Share via

  • Artykuł

Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

W poniższych tabelach przedstawiono certyfikaty infrastruktury kluczy publicznych (ang. public key infrastructure, PKI), które mogą się okazać wymagane dla programu System Center 2012 Configuration Manager. Przedstawiając te informacje, oparto się na założeniu, że użytkownik dysponuje podstawową wiedzą na temat certyfikatów PKI. Wskazówki krok po kroku przedstawiające przykładowe wdrożenie tych certyfikatów znajdują się w temacie Przykład krok po kroku wdrożenia certyfikatów PKI dla programu Configuration Manager: Urząd certyfikacji systemu Windows Server 2008. Więcej informacji o Usługach certyfikatów Active Directory znajduje się w poniższej dokumentacji:

Do tworzenia poniższych certyfikatów, wdrażania ich i zarządzania nimi można użyć dowolnej infrastruktury PKI. Wyjątek stanowią certyfikaty klienta, które program Menedżer konfiguracji rejestruje na urządzeniach przenośnych i komputerach Mac, certyfikaty automatycznie tworzone przez usługę Microsoft Intune do zarządzania urządzeniami przenośnymi oraz certyfikaty instalowane przez program Menedżer konfiguracji na komputerach z technologią AMT. Niemniej jednak w przypadku używania Usług certyfikatów Active Directory i szablonów certyfikatów opisywane rozwiązanie Microsoft PKI może ułatwić zarządzanie certyfikatami. W zorientowaniu się, który szablon certyfikatu najdokładniej odpowiada wymaganiom związanym z certyfikatami, pomoże kolumna Szablon certyfikatu Microsoft do użycia w poniższych tabelach. Certyfikaty oparte na szablonach mogą być wystawiane tylko przez urząd certyfikacji przedsiębiorstwa uruchomiony w wersji Enterprise Edition lub Datacenter Edition systemu operacyjnego serwera, takiej jak Windows Server 2008 Enterprise i Windows Server 2008 Datacenter.

System_CAPS_importantWażne

Używając urzędu certyfikacji przedsiębiorstwa i szablonów certyfikatów, nie należy używać szablonów w wersji 3. Te szablony certyfikatów tworzą certyfikaty niezgodne z programem Menedżer konfiguracji. Zamiast nich należy użyć szablonów w wersji 2, wykonując następujące instrukcje:

  • W przypadku urzędu certyfikacji w systemie Windows Server 2012: Na karcie Zgodność właściwości szablonu certyfikatu określ dla opcji Urząd certyfikacji wartość Windows Server 2003, a dla opcji Odbiorca certyfikatu wartość Windows XP / Server 2003.

  • W przypadku urzędu certyfikacji w systemie Windows Server 2008: Podczas duplikowania szablonu certyfikatu pozostaw domyślny wybór opcji Windows Server 2003 Enterprise w monicie wyświetlonym w wyskakującym oknie dialogowym Duplikat szablonu. Nie wybieraj systemu Windows 2008 Server, Enterprise Edition.

W poniższych sekcjach można sprawdzić wymagania dotyczące certyfikatów.

Certyfikaty PKI dla serwerów

Składnik programu Menedżer konfiguracji

Cel certyfikatu

Szablon certyfikatu Microsoft do użycia

Określone informacje w tym certyfikacie

Jaką rolę pełni certyfikat w programie Menedżer konfiguracji

Systemy lokacji z uruchomionymi usługami Internet Information Services (IIS) skonfigurowane pod kątem połączeń klienckich HTTPS:

  • Punkt zarządzania

  • Punkt dystrybucji

  • Punkt aktualizacji oprogramowania

  • Punkt migracji stanu

  • Punkt rejestracji

  • Punkt proxy rejestracji

  • Punkt usługi sieci Web Wykaz aplikacji

  • Punkt witryny sieci Web katalogu aplikacji

Uwierzytelnianie serwera

Serwer sieci Web

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1).

Jeśli system lokacji akceptuje połączenia z Internetu, to pole Nazwa podmiotu lub Alternatywna nazwa podmiotu musi zawierać w pełni kwalifikowaną nazwę domeny (FQDN).

