適用于 Configuration Manager 的 PKI 憑證需求

  • 發行項

適用於:Configuration Manager (目前的分支)

下表列出您可能需要用於Configuration Manager的公開金鑰基礎結構 (PKI) 憑證。 此資訊假設您對 PKI 憑證有基本知識。

您可以使用任何 PKI 來建立、部署和管理Configuration Manager中的大部分憑證。 針對Configuration Manager在行動裝置和 Mac 電腦上註冊的用戶端憑證,它們需要使用 Active Directory 憑證服務。

當您使用 Active Directory 憑證服務和憑證範本時,此 Microsoft PKI 解決方案可以簡化憑證的管理。 使用下列各節中的 Microsoft 憑證範本 參考來識別最符合憑證需求的憑證範本。 只有在 Windows Server Enterprise 或 Datacenter 版本上執行的企業憑證授權單位單位 (CA) 可以使用範本型憑證。

如需詳細資訊,請參閱下列文章:

支援的憑證類型

安全雜湊演算法 2 (SHA-2) 憑證

發出使用 SHA-2 簽署的新伺服器和用戶端驗證憑證,其中包括 SHA-256 和 SHA-512。 所有網際網路對向服務都應該使用 SHA-2 憑證。 例如,如果您購買公開憑證以搭配雲端管理閘道使用,請確定您購買 SHA-2 憑證。

Windows 不信任使用 SHA-1 簽署的憑證。 如需詳細資訊,請參閱 Windows 強制執行 SHA1 憑證

CNG v3 憑證

Configuration Manager支援密碼編譯:新一代 (CNG) v3 憑證。 Configuration Manager用戶端可以在 CNG 金鑰儲存體提供者 (KSP) 中使用 PKI 用戶端驗證憑證與私密金鑰。 透過 KSP 支援,Configuration Manager用戶端支援硬體型私密金鑰,例如適用于 PKI 用戶端驗證憑證的 TPM KSP。

如需詳細資訊,請參閱 CNG v3 憑證概觀

伺服器的 PKI 憑證

執行 IIS 並支援 HTTPS 用戶端連線的月臺系統

此 Web 服務器證書用於:

  • 向用戶端驗證服務器
  • 使用 TLS 加密用戶端與這些伺服器之間傳輸的所有資料。

適用於:

  • 管理點
  • 發佈點
  • 軟體更新點
  • 狀態移轉點
  • 註冊點
  • 註冊 Proxy 點
  • 憑證登錄點

憑證需求:

  • 憑證用途: 伺服器驗證

  • Microsoft 憑證範本: Web 服務器

  • [增強金鑰使用方式] 值必須包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 主體名稱:

    • 如果月臺系統接受來自網際網路的連線, 主體名稱主體別名 必須包含網際網路完整功能變數名稱 (FQDN) 。

    • 如果月臺系統接受來自內部網路的連線,則主體 名稱主體別名 必須包含內部網路 FQDN (建議的) 或電腦名稱稱,視月臺系統的設定方式而定。

    • 如果月臺系統接受來自網際網路和內部網路的連線,則必須指定網際網路 FQDN 和內部網路 FQDN (或電腦名稱稱) 。 使用兩個名稱之間的連字號 (&) 符號分隔符號。

    注意事項

    當軟體更新點只接受來自網際網路的用戶端連線時,憑證必須同時包含網際網路 FQDN 和內部網路 FQDN。

  • 金鑰長度:Configuration Manager不會為此憑證指定支援的最大金鑰長度。 如需此憑證的任何金鑰大小相關問題,請參閱您的 PKI 和 IIS 檔。

大部分的月臺系統角色都支援憑證私密金鑰的金鑰儲存體提供者, (v3) 。 如需詳細資訊,請參閱 CNG v3 憑證概觀

此憑證必須位於電腦憑證存放區的個人存放區中。

雲端管理閘道 (CMG)

此服務憑證用於:

