaropvolgende updates. Als u AMT-inrichtingsgegevens van deze computers verwijdert, wordt dit certificaat ingetrokken.

Wanneer dit certificaat op op Intel AMT gebaseerde computers wordt geïnstalleerd, wordt tevens de certificaatketen voor de basis-CA tevens geïnstalleerd. Op AMT gebaseerde computers kunnen geen CA-certificaten ondersteunen met een grotere sleutellengte dan 2048 bits.

Wanneer het certificaat op op Intel AMT gebaseerde computers wordt geïnstalleerd, verifieert dit certificaat de op AMT gebaseerde computers voor de sitesysteemserver van het buiten-bandbeheerpunt en computers waarop de buiten-bandbeheerconsole wordt uitgevoerd en codeert alle tussen hen overgedragen gegevens door middel van TLS (Transport Layer Security).

Intel AMT 802. 1X-clientcertificaat

Clientverificatie

Verificatie van werkstation

U moet de onderwerpnaam configureren voor Op basis van Active Directory-informatie samenstellen, vervolgens Algemene naam selecteren voor de Indeling van de onderwerpnaam, de DNS-naam wissen en de Principal-naam van gebruiker (UPN: User Principal Name) voor de alternatieve naam voor het onderwerp selecteren.

U moet voor deze certificaatsjabloon de machtigingen Lezen en Inschrijven verlenen aan de universele beveiligingsgroep die u in de eigenschappen van de buiten-bandbeheercomponent opgeeft.

De waarde voor Enhanced Key Usage moet de Verificatie van de server (1.3.6.1.5.5.7.3.2) bevatten.

Het veld Onderwerpnaam moet de FQDN van de op AMT gebaseerde computer en de alternatieve naam voor het onderwerp moet de UPN bevatten.

Maximaal ondersteunde sleutellengte: 2048 bits.

Dit certificaat bevindt zich in het niet-vluchtige RAM-geheugen van de beheercontroller in de computer en kan niet in de Windows-gebruikersinterface worden weergegeven.

Elk op AMT gebaseerde computer kan om dit certificaat tijdens AMT-inrichting verzoeken, maar deze trekken dit certificaat niet in wanneer deze dit certificaat niet in als de behorende AMT-inrichtingsgegevens zijn verwijderd.

Wanneer het certificaat op op AMT gebaseerde computers wordt geïnstalleerd, verifieert dit certificaat de op AMT gebaseerde computers voor de RADIUS-server, zodat deze gemachtigd kunnen zijn voor netwerktoegang.

Mobiele apparaten die zijn geregistreerd door Microsoft Intune

Clientverificatie

Niet van toepassing: dit certificaat wordt automatisch gemaakt door Intune.

De waarde voor Enhanced Key Usage bevat clientverificatie (1.3.6.1.5.5.7.3.2).

3 aangepaste extensies bevatten de unieke identificatie van het Intune-abonnement van de klant.

Gebruikers kunnen tijdens de inschrijving de waarde Onderwerp van het certificaat opgeven. Deze waarde wordt echter niet door Intune gebruikt voor de identificatie van het apparaat.

De sleutelgrootte is 2048 bits en gebruikt het hash-algoritme SHA-1.

Notitie

U kunt deze instellingen niet wijzigen: Deze informatie is uitsluitend ter informatie bedoeld.

Dit certificaat wordt automatisch aangevraagd en geïnstalleerd wanneer geauthenticeerde gebruikers hun mobiele apparaten door middel van Microsoft Intune registreren. Het resulterende certificaat voor het apparaat bevindt zich in het archief Computer en authenticeert het geregistreerde mobiele apparaat voor Intune, waarna het vervolgens kan worden beheerd.

Vanwege de aangepaste uitbreidingen in het certificaat is authenticatie beperkt tot het Intune-abonnement dat voor de organisatie is ingesteld.