Требования к PKI-сертификатам для System Center Configuration ManagerPKI certificate requirements for System Center Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Сертификаты инфраструктуры открытых ключей (PKI), которые могут потребоваться для System Center Configuration Manager, перечислены в таблицах ниже.The public key infrastructure (PKI) certificates that you might require for System Center Configuration Manager are listed in the following tables. Эти сведения предполагают наличие у пользователя базовых знаний о сертификатах PKI.This information assumes basic knowledge of PKI certificates. Пошаговое руководство по развертыванию см. в разделе Пример пошагового развертывания PKI-сертификатов для System Center Configuration Manager: центр сертификации Windows Server 2008.For step-by-step deployment guidance see Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority. Дополнительные сведения о службах сертификации Active Directory см. в следующей документации.For more about Active Directory Certificate Services, see the following documentation:

Importante

System Center Configuration Manager поддерживает сертификаты SHA-2.System Center Configuration Manager supports Secure Hash Algorithm 2 (SHA-2) certificates. Сертификаты SHA-2 обеспечивают значительные преимущества безопасности.SHA-2 certificates bring an important security advantage. Поэтому рекомендуется предпринять следующие меры.Therefore, we recommend the following:

  • Выпустить новые сертификаты проверки подлинности сервера и клиента, подписанные SHA-2 (включая SHA-256 и SHA-512).Issue new server and client authentication certificates that are signed with SHA-2, which includes SHA-256 and SHA-512, among others.
  • Использовать сертификат SHA-2 для любых служб с интернет-доступом.All Internet-facing services should use a SHA-2 certificate. Например, при покупке открытого сертификата для использования со шлюзом управления облаком необходимо приобрести сертификат SHA-2.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate.

С 14 февраля 2017 года Windows не будет считать доверенными некоторые сертификаты, подписанные SHA-1.Effective February 14, 2017, Windows no longer trusts certain certificates signed with SHA-1. Как правило, мы рекомендуем выпускать новые сертификаты проверки подлинности сервера и клиента, подписанные SHA-2 (включая SHA-256 и SHA-512).In general, we recommend that you issue new server and client authentication certificates signed with SHA-2 (which includes SHA-256 and SHA-512, among others). Кроме того, для служб с интернет-доступом рекомендуем использовать сертификат SHA-2.Additionally, we recommend that any Internet-facing services use a SHA-2 certificate. Например, приобретая открытый сертификат для использования со шлюзом управления облаком, выберите сертификат SHA-2.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate."

В большинстве случаев переход на сертификаты SHA-2 не оказывает влияния на выполняемые операции.In most cases, the change to SHA-2 certificates has no impact on operations. Дополнительные сведения см. в разделе Принудительное применение сертификатов SHA1 в Windows.For more information, see Windows Enforcement of SHA1 certificates.

За исключением сертификатов клиентов, которые System Center Configuration Manager регистрирует на мобильных устройствах и компьютерах Mac, сертификатов, автоматически создаваемых Microsoft Intune для управления мобильными устройствами, и сертификатов, устанавливаемых System Center Configuration Manager на компьютерах с поддержкой AMT, можно использовать любую инфраструктуру PKI для создания и развертывания перечисленных ниже сертификатов, а также управления ими.With the exception of client certificates that System Center Configuration Manager enrolls on mobile devices and Mac computers, certificates that Microsoft Intune automatically creates to manage mobile devices, and certificates that System Center Configuration Manager installs on AMT-based computers, you can use any PKI to create, deploy, and manage the following certificates. Но при использовании службы сертификатов Active Directory и шаблонов сертификатов это решение PKI Майкрософт может облегчить управление сертификатами.However, when you use Active Directory Certificate Services and certificate templates, this Microsoft PKI solution can ease the management of certificates. Для определения шаблона сертификата, наиболее соответствующего требованиям к сертификату, используйте столбец Используемый шаблон сертификата (Майкрософт) в следующих таблицах.Use the Microsoft certificate template to use column in the following tables to identify the certificate template that most closely matches the certificate requirements. Только центр сертификации предприятия в среде Enterprise Edition или Datacenter Edition серверной операционной системы, такой как Windows Server 2008 Enterprise или Windows Server 2008 Datacenter, может использовать сертификаты на основе шаблонов.Only an enterprise certification authority that runs on the Enterprise Edition or Datacenter Edition of the server operating system, like Windows Server 2008 Enterprise and Windows Server 2008 Datacenter, can use template-based certificates.

