Requisitos de certificado PKI para o System Center Configuration ManagerPKI certificate requirements for System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Os certificados de infraestrutura de chaves públicas (PKI) que poderá necessitar para o System Center Configuration Manager estão listados nas tabelas seguintes.The public key infrastructure (PKI) certificates that you might require for System Center Configuration Manager are listed in the following tables. Estas informações pressupõem um conhecimento básico dos certificados PKI.This information assumes basic knowledge of PKI certificates. Para obter orientações sobre a implementação passo a passo, consulte exemplo passo a passo de implementação da PKI certificados para o System Center Configuration Manager: Autoridade de certificação do Windows Server 2008.For step-by-step deployment guidance see Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 Certification Authority. Para mais informações sobre serviços de certificados do Active Directory, consulte a seguinte documentação:For more about Active Directory Certificate Services, see the following documentation:

Importante

System Center Configuration Manager suporta certificados de proteger a 2 de algoritmo Hash (SHA-2).System Center Configuration Manager supports Secure Hash Algorithm 2 (SHA-2) certificates. Certificados de SHA-2 colocar uma vantagem de segurança importantes.SHA-2 certificates bring an important security advantage. Por conseguinte, recomendamos o seguinte:Therefore, we recommend the following:

  • Emita novos certificados a autenticação de servidor e cliente que estão assinados com SHA-2, que inclui o SHA-256 e SHA-512, entre outros.Issue new server and client authentication certificates that are signed with SHA-2, which includes SHA-256 and SHA-512, among others.
  • Todos os serviços de acesso à Internet devem utilizar um certificado de SHA-2.All Internet-facing services should use a SHA-2 certificate. Por exemplo, se comprar um certificado para utilização com um gateway de gestão de nuvem público, certifique-se de que adquirir um certificado de SHA-2.For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate.

Efetivo 14 de Fevereiro de 2017 Windows já não confia determinados certificados assinados com SHA-1.Effective February 14, 2017, Windows no longer trusts certain certificates signed with SHA-1. Em geral, recomendamos que emita novo servidor e certificados de autenticação de cliente assinado com SHA-2 (que inclui o SHA-256 e SHA-512, entre outros).In general, we recommend that you issue new server and client authentication certificates signed with SHA-2 (which includes SHA-256 and SHA-512, among others). Além disso, recomendamos que todos os serviços Internet orientada para utilizam um certificado de SHA-2.Additionally, we recommend that any Internet-facing services use a SHA-2 certificate. Por exemplo, se comprar um certificado para utilização com um gateway de gestão de nuvem público, certifique-se de que adquirir um certificado de SHA-2. "For example, if you purchase a public certificate for use with a cloud management gateway, make sure that you purchase a SHA-2 certificate."

Na maioria dos casos, a alteração para certificados de SHA-2 não tem impacto nas operações.In most cases, the change to SHA-2 certificates has no impact on operations. Para obter mais informações, consulte Windows imposição de SHA1 certificados.For more information, see Windows Enforcement of SHA1 certificates.

Com exceção dos certificados de cliente que inscreve System Center Configuration Manager em dispositivos móveis e computadores Mac, certificados que o Microsoft Intune cria automaticamente para gerir dispositivos móveis e certificados de que o System Center Configuration Manager instala em computadores baseados em AMT, poderá utilizar qualquer PKI para criar, implementar e gerir os seguintes certificados.With the exception of client certificates that System Center Configuration Manager enrolls on mobile devices and Mac computers, certificates that Microsoft Intune automatically creates to manage mobile devices, and certificates that System Center Configuration Manager installs on AMT-based computers, you can use any PKI to create, deploy, and manage the following certificates. No entanto, quando utilizar os serviços de certificados do Active Directory e modelos de certificado, esta solução PKI da Microsoft poderá facilitar a gestão de certificados.However, when you use Active Directory Certificate Services and certificate templates, this Microsoft PKI solution can ease the management of certificates. Utilize a coluna Modelo de certificado Microsoft a utilizar nas tabelas seguintes para identificar o modelo de certificado que melhor corresponde aos requisitos de certificado.Use the Microsoft certificate template to use column in the following tables to identify the certificate template that most closely matches the certificate requirements. Apenas uma autoridade de certificação empresarial que é executado na edição Enterprise ou Datacenter Edition do sistema de operativo de servidor, como o Windows Server 2008 Enterprise e Datacenter do Windows Server 2008, pode utilizar certificados baseados em modelos.Only an enterprise certification authority that runs on the Enterprise Edition or Datacenter Edition of the server operating system, like Windows Server 2008 Enterprise and Windows Server 2008 Datacenter, can use template-based certificates.

