Dela via

PKI-certifikatkrav för Configuration Manager

  • Artikel

Gäller för: Konfigurationshanteraren (current branch)

De PKI-certifikat (Public Key Infrastructure) som du kan behöva för Configuration Manager visas i följande tabeller. Den här informationen förutsätter grundläggande kunskaper om PKI-certifikat.

Du kan använda valfri PKI för att skapa, distribuera och hantera de flesta certifikat i Configuration Manager. För klientcertifikat som Configuration Manager registreras på mobila enheter och Mac-datorer kräver de användning av Active Directory Certificate Services.

När du använder Active Directory Certificate Services och certifikatmallar kan den här Microsoft PKI-lösningen underlätta hanteringen av certifikat. Använd referensen för Microsoft-certifikatmallen i avsnitten nedan för att identifiera den certifikatmall som bäst matchar certifikatkraven. Endast en utfärdare av företagscertifikat (CA) som körs på Enterprise- eller Datacenter-versionerna av Windows Server kan använda mallbaserade certifikat.

Mer information finns i följande artiklar:

Certifikattyper som stöds

Certifikat för säker hashalgoritm 2 (SHA-2)

Utfärda nya server- och klientautentiseringscertifikat som är signerade med SHA-2, vilket inkluderar SHA-256 och SHA-512. Alla Internetuppkopplade tjänster bör använda ett SHA-2-certifikat. Om du till exempel köper ett offentligt certifikat för användning med en molnhanteringsgateway kontrollerar du att du köper ett SHA-2-certifikat.

Windows litar inte på certifikat som signerats med SHA-1. Mer information finns i Windows Enforcement of SHA1 certificates (Windows-tillämpning av SHA1-certifikat).

CNG v3-certifikat

Configuration Manager stöder kryptografi: CNG v3-certifikat (Nästa generation). Configuration Manager klienter kan använda ett PKI-klientautentiseringscertifikat med privat nyckel i en CNG-nyckellagringsprovider (KSP). Med stöd för KSP stöder Configuration Manager klienter maskinvarubaserade privata nycklar, till exempel TPM KSP för PKI-klientautentiseringscertifikat.

Mer information finns i översikten över CNG v3-certifikat.

PKI-certifikat för servrar

Platssystem som kör IIS och stöder HTTPS-klientanslutningar

Det här webbservercertifikatet används för att:

  • Autentisera servrarna till klienten
  • Kryptera alla data som överförs mellan klienten och dessa servrar med TLS.

Gäller för:

  • Hanteringsplats
  • Distributionsplats
  • Programuppdateringsplats
  • Tillståndsmigreringsplats
  • Registreringsplats
  • Registreringsproxyplats
  • Certifikatregistreringsplats

Certifikatkrav:

  • Certifikatsyfte: Serverautentisering

  • Microsoft-certifikatmall: Webbserver

  • Värdet för förbättrad nyckelanvändning måste innehålla Server Authentication (1.3.6.1.5.5.7.3.1)

  • Ämnesnamn:

    • Om platssystemet accepterar anslutningar från Internet måste ämnesnamnet eller alternativt namn på certifikatmottagaren innehålla det fullständigt kvalificerade domännamnet (FQDN) på Internet.

    • Om platssystemet accepterar anslutningar från intranätet måste ämnesnamnet eller alternativt namn på certifikatmottagaren innehålla antingen intranätets FQDN (rekommenderas) eller datorns namn, beroende på hur platssystemet har konfigurerats.

    • Om platssystemet accepterar anslutningar från både Internet och intranätet måste både internet-FQDN och intranätets FQDN (eller datornamn) anges. Använd symbolen ampersand (&) mellan de två namnen.

    Obs!

    När programuppdateringsplatsen endast accepterar klientanslutningar från Internet måste certifikatet innehålla både internet-FQDN och intranätets FQDN.

  • Nyckellängd: Configuration Manager anger inte en maximal nyckellängd som stöds för det här certifikatet. Läs PKI- och IIS-dokumentationen för eventuella problem med nyckelstorleken för det här certifikatet.

De flesta platssystemroller stöder nyckellagringsproviders för privata certifikatnycklar (v3). Mer information finns i översikten över CNG v3-certifikat.

Det här certifikatet måste finnas i det personliga arkivet i datorcertifikatarkivet.

Molnhanteringsgateway (CMG)

Det här tjänstcertifikatet används för att:

  • Autentisera CMG-tjänsten i Azure för att Configuration Manager klienter

  • Kryptera alla data som överförs mellan dem med hjälp av TLS.

Exportera det här certifikatet i formatet Public Key Certificate Standard (PKCS #12). Du måste känna till lösenordet så att du kan importera certifikatet när du skapar cmg-filen.

