• Articolo

Requisiti dei certificati PKI per Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

I certificati di infrastruttura a chiave pubblica (PKI) potenzialmente necessari per System Center 2012 Configuration Manager sono elencati nelle seguenti tabelle. Queste informazioni prevedono la conoscenza di base dei certificati PKI. Per istruzioni dettagliate su una distribuzione di esempio di tali certificati, vedere Esempio dettagliato di distribuzione dei certificati PKI per Configuration Manager: Autorità di certificazione di Windows Server 2008. Per altre informazioni su Servizi certificati Active Directory, vedere la documentazione seguente:

A eccezione dei certificati client registrati da Configuration Manager nei dispositivi mobili e nei computer Mac, dei certificati creati automaticamente da Microsoft Intune per la gestione dei dispositivi mobili e dei certificati installati da Configuration Manager nei computer basati su AMT, è possibile usare qualsiasi PKI per creare, distribuire e gestire i seguenti certificati. In caso di utilizzo di Servizi certificati Active Directory e dei modelli di certificato, tuttavia, questa soluzione PKI Microsoft facilita la gestione dei certificati. Usare la colonna Modello di certificato Microsoft da usare presente nelle seguenti tabelle per identificare il modello di certificato che più soddisfa i requisiti del certificato. I certificati basati sul modello possono essere rilasciati solo da un'autorità di certificazione dell'organizzazione (enterprise) che esegue la versione Enterprise Edition o Datacenter Edition del sistema operativo del server, ad esempio Windows Server 2008 Enterprise e Windows Server 2008 Datacenter.

System_CAPS_importantImportante

Se si usa un'autorità di certificazione dell'organizzazione (enterprise) e si usano i modelli di certificato, non usare i modelli della versione 3 Questi modelli di certificato creano certificati che non sono compatibili con Configuration Manager. Usare invece i modelli della versione 2 usando le seguenti istruzioni:

  • Per una CA su Windows Server 2012: Nella scheda Compatibilità delle proprietà del modello di certificato specificare Windows Server 2003 per l'opzione Autorità di certificazione e Windows XP/Server 2003 per l'opzione Destinatario certificato.

  • Per una CA su Windows Server 2008: Quando si duplica un modello di certificato, mantenere la selezione predefinita di Windows Server 2003 Enterprise quando viene richiesto dalla finestra di dialogo a comparsa Duplica modello. Non selezionare Windows Server 2008, Enterprise Edition.

Usare le seguenti sezioni per visualizzare i requisiti del certificato.

Certificati PKI per server

Componente di Configuration Manager

Scopo del certificato

Modello di certificato Microsoft da usare

Informazioni specifiche del certificato

Modalità di utilizzo del certificato in Configuration Manager

Sistemi del sito che eseguono Internet Information Services (IIS) configurati per le connessioni client HTTPS:

  • Punto di gestione

  • Punto di distribuzione

  • Punto di aggiornamento software

  • Punto di migrazione stato

  • Punto di registrazione

  • Punto proxy di registrazione

  • Punto per servizi Web del Catalogo applicazioni

  • Punto per siti Web del Catalogo applicazioni

Autenticazione server

Server Web

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione server (1.3.6.1.5.5.7.3.1).

Se il sistema del sito accetta le connessioni da Internet, il Nome oggetto o il Nome alternativo oggetto deve contenere il nome di dominio completo (FQDN) Internet.

Se il sistema del sito accetta le connessioni da Intranet, il Nome oggetto o il Nome alternativo oggetto deve contenere l'FQDN Intranet (opzione consigliata) o il nome computer, a seconda della configurazione del sistema del sito.

Se il sistema del sito accetta le connessioni sia da Internet che da Intranet, l'FQDN Internet e l'FQDN Intranet (o il nome computer) devono essere specificati usando il simbolo e commerciale (&) tra i due nomi.

System_CAPS_importantImportante

Se il punto di aggiornamento software accetta solo le connessioni client da Internet, il certificato deve contenere sia l'FQDN Internet che l'FQDN Intranet.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

Configuration Manager non specifica una lunghezza massima supportata per la chiave per questo certificato. Per eventuali problemi relativi alle dimensioni della chiave per il certificato, consultare la documentazione PKI e IIS.

Questo certificato deve risiedere nell'archivio personale dell'archivio certificati del computer.