Importante

Quando utiliza um modelos de certificado e a autoridade de certificação do enterprise, não utilize os modelos da versão 3.When you use an enterprise certification authority and certificate templates, do not use the Version 3 templates. Estes modelos de certificado criam certificados que são incompatíveis com o System Center Configuration Manager.These certificate templates create certificates that are incompatible with System Center Configuration Manager. Em alternativa, utilize modelos da versão 2, utilizando as instruções seguintes:Instead, use Version 2 templates by using the following instructions:

  • Para uma AC no Windows Server 2012: No compatibilidade separador de propriedades do modelo de certificado, especifique Windows Server 2003 para o autoridade de certificação opção, e Windows XP / Server 2003 para o destinatário do certificado opção.For a CA on Windows Server 2012: On the Compatibility tab of the certificate template properties, specify Windows Server 2003 for the Certification Authority option, and Windows XP / Server 2003 for the Certificate recipient option.
    • Para uma AC no Windows Server 2008: Ao duplicar um modelo de certificado, mantenha a seleção predefinida, Windows Server 2003 Enterprise, quando lhe for pedido pelo modelo duplicado caixa de diálogo.For a CA on Windows Server 2008: When you duplicate a certificate template, keep the default selection, Windows Server 2003 Enterprise, when you are prompted by the Duplicate Template dialog box. Não selecione Windows Server 2008, Enterprise Edition.Do not select Windows Server 2008, Enterprise Edition.

Utilize as secções seguintes para ver os requisitos de certificado.Use the following sections to view the certificate requirements.

Certificados PKI para servidores PKI Certificates for Servers

Componente do System Center Configuration ManagerSystem Center Configuration Manager component Objetivo do certificadoCertificate purpose Modelo de certificado Microsoft a utilizarMicrosoft certificate template to use Informações específicas no certificadoSpecific information in the certificate Como o certificado é utilizado no System Center Configuration ManagerHow the certificate is used in System Center Configuration Manager
Sistemas de sites que executam os serviços de informação Internet (IIS) e que estão configurados para ligações de cliente HTTPS:Site systems that run Internet Information Services (IIS) and that are set up for HTTPS client connections:

  • Ponto de gestãoManagement point
  • Ponto de distribuiçãoDistribution point
  • Ponto de atualização de SoftwareSoftware update point
  • Ponto de migração de estadoState migration point
  • Ponto de inscriçãoEnrollment point
  • Ponto proxy de registoEnrollment proxy point
  • Ponto de serviço Web do Catálogo de AplicaçõesApplication Catalog web service point
  • Ponto de site do Catálogo de AplicaçõesApplication Catalog website point
  • Ponto de registo de certificadosACertificate registration point
Autenticação de servidorServer authentication Servidor WebWeb Server O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

Se o sistema de sites aceitar ligações a partir da Internet, o nome do requerente ou nome alternativo do requerente tem de conter o nome de domínio de Internet totalmente qualificado (FQDN).If the site system accepts connections from the Internet, the Subject Name or Subject Alternative Name must contain the Internet fully qualified domain name (FQDN).

Se o sistema de sites aceitar ligações a partir da intranet, o nome do requerente ou nome alternativo do requerente tem de conter o FQDN (recomendado) da intranet ou o nome do computador, dependendo da forma como o sistema de sites está configurado.If the site system accepts connections from the intranet, the Subject Name or Subject Alternative Name must contain either the intranet FQDN (recommended) or the computer's name, depending on how the site system is set up.

Se o sistema de sites aceitar ligações a partir da Internet e da intranet, tanto o FQDN de Internet e o FQDN da intranet (ou nome do computador) deve ser especificado utilizando o delimitador entre os dois nomes o símbolo "e" comercial (&).If the site system accepts connections from both the Internet and the intranet, both the Internet FQDN and the intranet FQDN (or computer name) must be specified by using the ampersand (&) symbol delimiter between the two names.

Nota: Quando o ponto de atualização de software aceita ligações de cliente a partir da Internet apenas, o certificado tem de conter o FQDN de Internet e o FQDN da intranet.Note: When the software update point accepts client connections from the Internet only, the certificate must contain both the Internet FQDN and the intranet FQDN.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

System Center Configuration Manager não especifica que um máximo comprimento da chave suportado para este certificado.System Center Configuration Manager does not specify a maximum supported key length for this certificate. Consulte a documentação do PKI e do IIS para quaisquer problemas relacionados com tamanho de chave para este certificado.Consult your PKI and IIS documentation for any key-size related issues for this certificate.
Este certificado tem de residir no arquivo pessoal do arquivo de certificados de computador.This certificate must reside in the Personal store in the Computer certificate store.

Este certificado de servidor web é utilizado para autenticar estes servidores para o cliente e para encriptar todos os dados que são transferidos entre o cliente e estes servidores, utilizando Secure Sockets Layer (SSL).This web server certificate is used to authenticate these servers to the client and to encrypt all data that's transferred between the client and these servers by using Secure Sockets Layer (SSL).
Ponto de distribuição baseado na nuvemCloud-based distribution point Autenticação de servidorServer authentication Servidor WebWeb Server O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

O nome do requerente tem de conter um nome de serviço definidos pelo cliente e o nome de domínio num formato FQDN como nome comum para a instância específica do ponto de distribuição baseado na nuvem.The Subject Name must contain a customer-defined service name and domain name in an FQDN format as the Common Name for the specific instance of the cloud-based distribution point.

A chave privada tem de ser exportável.The private key must be exportable.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimentos de chave suportados: 2.048 bits.Supported key lengths: 2,048 bits.
Este certificado de serviço é utilizado para autenticar o serviço de ponto de distribuição baseados na nuvem para clientes do Configuration Manager e para encriptar todos os dados transferidos entre eles, utilizando Secure Sockets Layer (SSL).This service certificate is used to authenticate the cloud-based distribution point service to Configuration Manager clients and to encrypt all data transferred between them by using Secure Sockets Layer (SSL). Este certificado tem de ser exportado num formato Public Key Certificate Standard (PKCS #12) e a palavra-passe deve ser conhecida para que possa ser importado quando criar um ponto de distribuição baseados na nuvem.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported when you create a cloud-based distribution point.