  • 在 Azure 中驗證 CMG 服務以Configuration Manager用戶端

  • 使用 TLS 加密在兩者之間傳輸的所有資料。

以公開金鑰憑證標準 (PKCS #12) 格式匯出此憑證。 您必須知道密碼,才能在建立 CMG 時匯入憑證。

憑證需求:

  • 憑證用途: 伺服器驗證

  • Microsoft 憑證範本: Web 服務器

  • [增強金鑰使用方式] 值必須包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 主體 名稱 必須包含客戶定義 的服務名稱 ,作為雲端管理閘道特定實例的 一般名稱

  • 私密金鑰必須是可匯出的。

  • 支援的金鑰長度:2048 位或 4096 位

此憑證支援 v3) (憑證私密金鑰的金鑰儲存提供者。

如需詳細資訊,請參閱 CMG 伺服器驗證憑證

執行 Microsoft SQL Server 的月臺系統伺服器

此憑證用於伺服器對伺服器驗證。

憑證需求:

  • 憑證用途: 伺服器驗證

  • Microsoft 憑證範本: Web 服務器

  • [增強金鑰使用方式] 值必須包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 主體 名稱 必須包含內部網路完整功能變數名稱 (FQDN)

  • 支援的金鑰長度上限為 2,048 位。

此憑證必須位於電腦憑證存放區的個人存放區中。 Configuration Manager會自動將它複製到Configuration Manager階層中可能需要與伺服器建立信任之伺服器的受信任人員存放區。

SQL Server Always On容錯移轉叢集實例

此憑證用於伺服器對伺服器驗證。

憑證需求:

  • 憑證用途: 伺服器驗證

  • Microsoft 憑證範本: Web 服務器

  • [增強金鑰使用方式] 值必須包含Server Authentication (1.3.6.1.5.5.7.3.1)

  • 主體 名稱 必須包含叢集的內部網路完整功能變數名稱 (FQDN)

  • 私密金鑰必須可匯出

  • 當您設定Configuration Manager使用容錯移轉叢集實例時,憑證的有效期間必須至少為兩年

  • 支援的金鑰長度上限為 2,048 位。

在叢集中的一個節點上要求並安裝此憑證。 然後匯出憑證,並將其匯入至其他節點。

此憑證必須位於電腦憑證存放區的個人存放區中。 Configuration Manager會自動將它複製到Configuration Manager階層中可能需要與伺服器建立信任之伺服器的受信任人員存放區。

月臺系統監視

適用於:

  • 管理點
  • 狀態移轉點

憑證需求:

  • 憑證用途: 用戶端驗證

  • Microsoft 憑證範本: 工作站驗證

  • [增強金鑰使用方式] 值必須包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 電腦在 [ 主體名稱] 字 段或 [ 主體別名] 字 段中必須具有唯一值。

    注意事項

    如果您針對 主體別名使用多個值,它只會使用第一個值。

  • 支援的金鑰長度上限為 2,048 位。

即使未安裝Configuration Manager用戶端,列出的月臺系統伺服器上也需要此憑證。 此設定可讓月臺監視和報告這些月臺系統角色的健康情況。

這些月臺系統的憑證必須位於電腦憑證存放區的個人存放區中。

使用網路裝置註冊服務 (NDES) 角色服務執行Configuration Manager原則模組的伺服器

憑證需求:

  • 憑證用途: 用戶端驗證

  • Microsoft 憑證範本: 工作站驗證

  • [增強金鑰使用方式] 值必須包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 憑證 主體名稱主體別名 (SAN) 沒有特定需求。 您可以針對執行網路裝置註冊服務的多部伺服器使用相同的憑證。

  • 支援的金鑰長度:1,024 位和 2,048 位。

已安裝發佈點的月臺系統

此憑證有兩個用途:

  • 它會在發佈點傳送狀態訊息之前,先向已啟用 HTTPS 的管理點驗證發佈點。

    注意事項

    當您為 HTTPS 設定所有管理點時,啟用 HTTPS 的發佈點必須使用 PKI 發行的憑證。 當管理點使用憑證時,請勿在發佈點上使用自我簽署憑證。 否則可能會發生問題。 例如,發佈點不會傳送狀態訊息。

