Требования к сертификатам PKI для Configuration Manager

Относится к Configuration Manager (Current Branch)

Сертификаты инфраструктуры открытых ключей (PKI), которые могут потребоваться для Configuration Manager, перечислены в следующих таблицах. Эта информация предполагает базовое знание PKI-сертификатов.

Вы можете использовать любую PKI для создания, развертывания и управления большинством сертификатов в Configuration Manager. Для клиентских сертификатов, которые Configuration Manager регистрируются на мобильных устройствах и компьютерах Mac, требуется использование служб сертификатов Active Directory.

При использовании служб сертификатов Active Directory и шаблонов сертификатов это решение Microsoft PKI упрощает управление сертификатами. Используйте ссылку на шаблон сертификата Майкрософт в разделах ниже, чтобы определить шаблон сертификата, который наиболее точно соответствует требованиям к сертификату. Только корпоративный центр сертификации (ЦС), работающий в выпусках Enterprise или Datacenter Windows Server, может использовать сертификаты на основе шаблонов.

Дополнительные сведения см. в следующих статьях:

• Пошаговый пример развертывания PKI-сертификатов для Configuration Manager: Центр сертификации Windows Server 2008

• Обзор служб сертификатов Active Directory

• Включение протокола TLS 1.2

Поддерживаемые типы сертификатов

Сертификаты алгоритма безопасного хэша 2 (SHA-2)

Выдача новых сертификатов проверки подлинности сервера и клиента, подписанных с помощью SHA-2, включая SHA-256 и SHA-512. Все службы, подключенные к Интернету, должны использовать сертификат SHA-2. Например, если вы приобрели общедоступный сертификат для использования со шлюзом управления облаком, убедитесь, что приобрели сертификат SHA-2.

Windows не доверяет сертификатам, подписанным с помощью SHA-1. Дополнительные сведения см. в статье Принудительное применение сертификатов SHA1 в Windows.

Сертификаты CNG версии 3

Configuration Manager поддерживает сертификаты Cryptography: Next Generation (CNG) версии 3. Configuration Manager клиенты могут использовать сертификат проверки подлинности PKI-клиента с закрытым ключом в поставщике хранилища ключей CNG (KSP). Благодаря поддержке KSP клиенты Configuration Manager поддерживают аппаратные закрытые ключи, такие как KSP доверенного платформенного модуля для сертификатов проверки подлинности PKI-клиентов.

Дополнительные сведения см. в статье Обзор сертификатов CNG версии 3.

PKI-сертификаты для серверов

Системы сайта, которые работают под управлением IIS и поддерживают клиентские подключения HTTPS

Этот сертификат веб-сервера используется для:

• Проверка подлинности серверов в клиенте
• Шифруйте все данные, передаваемые между клиентом и этими серверами, с помощью ПРОТОКОЛА TLS.

Применимо к:

• Точка управления
• Точка распространения
• Точка обновления программного обеспечения
• Точка миграции состояния
• Точка регистрации
• Прокси-точка регистрации
• Точка регистрации сертификата

Требования к сертификату:

• Назначение сертификата: проверка подлинности сервера

• Шаблон сертификата Майкрософт: веб-сервер

• Значение расширенного использования ключа должно содержать Server Authentication (1.3.6.1.5.5.7.3.1)

• Имя субъекта:

  • Если система сайта принимает подключения из Интернета, имя субъекта или альтернативное имя субъекта должно содержать полное доменное имя (FQDN) в Интернете.

  • Если система сайта принимает подключения из интрасети, имя субъекта или альтернативное имя субъекта должно содержать полное доменное имя интрасети (рекомендуется) или имя компьютера в зависимости от того, как настроена система сайта.

  • Если система сайта принимает подключения из Интернета и интрасети, необходимо указать полное доменное имя Интернета и полное доменное имя интрасети (или имя компьютера). Используйте разделитель символов амперсанда (&) между двумя именами.

  Примечание.

  Если точка обновления программного обеспечения принимает клиентские подключения только из Интернета, сертификат должен содержать полное доменное имя в Интернете и полное доменное имя интрасети.

• Длина ключа: Configuration Manager не указывает максимальную поддерживаемую длину ключа для этого сертификата. Обратитесь к документации по PKI и IIS по любым проблемам, связанным с размером ключа для этого сертификата.

Большинство ролей системы сайта поддерживают поставщиков хранилища ключей для закрытых ключей сертификатов (версия 3). Дополнительные сведения см. в статье Обзор сертификатов CNG версии 3.

Этот сертификат должен находиться в личном хранилище сертификатов компьютера.

Шлюз облачного управления (CMG)

Этот сертификат службы используется для:

• Проверка подлинности службы CMG в Azure для Configuration Manager клиентов

• Шифруйте все данные, передаваемые между ними, с помощью TLS.