Jeśli system lokacji akceptuje połączenia z intranetu, to pole Nazwa podmiotu lub Alternatywna nazwa podmiotu musi zawierać albo intranetową nazwę FQDN (zalecane), albo nazwę komputera, w zależności od sposobu skonfigurowania systemu lokacji.

Jeśli system lokacji akceptuje połączenia zarówno z Internetu, jak i z intranetu, należy określić zarówno internetową, jak i intranetową nazwę FQDN (lub nazwę komputera), umieszczając między obiema nazwami znak ogranicznika — symbol handlowego „i” (&).

System_CAPS_importantWażne

Kiedy punkt aktualizacji oprogramowania akceptuje połączenia klienckie tylko z Internetu, certyfikat musi zawierać zarówno internetową, jak i intranetową nazwę FQDN.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Dla tego certyfikatu program Menedżer konfiguracji nie określa maksymalnej obsługiwanej długości klucza. Informacje na wypadek ewentualnych problemów dotyczących rozmiaru klucza dla tego certyfikatu znajdują się w dokumentacji infrastruktury PKI oraz usług IIS.

Ten certyfikat musi znajdować się w magazynie osobistym w magazynie certyfikatów komputera.

Ten certyfikat serwerów sieci Web służy do uwierzytelniania tych serwerów wobec klienta i do szyfrowania wszystkich danych przesyłanych między klientem a tymi serwerami przy użyciu protokołu Secure Sockets Layer (SSL).

Chmurowy punkt dystrybucji

Uwierzytelnianie serwera

Serwer sieci Web

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1).

Pole Nazwa podmiotu musi zawierać zdefiniowaną przez użytkownika nazwę usługi oraz nazwę domeny w formacie FQDN jako nazwę pospolitą konkretnego wystąpienia chmurowego punktu dystrybucji.

Klucz prywatny musi być eksportowalny.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Obsługiwane długości kluczy: 2048 bitów.

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

Ten certyfikat służy do uwierzytelniania usługi chmurowego punktu dystrybucji wobec klientów programu Menedżer konfiguracji i do szyfrowania wszystkich danych przesyłanych między nimi przy użyciu protokołu Secure Sockets Layer (SSL).

Ten certyfikat musi być eksportowany w formacie PKCS #12, a hasło musi być znane, aby certyfikat można było importować podczas tworzenia chmurowego punktu dystrybucji.

Uwaga

Ten certyfikat jest używany w połączeniu z certyfikatem zarządzania usługi Windows Azure. Więcej informacji o tym certyfikacie znajduje się w tematach How to Create a Management Certificate (Jak utworzyć certyfikat zarządzania) i How to Add a Management Certificate to a Windows Azure Subscription (Jak dodać certyfikat zarządzania do subskrypcji usługi Windows Azure) w części biblioteki MSDN Library poświęconej platformie Windows Azure.

Klaster równoważenia obciążenia sieciowego (NLB) dla punktu aktualizacji oprogramowania

Uwierzytelnianie serwera

Serwer sieci Web

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1).

  1. Nazwa FQDN klastra NLB w polu Nazwa podmiotu lub Alternatywna nazwa podmiotu:

    • W przypadku serwerów równoważenia obciążenia sieciowego obsługujących internetowe zarządzanie klientami użyj internetowej nazwy FQDN NLB.

    • W przypadku serwerów równoważenia obciążenia sieciowego obsługujących intranetowe zarządzanie klientami użyj intranetowej nazwy FQDN NLB.

  2. Nazwa komputera systemu lokacji w klastrze NLB w polu Nazwa podmiotu lub Alternatywna nazwa podmiotu. Tę nazwę serwera należy podać po nazwie klastra NLB i znaku ogranicznika — symbolu handlowego „i” (&):

    • W przypadku systemów lokacji w intranecie użyj intranetowych nazw FQDN, jeśli określasz je własnoręcznie (zalecane), lub nazwy NetBIOS komputera.