Nota: Este certificado é utilizado em conjunto com o certificado de gestão do Windows Azure.Note: This certificate is used in conjunction with the Windows Azure management certificate.
Servidores do sistema de sites que executem o Microsoft SQL ServerSite system servers that run Microsoft SQL Server Autenticação de servidorServer authentication Web serverWeb server O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

O nome do requerente tem de conter o nome de domínio completamente qualificado (FQDN) da intranet.The Subject Name must contain the intranet fully qualified domain name (FQDN).

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.
Este certificado tem de ser no arquivo pessoal do arquivo de certificados de computador.This certificate must be in the Personal store in the Computer certificate store. System Center Configuration Manager copia-o automaticamente para o arquivo de pessoas fidedignas nos servidores da hierarquia do System Center Configuration Manager que possam ter de estabelecer fidedignidade com o servidor.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Estes certificados são utilizados para autenticação de servidor para servidor.These certificates are used for server-to-server authentication.
Cluster do SQL Server: Servidores do sistema de sites que executem o Microsoft SQL ServerSQL Server cluster: Site system servers that run Microsoft SQL Server Autenticação de servidorServer authentication Web serverWeb server O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

O nome do requerente tem de conter o nome de domínio completamente qualificado (FQDN) da intranet do cluster.The Subject Name must contain the intranet fully qualified domain name (FQDN) of the cluster.

A chave privada tem de ser exportável.The private key must be exportable.

O certificado tem de ter um período de validade de pelo menos dois anos quando configurar o System Center Configuration Manager para utilizar o cluster do SQL Server.The certificate must have a validity period of at least two years when you configure System Center Configuration Manager to use the SQL Server cluster.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.
Após solicitar e instalar este certificado num de nós do cluster, exporte o certificado e importe-o para cada nó adicional no cluster do SQL Server.After you have requested and installed this certificate on one node in the cluster, export the certificate and import it to each additional node in the SQL Server cluster.

Este certificado tem de ser no arquivo pessoal do arquivo de certificados de computador.This certificate must be in the Personal store in the Computer certificate store. System Center Configuration Manager copia-o automaticamente para o arquivo de pessoas fidedignas nos servidores da hierarquia do System Center Configuration Manager que possam ter de estabelecer fidedignidade com o servidor.System Center Configuration Manager automatically copies it to the Trusted People Store for servers in the System Center Configuration Manager hierarchy that might have to establish trust with the server.

Estes certificados são utilizados para autenticação de servidor para servidor.These certificates are used for server-to-server authentication.
Sistema de sites de monitorização para as seguintes funções do sistema de sites:Site system monitoring for the following site system roles:

  • Ponto de gestãoManagement point
  • Ponto de migração de estadoState migration point
Autenticação de clienteClient authentication Autenticação de Estação de TrabalhoWorkstation Authentication O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Computadores têm de ter um valor exclusivo no campo do nome do requerente ou no campo nome alternativo do requerente.Computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Nota: Se estiver a utilizar vários valores de nome alternativo do requerente, é utilizado apenas o primeiro valor.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.
Este certificado é necessário em servidores do sistema de sites listadas, mesmo que o cliente do System Center Configuration Manager não está instalado.This certificate is required on the listed site system servers, even if the System Center Configuration Manager client is not installed. Esta configuração permite que o estado de funcionamento destas funções do sistema de sites para ser monitorizado e relatado ao site.This setup enables the health of these site system roles to be monitored and reported to the site.

O certificado para estes sistemas de sites têm de residir no arquivo pessoal do arquivo de certificados de computador.The certificate for these site systems must reside in the Personal store of the Computer certificate store.
Servidores a executar o módulo de política do System Center Configuration Manager com o serviço de função Serviço de inscrição de dispositivos de redeServers running the System Center Configuration Manager Policy Module with the Network Device Enrollment Service role service Autenticação de clienteClient authentication Autenticação de Estação de TrabalhoWorkstation Authentication O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Não existem não requisitos específicos para o requerente do certificado ou nome de alternativo do requerente (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Pode utilizar o mesmo certificado para vários servidores a executar o serviço de inscrição de dispositivos de rede.You can use the same certificate for multiple servers running the Network Device Enrollment Service.

São suportados os algoritmos de hash SHA-2 e SHA-3.SHA-2 and SHA-3 hash algorithms are supported.

Comprimentos de chave suportados: bits 1.024 e 2.048 bits.Supported key lengths: 1,024 bits and 2,048 bits.
Sistemas de sites que tenham um ponto de distribuição instaladoSite systems that have a distribution point installed Autenticação de clienteClient authentication Autenticação de Estação de TrabalhoWorkstation Authentication O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Não existem não requisitos específicos para o requerente do certificado ou nome de alternativo do requerente (SAN).There are no specific requirements for the certificate Subject or Subject Alternative Name (SAN). Pode utilizar o mesmo certificado para vários pontos de distribuição.You can use the same certificate for multiple distribution points. No entanto, é boa ideia utilizar um certificado diferente para cada ponto de distribuição.However, it's a good idea to use a different certificate for each distribution point.

