CNG v3 证书概述

Configuration Manager支持加密：下一代 (CNG) 证书。 Configuration Manager客户端可以使用 PKI 客户端身份验证证书，并将私钥 (KSP) 生成并存储在 CNG 密钥存储提供程序中。 借助 KSP 支持，Configuration Manager客户端支持基于硬件的私钥，例如用于 PKI 客户端身份验证证书的 TPM KSP。

注意

使用 CNG 证书时，Configuration Manager客户端仅支持使用 RSA 加密算法的证书。

支持的方案

对于以下方案，可以使用 加密 API：下一代 (CNG) v3 证书模板：

• 客户端注册和与 HTTPS 管理点通信
• 使用 HTTPS 分发点进行软件分发和应用程序部署
• 操作系统部署
• 具有最新更新) 和 ISV 代理的客户端消息传送 SDK (
• 云管理网关 (CMG) 配置
• 软件中心中面向用户的可用应用程序

此外，对以下启用了 HTTPS 的服务器角色使用 CNG v3 证书：

• 管理点
• 分发点
• 软件更新点
• 状态迁移点
• 证书注册点，包括具有Configuration Manager策略模块的 NDES 服务器

注意

CNG 与加密 API (CAPI) 向后兼容。 即使客户端上启用了 CNG 支持，CAPI 证书仍受支持。

不支持的方案

目前不支持以下方案：

• 在 HTTPS 模式下安装时，以下服务器角色在 INTERNET Information Services (IIS) 中绑定到网站的 CNG v3 证书时无法正常运行：

  • 注册点
  • 注册代理点

使用 CNG 证书

若要使用 CNG v3 证书，证书颁发机构 (CA) 需要为目标计算机提供 CNG 证书模板。 模板详细信息因方案而异;但是，需要以下属性：

• “兼容性 ”选项卡

  • 证书颁发机构 必须是 Windows Server 2008 或更高版本。 建议 (Windows Server 2012。)

  • 证书收件人 必须是 Windows Vista/Server 2008 或更高版本。 建议 (Windows 8/Windows Server 2012。)

• “加密 ”选项卡

  • 提供程序类别 必须是 密钥存储提供程序。 （必需）

  • 算法名称 必须为 RSA。 需要 ()

  • 请求必须使用以下提供程序之一：必须Microsoft软件密钥存储提供程序。

注意

环境或组织的要求可能有所不同。 请联系 PKI 专家。 要考虑的要点是证书模板必须使用密钥存储提供程序来利用 CNG。

为了获得最佳结果，我们建议从 Active Directory 信息生成使用者名称。 将 DNS 名称用于 使用者名称格式 ，并在备用使用者名称中包含 DNS 名称。 否则，必须在设备注册到证书配置文件时提供此信息。