    • W przypadku systemów lokacji obsługujących internetowe zarządzanie klientami użyj internetowej nazwy FQDN.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

System Center 2012 Configuration Manager bez dodatku Service Pack:

Ten certyfikat służy do uwierzytelniania punktu aktualizacji oprogramowania równoważenia obciążenia sieciowego wobec klienta i do szyfrowania wszystkich danych przesyłanych między klientem a tymi serwerami przy użyciu protokołu SSL.

Uwaga

Ten certyfikat dotyczy tylko programu Menedżer konfiguracji bez dodatku Service Pack, ponieważ począwszy od wersji System Center 2012 Configuration Manager SP1 punkty aktualizacji oprogramowania do równoważenia obciążenia sieciowego nie są obsługiwane.

serwery systemu lokacji z programem Microsoft SQL Server

Uwierzytelnianie serwera

Serwer sieci Web

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1).

Pole Nazwa podmiotu musi zawierać w pełni kwalifikowalną nazwę domeny intranetowej (intranetową nazwę FQDN).

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Maksymalna obsługiwana długość klucza to 2048 bitów.

Ten certyfikat musi znajdować się w magazynie osobistym w magazynie certyfikatów komputera; program Menedżer konfiguracji automatycznie kopiuje go do magazynu osób zaufanych na użytek serwerów w hierarchii programu Menedżer konfiguracji, które mogą potrzebować ustanowienia zaufania z tym serwerem.

Te certyfikaty służą do uwierzytelniania między serwerami.

Klaster programu SQL Server: serwery systemu lokacji z programem Microsoft SQL Server

Uwierzytelnianie serwera

Serwer sieci Web

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1).

Pole Nazwa podmiotu musi zawierać w pełni kwalifikowalną nazwę domeny intranetowej (intranetową nazwę FQDN) klastra.

Klucz prywatny musi być eksportowalny.

W przypadku skonfigurowania programu Menedżer konfiguracji do korzystania z klastra programu SQL Server certyfikat musi mieć co najmniej dwuletni okres ważności.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Maksymalna obsługiwana długość klucza to 2048 bitów.

Po zażądaniu tego certyfikatu i zainstalowaniu go w jednym węźle klastra wyeksportuj certyfikat i zaimportuj go w każdym dodatkowym węźle klastra programu SQL Server.

Ten certyfikat musi znajdować się w magazynie osobistym w magazynie certyfikatów komputera; program Menedżer konfiguracji automatycznie kopiuje go do magazynu osób zaufanych na użytek serwerów w hierarchii programu Menedżer konfiguracji, które mogą potrzebować ustanowienia zaufania z tym serwerem.

Te certyfikaty służą do uwierzytelniania między serwerami.

Monitorowanie systemu lokacji obejmujące następujące role systemu:

  • Punkt zarządzania

  • Punkt migracji stanu

Uwierzytelnianie klienta

Uwierzytelnianie stacji roboczej

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Komputery muszą mieć unikatową wartość w polu Nazwa podmiotu lub Alternatywna nazwa podmiotu.

Uwaga

W przypadku używania wielu wartości w polu Alternatywna nazwa podmiotu używana jest tylko pierwsza wartość.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Maksymalna obsługiwana długość klucza to 2048 bitów.

Ten certyfikat jest wymagany na wymienionych serwerach systemu lokacji, nawet jeśli klient programu System Center 2012 Configuration Manager nie jest zainstalowany, po to aby kondycję tych ról systemu lokacji dało się monitorować i raportować w lokacji.

Certyfikat dla tych systemów lokacji musi znajdować się w magazynie osobistym magazynu certyfikatów komputera.

Serwery z uruchomionym modułem zasad programu Menedżer konfiguracji z usługą roli usługi rejestracji urządzeń sieciowych.

Uwierzytelnianie klienta

Uwierzytelnianie stacji roboczej

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Nie ma określonych wymagań dotyczących nazwy podmiotu lub alternatywnej nazwy podmiotu (SAN) certyfikatu. Tego samego certyfikatu można użyć w przypadku wielu serwerów z uruchomioną usługą rejestracji urządzeń sieciowych.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1, SHA-2 i SHA-3.

Obsługiwane długości kluczy: 1024 bity i 2048 bitów.