A chave privada tem de ser exportável.The private key must be exportable.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.
Este certificado tem duas finalidades:This certificate has two purposes:

  • Autentica o ponto de distribuição a um ponto de gestão ativado para HTTPS antes do ponto de distribuição envia mensagens de estado.It authenticates the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.
  • Quando o ativar suporte PXE para clientes estiver selecionada a opção do ponto de distribuição, o certificado é enviado para computadores.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers. Se as sequências de tarefas no processo de implementação do sistema operativo incluírem ações de cliente, como a obtenção da política de cliente ou envio de informações de inventário, os computadores cliente podem ligar a um ponto de gestão ativado para HTTPS durante a implementação do sistema operativo.If task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information, the client computers can connect to a HTTPS-enabled management point during the deployment of the operating system.
Este certificado é utilizado apenas durante o processo de implementação do sistema operativo, não sendo instalado no cliente.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Devido a esta utilização temporária, o mesmo certificado pode ser utilizado para todas as implementações de sistema operativo se não pretender utilizar diversos certificados de cliente.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Este certificado tem de ser exportado num formato Public Key Certificate Standard (PKCS #12).This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format. A palavra-passe deve ser conhecida para que possa ser importado para as propriedades do ponto de distribuição.The password must be known so that it can be imported into the distribution point properties.

Nota: Os requisitos deste certificado são o mesmo que o certificado de cliente para imagens de arranque que implementam sistemas operativos.Note: The requirements for this certificate are the same as the client certificate for boot images that deploy operating systems. Como os requisitos são os mesmos, poderá utilizar o mesmo ficheiro de certificado.Because the requirements are the same, you can use the same certificate file.
Ponto de serviço fora de bandaOut-of-band service point Aprovisionamento de AMTAMT provisioning Servidor Web (modificado)Web Server (modified) Utilização de chave avançada valor tem de conter autenticação de servidor (1.3.6.1.5.5.7.3.1) e o seguinte identificador de objeto: 2.16.840.1.113741.1.2.3.Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1) and the following object identifier: 2.16.840.1.113741.1.2.3.

O campo de nome do requerente tem de conter o FQDN do servidor que aloja o ponto de serviço fora de banda.The subject name field must contain the FQDN of the server that is hosting the out-of-band service point.

Nota: Um certificado de aprovisionamento de AMT que efetuam pedidos de uma AC externa em vez da sua AC interna pode não suportar o identificador de objeto aprovisionamento AMT, 2.16.840.1.113741.1.2.3.Note: An AMT provisioning certificate that you request from an external CA instead of from your own internal CA might not support the AMT provisioning object identifier, 2.16.840.1.113741.1.2.3. Em alternativa pode especificar a seguinte cadeia de texto como atributo de unidade organizacional (UO) no nome de requerente do certificado: Intel (r) Client Setup Certificate.You can alternatively specify the following text string as an organizational unit (OU) attribute in the certificate subject name: Intel(R) Client Setup Certificate. Tem de utilizar a cadeia de texto exato em inglês, no caso de mesmo, sem um ponto à direita, e além do FQDN do servidor que aloja o ponto de serviço fora de banda.You must use the exact text string in English, in the same case, without a trailing period, and in addition to the FQDN of the server that is hosting the out-of-band service point.

Comprimentos de chave suportados: 1.024 e 2,048.Supported key lengths: 1,024 and 2,048. Para AMT 6.0 e versões posteriores, também é suportado o comprimento da chave de 4.096 bits.For AMT 6.0 and later versions, the key length of 4,096 bits is also supported.
Este certificado está no arquivo pessoal do arquivo de certificados de computador do servidor do sistema de sites de ponto de serviço fora de banda.This certificate is in the Personal store in the Computer certificate store of the out-of-band service point site system server.

Este certificado de aprovisionamento AMT é utilizado para preparar computadores para gestão fora de banda.This AMT provisioning certificate is used to prepare computers for out-of-band management.

Tem de solicitar este certificado de uma AC que forneça certificados de aprovisionamento de AMT.You must request this certificate from a CA that supplies AMT provisioning certificates. A extensão BIOS para os computadores baseados em Intel AMT tem de ser configurada para utilizar o thumbprint do certificado de raiz (também referido como hash do certificado) para este certificado de aprovisionamento.The BIOS extension for the Intel AMT-based computers must be set up to use the root certificate thumbprint (also referred to as the certificate hash) for this provisioning certificate.

A VeriSign constitui um exemplo típico de uma AC externa que fornece certificados de aprovisionamento de AMT, mas também pode utilizar a sua AC interna.VeriSign is a typical example of an external CA that provides AMT provisioning certificates, but you can also use your own internal CA.

Instale o certificado no servidor que aloja o ponto de serviço fora de banda, tem de conseguir encadear com êxito à AC de raiz do certificado.Install the certificate on the server that hosts the out-of-band service point, which must be able to chain successfully to the certificate's root CA. (Por predefinição, o certificado da AC raiz e o certificado da AC intermediária da VeriSign são instalados quando o Windows é instalado.)(By default, the root CA certificate and intermediate CA certificate for VeriSign are installed when Windows installs.)
Servidor de sistema de sites que executa o conector do Microsoft IntuneSite system server that runs the Microsoft Intune connector Autenticação de clienteClient authentication Não aplicável: Intune cria automaticamente este certificado.Not applicable: Intune automatically creates this certificate. Utilização de chave avançada valor contém autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Três extensões personalizadas identificam de forma exclusiva a subscrição do cliente Intune.Three custom extensions uniquely identify the customer's Intune subscription.