Экспортируйте этот сертификат в стандартном формате сертификата открытого ключа (PKCS No 12). Необходимо знать пароль, чтобы можно было импортировать сертификат при создании шлюза управления облачными клиентами.

Требования к сертификату:

• Назначение сертификата: проверка подлинности сервера

• Шаблон сертификата Майкрософт: веб-сервер

• Значение расширенного использования ключа должно содержать Server Authentication (1.3.6.1.5.5.7.3.1)

• Имя субъекта должно содержать определяемое клиентом имя службы в качестве общего имени для конкретного экземпляра шлюза управления облаком.

• Закрытый ключ должен быть экспортируемым.

• Поддерживаемые длины ключей: 2048 бит или 4096 бит

Этот сертификат поддерживает поставщиков хранилища ключей для закрытых ключей сертификатов (версия 3).

Дополнительные сведения см. в разделе Сертификат проверки подлинности сервера CMG.

Серверы системы сайта под управлением Microsoft SQL Server

Этот сертификат используется для проверки подлинности между серверами.

Требования к сертификату:

• Назначение сертификата: проверка подлинности сервера

• Шаблон сертификата Майкрософт: веб-сервер

• Значение расширенного использования ключа должно содержать Server Authentication (1.3.6.1.5.5.7.3.1)

• Имя субъекта должно содержать полное доменное имя (FQDN) интрасети.

• Максимальная поддерживаемая длина ключа — 2048 бит.

Этот сертификат должен находиться в личном хранилище сертификатов компьютера. Configuration Manager автоматически копирует его в хранилище доверенных Люди для серверов в иерархии Configuration Manager, которым может потребоваться установить доверие с сервером.

экземпляр отказоустойчивого кластера SQL Server Always On

Этот сертификат используется для проверки подлинности между серверами.

Требования к сертификату:

• Назначение сертификата: проверка подлинности сервера

• Шаблон сертификата Майкрософт: веб-сервер

• Значение расширенного использования ключа должно содержать Server Authentication (1.3.6.1.5.5.7.3.1)

• Имя субъекта должно содержать полное доменное имя (FQDN) в интрасети кластера.

• Закрытый ключ должен быть экспортируемым

• При настройке Configuration Manager для использования экземпляра отказоустойчивого кластера сертификат должен иметь срок действия не менее двух лет.

• Максимальная поддерживаемая длина ключа — 2048 бит.

Запросите и установите этот сертификат на одном узле в кластере. Затем экспортируйте сертификат и импортируйте его на другие узлы.

Этот сертификат должен находиться в личном хранилище сертификатов компьютера. Configuration Manager автоматически копирует его в хранилище доверенных Люди для серверов в иерархии Configuration Manager, которым может потребоваться установить доверие с сервером.

Мониторинг системы сайта

Применимо к:

• Точка управления
• Точка миграции состояния

Требования к сертификату:

• Назначение сертификата: проверка подлинности клиента

• Шаблон сертификата Майкрософт: проверка подлинности рабочей станции

• Значение расширенного использования ключа должно содержать Client Authentication (1.3.6.1.5.5.7.3.2)

• Компьютеры должны иметь уникальное значение в поле Имя субъекта или в поле Альтернативное имя субъекта .

  Примечание.

  Если для альтернативного имени субъекта используется несколько значений, используется только первое значение.

• Максимальная поддерживаемая длина ключа — 2048 бит.

Этот сертификат необходим на перечисленных серверах системы сайта, даже если клиент Configuration Manager не установлен. Эта конфигурация позволяет сайту отслеживать работоспособность этих ролей системы сайта и сообщать о них.

Сертификат для этих систем сайта должен находиться в личном хранилище хранилища сертификатов компьютера.

Серверы, на которых запущен модуль политики Configuration Manager со службой ролей службы регистрации сетевых устройств (NDES)

Требования к сертификату:

• Назначение сертификата: проверка подлинности клиента

• Шаблон сертификата Майкрософт: проверка подлинности рабочей станции

• Значение расширенного использования ключа должно содержать Client Authentication (1.3.6.1.5.5.7.3.2)

• Нет особых требований к имени субъекта сертификата или альтернативному имени субъекта (SAN). Один и тот же сертификат можно использовать для нескольких серверов, на которых запущена служба регистрации сетевых устройств.

• Поддерживаемые длины ключей: 1024 бита и 2048 бит.

Системы сайта с установленной точкой распространения

Этот сертификат имеет две цели:

• Он проверяет подлинность точки распространения в точке управления с поддержкой HTTPS, прежде чем точка распространения отправляет сообщения о состоянии.

