Požadavky na certifikát PKI pro Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Certifikáty infrastruktury veřejných klíčů (PKI), které můžete potřebovat pro Configuration Manager, jsou uvedeny v následujících tabulkách. Tyto informace předpokládají základní znalosti certifikátů PKI.
K vytvoření, nasazení a správě většiny certifikátů v Configuration Manager můžete použít libovolnou infrastrukturu veřejných klíčů. Pro klientské certifikáty, které Configuration Manager registrují na mobilních zařízeních a počítačích Mac, vyžadují použití služby Active Directory Certificate Services.
Pokud používáte službu Active Directory Certificate Services a šablony certifikátů, může toto řešení PKI společnosti Microsoft usnadnit správu certifikátů. Pomocí odkazu na šablonu certifikátu Microsoftu v následujících částech identifikujte šablonu certifikátu, která nejlépe odpovídá požadavkům na certifikát. Certifikáty založené na šablonách může používat jenom certifikační autorita organizace, která běží v edicích Enterprise nebo Datacenter systému Windows Server.
Další informace najdete v následujících článcích:
Podporované typy certifikátů
Certifikáty SHA-2 (Secure Hash Algorithm 2)
Vydáte nové ověřovací certifikáty serveru a klienta, které jsou podepsané pomocí SHA-2, včetně SHA-256 a SHA-512. Všechny internetové služby by měly používat certifikát SHA-2. Pokud si například koupíte veřejný certifikát pro použití s bránou pro správu cloudu, ujistěte se, že jste si koupili certifikát SHA-2.
Systém Windows nedůvěřuje certifikátům podepsaným pomocí SHA-1. Další informace najdete v tématu vynucování certifikátů SHA1 ve Windows.
Certifikáty CNG v3
Configuration Manager podporuje certifikáty Cryptography: Next Generation (CNG) v3. Configuration Manager klienti můžou používat ověřovací certifikát klienta PKI s privátním klíčem ve zprostředkovateli úložiště klíčů CNG (KSP). S podporou KSP Configuration Manager klienti podporují privátní klíče založené na hardwaru, jako je tpm KSP pro certifikáty ověřování klientů PKI.
Další informace najdete v tématu Přehled certifikátů CNG v3.
Certifikáty PKI pro servery
Systémy lokality, které spouští službu IIS a podporují připojení klientů HTTPS
Tento certifikát webového serveru slouží k:
- Ověření serverů v klientovi
- Zašifrujte všechna data přenášená mezi klientem a těmito servery pomocí protokolu TLS.
Platí pro:
- Bod správy
- Distribuční bod
- Bod aktualizace softwaru
- Bod migrace stavu
- Bod registrace
- Zprostředkuje bod registrace
- Bod registrace certifikátu
Požadavky na certifikáty:
Účel certifikátu: Ověřování serveru
Šablona certifikátu Microsoftu: Webový server
Hodnota Použití rozšířeného klíče musí obsahovat
Server Authentication (1.3.6.1.5.5.7.3.1)
Název subjektu:
Pokud systém lokality přijímá připojení z internetu, musí název subjektu nebo alternativní název subjektu obsahovat plně kvalifikovaný název domény (FQDN) v internetu.
Pokud systém lokality přijímá připojení z intranetu, musí název subjektu nebo alternativní název subjektu obsahovat intranetový plně kvalifikovaný název domény (doporučeno) nebo název počítače v závislosti na nastavení systému lokality.
Pokud systém lokality přijímá připojení z internetu i intranetu, musí být zadán internetový plně kvalifikovaný název domény i intranetový plně kvalifikovaný název domény (nebo název počítače). Mezi těmito dvěma názvy použijte oddělovač symbolů ampersand (
&
).
Poznámka
Pokud bod aktualizace softwaru přijímá připojení klientů pouze z internetu, certifikát musí obsahovat internetový plně kvalifikovaný název domény i intranetový plně kvalifikovaný název domény.
Délka klíče: Configuration Manager neurčí maximální podporovanou délku klíče pro tento certifikát. Informace o jakýchkoli problémech souvisejících s velikostí klíče tohoto certifikátu najdete v dokumentaci k infrastruktuře infrastruktury veřejných klíčů a službě IIS.
Většina rolí systému lokality podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátů (v3). Další informace najdete v tématu Přehled certifikátů CNG v3.
Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače.
Brána pro správu cloudu (CMG)
Tento certifikát služby se používá k:
Ověření služby CMG v Azure pro Configuration Manager klientů
Zašifrujte všechna data přenášená mezi nimi pomocí protokolu TLS.
Exportujte tento certifikát ve formátu PKCS #12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli importovat certifikát při vytváření cmg.
