Configuration Manager的 PKI 证书要求

  • 项目

适用于: Configuration Manager(current branch)

下表列出了可能需要Configuration Manager的公钥基础结构 (PKI) 证书。 此信息假定对 PKI 证书有基本的了解。

可以使用任何 PKI 在 Configuration Manager 中创建、部署和管理大多数证书。 对于Configuration Manager在移动设备和 Mac 计算机上注册的客户端证书,需要使用 Active Directory 证书服务。

使用 Active Directory 证书服务和证书模板时,此 Microsoft PKI 解决方案可以简化证书管理。 使用以下部分中的 Microsoft 证书模板 参考来确定最符合证书要求的证书模板。 只有企业证书颁发机构 (在 Windows 服务器的企业版或数据中心版上运行的 CA) 才能使用基于模板的证书。

有关详细信息,请参阅以下文章:

支持的证书类型

安全哈希算法 2 (SHA-2) 证书

颁发使用 SHA-2(包括 SHA-256 和 SHA-512)签名的新服务器和客户端身份验证证书。 所有面向 Internet 的服务都应使用 SHA-2 证书。 例如,如果购买用于云管理网关的公共证书,请确保购买 SHA-2 证书。

Windows 不信任使用 SHA-1 签名的证书。 有关详细信息,请参阅 SHA1 证书的 Windows 强制实施

CNG v3 证书

Configuration Manager支持加密:下一代 (CNG) v3 证书。 Configuration Manager客户端可以在 CNG 密钥存储提供程序 (KSP) 中使用具有私钥的 PKI 客户端身份验证证书。 借助 KSP 支持,Configuration Manager客户端支持基于硬件的私钥,例如用于 PKI 客户端身份验证证书的 TPM KSP。

有关详细信息,请参阅 CNG v3 证书概述

服务器的 PKI 证书

运行 IIS 并支持 HTTPS 客户端连接的站点系统

此 Web 服务器证书用于:

  • 向客户端验证服务器
  • 使用 TLS 加密客户端与这些服务器之间传输的所有数据。

应用于:

  • 管理点
  • 分发点
  • 软件更新点
  • 状态迁移点
  • 注册点
  • 注册代理点
  • 证书注册点

证书要求:

  • 证书用途: 服务器身份验证

  • Microsoft 证书模板: Web 服务器

  • 增强型密钥用法值必须包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 使用者名称:

    • 如果站点系统接受来自 Internet 的连接,则 使用者名称使用者可选名称 必须包含 internet 完全限定的域名 (FQDN) 。

    • 如果站点系统接受来自 Intranet 的连接,则 “使用者名称” 或“ 使用者可选名称 ”必须包含 Intranet FQDN (建议) 或计算机的名称,具体取决于站点系统的设置方式。

    • 如果站点系统同时接受来自 Internet 和 Intranet 的连接,则必须指定 Internet FQDN 和 Intranet FQDN (或计算机名) 。 在两个名称之间使用和 (&) 符号分隔符。

    注意

    当软件更新点仅接受来自 Internet 的客户端连接时,证书必须同时包含 Internet FQDN 和 Intranet FQDN。

  • 密钥长度:Configuration Manager未指定此证书支持的最大密钥长度。 有关此证书的任何密钥大小相关问题,请参阅 PKI 和 IIS 文档。

大多数站点系统角色都支持证书私钥的密钥存储提供程序 (v3) 。 有关详细信息,请参阅 CNG v3 证书概述

此证书必须位于计算机证书存储区的个人存储中。

云管理网关 (CMG)

此服务证书用于:

  • 对 Azure 中的 CMG 服务进行身份验证以Configuration Manager客户端

  • 使用 TLS 加密在它们之间传输的所有数据。

以公钥证书标准 (PKCS #12) 格式导出此证书。 需要知道密码,以便在创建 CMG 时导入证书。

证书要求:

  • 证书用途: 服务器身份验证

  • Microsoft 证书模板: Web 服务器

  • 增强型密钥用法值必须包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 使用者名称必须包含客户定义的服务名称作为云管理网关特定实例的公用名称

  • 私钥必须可导出。

  • 支持的密钥长度:2048 位或 4096 位

此证书支持证书私钥的密钥存储提供程序 (v3) 。

有关详细信息,请参阅 CMG 服务器身份验证证书

运行 Microsoft SQL Server 的站点系统服务器

此证书用于服务器到服务器身份验证。

证书要求:

  • 证书用途: 服务器身份验证

  • Microsoft 证书模板: Web 服务器

  • 增强型密钥用法值必须包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 使用者名称必须包含 intranet 完全限定的域名 (FQDN)