  Примечание.

  При настройке всех точек управления для HTTPS точки распространения с поддержкой HTTPS должны использовать сертификат, выданный PKI. Не используйте самозаверяемые сертификаты в точках распространения, если точки управления используют сертификаты. В противном случае могут возникнуть проблемы. Например, точки распространения не будут отправлять сообщения о состоянии.

• Точка распространения с поддержкой PXE отправляет этот сертификат на компьютеры. Если последовательность задач включает в себя действия клиента, такие как получение политики клиента или отправка сведений инвентаризации, компьютер может подключиться к точке управления с поддержкой HTTPS во время развертывания ОС.

  Примечание.

  В этом сценарии PXE этот сертификат используется только во время развертывания ОС. Он не установлен на клиенте. Из-за этого временного использования вы можете использовать один и тот же сертификат для каждого развертывания ОС, если вы не хотите использовать несколько клиентских сертификатов.

  Требования к этому сертификату совпадают с требованиями к сертификату клиента для носителя последовательности задач. Так как требования одинаковы, можно использовать один и тот же файл сертификата.

  Сертификат, указанный для точки распространения HTTPS-enable, применяется ко всем операциям распространения содержимого, а не только к развертыванию ОС.

Требования к сертификату:

• Назначение сертификата: проверка подлинности клиента

• Шаблон сертификата Майкрософт: проверка подлинности рабочей станции

• Значение расширенного использования ключа должно содержать Client Authentication (1.3.6.1.5.5.7.3.2)

• Нет особых требований к имени субъекта сертификата или альтернативному имени субъекта (SAN). Рекомендуется использовать разные сертификаты для каждой точки распространения, но можно использовать один и тот же сертификат.

• Закрытый ключ должен быть экспортируемым.

• Максимальная поддерживаемая длина ключа — 2048 бит.

Экспортируйте этот сертификат в стандартном формате сертификата открытого ключа (PKCS No 12). Необходимо знать пароль, чтобы можно было импортировать сертификат в свойства точки распространения.

Прокси-серверы для управления клиентами через Интернет

Если сайт поддерживает управление клиентами через Интернет и вы используете прокси-веб-сервер с помощью ssl-завершения (моста) для входящих подключений к Интернету, прокси-веб-сервер имеет следующие требования к сертификату:

Примечание.

Если вы используете прокси-сервер без завершения SSL (туннелирования), дополнительные сертификаты на прокси-веб-сервере не требуются.

Требования к сертификату:

• Назначение сертификата: проверка подлинности сервера и проверка подлинности клиента

• Шаблон сертификата Майкрософт: проверка подлинностивеб-сервера и рабочей станции

• Полное доменное имя в Интернете в поле Имя субъекта или Альтернативное имя субъекта . Если вы используете шаблоны сертификатов Майкрософт, альтернативное имя субъекта доступно только в шаблоне рабочей станции.

Этот сертификат используется для проверки подлинности следующих серверов в интернет-клиентах и для шифрования всех данных, передаваемых между клиентом и этим сервером, с помощью TLS:

• Интернет-точка управления
• Интернет-точка распространения
• Точка обновления программного обеспечения через Интернет

Проверка подлинности клиента используется для моста клиентских подключений между клиентами Configuration Manager и системами веб-сайтов.

PKI-сертификаты для клиентов

Клиентские компьютеры Windows

За исключением точки обновления программного обеспечения, этот сертификат проверяет подлинность клиента в системах сайта, которые выполняют IIS и поддерживают клиентские подключения HTTPS.

Требования к сертификату:

• Назначение сертификата: проверка подлинности клиента

• Шаблон сертификата Майкрософт: проверка подлинности рабочей станции

• Значение расширенного использования ключа должно содержать Client Authentication (1.3.6.1.5.5.7.3.2)

• Значение "Использование ключа" должно содержать Digital Signature, Key Encipherment (a0)

• Клиентские компьютеры должны иметь уникальное значение в поле Имя субъекта или Альтернативное имя субъекта . Если используется, поле Имя субъекта должно содержать имя локального компьютера, если не указано альтернативное условие выбора сертификата. Дополнительные сведения см. в статье Планирование выбора PKI-сертификата клиента.

  Примечание.

  Если для альтернативного имени субъекта используется несколько значений, используется только первое значение.

• Максимальная поддерживаемая длина ключа отсутствует.

По умолчанию Configuration Manager ищет сертификаты компьютера в личном хранилище сертификатов в хранилище сертификатов компьютера.

Носитель последовательности задач для развертывания операционных систем

Этот сертификат используется последовательностью задач OSD и позволяет компьютеру подключаться к точке управления и точке распространения с поддержкой HTTPS во время развертывания ОС. Подключения к точке управления и точке распространения могут включать такие действия, как получение политики клиента из точки управления и скачивание содержимого из точки распространения.