  • 啟用 PXE 的發佈點會將此憑證傳送至電腦。 如果工作順序包含用戶端原則擷取或傳送清查資訊等用戶端動作,則電腦可以在 OS 部署程式期間連線到已啟用 HTTPS 的管理點。

    注意事項

    在此 PXE 案例中,此憑證只會在 OS 部署程式期間使用。 它不會安裝在用戶端上。 由於此暫時用途,如果您不想使用多個用戶端憑證,您可以針對每個 OS 部署使用相同的憑證。

    此憑證的需求與工作順序媒體的用戶端憑證相同。 因為需求相同,所以您可以使用相同的憑證檔案。

    您指定給 HTTPS 啟用發佈點的憑證會套用至所有內容發佈作業,而不只是 OS 部署。

憑證需求:

  • 憑證用途: 用戶端驗證

  • Microsoft 憑證範本: 工作站驗證

  • [增強金鑰使用方式] 值必須包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 憑證 主體名稱主體別名 (SAN) 沒有特定需求。 建議您針對每個發佈點使用不同的憑證,但您可以使用相同的憑證。

  • 私密金鑰必須是可匯出的。

  • 支援的金鑰長度上限為 2,048 位。

以公開金鑰憑證標準 (PKCS #12) 格式匯出此憑證。 您必須知道密碼,才能將憑證匯入發佈點屬性。

以網際網路為基礎的用戶端管理 Proxy 網頁伺服器

如果月臺支援以網際網路為基礎的用戶端管理,而且您使用 SSL 終止來使用 Proxy 網頁伺服器, (橋接連入網際網路連線的) ,則 Proxy 網頁伺服器具有下列憑證需求:

注意事項

如果您在不使用 SSL 終止的情況下使用 Proxy 網頁伺服器, (通道) ,則 Proxy 網頁伺服器上不需要任何其他憑證。

憑證需求:

  • 憑證用途: 伺服器驗證用戶端驗證

  • Microsoft 憑證範本: Web 服務器工作站驗證

  • [ 主體名稱 ] 或 [ 主體別名 ] 欄位中的 Internet FQDN。 如果您使用 Microsoft 憑證範本,則只有工作站範本才能使用 主體別名

此憑證可用來向網際網路用戶端驗證下列伺服器,並使用 TLS 加密用戶端與此伺服器之間傳輸的所有資料:

  • 以網際網路為基礎的管理點
  • 以網際網路為基礎的發佈點
  • 以網際網路為基礎的軟體更新點

用戶端驗證可用來橋接Configuration Manager用戶端與以網際網路為基礎的月臺系統之間的用戶端連線。

用戶端的 PKI 憑證

Windows 用戶端電腦

除了軟體更新點之外,此憑證會向執行 IIS 和支援 HTTPS 用戶端連線的月臺系統驗證用戶端。

憑證需求:

  • 憑證用途: 用戶端驗證

  • Microsoft 憑證範本: 工作站驗證

  • [增強金鑰使用方式] 值必須包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • [金鑰使用方式]值必須包含Digital Signature, Key Encipherment (a0)

  • 用戶端電腦在 [ 主體名稱 ] 或 [ 主體別名] 字 段中必須具有唯一值。 如果使用,除非指定替代憑證選取準則,否則 [ 主體名稱 ] 欄位必須包含本機電腦名稱稱。 如需詳細資訊,請參閱 規劃 PKI 用戶端憑證選取

    注意事項

    如果您針對 主體別名使用多個值,它只會使用第一個值。

  • 沒有支援的金鑰長度上限。

根據預設,Configuration Manager在電腦憑證存放區的個人存放區中尋找電腦憑證。

用於部署作業系統的工作順序媒體

OSD 工作順序會使用此憑證,並允許電腦在 OS 部署程式期間連線到已啟用 HTTPS 的管理點和發佈點。 與管理點和發佈點的連線可能包含這類動作,例如從管理點擷取用戶端原則,以及從發佈點下載內容。