  • 支持的最大密钥长度为 2,048 位。

此证书必须位于计算机证书存储区的个人存储中。 Configuration Manager自动将其复制到Configuration Manager层次结构中的服务器的受信任人员存储中,这些服务器可能需要与服务器建立信任。

SQL Server Always On故障转移群集实例

此证书用于服务器到服务器身份验证。

证书要求:

  • 证书用途: 服务器身份验证

  • Microsoft 证书模板: Web 服务器

  • 增强型密钥用法值必须包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 使用者名称必须包含群集的 FQDN) (Intranet 完全限定的域名

  • 私钥必须可导出

  • 将Configuration Manager配置为使用故障转移群集实例时,证书的有效期必须至少为两年

  • 支持的最大密钥长度为 2,048 位。

在群集中的一个节点上请求并安装此证书。 然后导出证书并将其导入到其他节点。

此证书必须位于计算机证书存储区的个人存储中。 Configuration Manager自动将其复制到Configuration Manager层次结构中的服务器的受信任人员存储中,这些服务器可能需要与服务器建立信任。

站点系统监视

应用于:

  • 管理点
  • 状态迁移点

证书要求:

  • 证书用途: 客户端身份验证

  • Microsoft 证书模板: 工作站身份验证

  • 增强型密钥用法值必须包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 计算机必须在 “使用者名称” 字段或“ 使用者可选名称 ”字段中具有唯一值。

    注意

    如果对 使用者可选名称使用多个值,则只使用第一个值。

  • 支持的最大密钥长度为 2,048 位。

即使未安装 Configuration Manager 客户端,在列出的站点系统服务器上也需要此证书。 此配置允许站点监视和报告这些站点系统角色的运行状况。

这些站点系统的证书必须位于计算机证书存储区的个人存储中。

使用网络设备注册服务 (NDES) 角色服务运行Configuration Manager策略模块的服务器

证书要求:

  • 证书用途: 客户端身份验证

  • Microsoft 证书模板: 工作站身份验证

  • 增强型密钥用法值必须包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 证书 使用者名称使用者可选名称 (SAN) 没有特定要求。 可以将同一证书用于运行网络设备注册服务的多个服务器。

  • 支持的密钥长度:1,024 位和 2,048 位。

安装了分发点的站点系统

此证书有两个用途:

  • 在分发点发送状态消息之前,它会向启用了 HTTPS 的管理点对分发点进行身份验证。

    注意

    为 HTTPS 配置所有管理点时,已启用 HTTPS 的分发点必须使用 PKI 颁发的证书。 管理点使用证书时,不要在分发点上使用自签名证书。 否则可能会出现问题。 例如,分发点不会发送状态消息。

  • 启用 PXE 的分发点将此证书发送到计算机。 如果任务序列包括客户端策略检索或发送清单信息等客户端操作,则计算机可以在 OS 部署过程中连接到启用了 HTTPS 的管理点。

    注意

    对于此 PXE 方案,此证书仅在 OS 部署过程中使用。 它未安装在客户端上。 由于这种临时用途,如果不想使用多个客户端证书,则可以对每个 OS 部署使用相同的证书。

    此证书的要求与任务序列媒体的客户端证书相同。 由于要求相同,因此可以使用同一证书文件。

    指定用于启用 HTTPS 的分发点的证书适用于所有内容分发操作,而不仅仅是 OS 部署。

证书要求:

  • 证书用途: 客户端身份验证

  • Microsoft 证书模板: 工作站身份验证

  • 增强型密钥用法值必须包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 证书 使用者名称使用者可选名称 (SAN) 没有特定要求。 建议为每个分发点使用不同的证书,但可以使用相同的证书。

  • 私钥必须可导出。

  • 支持的最大密钥长度为 2,048 位。

以公钥证书标准 (PKCS #12) 格式导出此证书。 需要知道密码,以便可以将证书导入分发点属性。

用于基于 Internet 的客户端管理的代理 Web 服务器

如果站点支持基于 Internet 的客户端管理,并且你通过使用 SSL 终止 (桥接传入 Internet 连接的) 来使用代理 Web 服务器,则代理 Web 服务器具有以下证书要求:

注意

如果使用的代理 Web 服务器没有 SSL 终止 (隧道) ,则代理 Web 服务器上不需要其他证书。

证书要求:

  • 证书用途: 服务器身份验证客户端身份验证

  • Microsoft 证书模板: Web 服务器工作站身份验证

  • “使用者名称”或“使用者可选名称”字段中的 Internet FQDN。 如果使用 Microsoft 证书模板, 则使用者可选名称 仅适用于工作站模板。

此证书用于向 Internet 客户端对以下服务器进行身份验证,并使用 TLS 对客户端与此服务器之间传输的所有数据进行加密:

  • 基于 Internet 的管理点
  • 基于 Internet 的分发点
  • 基于 Internet 的软件更新点

客户端身份验证用于桥接Configuration Manager客户端与基于 Internet 的站点系统之间的客户端连接。

客户端的 PKI 证书

Windows 客户端计算机

除了软件更新点,此证书对运行 IIS 并支持 HTTPS 客户端连接的站点系统对客户端进行身份验证。

证书要求:

  • 证书用途: 客户端身份验证

  • Microsoft 证书模板: 工作站身份验证

  • 增强型密钥用法值必须包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 密钥用法值必须包含Digital Signature, Key Encipherment (a0)

  • 客户端计算机在 “使用者名称” 或“ 使用者可选名称 ”字段中必须具有唯一值。 如果使用,除非指定了备用证书选择条件,否则 “使用者名称 ”字段必须包含本地计算机名称。 有关详细信息,请参阅 规划 PKI 客户端证书选择

    注意

    如果对 使用者可选名称使用多个值,则只使用第一个值。

  • 没有支持的最大密钥长度。

默认情况下,Configuration Manager计算机证书存储区的个人存储中查找计算机证书。

用于部署操作系统的任务序列媒体

OSD 任务序列使用此证书,并允许计算机在 OS 部署过程中连接到启用了 HTTPS 的管理点和分发点。 到管理点和分发点的连接可能包括此类操作,例如从管理点检索客户端策略以及从分发点下载内容。

此证书仅在 OS 部署过程中使用。 在 安装 Windows 和 ConfigMgr 任务期间安装客户端时,它不会用作客户端安装属性的一部分,也不会在设备上安装该客户端。 由于这种临时用途,如果不想使用多个客户端证书,则可以对每个 OS 部署使用相同的证书。

如果环境仅限 HTTPS,则任务序列媒体必须具有有效的证书。 此证书允许设备与站点通信,以便继续部署。 任务序列完成后,当设备加入 Active Directory 时,客户端可以通过 GPO 自动生成 PKI 证书,也可以使用其他方法安装 PKI 证书。

注意

此证书的要求与具有分发点角色的站点系统的服务器证书相同。 由于要求相同,因此可以使用同一证书文件。

证书要求:

  • 证书用途: 客户端身份验证

  • Microsoft 证书模板: 工作站身份验证

  • 增强型密钥用法值必须包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • SAN) 字段 (证书 使用者名称使用者可选名称 没有特定要求。 可以将同一证书用于所有任务序列媒体。

  • 私钥必须可导出。

  • 支持的最大密钥长度为 2,048 位。

以公钥证书标准 (PKCS #12) 格式导出此证书。 需要知道密码,以便在创建任务序列媒体时可以导入证书。

重要

启动映像不包含要与站点通信的 PKI 证书。 相反,启动映像使用添加到任务序列媒体的 PKI 证书来与站点通信。

有关将 PKI 证书添加到任务序列媒体的详细信息,请参阅 创建可启动媒体创建预留媒体

macOS 客户端计算机

此证书向与 macOS 客户端计算机通信的站点系统服务器进行身份验证。 例如,管理点和分发点。

证书要求:

  • 证书用途: 客户端身份验证

  • Microsoft 证书模板:

    • 对于Configuration Manager注册:经过身份验证的会话
    • 对于独立于Configuration Manager的证书安装:工作站身份验证

  • 增强型密钥用法值必须包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 使用者名称:

    • 对于创建用户证书的Configuration Manager,证书“使用者”值会自动填充注册 macOS 计算机的用户的用户名。
    • 对于不使用Configuration Manager注册但独立于Configuration Manager部署计算机证书的证书安装,证书“使用者”值必须是唯一的。 例如,指定计算机的 FQDN。
    • 不支持 “使用者可选名称” 字段。

  • 支持的最大密钥长度为 2,048 位。

移动设备客户端

此证书向与它通信的站点系统服务器对移动设备客户端进行身份验证。 例如,管理点和分发点。

证书要求:

  • 证书用途: 客户端身份验证

  • Microsoft 证书模板: 经过身份验证的会话

  • 增强型密钥用法值必须包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 支持的最大密钥长度为 2,048 位。

这些证书必须采用可辨别编码规则 (DER) 编码的二进制 X.509 格式。 不支持 Base64 编码的 X.509 格式。

根证书颁发机构 (CA) 证书

此证书是标准的根 CA 证书。

应用于:

  • 操作系统部署
  • 客户端证书身份验证
  • 移动设备注册

证书用途:指向受信任源的证书链

当客户端必须将通信服务器的证书链接到受信任的源时,必须提供根 CA 证书。 如果客户端证书由与颁发管理点证书的 CA 层次结构不同的 CA 层次结构颁发,则必须提供客户端的根 CA 证书。