Informacje w tym temacie dotyczą tylko wersji programu System Center 2012 R2 Configuration Manager

Ten certyfikat uwierzytelnia moduł zasad programu Menedżer konfiguracji wobec serwera systemu lokacji punktu rejestracji certyfikatu, tak aby program Menedżer konfiguracji mógł rejestrować certyfikaty dla użytkowników i urządzeń.

Systemy lokacji z zainstalowanym punktem dystrybucji

Uwierzytelnianie klienta

Uwierzytelnianie stacji roboczej

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Nie ma określonych wymagań dotyczących podmiotu certyfikatu lub alternatywnej nazwy podmiotu (SAN). Możesz użyć tego samego certyfikatu dla wielu punktów dystrybucji. Jednak firma Microsoft zaleca stosowanie innego certyfikatu dla każdego punktu dystrybucji.

Klucz prywatny musi być eksportowalny.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Maksymalna obsługiwana długość klucza to 2048 bitów.

Ten certyfikat ma dwa cele:

  • Uwierzytelnia punkt dystrybucji wobec punktu zarządzania z włączonym protokołem HTTPS przed wysłaniem przez dany punkt dystrybucji komunikatów o stanie.

  • W przypadku wybrania opcji punktu dystrybucji Włącz obsługę środowiska PXE dla klientów certyfikat zostaje wysłany do komputerów, tak aby — jeżeli sekwencje zadań w procesie wdrażania systemu operacyjnego obejmują działania klientów, takie jak pobieranie zasad klienta lub wysyłanie informacji o stanie zapasów — komputery klienckie podczas wdrażania systemu operacyjnego mogły łączyć się z punktem zarządzania obsługującym połączenia HTTPS.

    Ten certyfikat jest używany tylko podczas wdrożenia systemu operacyjnego i nie jest instalowany na kliencie. W związku z tymczasowym użytkiem, jeśli użytkownik nie chce używać wielu certyfikatów klienta, może używać tego samego certyfikatu z każdym wdrożeniem systemu operacyjnego.

Ten certyfikat musi być eksportowany w formacie PKCS #12, a hasło musi być znane, aby certyfikat można było importować do właściwości punktu dystrybucji.

Uwaga

Wymagania dotyczące tego certyfikatu są takie same jak w przypadku certyfikatu klienta dla obrazów rozruchowych służących do wdrażania systemów operacyjnych. Ponieważ wymogi są takie same, można używać tego samego pliku certyfikatu.

Punkt obsługi poza pasmem

Udostępnianie AMT

Serwer sieci Web (zmodyfikowany)

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1) i następujący identyfikator obiektu: 2.16.840.1.113741.1.2.3.

Pole nazwy podmiotu musi zawierać nazwę FQDN serwera, który jest hostem punktu obsługi poza pasmem.

Uwaga

W przypadku zażądania certyfikatu udostępniania AMT od zewnętrznego urzędu certyfikacji zamiast od własnego wewnętrznego urzędu certyfikacji, jeśli certyfikat ten nie obsługuje identyfikatora obiektu udostępniania AMT 2.16.840.1.113741.1.2.3, można w nazwie podmiotu certyfikatu alternatywnie określić następujący ciąg tekstowy jako atrybut jednostki organizacyjnej: Intel(R) Client Setup Certificate. Należy użyć dokładnie tego ciągu tekstowego w języku angielskim, z uwzględnieniem wielkości znaków, bez końcowej kropki oraz dodatkowo do nazwy FQDN serwera, który jest hostem punktu obsługi poza pasmem.

SHA-1 jest jedynym obsługiwanym algorytmem wyznaczania wartości skrótu.

Obsługiwane długości kluczy: 1024 i 2048. W przypadku AMT w wersji 6.0 i nowszej jest obsługiwana także długość klucza wynosząca 4096 bitów.

Ten certyfikat znajduje się w magazynie osobistym w magazynie certyfikatów komputera serwera systemu lokacji punktu obsługi poza pasmem.

Ten certyfikat udostępniania AMT służy do przygotowywania komputerów do zarządzania poza pasmem.

