Vue d'ensemble des certificats CNG v3

Configuration Manager prend en charge les certificats CNG (Cryptography: Next Generation). Configuration Manager clients peuvent utiliser un certificat d’authentification client PKI avec la clé privée générée et stockée dans un fournisseur de stockage de clés CNG (KSP). Avec la prise en charge de KSP, Configuration Manager clients prennent en charge les clés privées matérielles, telles qu’un KSP TPM pour les certificats d’authentification client PKI.

Remarque

Lorsque vous utilisez des certificats CNG, Configuration Manager clients prennent uniquement en charge les certificats qui utilisent l’algorithme de chiffrement RSA.

Scénarios pris en charge

Vous pouvez utiliser des modèles de certificat CNG v3 de l’API de chiffrement : nouvelle génération (CNG) pour les scénarios suivants :

  • Inscription et communication du client avec un point de gestion HTTPS
  • Distribution de logiciels et déploiement d’applications avec un point de distribution HTTPS
  • Déploiement du système d’exploitation
  • Kit de développement logiciel (SDK) de messagerie client (avec la dernière mise à jour) et proxy ISV
  • Configuration de la passerelle de gestion cloud (CMG)
  • Applications disponibles ciblées par l’utilisateur dans le Centre logiciel

Utilisez également des certificats CNG v3 pour les rôles serveur https suivants :

  • Point de gestion
  • Point de distribution
  • Point de mise à jour logicielle
  • Point de migration d’état
  • Point d’enregistrement de certificat, y compris le serveur NDES avec le module de stratégie Configuration Manager

Remarque

CNG est à compatibilité descendante avec l’API de chiffrement (CAPI). Les certificats CAPI continuent d’être pris en charge même lorsque la prise en charge de CNG est activée sur le client.

Scénarios non pris en charge

Les scénarios suivants ne sont actuellement pas pris en charge :

  • Les rôles serveur suivants ne sont pas opérationnels lorsqu’ils sont installés en mode HTTPS avec un certificat CNG v3 lié au site web dans Internet Information Services (IIS) :

    • Point d’inscription
    • Point de proxy d’inscription

Pour utiliser des certificats CNG

Pour utiliser des certificats CNG v3, votre autorité de certification doit fournir des modèles de certificat CNG pour les machines cibles. Les détails du modèle varient en fonction du scénario ; Toutefois, les propriétés suivantes sont requises :

  • Onglet Compatibilité

    • L’autorité de certification doit être Windows Server 2008 ou version ultérieure. (Windows Server 2012 est recommandé.)

    • Le destinataire du certificat doit être Windows Vista/Server 2008 ou version ultérieure. (Windows 8/Windows Server 2012 est recommandé.)

  • Onglet Chiffrement

    • La catégorie de fournisseur doit être fournisseur de stockage de clés. (obligatoire)

    • Le nom de l’algorithme doit être RSA. (obligatoire)

    • La demande doit utiliser l’un des fournisseurs suivants : doit être Microsoft fournisseur de stockage de clés logicielles.

Remarque

Les exigences de votre environnement ou de votre organisation peuvent être différentes. Contactez votre expert PKI. Le point important à prendre en compte est qu’un modèle de certificat doit utiliser un fournisseur de stockage de clés pour tirer parti de CNG.

Pour obtenir de meilleurs résultats, nous vous recommandons de générer le nom de l’objet à partir des informations Active Directory. Utilisez le nom DNS pour le format nom de l’objet et incluez le nom DNS dans l’autre nom d’objet. Sinon, vous devez fournir ces informations lorsque l’appareil s’inscrit dans le profil de certificat.