Certifikatkrav:

  • Certifikatsyfte: Serverautentisering

  • Microsoft-certifikatmall: Webbserver

  • Värdet för förbättrad nyckelanvändning måste innehålla Server Authentication (1.3.6.1.5.5.7.3.1)

  • Ämnesnamnet måste innehålla ett kunddefinierat tjänstnamn som eget namn för den specifika instansen av molnhanteringsgatewayen.

  • Den privata nyckeln måste kunna exporteras.

  • Nyckellängder som stöds: 2048-bitars eller 4096-bitars

Det här certifikatet stöder nyckellagringsproviders för privata certifikatnycklar (v3).

Mer information finns i CMG-serverautentiseringscertifikat.

Platssystemservrar som kör Microsoft SQL Server

Det här certifikatet används för server-till-server-autentisering.

Certifikatkrav:

  • Certifikatsyfte: Serverautentisering

  • Microsoft-certifikatmall: Webbserver

  • Värdet för förbättrad nyckelanvändning måste innehålla Server Authentication (1.3.6.1.5.5.7.3.1)

  • Ämnesnamnet måste innehålla det fullständigt kvalificerade domännamnet för intranätet (FQDN)

  • Maximal nyckellängd som stöds är 2 048 bitar.

Det här certifikatet måste finnas i det personliga arkivet i datorcertifikatarkivet. Configuration Manager kopierar den automatiskt till Trusted Personer Store för servrar i Configuration Manager-hierarkin som kan behöva upprätta förtroende för servern.

SQL Server AlwaysOn-redundansklusterinstans

Det här certifikatet används för server-till-server-autentisering.

Certifikatkrav:

  • Certifikatsyfte: Serverautentisering

  • Microsoft-certifikatmall: Webbserver

  • Värdet för förbättrad nyckelanvändning måste innehålla Server Authentication (1.3.6.1.5.5.7.3.1)

  • Ämnesnamnet måste innehålla klustrets fullständigt kvalificerade domännamn (FQDN) för intranätet

  • Den privata nyckeln måste kunna exporteras

  • Certifikatet måste ha en giltighetsperiod på minst två år när du konfigurerar Configuration Manager att använda redundansklusterinstansen

  • Maximal nyckellängd som stöds är 2 048 bitar.

Begär och installera det här certifikatet på en nod i klustret. Exportera sedan certifikatet och importera det till de andra noderna.

Det här certifikatet måste finnas i det personliga arkivet i datorcertifikatarkivet. Configuration Manager kopierar den automatiskt till Trusted Personer Store för servrar i Configuration Manager-hierarkin som kan behöva upprätta förtroende för servern.

Övervakning av platssystem

Gäller för:

  • Hanteringsplats
  • Tillståndsmigreringsplats

Certifikatkrav:

  • Certifikatsyfte: Klientautentisering

  • Microsoft-certifikatmall: Autentisering av arbetsstation

  • Värdet för förbättrad nyckelanvändning måste innehålla Client Authentication (1.3.6.1.5.5.7.3.2)

  • Datorer måste ha ett unikt värde i fältet Ämnesnamn eller i fältet Alternativt ämnesnamn .

    Obs!

    Om du använder flera värden för alternativt namn på certifikatmottagaren används bara det första värdet.

  • Maximal nyckellängd som stöds är 2 048 bitar.

Det här certifikatet krävs på de listade platssystemservrarna, även om Configuration Manager-klienten inte är installerad. Med den här konfigurationen kan platsen övervaka och rapportera om hälsotillståndet för dessa platssystemroller.

Certifikatet för dessa platssystem måste finnas i det personliga arkivet för datorcertifikatarkivet.

Servrar som kör Configuration Manager-principmodulen med rolltjänsten Registreringstjänst för nätverksenheter (NDES)

Certifikatkrav:

  • Certifikatsyfte: Klientautentisering

  • Microsoft-certifikatmall: Autentisering av arbetsstation

  • Värdet för förbättrad nyckelanvändning måste innehålla Client Authentication (1.3.6.1.5.5.7.3.2)

  • Det finns inga specifika krav för certifikatets ämnesnamn eller alternativt namn på certifikatmottagare (SAN). Du kan använda samma certifikat för flera servrar som kör registreringstjänsten för nätverksenheter.

  • Nyckellängder som stöds: 1 024 bitar och 2 048 bitar.

Platssystem som har en installerad distributionsplats

Det här certifikatet har två syften:

  • Den autentiserar distributionsplatsen till en HTTPS-aktiverad hanteringsplats innan distributionsplatsen skickar statusmeddelanden.

    Obs!

    När du konfigurerar alla hanteringsplatser för HTTPS måste HTTPS-aktiverade distributionsplatser använda ett PKI-utfärdat certifikat. Använd inte självsignerade certifikat på distributionsplatser när hanteringsplatser använder certifikat. Annars kan det uppstå problem. Distributionsplatser skickar till exempel inte tillståndsmeddelanden.