O tamanho da chave é 2.048 bits e utiliza o algoritmo hash SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Nota: Não é possível alterar estas definições.Note: You cannot change these settings. Esta informação é fornecida apenas para fins informativos.This information is provided for informational purposes only.
Este certificado é automaticamente solicitado e instalado na base de dados do Configuration Manager quando subscreve o Microsoft Intune.This certificate is automatically requested and installed to the Configuration Manager database when you subscribe to Microsoft Intune. Quando instala o conector do Microsoft Intune, este certificado é instalado no servidor do sistema de sites que executa o conector do Microsoft Intune.When you install the Microsoft Intune connector, this certificate is then installed on the site system server that runs the Microsoft Intune connector. Este é instalado no arquivo de certificados de computador.It is installed in the Computer certificate store.

Este certificado é utilizado para autenticar a hierarquia do Configuration Manager para o Microsoft Intune utilizando o conector do Microsoft Intune.This certificate is used to authenticate the Configuration Manager hierarchy to Microsoft Intune by using the Microsoft Intune connector. Todos os dados transferidos entre eles utilizam Secure Sockets Layer (SSL).All data that is transferred between them uses Secure Sockets Layer (SSL).

Servidores web proxy para gestão de clientes baseados na Internet Proxy web servers for Internet-based client management

Se o site suporta gestão de clientes baseados na Internet e estiver a utilizar um servidor web proxy através da utilização de terminação de SSL (bridge) para ligações recebidas da Internet, o servidor web proxy tem os requisitos de certificado listados na seguinte tabela.If the site supports Internet-based client management, and you are using a proxy web server by using SSL termination (bridging) for incoming Internet connections, the proxy web server has the certificate requirements listed in the following table.

Nota

Se estiver a utilizar um servidor web proxy sem terminação de SSL (túnel), não existem certificados adicionais são necessárias no servidor web proxy.If you are using a proxy web server without SSL termination (tunneling), no additional certificates are required on the proxy web server.

Componente da infraestrutura de redeNetwork infrastructure component Objetivo do certificadoCertificate purpose Modelo de certificado Microsoft a utilizarMicrosoft certificate template to use Informações específicas no certificadoSpecific information in the certificate Como o certificado é utilizado no System Center Configuration ManagerHow the certificate is used in System Center Configuration Manager
Servidor Web proxy aceita ligações de cliente através da InternetProxy web server accepting client connections over the Internet Autenticação de servidor e autenticação de clienteServer authentication and client authentication 1.1.
Servidor WebWeb Server

2.2.
Autenticação de Estação de TrabalhoWorkstation Authentication
FQDN de Internet no campo do nome do requerente ou no campo nome alternativo do requerente.Internet FQDN in the Subject Name field or in the Subject Alternative Name field. Se estiver a utilizar modelos de certificado da Microsoft, o nome alternativo do requerente está disponível com o modelo de estação de trabalho apenas.If you are using Microsoft certificate templates, the Subject Alternative Name is available with the workstation template only.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.
Este certificado é utilizado para autenticar os seguintes servidores nos clientes da Internet e para encriptar todos os dados transferidos entre o cliente e este servidor, utilizando SSL:This certificate is used to authenticate the following servers to Internet clients and to encrypt all data transferred between the client and this server by using SSL:

  • Ponto de gestão baseado na InternetInternet-based management point
  • Ponto de distribuição baseado na InternetInternet-based distribution point
  • Ponto de atualização de software baseado na InternetInternet-based software update point
A autenticação de cliente é utilizada para ligar em ponte ligações do cliente entre os clientes do System Center Configuration Manager e os sistemas de sites baseados na Internet.The client authentication is used to bridge client connections between the System Center Configuration Manager clients and the Internet-based site systems.

Certificados PKI para clientes PKI certificates for clients

Componente do System Center Configuration ManagerSystem Center Configuration Manager component Objetivo do certificadoCertificate purpose Modelo de certificado Microsoft a utilizarMicrosoft certificate template to use Informações específicas no certificadoSpecific information in the certificate Como o certificado é utilizado no System Center Configuration ManagerHow the certificate is used in System Center Configuration Manager
Computadores cliente com WindowsWindows client computers Autenticação de clienteClient authentication Autenticação de Estação de TrabalhoWorkstation Authentication O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Computadores cliente tem de ter um valor exclusivo no campo do nome do requerente ou no campo nome alternativo do requerente.Client computers must have a unique value in the Subject Name field or in the Subject Alternative Name field.

Nota: Se estiver a utilizar vários valores de nome alternativo do requerente, é utilizado apenas o primeiro valor.Note: If you are using multiple values for the Subject Alternative Name, only the first value is used.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.
Por predefinição, o System Center Configuration Manager procura os certificados de computador no arquivo pessoal do arquivo de certificados de computador.By default, System Center Configuration Manager looks for computer certificates in the Personal store in the Computer certificate store.