Importante

При использовании центра сертификации предприятия и шаблонов сертификатов не следует применять шаблоны версии 3.When you use an enterprise certification authority and certificate templates, do not use the Version 3 templates. Использование этих шаблонов сертификатов приводит к созданию сертификатов, не совместимых с System Center Configuration Manager.These certificate templates create certificates that are incompatible with System Center Configuration Manager. Вместо этого используйте шаблоны версии 2, придерживаясь следующих инструкций.Instead, use Version 2 templates by using the following instructions:

  • Для центров сертификации в Windows Server 2012: на вкладке Совместимость свойств шаблона сертификата укажите Windows Server 2003 для параметра Центр сертификации и Windows XP/Server 2003 для параметра Получатель сертификата .For a CA on Windows Server 2012: On the Compatibility tab of the certificate template properties, specify Windows Server 2003 for the Certification Authority option, and Windows XP / Server 2003 for the Certificate recipient option.
    • Для центров сертификации в Windows Server 2008: при дублировании шаблона сертификата оставляйте выбранный по умолчанию параметр Windows Server 2003 Enterprise при появлении запроса в диалоговом окне Повторяющийся шаблон.For a CA on Windows Server 2008: When you duplicate a certificate template, keep the default selection, Windows Server 2003 Enterprise, when you are prompted by the Duplicate Template dialog box. Не выбирайте Windows Server 2008, Enterprise Edition.Do not select Windows Server 2008, Enterprise Edition.

Требования к сертификатам рассматриваются в следующих разделах.Use the following sections to view the certificate requirements.

Сертификаты PKI для серверов PKI Certificates for Servers

Компонент System Center Configuration ManagerSystem Center Configuration Manager component Назначение сертификатаCertificate purpose Используемый шаблон сертификата (Майкрософт)Microsoft certificate template to use Особые сведения в сертификатеSpecific information in the certificate Как используется сертификат в System Center Configuration ManagerHow the certificate is used in System Center Configuration Manager
Системы сайтов, в которых выполняются службы IIS, настроенные для клиентских подключений HTTPS.Site systems that run Internet Information Services (IIS) and that are set up for HTTPS client connections:

  • Точка управления.Management point
  • Точка распространения.Distribution point
  • Точка обновления программного обеспеченияSoftware update point
  • Точка миграции средыState migration point
  • Точка регистрацииEnrollment point
  • Прокси-точка регистрации.Enrollment proxy point
  • Точка веб-службы каталога приложенийApplication Catalog web service point
  • Точка веб-сайта каталога приложений.Application Catalog website point
  • Точка регистрации сертификатовACertificate registration point
Проверка подлинности сервераServer authentication Веб-серверWeb Server Значение "Расширенное использование ключа" должно содержать проверку подлинности сервера (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Если система сайта принимает подключения из Интернета, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в Интернете (FQDN).If the site system accepts connections from the Internet, the Subject Name or Subject Alternative Name must contain the Internet fully qualified domain name (FQDN).

Если система сайта принимает подключения из интрасети, то имя субъекта или альтернативное имя субъекта должны содержать полное доменное имя в интрасети (рекомендуется) или NetBIOS-имя компьютера в зависимости от настройки системы сайта.If the site system accepts connections from the intranet, the Subject Name or Subject Alternative Name must contain either the intranet FQDN (recommended) or the computer's name, depending on how the site system is set up.

Если система сайта принимает подключения как из Интернета, так и из интрасети, то следует указывать полное доменное имя в Интернете и полное доменное имя в интрасети (или имя компьютера), используя амперсанд (&) в качестве разделителя этих двух имен.If the site system accepts connections from both the Internet and the intranet, both the Internet FQDN and the intranet FQDN (or computer name) must be specified by using the ampersand (&) symbol delimiter between the two names.

Примечание. Если точка обновления программного обеспечения принимает подключения клиентов только из Интернета, сертификат должен содержать как полное доменное имя в Интернете, так и полное доменное имя в интрасети.Note: When the software update point accepts client connections from the Internet only, the certificate must contain both the Internet FQDN and the intranet FQDN.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

System Center Configuration Manager не накладывает ограничений на длину ключа для этого сертификата.System Center Configuration Manager does not specify a maximum supported key length for this certificate. По вопросам касательно размера ключа обратитесь к документации по PKI и службам IIS для этого сертификата.Consult your PKI and IIS documentation for any key-size related issues for this certificate.
Этот сертификат необходимо разместить в личном хранилище сертификатов на компьютере.This certificate must reside in the Personal store in the Computer certificate store.

Сертификат веб-сервера используется для проверки подлинности таких серверов при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL.This web server certificate is used to authenticate these servers to the client and to encrypt all data that's transferred between the client and these servers by using Secure Sockets Layer (SSL).
Облачная точка распространенияCloud-based distribution point Проверка подлинности сервераServer authentication Веб-серверWeb Server Значение "Расширенное использование ключа" должно содержать проверку подлинности сервера (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Поле "Имя субъекта" должно содержать пользовательское имя службы и имя домена в формате полного доменного имени в качестве общего имени для конкретного экземпляра облачной точки распространения.The Subject Name must contain a customer-defined service name and domain name in an FQDN format as the Common Name for the specific instance of the cloud-based distribution point.

Закрытый ключ должен быть доступен для экспорта.The private key must be exportable.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Поддерживаемая длина ключей: 2048 бит.Supported key lengths: 2,048 bits.
Этот сертификат службы используется для проверки подлинности службы облачной точки распространения при обращении клиента Configuration Manager и для шифрования всех данных, передаваемых между ними по протоколу SSL.This service certificate is used to authenticate the cloud-based distribution point service to Configuration Manager clients and to encrypt all data transferred between them by using Secure Sockets Layer (SSL). Этот сертификат должен экспортироваться в формате PKCS #12, и чтобы его можно было импортировать при создании облачной точки распространения, должен быть известен пароль.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported when you create a cloud-based distribution point.