Należy zażądać tego certyfikatu od urzędu certyfikacji, który dostarcza certyfikaty udostępniania AMT, a rozszerzenie BIOS komputerów opartych na technologii Intel AMT należy skonfigurować tak, aby w przypadku tego certyfikatu udostępniania był używany odcisk palca (znany także jako skrót) certyfikatu głównego.

Typowym przykładem zewnętrznego urzędu certyfikacji, który wystawia certyfikaty udostępniania AMT, jest usługa VeriSign, ale można także użyć własnego, wewnętrznego urzędu certyfikacji.

Zainstaluj certyfikat na serwerze, który jest hostem punktu obsługi poza pasmem i który musi być w stanie z powodzeniem utworzyć łańcuch z głównym urzędem certyfikacji danego certyfikatu. (Domyślnie certyfikat głównego urzędu certyfikacji i certyfikat pośredniego urzędu certyfikacji dla usługi VeriSign są instalowane podczas instalowania systemu Windows).

Serwer systemu lokacji z uruchomionym łącznikiem usługi Microsoft Intune

Uwierzytelnianie klienta

Nie dotyczy: Ten certyfikat jest tworzony automatycznie przez usługę Intune.

Wartość Ulepszone użycie klucza zawiera właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Subskrypcję usługi Intune klienta identyfikują w unikatowy sposób 3 niestandardowe rozszerzenia.

Rozmiar klucza to 2048 bitów. Jest używany algorytm wyznaczania wartości skrótu SHA-1.

Uwaga

Nie można zmienić następujących ustawień: Ta informacja ma charakter wyłącznie informacyjny.

Ten certyfikat jest automatycznie żądany i instalowany w bazie danych programu Configuration Manager po zasubskrybowaniu usługi Microsoft Intune. Po zainstalowaniu łącznika usługi Microsoft Intune ten certyfikat jest instalowany na serwerze systemu lokacji z uruchomionym łącznikiem usługi Microsoft Intune. Jest on instalowany w magazynie certyfikatów komputera.

Ten certyfikat służy do uwierzytelniania hierarchii programu Configuration Manager w usłudze Microsoft Intune za pomocą łącznika usługi Microsoft Intune. Wszystkie dane przesyłane między nimi wykorzystują protokół Secure Sockets Layer (SSL).

Serwery proxy sieci Web dla internetowego zarządzania klientami

Jeśli dana lokacja obsługuje internetowe zarządzanie klientami i jest w niej wykorzystywany serwer proxy sieci Web poprzez użycie kończenia żądań SSL (mostkowania) dla połączeń przychodzących z Internetu, to serwer proxy sieci Web ma wymagania dotyczące certyfikatów wymienione w poniższej tabeli.

Uwaga

Jeśli serwer proxy sieci Web jest używany bez kończenia żądań SSL (z tunelowaniem), nie wymaga żadnych dodatkowych certyfikatów.

Składnik infrastruktury sieciowej

Cel certyfikatu

Szablon certyfikatu Microsoft do użycia

Określone informacje w tym certyfikacie

Jaką rolę pełni certyfikat w programie Menedżer konfiguracji 

Serwer proxy sieci Web akceptujący połączenia klienckie przez Internet

Uwierzytelnianie serwera i uwierzytelnianie klienta

  1. Serwer sieci Web

  2. Uwierzytelnianie stacji roboczej

Internetowa nazwa FQDN w polu Nazwa podmiotu lub w polu Alternatywna nazwa podmiotu (jeśli są używane szablony certyfikatu firmy Microsoft, pole Alternatywna nazwa podmiotu jest dostępne tylko z szablonem stacji roboczej).

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Ten certyfikat służy do uwierzytelniania poniższych serwerów wobec klientów internetowych i do szyfrowania wszystkich danych przesyłanych między klientem a tymi serwerami przy użyciu protokołu SSL.

  • Internetowy punkt zarządzania

  • Internetowy punkt dystrybucji

  • Internetowy punkt aktualizacji oprogramowania

Uwierzytelnianie klienta jest używane do zestawiania połączeń między klientami programu System Center 2012 Configuration Manager a internetowymi systemami lokacji.