Exceto para o ponto de atualização de software e o ponto de Web site do catálogo de aplicações, este certificado autentica o cliente nos servidores do sistema de sites que executam o IIS e que estão configurados para utilizar HTTPS.Except for the software update point and the Application Catalog website point, this certificate authenticates the client to site system servers that run IIS and that are set up to use HTTPS.
Clientes de dispositivos móveisMobile device clients Autenticação de clienteClient authentication Sessão autenticadaAuthenticated Session O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

SHA-1SHA-1

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.

Notas:Notes:

  • Estes certificados devem estar no formato de x. 509 binário de regras (codificado DISTINGUISHED Encoding).These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format.
  • O formato X.509 codificado por Base64 não é suportado.Base64 encoded X.509 format is not supported.
Este certificado autentica o cliente de dispositivo móvel para os servidores do sistema de sites com que comunica, como pontos de gestão e pontos de distribuição.This certificate authenticates the mobile device client to the site system servers that it communicates with, like management points and distribution points.
Imagens de arranque para implementação de sistemas operativosBoot images for deploying operating systems Autenticação de clienteClient authentication Autenticação de Estação de TrabalhoWorkstation Authentication O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Existem não requisitos específicos para o campo de nome do requerente do certificado ou nome de alternativo do requerente (SAN), e pode utilizar o mesmo certificado para todas as imagens de arranque.There are no specific requirements for the certificate Subject Name field or Subject Alternative Name (SAN), and you can use the same certificate for all boot mages.

A chave privada tem de ser exportável.The private key must be exportable.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.
O certificado é utilizado se sequências de tarefas no processo de implementação do sistema operativo incluírem ações de cliente, como a obtenção da política de cliente ou envio de informações de inventário.The certificate is used if task sequences in the operating system deployment process include client actions like client policy retrieval or sending inventory information.

Este certificado é utilizado apenas durante o processo de implementação do sistema operativo, não sendo instalado no cliente.This certificate is used for the duration of the operating system deployment process only and is not installed on the client. Devido a esta utilização temporária, o mesmo certificado pode ser utilizado para todas as implementações de sistema operativo se não pretender utilizar diversos certificados de cliente.Because of this temporary use, the same certificate can be used for every operating system deployment if you do not want to use multiple client certificates.

Este certificado tem de ser exportado num formato Public Key Certificate Standard (PKCS #12) e a palavra-passe deve ser conhecida para que possa ser importado para as imagens de arranque do System Center Configuration Manager.This certificate must be exported in a Public Key Certificate Standard (PKCS #12) format, and the password must be known so that it can be imported to the System Center Configuration Manager boot images.

Este certificado é temporário para a sequência de tarefas e não utilizado para instalar o cliente.This certificate is temporary for the task sequence and not used to install the client. Quando tiver apenas um ambiente com o protocolo HTTPS, o cliente tem de ter um certificado válido para que o cliente possa comunicar com o site e continuar a implementação.When you have an environment with HTTPS only, the client must have a valid certificate for the client to communicate with the site and for the deployment to continue. O cliente pode gerar automaticamente um certificado quando o cliente está associado ao Active Directory, ou pode instalar um certificado de cliente utilizando outro método.The client can automatically generate a certificate when the client is joined to Active Directory, or you can install a client certificate by using another method.

Nota: Os requisitos deste certificado são o mesmo que o certificado de servidor para sistemas de sites que tenham um ponto de distribuição instalado.Note: The requirements for this certificate are the same as the server certificate for site systems that have a distribution point installed. Como os requisitos são os mesmos, poderá utilizar o mesmo ficheiro de certificado.Because the requirements are the same, you can use the same certificate file.
Computadores cliente MacMac client computers Autenticação de clienteClient authentication Para a inscrição do System Center Configuration Manager: Sessão autenticadaFor System Center Configuration Manager enrollment: Authenticated Session

Para instalação do certificado independente do System Center Configuration Manager: Autenticação de Estação de TrabalhoFor certificate installation independent from System Center Configuration Manager: Workstation Authentication
O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

Para o System Center Configuration Manager que cria um certificado de utilizador, o valor requerente do certificado é preenchido automaticamente com o nome de utilizador da pessoa responsável pela inscrição do computador Mac.For System Center Configuration Manager that creates a User certificate, the certificate Subject value is automatically populated with the user name of the person who enrolls the Mac computer.

Para a instalação de certificado que não utilize a inscrição do System Center Configuration Manager, mas implementa o certificado do computador independentemente do System Center Configuration Manager, o valor requerente do certificado tem de ser exclusivo.For certificate installation that does not use System Center Configuration Manager enrollment but deploys a Computer certificate independently from System Center Configuration Manager, the certificate Subject value must be unique. Por exemplo, especifique o FQDN do computador.For example, specify the FQDN of the computer.

O campo nome alternativo do requerente não é suportado.The Subject Alternative Name field is not supported.

O algoritmo hash SHA-2 é suportado.The SHA-2 hash algorithm is supported.

Comprimento máximo suportada da chave é 2.048 bits.Maximum supported key length is 2,048 bits.
Este certificado autentica o computador de cliente Mac para os servidores do sistema de sites com que comunica, como pontos de gestão e pontos de distribuição.This certificate authenticates the Mac client computer to the site system servers that it communicates with, like management points and distribution points.
Computadores cliente com Linux e UNIXLinux and UNIX client computers Autenticação de clienteClient authentication Autenticação de Estação de TrabalhoWorkstation Authentication O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

O campo nome alternativo do requerente não é suportado.The Subject Alternative Name field is not supported.