Примечание. . Этот сертификат используется вместе с сертификатом управления Microsoft Azure.Note: This certificate is used in conjunction with the Windows Azure management certificate.
Серверы систем сайтов, на которых работает Microsoft SQL ServerSite system servers that run Microsoft SQL Server Проверка подлинности сервераServer authentication Web serverWeb server Значение "Расширенное использование ключа" должно содержать проверку подлинности сервера (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Имя субъекта должно содержать полное доменное имя в интрасети.The Subject Name must contain the intranet fully qualified domain name (FQDN).

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.
Этот сертификат должен размещаться в личном хранилище сертификатов на компьютере.This certificate must be in the Personal store in the Computer certificate store. System Center Configuration Manager автоматически копирует его в хранилище доверенных лиц для серверов в иерархии System Center Configuration Manager, для чего может потребоваться установить отношение доверия с сервером.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Эти сертификаты используются для проверки подлинности уровня "сервер-сервер".These certificates are used for server-to-server authentication.
Кластер SQL Server: серверы систем сайтов, на которых работает Microsoft SQL ServerSQL Server cluster: Site system servers that run Microsoft SQL Server Проверка подлинности сервераServer authentication Web serverWeb server Значение "Расширенное использование ключа" должно содержать проверку подлинности сервера (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Имя субъекта должно содержать полное доменное имя кластера в интрасети.The Subject Name must contain the intranet fully qualified domain name (FQDN) of the cluster.

Закрытый ключ должен быть доступен для экспорта.The private key must be exportable.

При настройке System Center Configuration Manager для использования кластера SQL Server срок действия сертификата должен быть не менее двух лет.The certificate must have a validity period of at least two years when you configure System Center Configuration Manager to use the SQL Server cluster.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.
После запроса и установки сертификата в одном узле кластера экспортируйте этот сертификат и импортируйте его в каждый дополнительный узел кластера SQL Server.After you have requested and installed this certificate on one node in the cluster, export the certificate and import it to each additional node in the SQL Server cluster.

Этот сертификат должен размещаться в личном хранилище сертификатов на компьютере.This certificate must be in the Personal store in the Computer certificate store. System Center Configuration Manager автоматически копирует его в хранилище доверенных лиц для серверов в иерархии System Center Configuration Manager, для чего может потребоваться установить отношение доверия с сервером.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Эти сертификаты используются для проверки подлинности уровня "сервер-сервер".These certificates are used for server-to-server authentication.
Мониторинг системы сайта для следующих ролей системы сайта:Site system monitoring for the following site system roles:

  • Точка управления.Management point
  • точка миграции состояния,State migration point
Проверка подлинности клиентаClient authentication Проверка подлинности рабочей станцииWorkstation Authentication Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Для компьютеров необходимо указать уникальные значения в поле "Имя субъекта" и "Альтернативное имя субъекта".Computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Примечание. Если в поле "Альтернативное имя субъекта" введено несколько имен, будет использовано только первое из них.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.
Этот сертификат является обязательным для перечисленных серверов системы сайта, даже если клиент System Center Configuration Manager не установлен.This certificate is required on the listed site system servers, even if the System Center Configuration Manager client is not installed. Он необходим для отслеживания работоспособности таких ролей системы сайта и передачи этих данных на сайт.This setup enables the health of these site system roles to be monitored and reported to the site.

Этот сертификат для этих систем сайта необходимо разместить в личном хранилище сертификатов на компьютере.The certificate for these site systems must reside in the Personal store of the Computer certificate store.
Серверы, на которых выполняется модуль политики System Center Configuration Manager со службой роли службы регистрации сетевых устройствServers running the System Center Configuration Manager Policy Module with the Network Device Enrollment Service role service Проверка подлинности клиентаClient authentication Проверка подлинности рабочей станцииWorkstation Authentication Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Специальные требования к субъекту сертификата или альтернативному имени субъекта (SAN) отсутствуют.There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Один сертификат можно использовать для нескольких серверов под управлением службы регистрации сетевых устройств.You can use the same certificate for multiple servers running the Network Device Enrollment Service.

Поддерживаются алгоритмы хеширования SHA-2 и SHA-3.SHA-2 and SHA-3 hash algorithms are supported.

Поддерживаемая длина ключей: 1024 бит и 2048 бит.Supported key lengths: 1,024 bits and 2,048 bits.
Системы сайта с установленной точкой распространенияSite systems that have a distribution point installed Проверка подлинности клиентаClient authentication Проверка подлинности рабочей станцииWorkstation Authentication Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Специальные требования к субъекту сертификата или альтернативному имени субъекта (SAN) отсутствуют.There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Один сертификат можно использовать для нескольких точек распространения.You can use the same certificate for multiple distribution points. Но рекомендуется использовать разные сертификаты для каждой точки распространения.However, it's a good idea to use a different certificate for each distribution point.