Požadavky na certifikáty:
Účel certifikátu: Ověřování serveru
Šablona certifikátu Microsoftu: Webový server
Hodnota Použití rozšířeného klíče musí obsahovat
Server Authentication (1.3.6.1.5.5.7.3.1)
Název subjektu musí obsahovat název služby definované zákazníkem jako běžný název konkrétní instance brány pro správu cloudu.
Privátní klíč musí být exportovatelný.
Podporované délky klíčů: 2048 bitů nebo 4096 bitů
Tento certifikát podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátu (v3).
Další informace najdete v tématu Ověřovací certifikát serveru CMG.
Servery systému lokality, na kterých běží Microsoft SQL Server
Tento certifikát se používá k ověřování mezi servery.
Požadavky na certifikáty:
Účel certifikátu: Ověřování serveru
Šablona certifikátu Microsoftu: Webový server
Hodnota Použití rozšířeného klíče musí obsahovat
Server Authentication (1.3.6.1.5.5.7.3.1)
Název subjektu musí obsahovat plně kvalifikovaný název domény (FQDN) intranetu.
Maximální podporovaná délka klíče je 2 048 bitů.
Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače. Configuration Manager automaticky zkopíruje do důvěryhodného úložiště Lidé pro servery v hierarchii Configuration Manager, které možná budou muset navázat vztah důvěryhodnosti se serverem.
SQL Server instance clusteru s podporou převzetí služeb při selhání AlwaysOn
Tento certifikát se používá k ověřování mezi servery.
Požadavky na certifikáty:
Účel certifikátu: Ověřování serveru
Šablona certifikátu Microsoftu: Webový server
Hodnota Použití rozšířeného klíče musí obsahovat
Server Authentication (1.3.6.1.5.5.7.3.1)
Název subjektu musí obsahovat intranetový plně kvalifikovaný název domény (FQDN) clusteru.
Privátní klíč musí být exportovatelný.
Pokud nakonfigurujete Configuration Manager pro použití instance clusteru s podporou převzetí služeb při selhání, musí mít certifikát dobu platnosti nejméně dva roky.
Maximální podporovaná délka klíče je 2 048 bitů.
Vyžádejte si a nainstalujte tento certifikát na jednom uzlu v clusteru. Pak certifikát exportujte a naimportujte ho do ostatních uzlů.
Tento certifikát musí být v osobním úložišti v úložišti certifikátů počítače. Configuration Manager automaticky zkopíruje do důvěryhodného úložiště Lidé pro servery v hierarchii Configuration Manager, které možná budou muset navázat vztah důvěryhodnosti se serverem.
Monitorování systému lokality
Platí pro:
- Bod správy
- Bod migrace stavu
Požadavky na certifikáty:
Účel certifikátu: Ověřování klienta
Šablona certifikátu Microsoftu: Ověřování pracovní stanice
Hodnota Použití rozšířeného klíče musí obsahovat
Client Authentication (1.3.6.1.5.5.7.3.2)
Počítače musí mít jedinečnou hodnotu v poli Název subjektu nebo v poli Alternativní název subjektu .
Poznámka
Pokud pro alternativní název subjektu použijete více hodnot, použije se pouze první hodnota.
Maximální podporovaná délka klíče je 2 048 bitů.
Tento certifikát se vyžaduje na serverech systému lokality uvedených v seznamu, a to i v případě, že není nainstalovaný klient Configuration Manager. Tato konfigurace umožňuje lokalitě monitorovat a hlásit stav těchto rolí systému lokality.
Certifikát pro tyto systémy lokality musí být v osobním úložišti úložiště certifikátů počítače.
Servery, na kterých běží modul zásad Configuration Manager se službou role Služba zápisu síťových zařízení (NDES)
Požadavky na certifikáty:
Účel certifikátu: Ověřování klienta
Šablona certifikátu Microsoftu: Ověřování pracovní stanice
Hodnota Použití rozšířeného klíče musí obsahovat
Client Authentication (1.3.6.1.5.5.7.3.2)
Pro název subjektu certifikátu nebo alternativní název subjektu (SAN) nejsou žádné zvláštní požadavky. Stejný certifikát můžete použít pro více serverů, na kterých běží Služba zápisu síťových zařízení.
Podporované délky klíčů: 1 024 bitů a 2 048 bitů.
Systémy lokality s nainstalovaným distribučním bodem
Tento certifikát má dva účely:
Ověří distribuční bod v bodě správy s povoleným protokolem HTTPS předtím, než distribuční bod odešle stavové zprávy.
Poznámka
Když nakonfigurujete všechny body správy pro HTTPS, musí distribuční body s podporou HTTPS používat certifikát vystavený infrastrukturou PKI. Pokud body správy používají certifikáty, nepoužívejte v distribučních bodech certifikáty podepsané svým držitelem. K problémům může dojít jinak. Distribuční body například neodesílají stavové zprávy.
