Omówienie certyfikatów CNG v3CNG v3 certificates overview

Configuration Manager ma ograniczoną obsługę kryptografii: certyfikaty w nowej generacji (CNG) v3.Configuration Manager has limited support for Cryptography: Next Generation (CNG) v3 certificates. Klienci Configuration Manager mogą używać certyfikatu uwierzytelniania klienta PKI z kluczem prywatnym w dostawcy magazynu kluczy CNG (dostawcy magazynu kluczy).Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). Dzięki obsłudze dostawcy magazynu kluczy Configuration Manager klienci obsługują klucz prywatny oparty na sprzęcie, taki jak moduł TPM dostawcy magazynu kluczy dla certyfikatów uwierzytelniania klienta PKI.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates.

Obsługiwane scenariuszeSupported scenarios

W następujących scenariuszach można używać szablonów certyfikatów interfejsu API kryptografii: Next Generation (CNG) v3:You can use Cryptography API: Next Generation (CNG) v3 certificate templates for the following scenarios:

  • Rejestracja i komunikacja klienta z punktem zarządzania HTTPSClient registration and communication with an HTTPS management point
  • Dystrybucja oprogramowania i wdrażanie aplikacji z punktem dystrybucji HTTPSSoftware distribution and application deployment with an HTTPS distribution point
  • Wdrażanie systemu operacyjnegoOS deployment
  • Zestaw SDK komunikatów klienta (z najnowszą aktualizacją) i proxy niezależnego dostawcy oprogramowaniaClient messaging SDK (with latest update) and ISV Proxy
  • Konfiguracja bramy zarządzania chmurą (CMG)Cloud management gateway (CMG) configuration

Należy również użyć certyfikatów CNG v3 dla następujących ról serwera z włączonym protokołem HTTPS:Also use CNG v3 certificates for the following HTTPS-enabled server roles:

  • Punkt zarządzaniaManagement point
  • Punkt dystrybucjiDistribution point
  • Punkt aktualizacji oprogramowaniaSoftware update point
  • punkt migracji stanuState migration point
  • Punkt rejestracji certyfikatu, w tym serwer usługi NDES z modułem zasad Configuration ManagerCertificate registration point, including the NDES server with the Configuration Manager policy module

Uwaga

CNG jest zgodna z poprzednimi wersjami z interfejsem API kryptografii (CAPI).CNG is backward compatible with Crypto API (CAPI). Certyfikaty CAPI nadal są obsługiwane nawet wtedy, gdy na kliencie jest włączona obsługa funkcji CNG.CAPI certificates continue to be supported even when CNG support is enabled on the client.

Nieobsługiwane scenariuszeUnsupported scenarios

Obecnie nie są obsługiwane następujące scenariusze:The following scenarios currently aren't supported:

  • Następujące role serwera nie działają w przypadku instalacji w trybie HTTPS z certyfikatem CNG v3 związanym z witryną sieci Web w Internet Information Services (IIS):The following server roles aren't operational when installed in HTTPS mode with a CNG v3 certificate bound to the web site in Internet Information Services (IIS):

    • Usługa sieci Web katalogu aplikacjiApplication catalog web service
    • Witryna sieci Web katalogu aplikacjiApplication catalog website
    • Punkt rejestracjiEnrollment point
    • Punkt proxy rejestracjiEnrollment proxy point
  • Program Software Center nie wyświetla aplikacji i pakietów jako dostępnych, które są wdrażane w kolekcjach użytkowników lub grup użytkowników.Software Center doesn't display applications and packages as available that are deployed to user or user group collections.

Aby używać certyfikatów CNGTo use CNG certificates

Aby można było używać certyfikatów CNG v3, urząd certyfikacji musi dostarczyć szablony certyfikatów CNG dla komputerów docelowych.To use CNG v3 certificates, your certification authority (CA) needs to provide CNG certificate templates for target machines. Szczegóły szablonu różnią się w zależności od scenariusza; jednak wymagane są następujące właściwości:Template details vary according to the scenario; however, the following properties are required:

  • Zgodność kartęCompatibility tab

    • Urząd certyfikacji musi być w systemie Windows Server 2008 lub nowszym.Certificate Authority must be Windows Server 2008 or later. (Zalecany jest system Windows Server 2012).(Windows Server 2012 is recommended.)

    • Odbiorca certyfikatu musi być w systemie Windows Vista/Server 2008 lub nowszym.Certificate recipient must be Windows Vista/Server 2008 or later. (Zalecany jest system Windows 8/Windows Server 2012).(Windows 8/Windows Server 2012 is recommended.)

  • Kryptografia kartęCryptography tab

    • Kategoria dostawcy musi być dostawcą magazynu kluczy.Provider Category must be Key Storage Provider. potrzeb(required)

    • Żądanie musi używać jednego z następujących dostawców: musi być dostawcą magazynu kluczy oprogramowania firmy Microsoft.Request must use one of the following providers: must be Microsoft Software Key Storage Provider.

Uwaga

Wymagania dotyczące środowiska lub organizacji mogą być różne.The requirements for your environment or organization may be different. Skontaktuj się z ekspertem infrastruktury kluczy publicznych.Contact your PKI expert. Ważną kwestią do rozważenia jest szablon certyfikatu, który musi używać dostawcy magazynu kluczy w celu skorzystania z zalet CNG.The important point to consider is a certificate template must use a Key Storage Provider to take advantage of CNG.

Aby uzyskać najlepsze wyniki, zalecamy utworzenie nazwy podmiotu na podstawie Active Directory informacji.For best results, we recommend building the Subject Name from Active Directory information. Użyj nazwy DNS dla formatu nazwy podmiotu i Dołącz nazwę DNS w alternatywnej nazwie podmiotu.Use the DNS Name for Subject name format and include the DNS name in the alternate subject name. W przeciwnym razie musisz podać te informacje, gdy urządzenie zostanie zarejestrowane w profilu certyfikatu.Otherwise, you must provide this information when the device enrolls into the certificate profile.