Закрытый ключ должен быть доступен для экспорта.The private key must be exportable.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.
Этот сертификат используется в следующих двух целях.This certificate has two purposes:

  • С его помощью точка управления, поддерживающая протокол HTTPS, проверяет подлинность точки распространения перед тем, как точка распространения начинает отправлять сообщения об изменении состояния.It authenticates the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.
  • Если выбран параметр точки распространения Включить поддержку PXE для клиентов, то сертификат отправляется на компьютеры.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers. Поэтому, когда последовательность задач в процессе развертывания операционной системы включает в себя действия клиента, такие как получение политики клиента или отправка данных инвентаризации, клиентские компьютеры могут подключиться к точке управления, поддерживающей протокол HTTPS, во время развертывания ОС.If task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information, the client computers can connect to a HTTPS-enabled management point during the deployment of the operating system.
Этот сертификат используется только во время развертывания операционной системы и не устанавливается на клиент.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Поскольку этот сертификат используется временно, то можно использовать один и тот же сертификат при каждом развертывании операционной системы, если нет другой необходимости использовать несколько сертификатов.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Этот сертификат необходимо экспортировать в формате PKCS 12.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format. Пароль должен быть известен, чтобы его можно было импортировать в свойства точки распространения.The password must be known so that it can be imported into the distribution point properties.

Примечание. Требования к этому сертификату аналогичны требованиям к сертификату клиента для загрузочных образов, которые используются для развертывания операционных систем.Note: The requirements for this certificate are the same as the client certificate for boot images that deploy operating systems. Поскольку требования аналогичны, можно использовать тот же файл сертификата.Because the requirements are the same, you can use the same certificate file.
Точка обслуживания аппаратного контроллера управленияOut-of-band service point Инициализация AMTAMT provisioning Веб-сервер (изменено)Web Server (modified) Расширенное использование ключа должно содержать значение Проверка подлинности сервера (1.3.6.1.5.5.7.3.1) и следующий идентификатор объекта: 2.16.840.1.113741.1.2.3.Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1) and the following object identifier: 2.16.840.1.113741.1.2.3.

В поле имени субъекта должно быть указано полное доменное имя сервера, на котором размещается точка обслуживания аппаратного контроллера управления.The subject name field must contain the FQDN of the server that is hosting the out-of-band service point.

Примечание. Сертификат подготовки AMT, запрашиваемый из внешнего центра сертификации, а не вашего собственного внутреннего ЦС, может не поддерживать идентификатор объекта подготовки AMT, 2.16.840.1.113741.1.2.3.Note: An AMT provisioning certificate that you request from an external CA instead of from your own internal CA might not support the AMT provisioning object identifier, 2.16.840.1.113741.1.2.3. Можно дополнительно указать следующую текстовую строку в качестве атрибута подразделения в имени субъекта сертификата: Intel(R) Client Setup Certificate.You can alternatively specify the following text string as an organizational unit (OU) attribute in the certificate subject name: Intel(R) Client Setup Certificate. Необходимо использовать именно эту строку на английском языке с полным сохранением написания и регистра без точки в конце строки. Эта строка используется в дополнение к полному доменному имени сервера, на котором размещается точка обслуживания аппаратного контроллера управления.You must use the exact text string in English, in the same case, without a trailing period, and in addition to the FQDN of the server that is hosting the out-of-band service point.

Поддерживаемая длина ключей: 1024 и 2048 бит.Supported key lengths: 1,024 and 2,048. Для AMT 6.0 и более поздних версий также поддерживается длина ключа 4096 бит.For AMT 6.0 and later versions, the key length of 4,096 bits is also supported.
Этот сертификат размещается в личном хранилище сертификатов компьютера сервера системы сайта точки обслуживания аппаратного контроллера управления.This certificate is in the Personal store in the Computer certificate store of the out-of-band service point site system server.

Этот сертификат подготовки AMT используется для подготовки компьютеров к управлению с помощью аппаратного контроллера управления.This AMT provisioning certificate is used to prepare computers for out-of-band management.

Этот сертификат необходимо запросить в ЦС, предоставляющем сертификаты подготовки AMT.You must request this certificate from a CA that supplies AMT provisioning certificates. В расширении BIOS для компьютеров, основанных на технологии Intel AMT, должно быть задано использование отпечатка корневого сертификата (также называемого хэшем сертификатов) для этого сертификата подготовки.The BIOS extension for the Intel AMT-based computers must be set up to use the root certificate thumbprint (also referred to as the certificate hash) for this provisioning certificate.

Типичным примером внешнего ЦС, выдающего сертификаты инициализации AMT, является VeriSign, однако вы можете использовать собственный внутренний ЦС.VeriSign is a typical example of an external CA that provides AMT provisioning certificates, but you can also use your own internal CA.

Установите сертификат на сервере, на котором размещается точка обслуживания аппаратного контроллера управления, которая должна успешно прослеживать цепочку сертификатов до корневого ЦС сертификата.Install the certificate on the server that hosts the out-of-band service point, which must be able to chain successfully to the certificate's root CA. (по умолчанию сертификат корневого ЦС и сертификат промежуточного ЦС для VeriSign устанавливаются при установке Windows).(By default, the root CA certificate and intermediate CA certificate for VeriSign are installed when Windows installs.)
Сервер систем сайта, на котором работает соединитель Microsoft IntuneSite system server that runs the Microsoft Intune connector Проверка подлинности клиентаClient authentication Не применяется: Intune автоматически создает этот сертификат.Not applicable: Intune automatically creates this certificate. Значение Расширенное использование ключа содержит проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Три пользовательских расширения однозначно идентифицируют пользовательскую подписку Intune.Three custom extensions uniquely identify the customer's Intune subscription.