Distribuční bod s povoleným PXE odesílá tento certifikát počítačům. Pokud pořadí úkolů zahrnuje akce klienta, jako je načtení zásad klienta nebo odesílání informací o inventáři, může se počítač během procesu nasazení operačního systému připojit k bodu správy s podporou protokolu HTTPS.
Poznámka
V tomto scénáři PXE se tento certifikát používá pouze během procesu nasazení operačního systému. V klientovi není nainstalovaný. Kvůli tomuto dočasnému použití můžete použít stejný certifikát pro každé nasazení operačního systému, pokud nechcete používat více klientských certifikátů.
Požadavky na tento certifikát jsou stejné jako u klientského certifikátu pro médium pořadí úkolů. Vzhledem k tomu, že požadavky jsou stejné, můžete použít stejný soubor certifikátu.
Certifikát, který zadáte pro povolení distribučního bodu https, se vztahuje na všechny operace distribuce obsahu, nejen na nasazení operačního systému.
Požadavky na certifikáty:
Účel certifikátu: Ověřování klienta
Šablona certifikátu Microsoftu: Ověřování pracovní stanice
Hodnota Použití rozšířeného klíče musí obsahovat
Client Authentication (1.3.6.1.5.5.7.3.2)
Pro název subjektu certifikátu nebo alternativní název subjektu (SAN) nejsou žádné zvláštní požadavky. Pro každý distribuční bod se doporučuje použít jiný certifikát, ale můžete použít stejný certifikát.
Privátní klíč musí být exportovatelný.
Maximální podporovaná délka klíče je 2 048 bitů.
Exportujte tento certifikát ve formátu PKCS #12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli importovat certifikát do vlastností distribučního bodu.
Webové proxy servery pro správu internetových klientů
Pokud lokalita podporuje správu internetových klientů a pro příchozí připojení k internetu používáte webový proxy server pomocí ukončení protokolu SSL (přemostění), má webový proxy server následující požadavky na certifikát:
Poznámka
Pokud používáte webový proxy server bez ukončení protokolu SSL (tunelování), nejsou na webovém proxy serveru vyžadovány žádné další certifikáty.
Požadavky na certifikáty:
Účel certifikátu: Ověřování serveru a ověřování klientů
Šablona certifikátu Microsoftu: Ověřování webového serveru a pracovní stanice
Internetový plně kvalifikovaný název domény v poli Název subjektu nebo Alternativní název subjektu . Pokud používáte šablony certifikátů Microsoft, alternativní název subjektu je k dispozici pouze se šablonou pracovní stanice.
Tento certifikát slouží k ověřování následujících serverů u internetových klientů a k šifrování všech dat přenášených mezi klientem a tímto serverem pomocí protokolu TLS:
- Internetový bod správy
- Internetový distribuční bod
- Internetový bod aktualizace softwaru
Ověřování klienta se používá k přemostí připojení klientů mezi klienty Configuration Manager a internetovými systémy lokality.
Certifikáty PKI pro klienty
Klientské počítače s Windows
S výjimkou bodu aktualizace softwaru tento certifikát ověřuje klienta v systémech lokality, které spouští službu IIS a podporují připojení klientů HTTPS.
Požadavky na certifikáty:
Účel certifikátu: Ověřování klienta
Šablona certifikátu Microsoftu: Ověřování pracovní stanice
Hodnota Použití rozšířeného klíče musí obsahovat
Client Authentication (1.3.6.1.5.5.7.3.2)
Hodnota Použití klíče musí obsahovat
Digital Signature, Key Encipherment (a0)
Klientské počítače musí mít jedinečnou hodnotu v poli Název subjektu nebo Alternativní název subjektu . Pokud je pole Název subjektu použito, musí obsahovat název místního počítače, pokud není zadáno alternativní kritérium výběru certifikátu. Další informace najdete v tématu Plánování výběru klientského certifikátu PKI.
Poznámka
Pokud pro alternativní název subjektu použijete více hodnot, použije se pouze první hodnota.
Neexistuje žádná maximální podporovaná délka klíče.
Ve výchozím nastavení Configuration Manager hledá certifikáty počítačů v úložišti Osobní v úložišti certifikátů počítače.
Médium pořadí úkolů pro nasazení operačních systémů
Tento certifikát používá pořadí úkolů OSD a umožňuje počítači připojit se k bodu správy s povoleným protokolem HTTPS a distribučnímu bodu během procesu nasazení operačního systému. Připojení k bodu správy a distribučnímu bodu mohou zahrnovat takové akce, jako je načtení zásad klienta z bodu správy a stažení obsahu z distribučního bodu.