  • En PXE-aktiverad distributionsplats skickar det här certifikatet till datorer. Om aktivitetssekvensen innehåller klientåtgärder som att hämta klientprincip eller skicka inventeringsinformation kan datorn ansluta till en HTTPS-aktiverad hanteringsplats under distributionsprocessen för operativsystemet.

    Obs!

    I det här PXE-scenariot används det här certifikatet endast under distributionsprocessen för operativsystemet. Den är inte installerad på klienten. På grund av den här tillfälliga användningen kan du använda samma certifikat för varje OS-distribution om du inte vill använda flera klientcertifikat.

    Kraven för det här certifikatet är desamma som klientcertifikatet för aktivitetssekvensmediet. Eftersom kraven är desamma kan du använda samma certifikatfil.

    Certifikatet som du anger för HTTPS-aktivera en distributionsplats gäller för alla distributionsåtgärder för innehåll, inte bara os-distribution.

Certifikatkrav:

  • Certifikatsyfte: Klientautentisering

  • Microsoft-certifikatmall: Autentisering av arbetsstation

  • Värdet för förbättrad nyckelanvändning måste innehålla Client Authentication (1.3.6.1.5.5.7.3.2)

  • Det finns inga specifika krav för certifikatets ämnesnamn eller alternativt namn på certifikatmottagare (SAN). Vi rekommenderar att du använder olika certifikat för varje distributionsplats, men du kan använda samma certifikat.

  • Den privata nyckeln måste kunna exporteras.

  • Maximal nyckellängd som stöds är 2 048 bitar.

Exportera det här certifikatet i formatet Public Key Certificate Standard (PKCS #12). Du måste känna till lösenordet så att du kan importera certifikatet till distributionsplatsegenskaperna.

Proxywebbservrar för internetbaserad klienthantering

Om webbplatsen stöder Internetbaserad klienthantering och du använder en proxywebbserver med SSL-avslutning (bryggning) för inkommande Internetanslutningar, har proxywebbservern följande certifikatkrav:

Obs!

Om du använder en proxywebbserver utan SSL-avslutning (tunneltrafik) krävs inga ytterligare certifikat på proxywebbservern.

Certifikatkrav:

  • Certifikatsyfte: Serverautentisering och klientautentisering

  • Microsoft-certifikatmall: Webbserver- och arbetsstationsautentisering

  • Internet-FQDN i fältet Ämnesnamn eller Alternativt ämnesnamn . Om du använder Microsoft-certifikatmallar är alternativt ämnesnamn endast tillgängligt med arbetsstationsmallen.

Det här certifikatet används för att autentisera följande servrar till Internetklienter och kryptera alla data som överförs mellan klienten och den här servern med TLS:

  • Internetbaserad hanteringsplats
  • Internetbaserad distributionsplats
  • Internetbaserad programuppdateringsplats

Klientautentiseringen används för att överbrygga klientanslutningar mellan de Configuration Manager klienterna och de Internetbaserade platssystemen.

PKI-certifikat för klienter

Windows-klientdatorer

Förutom programuppdateringsplatsen autentiserar det här certifikatet klienten till platssystem som kör IIS och stöder HTTPS-klientanslutningar.

Certifikatkrav:

  • Certifikatsyfte: Klientautentisering

  • Microsoft-certifikatmall: Autentisering av arbetsstation

  • Värdet för förbättrad nyckelanvändning måste innehålla Client Authentication (1.3.6.1.5.5.7.3.2)

  • Värdet för nyckelanvändning måste innehålla Digital Signature, Key Encipherment (a0)

  • Klientdatorer måste ha ett unikt värde i fältet Ämnesnamn eller Alternativt ämnesnamn . Om det används måste fältet Ämnesnamn innehålla det lokala datornamnet om inte ett alternativt urvalsvillkor för certifikat anges. Mer information finns i Planera för val av PKI-klientcertifikat.

    Obs!

    Om du använder flera värden för alternativt namn på certifikatmottagaren används bara det första värdet.

  • Det finns ingen maximal nyckellängd som stöds.

Som standard letar Configuration Manager efter datorcertifikat i det personliga arkivet i datorcertifikatarkivet.

Aktivitetssekvensmedium för distribution av operativsystem

Det här certifikatet används av en OSD-aktivitetssekvens och gör att datorn kan ansluta till en HTTPS-aktiverad hanteringsplats och distributionsplats under os-distributionsprocessen. Anslutningar till hanteringsplatsen och till distributionsplatsen kan omfatta sådana åtgärder, till exempel hämtning av klientprincip från hanteringsplatsen och nedladdning av innehåll från distributionsplatsen.