Ключ имеет размер 2048 бит и использует хэш-алгоритм SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Примечание. Эти параметры изменить нельзя,Note: You cannot change these settings. сведения предоставляются только в целях информирования.This information is provided for informational purposes only.
Этот сертификат автоматически запрашивается и устанавливается в базу данных Configuration Manager при подписке на Microsoft Intune.This certificate is automatically requested and installed to the Configuration Manager database when you subscribe to Microsoft Intune. Затем при установке соединителя Microsoft Intune этот сертификат устанавливается на сервер системы сайта, на котором работает соединитель Microsoft Intune.When you install the Microsoft Intune connector, this certificate is then installed on the site system server that runs the Microsoft Intune connector. Он устанавливается в хранилище сертификатов на компьютере.It is installed in the Computer certificate store.

Этот сертификат используется для проверки подлинности иерархии Configuration Manager в Microsoft Intune с помощью соединителя Microsoft Intune.This certificate is used to authenticate the Configuration Manager hierarchy to Microsoft Intune by using the Microsoft Intune connector. Все данные передаются между ними с помощью протокола SSL.All data that is transferred between them uses Secure Sockets Layer (SSL).

Прокси-веб-серверы для управления клиентами через Интернет Proxy web servers for Internet-based client management

Если сайт поддерживает интернет-управление клиентами, и для входящих подключений к Интернету используется прокси-веб-сервер с завершением запросов SSL (мостом), то на прокси-веб-сервере потребуются сертификаты, перечисленные в следующей таблице.If the site supports Internet-based client management, and you are using a proxy web server by using SSL termination (bridging) for incoming Internet connections, the proxy web server has the certificate requirements listed in the following table.

Nota

Если же используется прокси-веб-сервер без завершения запросов SSL (туннелирование), то на прокси-веб-сервере дополнительные сертификаты не нужны.If you are using a proxy web server without SSL termination (tunneling), no additional certificates are required on the proxy web server.

Компонент сетевой инфраструктурыNetwork infrastructure component Назначение сертификатаCertificate purpose Используемый шаблон сертификата (Майкрософт)Microsoft certificate template to use Особые сведения в сертификатеSpecific information in the certificate Как используется сертификат в System Center Configuration ManagerHow the certificate is used in System Center Configuration Manager
Прокси-веб-сервер, принимающий подключения клиентов через ИнтернетProxy web server accepting client connections over the Internet Проверка подлинности сервера и клиентаServer authentication and client authentication 1.1.
Веб-серверWeb Server

2.2.
Проверка подлинности рабочей станцииWorkstation Authentication
Полное доменное имя в Интернете в поле "Имя субъекта" или "Альтернативное имя субъекта".Internet FQDN in the Subject Name field or in the Subject Alternative Name field. Если используются шаблоны сертификатов Майкрософт, то альтернативное имя субъекта доступно только для шаблонов рабочих станций.If you are using Microsoft certificate templates, the Subject Alternative Name is available with the workstation template only.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.
Этот сертификат используется для проверки подлинности перечисленных ниже серверов при обращении интернет-клиентов и для шифрования всех данных, передаваемых между клиентом и этим сервером с использованием протокола SSL:This certificate is used to authenticate the following servers to Internet clients and to encrypt all data transferred between the client and this server by using SSL:

  • интернет-точка управления;Internet-based management point
  • Интернет-точка распространенияInternet-based distribution point
  • Точка обновления программного обеспечения интернет-клиентовInternet-based software update point
Проверка подлинности клиента используется для подключения клиентов System Center Configuration Manager к системам сайта в Интернете.The client authentication is used to bridge client connections between the System Center Configuration Manager clients and the Internet-based site systems.

Сертификаты PKI для клиентов PKI certificates for clients

Компонент System Center Configuration ManagerSystem Center Configuration Manager component Назначение сертификатаCertificate purpose Используемый шаблон сертификата (Майкрософт)Microsoft certificate template to use Особые сведения в сертификатеSpecific information in the certificate Как используется сертификат в System Center Configuration ManagerHow the certificate is used in System Center Configuration Manager
Клиентские компьютеры WindowsWindows client computers Проверка подлинности клиентаClient authentication Проверка подлинности рабочей станцииWorkstation Authentication Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Для клиентских компьютеров в полях "Имя субъекта" и "Альтернативное имя субъекта" должно быть указано уникальное значение.Client computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Примечание. Если в поле "Альтернативное имя субъекта" введено несколько имен, будет использовано только первое из них.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.
По умолчанию System Center Configuration Manager ищет сертификаты компьютера в личном хранилище сертификатов на компьютере.By default, System Center Configuration Manager looks for computer certificates in the Personal store in the Computer certificate store.