Certyfikaty PKI dla klientów

Składnik programu Menedżer konfiguracji

Cel certyfikatu

Szablon certyfikatu Microsoft do użycia

Określone informacje w tym certyfikacie

Jaką rolę pełni certyfikat w programie Menedżer konfiguracji 

Komputery klienckie z systemem Windows

Uwierzytelnianie klienta

Uwierzytelnianie stacji roboczej

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Komputery klienckie muszą mieć unikatową wartość w polu Nazwa podmiotu lub Alternatywna nazwa podmiotu.

Uwaga

W przypadku używania wielu wartości w polu Alternatywna nazwa podmiotu używana jest tylko pierwsza wartość.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Maksymalna obsługiwana długość klucza to 2048 bitów.

Domyślnie program Menedżer konfiguracji szuka certyfikatów komputera w magazynie osobistym w magazynie certyfikatów Komputer.

Z wyjątkiem punktu aktualizacji oprogramowania i punktu witryny sieci Web katalogu aplikacji ten certyfikat uwierzytelnia klientów na serwerach systemu lokacji, na których są uruchomione usługi IIS i które są skonfigurowane do używania protokołu HTTPS.

Klienci urządzeń przenośnych

Uwierzytelnianie klienta

Sesja uwierzytelniona

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

SHA-1 jest jedynym obsługiwanym algorytmem wyznaczania wartości skrótu.

Maksymalna obsługiwana długość klucza to 2048 bitów.

System_CAPS_importantWażne

Te certyfikaty muszą mieć format X.509 szyfrowany binarnie algorytmem DER.

Format X.509 szyfrowany algorytmem Base64 nie jest obsługiwany.

Ten certyfikat uwierzytelnia klientów urządzeń przenośnych na serwerach systemów lokacji, z którymi się komunikują, takich jak punkty zarządzania i punkty dystrybucji.

Obrazy rozruchowe do wdrażania systemów operacyjnych

Uwierzytelnianie klienta

Uwierzytelnianie stacji roboczej

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Nie ma określonych wymagań dotyczących pola Nazwa podmiotu i Alternatywna nazwa podmiotu (SAN) certyfikatu. Tego samego certyfikatu można użyć w przypadku wszystkich obrazów rozruchowych.

Klucz prywatny musi być eksportowalny.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Maksymalna obsługiwana długość klucza to 2048 bitów.

Certyfikat jest używany, gdy sekwencja zadań w procesie wdrożenia systemu operacyjnego zawiera takie akcje klienta, jak pobieranie zasady klienta lub wysyłanie informacji o spisie.

Ten certyfikat jest używany tylko podczas wdrożenia systemu operacyjnego i nie jest instalowany na kliencie. W związku z tymczasowym użytkiem, jeśli użytkownik nie chce używać wielu certyfikatów klienta, może używać tego samego certyfikatu z każdym wdrożeniem systemu operacyjnego.

Ten certyfikat musi być eksportowany w formacie certyfikatu klucza publicznego (PKCS #12), a hasło musi być znane, aby certyfikat można było importować do obrazów rozruchowych programu Menedżer konfiguracji.

Uwaga

Wymogi dotyczące tego certyfikatu są takie same jak w przypadku certyfikatu serwera dla systemów lokacji, na których jest zainstalowany punkt dystrybucji. Ponieważ wymogi są takie same, można używać tego samego pliku certyfikatu.

Komputery klienckie Mac

Uwierzytelnianie klienta

Rejestracja w programie Menedżer konfiguracji: Sesja uwierzytelniona

Instalacja certyfikatu niezależnego od programu Menedżer konfiguracji: Uwierzytelnianie stacji roboczej

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

W przypadku programu Menedżer konfiguracji, który tworzy certyfikat użytkownika, wartość w polu Podmiot certyfikatu jest automatycznie wypełniania nazwą tego użytkownika, który zarejestrował komputer Mac.

W przypadku instalacji certyfikatu niewymagającej rejestracji w programie Menedżer konfiguracji i wdrażającej certyfikat komputera niezależnie od programu Menedżer konfiguracji wartość w polu Podmiot musi być unikatowa. Należy na przykład określić nazwę FQDN komputera.