A chave privada tem de ser exportável.The private key must be exportable.

Algoritmo hash SHA-2 é suportado se o sistema operativo do cliente suportar SHA-2.SHA-2 hash algorithm is supported if the operating system of the client supports SHA-2. Para obter mais informações, consulte o sobre Linux e UNIX sistemas operativos que fazer não, como suporte de SHA-256 secção planear a implementação do cliente para computadores Linux e UNIX no System Center Configuration Manager.For more information, see the About Linux and UNIX Operating Systems That do not Support SHA-256 section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.

Comprimentos de chave suportados: 2.048 bits.Supported key lengths: 2,048 bits.

Nota: Estes certificados devem estar no formato de x. 509 binário de regras (codificado DISTINGUISHED Encoding).Note: These certificates must be in Distinguished Encoding Rules (DER) encoded binary X.509 format. O formato X.509 codificado por Base64 não é suportado.Base64 encoded X.509 format is not supported.
Este certificado autentica o computador cliente Linus ou UNIX para os servidores do sistema de sites com que comunica, como pontos de gestão e pontos de distribuição.This certificate authenticates the Linus or UNIX client computer to the site system servers that it communicates with, like management points and distribution points. Este certificado tem de ser exportado num formato Public Key Certificate Standard (PKCS #12) e a palavra-passe tem de ser conhecida para poder especificá-la para o cliente quando especificar o certificado PKI.This certificate must be exported in a Public Key Certificate Standard (PKCS#12) format, and the password must be known so you can specify it to the client when you specify the PKI certificate.

Para obter mais informações, consulte o planeamento de segurança e os certificados para servidores Linux e UNIX secção planear a implementação do cliente para computadores Linux e UNIX no System Center Configuration Manager.For additional information, see the Planning for Security and Certificates for Linux and UNIX Servers section in Planning for client deployment to Linux and UNIX computers in System Center Configuration Manager.
Certificados de autoridade (AC) de certificação de raiz para os seguintes cenários:Root certification authority (CA) certificates for the following scenarios:

  • Implementação do sistema operativoOperating system deployment
  • Inscrição de dispositivos móveisMobile device enrollment
  • Autenticação de servidor RADIUS para computadores baseados em Intel AMTRADIUS server authentication for Intel AMT-based computers
  • Autenticação de certificado de clienteClient certificate authentication
Cadeia de certificados para uma fonte fidedignaCertificate chain to a trusted source Não aplicável.Not applicable. Certificado da AC de raiz padrão.Standard root CA certificate. O certificado da AC de raiz deve ser fornecido quando os clientes têm de encadear os certificados do servidor em comunicação com uma origem fidedigna.The root CA certificate must be provided when clients have to chain the certificates of the communicating server to a trusted source. Isto aplica-se nos seguintes cenários:This applies in the following scenarios:

  • Quando implementar um sistema operativo e executa sequências de tarefas que ligam o computador cliente para gestão de um ponto de que está configurada para utilizar HTTPS.When you deploy an operating system, and task sequences run that connect the client computer to a management point that is set up to use HTTPS.
  • Quando inscreve um dispositivo móvel para ser gerido pelo System Center Configuration Manager.When you enroll a mobile device to be managed by System Center Configuration Manager.
  • Quando utiliza a autenticação 802.1 X para computadores baseados em AMT e pretende especificar um ficheiro de certificado de raiz do servidor RADIUS.When you use 802.1X authentication for AMT-based computers, and you want to specify a file for the RADIUS server's root certificate.
Além disso, o certificado de AC de raiz para os clientes têm de ser fornecido se os certificados de cliente são emitidos por uma hierarquia de ACs diferentes que o certificado de ponto de hierarquia de AC que emitiu a gestão.In addition, the root CA certificate for clients must be provided if the client certificates are issued by a different CA hierarchy than the CA hierarchy that issued the management point certificate.
Computadores baseados em Intel AMTIntel AMT-based computers Autenticação do servidorServer authentication. Servidor Web (modificado)Web Server (modified)

Tem de configurar o nome do requerente para incorporar a partir destas informações do Active Directorye, em seguida, selecione nome comum para o formato de nome de requerente.You must configure the Subject Name for Build from this Active Directory information, and then select Common name for the Subject name format.

Tem de conceder leitura e inscrever permissões para o grupo de segurança universal que especificou nas propriedades do componente de gestão fora de banda.You must grant Read and Enroll permissions to the universal security group that you specify in the out-of-band management component properties.
O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1).Enhanced Key Usage value must contain Server Authentication (1.3.6.1.5.5.7.3.1).

O nome do requerente tem de conter o FQDN do computador baseado em AMT, o que é fornecido automaticamente a partir de serviços de domínio do Active Directory.The Subject Name must contain the FQDN of the AMT-based computer, which is supplied automatically from Active Directory Domain Services.
Este certificado é na memória do acesso aleatório não volátil do controlador de gestão do computador e não é visualizável na interface de utilizador do Windows.This certificate is in the nonvolatile random access memory of the management controller in the computer and is not viewable in the Windows user interface.