Этот сертификат используется только в процессе развертывания ОС. Он не используется как часть свойств установки клиента, когда клиент устанавливается во время задачи установки Windows и ConfigMgr и не устанавливается на устройстве. Из-за этого временного использования вы можете использовать один и тот же сертификат для каждого развертывания ОС, если вы не хотите использовать несколько клиентских сертификатов.

Если у вас есть среда, доступная только по протоколу HTTPS, носитель последовательности задач должен иметь действительный сертификат. Этот сертификат позволяет устройству взаимодействовать с сайтом и продолжать развертывание. После завершения последовательности задач при присоединении устройства к Active Directory клиент может автоматически создать PKI-сертификат с помощью объекта групповой политики или установить PKI-сертификат с помощью другого метода.

Примечание.

Требования к этому сертификату совпадают с требованиями к сертификату сервера для систем сайта с ролью точки распространения. Так как требования одинаковы, можно использовать один и тот же файл сертификата.

Требования к сертификату:

• Назначение сертификата: проверка подлинности клиента

• Шаблон сертификата Майкрософт: проверка подлинности рабочей станции

• Значение расширенного использования ключа должно содержать Client Authentication (1.3.6.1.5.5.7.3.2)

• Нет особых требований к полям "Имя субъекта сертификата" или "Альтернативное имя субъекта " (SAN). Для всех носителей последовательности задач можно использовать один и тот же сертификат.

• Закрытый ключ должен быть экспортируемым.

• Максимальная поддерживаемая длина ключа — 2048 бит.

Экспортируйте этот сертификат в стандартном формате сертификата открытого ключа (PKCS No 12). Необходимо знать пароль, чтобы можно было импортировать сертификат при создании носителя последовательности задач.

Важно!

Загрузочные образы не содержат PKI-сертификаты для взаимодействия с сайтом. Вместо этого образы загрузки используют PKI-сертификат, добавленный на носитель последовательности задач, для связи с сайтом.

Дополнительные сведения о добавлении PKI-сертификата на носитель последовательности задач см. в разделах Создание загрузочного носителя и Создание предварительно подготовленного носителя.

клиентские компьютеры macOS

Этот сертификат проверяет подлинность клиентского компьютера macOS на серверах системы сайта, с которыми он взаимодействует. Например, точки управления и точки распространения.

Требования к сертификату:

• Назначение сертификата: проверка подлинности клиента

• Шаблон сертификата Майкрософт:

  • Для регистрации Configuration Manager: сеанс проверки подлинности
  • Для установки сертификата, независимо от Configuration Manager: проверка подлинности рабочей станции

• Значение расширенного использования ключа должно содержать Client Authentication (1.3.6.1.5.5.7.3.2)

• Имя субъекта:

  • Для Configuration Manager, создающего сертификат пользователя, значение субъекта сертификата автоматически заполняется именем пользователя, который регистрирует компьютер macOS.
  • Для установки сертификата, который не использует регистрацию Configuration Manager, но развертывает сертификат компьютера независимо от Configuration Manager, значение субъекта сертификата должно быть уникальным. Например, укажите полное доменное имя компьютера.
  • Поле Альтернативное имя субъекта не поддерживается.

• Максимальная поддерживаемая длина ключа — 2048 бит.

Клиенты мобильных устройств

Этот сертификат проверяет подлинность клиента мобильного устройства на серверах системы сайта, с которыми он взаимодействует. Например, точки управления и точки распространения.

Требования к сертификату:

• Назначение сертификата: проверка подлинности клиента

• Шаблон сертификата Майкрософт: сеанс с проверкой подлинности

• Значение расширенного использования ключа должно содержать Client Authentication (1.3.6.1.5.5.7.3.2)

• Максимальная поддерживаемая длина ключа — 2048 бит.

Эти сертификаты должны быть в двоичном формате X.509 в кодировке Distinguished Encoding Rules (DER). Формат X.509 в кодировке Base64 не поддерживается.

Сертификаты корневого центра сертификации (ЦС)

Этот сертификат является стандартным корневым сертификатом ЦС.

Применимо к:

• Развертывание ОС
• проверка подлинности на основе клиентского сертификата.
• Регистрация мобильных устройств

Назначение сертификата: цепочка сертификатов с доверенным источником

Сертификат корневого ЦС должен быть предоставлен, если клиенты должны связать сертификаты взаимодействующего сервера с доверенным источником. Сертификат корневого ЦС для клиентов должен быть предоставлен, если сертификаты клиента выдаются иерархией ЦС, отличной от иерархии ЦС, выдавшей сертификат точки управления.