Pole Alternatywna nazwa podmiotu nie jest obsługiwane.

Są obsługiwane algorytmy wyznaczania wartości skrótu SHA-1 i SHA-2.

Maksymalna obsługiwana długość klucza to 2048 bitów.

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

Ten certyfikat uwierzytelnia komputery klienckie Mac na serwerach systemów lokacji, z którymi się komunikują, takich jak punkty zarządzania i punkty dystrybucji.

Komputery klienckie z systemami Linux i UNIX

Uwierzytelnianie klienta

Uwierzytelnianie stacji roboczej

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Pole Alternatywna nazwa podmiotu nie jest obsługiwane.

Klucz prywatny musi być eksportowalny.

Jest obsługiwany algorytm wyznaczania wartości skrótu SHA-1.

Algorytm mieszania SHA-2 jest obsługiwany, jeśli system operacyjny klienta obsługuje ten algorytm. Więcej informacji znajduje się w sekcji w temacie Planowanie wdrożenia klienta serwerów systemu UNIX i Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256

Obsługiwane długości kluczy: 2048 bitów.

System_CAPS_importantWażne

Te certyfikaty muszą mieć format X.509 szyfrowany binarnie algorytmem DER. Format X.509 szyfrowany algorytmem Base64 nie jest obsługiwany.

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:

Ten certyfikat uwierzytelnia klientów z systemem Linux i UNIX na serwerach systemów lokacji, z którymi się komunikują, takich jak punkty zarządzania i punkty dystrybucji.

Ten certyfikat musi być eksportowany w formacie PKCS #12, a hasło musi być znane, aby można je było wprowadzić na kliencie podczas określania certyfikatu PKI.

Więcej informacji zawiera sekcja w temacie Planowanie wdrożenia klienta serwerów systemu UNIX i Linux.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_SecurityforLnU

Certyfikaty głównego urzędu certyfikacji w następujących scenariuszach:

  • Wdrożenie systemu operacyjnego

  • Rejestracja urządzenia przenośnego

  • Uwierzytelnianie serwera RADIUS dla komputerów z technologią AMT

  • Uwierzytelnianie certyfikatu klienta

Łańcuch certyfikatów do zaufanego źródła

Nie dotyczy.

Standardowy certyfikat głównego urzędu certyfikacji.

Jeśli klienci muszą tworzyć łańcuchy certyfikatów komunikującego serwera do zaufanego źródła, należy udostępnić główny urząd certyfikacji. Dotyczy to następujących scenariuszy:

  • Wdrażanie systemu operacyjnego, w którym sekwencja zadań łączy komputer kliencki z punktem zarządzania skonfigurowanym do używania protokołu HTTPS

  • Rejestrowanie urządzenia przenośnego do zarządzania w programie System Center 2012 Configuration Manager

  • Używanie uwierzytelniania 802.1X dla komputerów z technologią AMT i określenie pliku dla certyfikatu głównego serwera RADIUS

Dodatkowo, jeśli certyfikaty klienta są wydawane przez inną hierarchię urzędu certyfikacji niż hierarchia wydająca certyfikat punktu zarządzania, należy dostarczyć klientom certyfikat głównego urzędu certyfikacji.

Komputery z technologią Intel AMT

Uwierzytelnianie serwera.

Serwer sieci Web (zmodyfikowany)

Należy wypełnić pole Nazwa podmiotu dla opcji Konstruuj z tej informacji usługi Active Directory, a następnie dla opcji Forma nazwy podmiotu wybrać wartość Nazwa pospolita.

Należy przypisać uprawnienia Odczytaj i Zarejestruj uniwersalnej grupie zabezpieczeń, która została określona we właściwościach składnika zarządzania poza pasmem.

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1).

Pole Nazwa podmiotu musi zawierać nazwę FQDN komputera z technologią AMT. Jest ona dostarczana automatycznie z usług domenowych Active Directory.

SHA-1 jest jedynym obsługiwanym algorytmem wyznaczania wartości skrótu.

Maksymalna obsługiwana długość klucza: 2048 bitów.