За исключением точки обновления программного обеспечения и точки веб-сайта каталога приложений этот сертификат используется для проверки подлинности клиента при обращении серверов системы сайта, на которых выполняются службы IIS и для которых настроено использование протокола HTTPS.Except for the software update point and the Application Catalog website point, this certificate authenticates the client to site system servers that run IIS and that are set up to use HTTPS.
Клиенты мобильных устройствMobile device clients Проверка подлинности клиентаClient authentication Проверенный сеансAuthenticated Session Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

SHA-1SHA-1

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.

Примечания.Notes:

  • Эти сертификаты должны быть зашифрованы в двоичном формате X.509 по правилам Distinguished Encoding Rules (DER).These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format.
  • Формат X.509 с шифрованием при помощи Base64 не поддерживается.Base64 encoded X.509 format is not supported.
Этот сертификат используется для проверки клиента мобильного устройства при обращении серверов системы сайта, с которыми он обменивается данными, таких как точки управления и точки распространения.This certificate authenticates the mobile device client to the site system servers that it communicates with, like management points and distribution points.
Загрузочные образы для развертывания операционных системBoot images for deploying operating systems Проверка подлинности клиентаClient authentication Проверка подлинности рабочей станцииWorkstation Authentication Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Нет каких-либо определенных требований к имени субъекта или альтернативному имени субъекта сертификата. Можно использовать один и тот же сертификат для всех загрузочных образов.There are no specific requirements for the certificate Subject Name field or Subject Alternative Name (SAN), and you can use the same certificate for all boot mages.

Закрытый ключ должен быть доступен для экспорта.The private key must be exportable.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.
Этот сертификат используется, если последовательность задач при развертывании операционной системы включает такие действия клиента, как извлечение политики клиента или отправка сведений инвентаризации.The certificate is used if task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information.

Этот сертификат используется только во время развертывания операционной системы и не устанавливается на клиент.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Поскольку этот сертификат используется временно, то можно использовать один и тот же сертификат при каждом развертывании операционной системы, если нет другой необходимости использовать несколько сертификатов.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Этот сертификат необходимо экспортировать в формате PKCS 12, и пароль должен быть известен, чтобы его можно было импортировать в загрузочные образы System Center Configuration Manager.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported to the System Center Configuration Manager boot images.

Этот сертификат является временным для последовательности задач и не используется для установки клиента.This certificate is temporary for the task sequence and not used to install the client. При наличии среды только с протоколом HTTPS у клиента должен быть действительный сертификат, чтобы он мог взаимодействовать с сайтом и чтобы можно было продолжить развертывание.When you have an environment with HTTPS only, the client must have a valid certificate for the client to communicate with the site and for the deployment to continue. Сертификат клиента может быть создан клиентом автоматически, когда он присоединяется к Active Directory. Можно также установить сертификат клиента другим способом.The client can automatically generate a certificate when the client is joined to Active Directory, or you can install a client certificate by using another method.

Примечание. Требования к этому сертификату аналогичны требованиям к сертификату сервера для систем сайта, в которых установлена точка распространения.Note: The requirements for this certificate are the same as the server certificate for site systems that have a distribution point installed. Поскольку требования аналогичны, можно использовать тот же файл сертификата.Because the requirements are the same, you can use the same certificate file.
Клиентские компьютеры MacMac client computers Проверка подлинности клиентаClient authentication Для регистрации в System Center Configuration Manager: проверенный сеансFor System Center Configuration Manager enrollment: Authenticated Session

Для установки сертификата независимо от System Center Configuration Manager: проверка подлинности рабочей станцииFor certificate installation independent from System Center Configuration Manager: Workstation Authentication
Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Для среды System Center Configuration Manager, создающей сертификат пользователя, значение "Субъект" сертификата автоматически заполняется именем пользователя, зарегистрировавшего компьютер Mac.For System Center Configuration Manager that creates a User certificate, the certificate Subject value is automatically populated with the user name of the person who enrolls the Mac computer.

Для установки сертификата, которая не использует регистрацию в System Center Configuration Manager, а разворачивает сертификат компьютера независимо от System Center Configuration Manager, значение "Субъект" сертификата должно быть уникальным.For certificate installation that does not use System Center Configuration Manager enrollment but deploys a Computer certificate independently from System Center Configuration Manager, the certificate Subject value must be unique. Например, можно указать полное доменное имя компьютера.For example, specify the FQDN of the computer.

Поле "Альтернативное имя субъекта" не поддерживается.The Subject Alternative Name field is not supported.

Поддерживается алгоритм хеширования SHA-2.The SHA-2 hash algorithm is supported.

Максимальный поддерживаемый размер ключа составляет 2048 бит.Maximum supported key length is 2,048 bits.
Этот сертификат используется для проверки клиентского компьютера Mac при обращении серверов системы сайта, с которыми он обменивается данными, таких как точки управления и точки распространения.This certificate authenticates the Mac client computer to the site system servers that it communicates with, like management points and distribution points.
Клиентские компьютеры Linux и UNIXLinux and UNIX client computers Проверка подлинности клиентаClient authentication Проверка подлинности рабочей станцииWorkstation Authentication Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Поле "Альтернативное имя субъекта" не поддерживается.The Subject Alternative Name field is not supported.