Tento certifikát se používá pouze během procesu nasazení operačního systému. Nepoužívá se jako součást vlastností instalace klienta, pokud je klient nainstalován během úlohy Instalace systému Windows a nástroje ConfigMgr, ani není nainstalován na zařízení. Kvůli tomuto dočasnému použití můžete použít stejný certifikát pro každé nasazení operačního systému, pokud nechcete používat více klientských certifikátů.
Pokud máte prostředí, které je jenom HTTPS, musí mít médium pořadí úkolů platný certifikát. Tento certifikát umožňuje zařízení komunikovat s lokalitou a pokračovat v nasazení. Po dokončení pořadí úkolů může klient po připojení zařízení ke službě Active Directory automaticky vygenerovat certifikát PKI prostřednictvím objektu zásad skupiny nebo můžete certifikát PKI nainstalovat jinou metodou.
Poznámka
Požadavky na tento certifikát jsou stejné jako certifikát serveru pro systémy lokality s rolí distribučního bodu. Vzhledem k tomu, že požadavky jsou stejné, můžete použít stejný soubor certifikátu.
Požadavky na certifikáty:
Účel certifikátu: Ověřování klienta
Šablona certifikátu Microsoftu: Ověřování pracovní stanice
Hodnota Použití rozšířeného klíče musí obsahovat
Client Authentication (1.3.6.1.5.5.7.3.2)
Pro pole Název subjektu certifikátu nebo alternativní název subjektu (SAN) nejsou žádné zvláštní požadavky. Stejný certifikát můžete použít pro všechna média pořadí úkolů.
Privátní klíč musí být exportovatelný.
Maximální podporovaná délka klíče je 2 048 bitů.
Exportujte tento certifikát ve formátu PKCS #12 (Public Key Certificate Standard). Potřebujete znát heslo, abyste mohli importovat certifikát při vytváření média pořadí úkolů.
Důležité
Spouštěcí image neobsahují certifikáty PKI pro komunikaci s lokalitou. Místo toho spouštěcí image používají certifikát PKI přidaný na médium pořadí úkolů ke komunikaci s lokalitou.
Další informace o přidání certifikátu PKI na médium pořadí úkolů najdete v tématech Vytvoření spouštěcího média a Vytvoření předpřipraveného média.
Klientské počítače s macOS
Tento certifikát ověřuje klientský počítač se systémem macOS na serverech systému lokality, se kterými komunikuje. Například body správy a distribuční body.
Požadavky na certifikáty:
Účel certifikátu: Ověřování klienta
Šablona certifikátu Microsoftu:
- Pro registraci Configuration Manager: Ověřená relace
- Instalace certifikátu nezávislá na Configuration Manager: Ověřování pracovní stanice
Hodnota Použití rozšířeného klíče musí obsahovat
Client Authentication (1.3.6.1.5.5.7.3.2)
Název subjektu:
- U Configuration Manager, která vytvoří uživatelský certifikát, se do hodnoty Předmět certifikátu automaticky vyplní uživatelské jméno osoby, která počítač s macOS registruje.
- Pro instalaci certifikátu, která nepoužívá Configuration Manager zápis, ale nasazuje certifikát počítače nezávisle na Configuration Manager, musí být hodnota Předmět certifikátu jedinečná. Zadejte například plně kvalifikovaný název domény počítače.
- Pole Alternativní název předmětu není podporováno.
Maximální podporovaná délka klíče je 2 048 bitů.
Klienti mobilních zařízení
Tento certifikát ověřuje klienta mobilního zařízení na serverech systému lokality, se kterými komunikuje. Například body správy a distribuční body.
Požadavky na certifikáty:
Účel certifikátu: Ověřování klienta
Šablona certifikátu Microsoftu: Ověřená relace
Hodnota Použití rozšířeného klíče musí obsahovat
Client Authentication (1.3.6.1.5.5.7.3.2)
Maximální podporovaná délka klíče je 2 048 bitů.
Tyto certifikáty musí být v binárním formátu X.509 s kódováním kódování DER (DER). Formát X.509 s kódováním Base64 se nepodporuje.
Certifikáty kořenové certifikační autority (CA)
Tento certifikát je standardní certifikát kořenové certifikační autority.
Platí pro:
- Nasazení operačního systému
- Ověřování klientským certifikátem
- Registrace mobilních zařízení
Účel certifikátu: Řetěz certifikátů k důvěryhodnému zdroji
Certifikát kořenové certifikační autority musí být poskytnut, když klienti musí zřetězovat certifikáty komunikujícího serveru s důvěryhodným zdrojem. Certifikát kořenové certifikační autority pro klienty musí být poskytnut, pokud jsou klientské certifikáty vystaveny jinou hierarchií certifikační autority, než je hierarchie certifikační autority, která vydala certifikát bodu správy.