Ten certyfikat znajduje się w nieulotnej pamięci o dostępie swobodnym kontrolera zarządzania na komputerze. Jej zawartości nie można przeglądać z poziomu interfejsu użytkownika systemu Windows.

Każdy komputer z technologią Intel AMT żąda tego certyfikatu podczas udostępniania AMT oraz podczas kolejnych aktualizacji. W przypadku usunięcia informacji o udostępnianiu AMT z tych komputerów ten certyfikat zostanie odwołany.

Gdy ten certyfikat jest zainstalowany na komputerach z technologią Intel AMT, jest również instalowany łańcuch certyfikatów do głównego urzędu certyfikacji. Komputery z technologią AMT nie obsługują certyfikatów urzędu certyfikacji, których długość klucza jest większa niż 2048 bitów.

Po zainstalowaniu certyfikatu na komputerach z technologią Intel AMT uwierzytelnia on te komputery na serwerze systemu lokacji punktu obsługi poza pasmem i na komputerach, na których jest uruchomiona konsola zarządzania poza pasmem, oraz szyfruje za pomocą protokołu Transport Layer Security (TLS) wszystkie dane przesyłane między nimi.

Certyfikat klienta Intel AMT 802.1X

Uwierzytelnianie klienta

Uwierzytelnianie stacji roboczej

Należy skonfigurować pole Nazwa podmiotu dla opcji Konstruuj z tej informacji usługi Active Directory, dla opcji Forma nazwy podmiotu wybrać wartość Nazwa pospolita, a następnie wyczyścić nazwę DNS i jako alternatywną nazwę podmiotu wybrać główną nazwę użytkownika (UPN).

Uniwersalnej grupie zabezpieczeń, która została określona we właściwościach składnika zarządzania poza pasmem, należy przypisać uprawnienia Odczytaj i Zarejestruj względem tego szablonu certyfikatu.

Wartość Rozszerzone użycie klucza musi zawierać właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Pole nazwy podmiotu musi zawierać nazwę FQDN komputera z technologią AMT, a pole alternatywnej nazwy podmiotu musi zawierać nazwę UPN.

Maksymalna obsługiwana długość klucza: 2048 bitów.

Ten certyfikat znajduje się w nieulotnej pamięci o dostępie swobodnym kontrolera zarządzania na komputerze. Jej zawartości nie można przeglądać z poziomu interfejsu użytkownika systemu Windows.

Każdy komputer z technologią Intel AMT żąda tego certyfikatu podczas udostępniania AMT, jednak nie odwołuje certyfikatu w przypadku usunięcia informacji o udostępnianiu AMT.

Po zainstalowaniu tego certyfikatu na komputerach z technologią AMT ten certyfikat uwierzytelnia te komputery na serwerze RADIUS, dzięki czemu mają one autoryzację dostępu do sieci.

Urządzenia przenośne zarejestrowane przez program Microsoft Intune

Uwierzytelnianie klienta

Nie dotyczy: Ten certyfikat jest tworzony automatycznie przez usługę Intune.

Wartość Ulepszone użycie klucza zawiera właściwość Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2).

Subskrypcję usługi Intune klienta identyfikują w unikatowy sposób 3 niestandardowe rozszerzenia.

Użytkownicy mogą dostarczać wartość pola Podmiot certyfikatu podczas rejestracji. Jednak ta wartość nie jest używana przez usługę Intune do identyfikowania urządzenia.

Rozmiar klucza to 2048 bitów. Jest używany algorytm wyznaczania wartości skrótu SHA-1.

Uwaga

Nie można zmienić następujących ustawień: Ta informacja ma charakter wyłącznie informacyjny.

Ten certyfikat jest automatycznie żądany i instalowany, gdy uwierzytelnieni użytkownicy rejestrują swoje urządzenia przenośne za pomocą usługi Microsoft Intune. Wynikowy certyfikat jest przechowywany na urządzeniu w magazynie Komputer i uwierzytelnia zarejestrowane urządzenie przenośne w usłudze Intune, umożliwiając zarządzanie nim.

Z powodu niestandardowych rozszerzeń w certyfikacie uwierzytelnianie jest ograniczone do subskrypcji usługi Intune, która została ustanowiona dla organizacji.