Закрытый ключ должен быть доступен для экспорта.The private key must be exportable.

Хэш-алгоритм SHA-2 поддерживается в том случае, если операционная система клиента поддерживает SHA-2.SHA-2 hash algorithm is supported if the operating system of the client supports SHA-2. Дополнительные сведения см. в разделе Сведения об операционных системах Linux и UNIX, не поддерживающих SHA-256 статьи Планирование развертывания клиентов на компьютерах Linux и UNIX в System Center Configuration Manager.For more information, see the About Linux and UNIX Operating Systems That do not Support SHA-256 section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.

Поддерживаемая длина ключей: 2048 бит.Supported key lengths: 2,048 bits.

Примечание. Эти сертификаты должны быть зашифрованы в двоичном формате X.509 по правилам Distinguished Encoding Rules (DER).Note: These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format. Формат X.509 с шифрованием при помощи Base64 не поддерживается.Base64 encoded X.509 format is not supported.
Этот сертификат используется для проверки клиентского компьютера Linuх или UNIX при обращении серверов системы сайта, с которыми он обменивается данными, таких как точки управления и точки распространения.This certificate authenticates the Linus or UNIX client computer to the site system servers that it communicates with, like management points and distribution points. Этот сертификат должен быть экспортирован в формате PKCS#12, и чтобы его можно было указывать клиенту при указании сертификата PKI, необходимо знать пароль.This certificate must be exported in a Public Key Certificate Standard (PKCS#12) format, and the password must be known so you can specify it to the client when you specify the PKI certificate.

Дополнительные сведения см. в разделе Планирование безопасности и сертификаты для серверов Linux и UNIX статьи Планирование развертывания клиентов на компьютерах Linux и UNIX в System Center Configuration Manager.For additional information, see the Planning for Security and Certificates for Linux and UNIX Servers section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.
Сертификаты корневых центров сертификации (ЦС) в следующих случаях:Root certification authority (CA) certificates for the following scenarios:

  • Развертывание операционной системыOperating system deployment
  • регистрация мобильных устройств;Mobile device enrollment
  • проверка подлинности сервера RADIUS для компьютеров на базе технологии Intel AMT;RADIUS server authentication for Intel AMT-based computers
  • проверка подлинности сертификата клиента.Client certificate authentication
Цепочка сертификатов до надежного источникаCertificate chain to a trusted source Неприменимо.Not applicable. Стандартный сертификат корневого ЦС.Standard root CA certificate. Сертификат корневого ЦС необходимо указывать, если клиенты должны будут отслеживать цепочку сертификатов сервера, с которым они обмениваются данными, до доверенного источника.The root CA certificate must be provided when clients have to chain the certificates of the communicating server to a trusted source. В качестве примеров можно привести следующие случаи:This applies in the following scenarios:

  • Если выполняется развертывание операционной системы и запускаются последовательности задач, подключающие клиентский компьютер к точке управления, для которой настроено использование протокола HTTPS.When you deploy an operating system, and task sequences run that connect the client computer to a management point that is set up to use HTTPS.
  • Если выполняется регистрация мобильного устройства для управления диспетчером System Center Configuration Manager.When you enroll a mobile device to be managed by System Center Configuration Manager.
  • Если для компьютеров на базе технологии AMT используется проверка подлинности 802.1X и требуется указать файл для корневого сертификата сервера RADIUS.When you use 802.1X authentication for AMT-based computers, and you want to specify a file for the RADIUS server's root certificate.
Кроме того, сертификат корневого ЦС для клиентов необходимо указать, если сертификаты клиентов выдаются иерархией ЦС, которая отличается от иерархии ЦС, выдавшей сертификат точки управления.In addition, the root CA certificate for clients must be provided if the client certificates are issued by a different CA hierarchy than the CA hierarchy that issued the management point certificate.
Компьютеры на базе технологии Intel AMTIntel AMT-based computers Проверка подлинности сервераServer authentication. Веб-сервер (изменено)Web Server (modified)

Необходимо задать имя субъекта для параметра Строится на основе данных Active Directory, а затем для параметра Формат имени субъекта выбрать Общее имя.You must configure the Subject Name for Build from this Active Directory information, and then select Common name for the Subject name format.

Универсальной группе безопасности, указанной в свойствах компонента управления с помощью аппаратного контроллера управления, необходимо предоставить разрешения Чтение и Регистрация.You must grant Read and Enroll permissions to the universal security group that you specify in the out-of-band management component properties.
Значение "Расширенное использование ключа" должно содержать проверку подлинности сервера (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Имя субъекта должно содержать полное доменное имя компьютера, основанного на технологии AMT, которое автоматически задается доменными службами Active Directory.The Subject Name must contain the FQDN of the AMT-based computer, which is supplied automatically from Active Directory Domain Services.
Этот сертификат размещается в энергонезависимом ОЗУ контроллера управления на компьютере. Он недоступен для просмотра из интерфейса пользователя Windows.This certificate is in the nonvolatile random access memory of the management controller in the computer and is not viewable in the Windows user interface.