Cada computador baseado em Intel AMT solicita este certificado durante o aprovisionamento de AMT e nas atualizações subsequentes.Each Intel AMT-based computer requests this certificate during AMT provisioning and for subsequent updates. Se remover informações destes computadores de aprovisionamento AMT, revogam este certificado.If you remove AMT provisioning information from these computers, they revoke this certificate.

Quando este certificado é instalado em computadores baseados em Intel AMT, a cadeia de certificados à AC de raiz também é instalada.When this certificate is installed on Intel AMT-based computers, the certificate chain to the root CA is also installed. Computadores baseados em AMT não suportam certificados de AC com um comprimento de chave maior 2.048 bits.AMT-based computers cannot support CA certificates with a key length larger than 2,048 bits.

Depois do certificado é instalado em computadores baseados em Intel AMT, este certificado autentica os computadores baseados em AMT para o servidor de sistema de sites de ponto de serviço fora de banda e para computadores que executam a consola de gestão fora de banda e encripta todos os dados transferidos entre eles através de segurança de camada de transporte (TLS).After the certificate is installed on Intel AMT-based computers, this certificate authenticates the AMT-based computers to the out-of-band service point site system server and to computers that run the out-of-band management console, and encrypts all data transferred between them by using Transport Layer Security (TLS).
Certificado do cliente Intel AMT 802.1XIntel AMT 802.1X client certificate Autenticação de clienteClient authentication Autenticação de Estação de TrabalhoWorkstation Authentication

Tem de configurar o nome do requerente para incorporar a partir destas informações do Active Directory, selecione nome comum para o formato de nome de requerente, apagar o nome DNS e, em seguida, selecione o nome principal de utilizador (UPN) para o nome alternativo do requerente.You must set up the Subject Name for Build from this Active Directory information, select Common name for the Subject name format, clear the DNS name, and then select the User principal name (UPN) for the alternative subject name.

Tem de conceder o grupo de segurança universal que especificou nas propriedades do componente de gestão fora de banda leitura e inscrever permissões para este modelo de certificado.You must grant the universal security group that you specify in the out-of-band management component properties Read and Enroll permissions to this certificate template.
O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value must contain Client Authentication (1.3.6.1.5.5.7.3.2).

O campo de nome do requerente deve conter o FQDN do computador baseado em AMT e nome alternativo do requerente tem de conter o UPN.The subject name field must contain the FQDN of the AMT-based computer and the subject alternative name must contain the UPN.

Comprimento máximo suportado da chave: 2.048 bits.Maximum supported key length: 2,048 bits.
Este certificado é na memória do acesso aleatório não volátil do controlador de gestão do computador e não é visualizável na interface de utilizador do Windows.This certificate is in the nonvolatile random access memory of the management controller in the computer and is not viewable in the Windows user interface.

Cada computador baseado em Intel AMT pode solicitar este certificado durante o aprovisionamento de AMT, mas o computador não revoga este certificado quando as informações de aprovisionamento AMT são removidas.Each Intel AMT-based computer can request this certificate during AMT provisioning, but the computer does not revoke this certificate when its AMT provisioning information is removed.

Depois do certificado é instalado em computadores baseados em AMT, este certificado autentica os computadores baseados em AMT para o servidor RADIUS, para que, em seguida, pode ser autorizado para acesso à rede.After the certificate is installed on AMT-based computers, this certificate authenticates the AMT-based computers to the RADIUS server so that it can then be authorized for network access.
Dispositivos móveis que são inscritos pelo Microsoft IntuneMobile devices that are enrolled by Microsoft Intune Autenticação de clienteClient authentication Não aplicável: Intune cria automaticamente este certificado.Not applicable: Intune automatically creates this certificate. Utilização de chave avançada valor contém autenticação de cliente (1.3.6.1.5.5.7.3.2).Enhanced Key Usage value contains Client Authentication (1.3.6.1.5.5.7.3.2).

Três extensões personalizadas identificam de forma exclusiva o subscrição do Intune do cliente.Three custom extensions uniquely identify the customer Intune subscription.

Os utilizadores podem fornecer o valor requerente do certificado durante a inscrição.Users can supply the certificate Subject value during enrollment. No entanto, o Intune não utiliza este valor para identificar o dispositivo.However, Intune does not use this value to identify the device.

O tamanho da chave é 2.048 bits e utiliza o algoritmo hash SHA-1.The key size is 2,048 bits and uses the SHA-1 hash algorithm.

Nota: Não é possível alterar estas definições.Note: You cannot change these settings. Esta informação é fornecida apenas para fins informativos.This information is provided for informational purposes only.
Este certificado é automaticamente solicitado e instalado quando os utilizadores autenticados inscrevem os respetivos dispositivos móveis utilizando o Microsoft Intune.This certificate is automatically requested and installed when authenticated users enroll their mobiles devices by using Microsoft Intune. O certificado resultante no dispositivo reside no arquivo do computador e autentica o dispositivo móvel inscrito no Intune, para que, em seguida, podem ser gerido.The resulting certificate on the device resides in the Computer store and authenticates the enrolled mobile device to Intune, so that it can then be managed.

Devido às extensões personalizadas do certificado, a autenticação é limitada à subscrição do Intune estabelecida para a organização.Because of the custom extensions in the certificate, authentication is restricted to the Intune subscription that has been established for the organization.