此憑證只會在 OS 部署程式期間使用。 在安裝 Windows 和 ConfigMgr 工作期間安裝用戶端時,它不會作為用戶端安裝屬性的一部分,也不會安裝在裝置上。 由於此暫時用途,如果您不想使用多個用戶端憑證,您可以針對每個 OS 部署使用相同的憑證。

當您有僅限 HTTPS 的環境時,工作順序媒體必須具有有效的憑證。 此憑證可讓裝置與月臺通訊,並讓部署繼續進行。 工作順序完成之後,當裝置加入 Active Directory 時,用戶端可以透過 GPO 自動產生 PKI 憑證,或者您可以使用其他方法來安裝 PKI 憑證。

注意事項

此憑證的需求與具有發佈點角色之月臺系統的伺服器憑證相同。 因為需求相同,所以您可以使用相同的憑證檔案。

憑證需求:

  • 憑證用途: 用戶端驗證

  • Microsoft 憑證範本: 工作站驗證

  • [增強金鑰使用方式] 值必須包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 憑證主體 名稱主體別名 (SAN) 欄位沒有特定需求。 您可以針對所有工作順序媒體使用相同的憑證。

  • 私密金鑰必須是可匯出的。

  • 支援的金鑰長度上限為 2,048 位。

以公開金鑰憑證標準 (PKCS #12) 格式匯出此憑證。 您必須知道密碼,才能在建立工作順序媒體時匯入憑證。

重要事項

開機映射不包含要與網站通訊的 PKI 憑證。 相反地,開機映射會使用新增至工作順序媒體的 PKI 憑證來與月臺通訊。

如需將 PKI 憑證新增至工作順序媒體的詳細資訊,請參閱 建立可開機媒體建立預先設置的媒體

macOS 用戶端電腦

此憑證會向與其通訊的月臺系統伺服器驗證 macOS 用戶端電腦。 例如,管理點和發佈點。

憑證需求:

  • 憑證用途: 用戶端驗證

  • Microsoft 憑證範本:

    • 針對Configuration Manager註冊:已驗證的會話
    • 針對與Configuration Manager無關的憑證安裝:工作站驗證

  • [增強金鑰使用方式] 值必須包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 主體名稱:

    • 針對建立使用者憑證的Configuration Manager,憑證主體值會自動填入註冊 macOS 電腦之人員的使用者名稱。
    • 對於不使用Configuration Manager註冊,但會獨立于Configuration Manager部署電腦憑證的憑證安裝,憑證主體值必須是唯一的。 例如,指定電腦的 FQDN。
    • 不支援 [ 主體別名] 字 段。

  • 支援的金鑰長度上限為 2,048 位。

行動裝置用戶端

此憑證會向與其通訊的月臺系統伺服器驗證行動裝置用戶端。 例如,管理點和發佈點。

憑證需求:

  • 憑證用途: 用戶端驗證

  • Microsoft 憑證範本: 已驗證的會話

  • [增強金鑰使用方式] 值必須包含Client Authentication (1.3.6.1.5.5.7.3.2)

  • 支援的金鑰長度上限為 2,048 位。

這些憑證必須是 可辨別編碼規則 (DER) 編碼的二進位 X.509 格式。 不支援 Base64 編碼的 X.509 格式。

跟憑證授權單位單位 (CA) 憑證

此憑證是標準根 CA 憑證。

適用於:

  • 作業系統部署
  • 用戶端憑證驗證
  • 行動裝置註冊

憑證用途:憑證鏈結至受信任的來源

當用戶端必須將通訊伺服器的憑證鏈結至受信任的來源時,必須提供根 CA 憑證。 如果用戶端憑證是由發行管理點憑證的 CA 階層以外的 CA 階層所簽發,則必須提供用戶端的根 CA 憑證。