Все компьютеры на базе технологии Intel AMT запрашивают этот сертификат во время инициализации AMT, а также для последующих обновлений.Each Intel AMT-based computer requests this certificate during AMT provisioning and for subsequent updates. Если удалить данные инициализации AMT с этих компьютеров, они отзовут этот сертификат.If you remove AMT provisioning information from these computers, they revoke this certificate.

При установке этого сертификата на компьютеры, основанные на Intel AMT, также устанавливается цепочка сертификатов до корневого ЦС.When this certificate is installed on Intel AMT-based computers, the certificate chain to the root CA is also installed. Компьютеры на базе АМТ не поддерживают сертификаты центров сертификации, которые имеют длину ключа более 2048 бит.AMT-based computers cannot support CA certificates with a key length larger than 2,048 bits.

После установки этого сертификата он подтверждает подлинность компьютеров на базе AMT при обращении сервера системы сайта точки обслуживания аппаратного контроллера управления и компьютеров, на которых выполняется консоль управления аппаратного контроллера управления, а также шифрует все данные, которыми они обмениваются, с помощью протокола TLS.After the certificate is installed on Intel AMT-based computers, this certificate authenticates the AMT-based computers to the out-of-band service point site system server and to computers that run the out-of-band management console, and encrypts all data transferred between them by using Transport Layer Security (TLS).
Сертификат клиента 802.1X для Intel AMTIntel AMT 802.1X client certificate Проверка подлинности клиентаClient authentication Проверка подлинности рабочей станцииWorkstation Authentication

Необходимо задать имя субъекта для параметра Строится на основе данных Active Directory, затем для параметра Формат имени субъекта выбрать Общее имя, очистить DNS-имя и выбрать имя участника-пользователя (UPN) в качестве альтернативного имени субъекта.You must set up the Subject Name for Build from this Active Directory information, select Common name for the Subject name format, clear the DNS name, and then select the User principal name (UPN) for the alternative subject name.

Универсальной группе безопасности, указанной в свойствах компонента управления с помощью аппаратного контроллера управления, необходимо предоставить разрешения Чтение и Регистрация для этого шаблона сертификата.You must grant the universal security group that you specify in the out-of-band management component properties Read and Enroll permissions to this certificate template.
Значение "Расширенное использование ключа" должно содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Поле "Имя субъекта" должно содержать полное доменное имя компьютера, основанного на технологии AMT. В поле "Альтернативное имя субъекта" необходимо указать имя участника-пользователя (UPN).The subject name field must contain the FQDN of the AMT-based computer and the subject alternative name must contain the UPN.

Максимальная поддерживаемая длина ключа: 2048 бит.Maximum supported key length: 2,048 bits.
Этот сертификат размещается в энергонезависимом ОЗУ контроллера управления на компьютере. Он недоступен для просмотра из интерфейса пользователя Windows.This certificate is in the nonvolatile random access memory of the management controller in the computer and is not viewable in the Windows user interface.

Все компьютеры, основанные на технологии Intel AMT, могут запросить этот сертификат во время подготовки AMT, но они не отзывают его при удалении соответствующих данных подготовки AMT.Each Intel AMT-based computer can request this certificate during AMT provisioning, but the computer does not revoke this certificate when its AMT provisioning information is removed.

После установки этого сертификата на компьютерах, основанных на AMT, он используется для проверки подлинности AMT-компьютеров при обращении сервера RADIUS, после чего им разрешается доступ к сети.After the certificate is installed on AMT-based computers, this certificate authenticates the AMT-based computers to the RADIUS server so that it can then be authorized for network access.
Мобильные устройства, зарегистрированные с помощью Microsoft IntuneMobile devices that are enrolled by Microsoft Intune Проверка подлинности клиентаClient authentication Не применяется: Intune автоматически создает этот сертификат.Not applicable: Intune automatically creates this certificate. Значение Расширенное использование ключа содержит проверку подлинности клиента (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Три пользовательских расширения однозначно идентифицируют пользовательскую подписку Intune.Three custom extensions uniquely identify the customer Intune subscription.

Пользователи могут предоставлять значение "Субъект" сертификата во время регистрации.Users can supply the certificate Subject value during enrollment. Но Intune не использует это значение для идентификации устройства.However, Intune does not use this value to identify the device.

Ключ имеет размер 2048 бит и использует хэш-алгоритм SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Примечание. Эти параметры изменить нельзя,Note: You cannot change these settings. сведения предоставляются только в целях информирования.This information is provided for informational purposes only.
Этот сертификат автоматически запрашивается и устанавливается, когда прошедшие проверку подлинности пользователи регистрируют свои мобильные устройства с помощью Microsoft Intune.This certificate is automatically requested and installed when authenticated users enroll their mobiles devices by using Microsoft Intune. Итоговый сертификат для устройства размещается в хранилище компьютера и подтверждает подлинность зарегистрированного мобильного устройства в Intune, чтобы им можно было управлять.The resulting certificate on the device resides in the Computer store and authenticates the enrolled mobile device to Intune, so that it can then be managed.

Вследствие пользовательских расширений в сертификате проверка подлинности ограничивается проверкой в отношении подписки Intune, которая установлена для организации.Because of the custom extensions in the certificate, authentication is restricted to the Intune subscription that has been established for the organization.