Det här certifikatet används endast under distributionsprocessen för operativsystemet. Den används inte som en del av klientinstallationsegenskaperna när klienten installeras under installationen av Windows- och ConfigMgr-uppgiften och inte heller är installerad på enheten. På grund av den här tillfälliga användningen kan du använda samma certifikat för varje OS-distribution om du inte vill använda flera klientcertifikat.

När du har en miljö som endast är HTTPS måste aktivitetssekvensmediet ha ett giltigt certifikat. Med det här certifikatet kan enheten kommunicera med platsen och för att distributionen ska fortsätta. När aktivitetssekvensen är klar, när enheten är ansluten till Active Directory, kan klienten automatiskt generera ett PKI-certifikat via ett grupprincipobjekt, eller så kan du installera ett PKI-certifikat med hjälp av en annan metod.

Obs!

Kraven för det här certifikatet är desamma som servercertifikatet för platssystem med distributionsplatsrollen. Eftersom kraven är desamma kan du använda samma certifikatfil.

Certifikatkrav:

  • Certifikatsyfte: Klientautentisering

  • Microsoft-certifikatmall: Autentisering av arbetsstation

  • Värdet för förbättrad nyckelanvändning måste innehålla Client Authentication (1.3.6.1.5.5.7.3.2)

  • Det finns inga specifika krav för certifikatets ämnesnamn eller SAN-fält ( Alternativt namn på certifikatmottagare ). Du kan använda samma certifikat för alla aktivitetssekvensmedier.

  • Den privata nyckeln måste kunna exporteras.

  • Maximal nyckellängd som stöds är 2 048 bitar.

Exportera det här certifikatet i formatet Public Key Certificate Standard (PKCS #12). Du måste känna till lösenordet så att du kan importera certifikatet när du skapar aktivitetssekvensmediet.

Viktigt

Startavbildningar innehåller inte PKI-certifikat för att kommunicera med platsen. I stället använder startavbildningar PKI-certifikatet som lagts till i aktivitetssekvensmediet för att kommunicera med platsen.

Mer information om hur du lägger till ett PKI-certifikat i aktivitetssekvensmedia finns i Skapa startbara media och Skapa förberedda medier.

macOS-klientdatorer

Det här certifikatet autentiserar macOS-klientdatorn till de platssystemservrar som den kommunicerar med. Till exempel hanteringsplatser och distributionsplatser.

Certifikatkrav:

  • Certifikatsyfte: Klientautentisering

  • Microsoft-certifikatmall:

    • För Configuration Manager registrering: Autentiserad session
    • För certifikatinstallation oberoende av Configuration Manager: Autentisering av arbetsstation

  • Värdet för förbättrad nyckelanvändning måste innehålla Client Authentication (1.3.6.1.5.5.7.3.2)

  • Ämnesnamn:

    • För Configuration Manager som skapar ett användarcertifikat fylls certifikatets ämnesvärde automatiskt i med användarnamnet för den person som registrerar macOS-datorn.
    • För certifikatinstallation som inte använder Configuration Manager registrering, men som distribuerar ett datorcertifikat oberoende av Configuration Manager, måste certifikatets ämnesvärde vara unikt. Ange till exempel FQDN för datorn.
    • Fältet Alternativt namn för certifikatmottagare stöds inte.

  • Maximal nyckellängd som stöds är 2 048 bitar.

Mobila enhetsklienter

Det här certifikatet autentiserar den mobila enhetsklienten till de platssystemservrar som den kommunicerar med. Till exempel hanteringsplatser och distributionsplatser.

Certifikatkrav:

  • Certifikatsyfte: Klientautentisering

  • Microsoft-certifikatmall: Autentiserad session

  • Värdet för förbättrad nyckelanvändning måste innehålla Client Authentication (1.3.6.1.5.5.7.3.2)

  • Maximal nyckellängd som stöds är 2 048 bitar.

Dessa certifikat måste vara i Distinguished Encoding Rules (DER) kodat binärt X.509-format. Base64-kodat X.509-format stöds inte.

Certifikat för rotcertifikatutfärdare (CA)

Det här certifikatet är ett standardcertifikat för rotcertifikatutfärdare.

Gäller för:

  • OS-distribution
  • Autentisering av klientcertifikat
  • Registrering av mobila enheter

Certifikatsyfte: Certifikatkedja till en betrodd källa

Rotcertifikatutfärdarcertifikatet måste anges när klienter måste länka certifikaten för den kommunicerande servern till en betrodd källa. Rotcertifikatutfärdarcertifikatet för klienter måste anges om klientcertifikaten utfärdas av en annan CA-hierarki än ca-hierarkin som utfärdade hanteringsplatscertifikatet.