Questo certificato server Web viene usato per l'autenticazione dei server nel client, nonché per la crittografia di tutti i dati trasferiti tra il client e i server usando Secure Sockets Layer (SSL).

Punto di distribuzione basato su cloud

Autenticazione server

Server Web

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione server (1.3.6.1.5.5.7.3.1).

Il Nome oggetto deve contenere un nome servizio definito dall'utente e un nome di dominio in formato FQDN come nome comune per l'istanza specifica del punto di distribuzione basato su cloud.

La chiave privata deve essere esportabile.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

Lunghezze di chiave supportate: 2048 bit.

per System Center 2012 Configuration Manager SP1 e versioni successive:

Questo certificato di servizio viene usato per l'autenticazione del servizio del punto di distribuzione basato su cloud nei client di Configuration Manager, nonché per la crittografia di tutti i dati trasferiti tra i client usando Secure Sockets Layer (SSL).

Questo certificato deve essere esportato in formato PKCS #12 (Public Key Certificate Standard) e la password deve essere nota, affinché sia possibile importarla durante la creazione di un punto di distribuzione basato su cloud.

Nota

Questo certificato viene usato in combinazione con il certificato di gestione di Windows Azure. Per altre informazioni sul certificato, vedere Come creare un certificato di gestione per Windows Azure e Come aggiungere un certificato di gestione a una sottoscrizione Windows Azure nella sezione della piattaforma Windows Azure di MSDN Library.

Cluster Bilanciamento carico di rete (NLB) per un punto di aggiornamento software

Autenticazione server

Server Web

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione server (1.3.6.1.5.5.7.3.1).

  1. L'FQDN del cluster NLB nel campo Nome oggetto o nel campo Nome alternativo oggetto:

    • Per i server Bilanciamento carico di rete che supportano la gestione client basata su Internet, usare l'FQDN NLB Internet.

    • Per i server Bilanciamento carico di rete che supportano i client Intranet, usare l'FQDN NLB Intranet.

  2. Il nome computer del sistema del sito nel cluster NLB nel campo Nome oggetto o nel campo Nome alternativo oggetto. Il nome server deve essere specificato dopo il nome del cluster NLB e il simbolo delimitatore e commerciale (&):

    • Se i sistemi del sito in Intranet vengono specificati (opzione consigliata), usare l'FQDN Intranet o il nome NetBIOS del computer.

    • Per i sistemi del sito che supportano la gestione client basata su Internet, usare l'FQDN Internet.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

Per System Center 2012 Configuration Manager senza Service Pack:

Questo certificato viene usato per l'autenticazione del punto di aggiornamento software di Bilanciamento carico di rete nel client, nonché per la crittografia di tutti i dati trasferiti tra il client e i server usando SSL.

Nota

Questo certificato è applicabile esclusivamente a Configuration Manager senza Service Pack perché, a partire da System Center 2012 Configuration Manager SP1, i punti di aggiornamento software NLB non sono supportati.

Server di sistema del sito che eseguono Microsoft SQL Server

Autenticazione server

Server Web

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione server (1.3.6.1.5.5.7.3.1).

Il Nome oggetto deve contenere il nome di dominio completo (FQDN) Intranet.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

La lunghezza massima supportata per la chiave è 2048 bit.

Questo certificato deve risiedere nell'archivio personale dell'archivio certificati del computer. Configuration Manager copia automaticamente il certificato nell'archivio Persone attendibili per i server nella gerarchia di Configuration Manager, per la quale potrebbe essere necessario stabilire una relazione di trust con il server.

Questi certificati vengono usati per l'autenticazione tra server.

Cluster SQL Server: Server di sistema del sito che eseguono Microsoft SQL Server

Autenticazione server

Server Web

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione server (1.3.6.1.5.5.7.3.1).

Il Nome oggetto deve contenere il nome di dominio completo (FQDN) Intranet del cluster.

La chiave privata deve essere esportabile.

Se si configura Configuration Manager per l'utilizzo del cluster SQL Server, il certificato deve avere un periodo di validità di almeno due anni.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

La lunghezza massima supportata per la chiave è 2048 bit.

Al termine della richiesta e dell'installazione di questo certificato in un nodo del cluster, esportare il certificato e importalo in ciascun nodo aggiuntivo del cluster SQL Server.

Questo certificato deve risiedere nell'archivio personale dell'archivio certificati del computer. Configuration Manager copia automaticamente il certificato nell'archivio Persone attendibili per i server nella gerarchia di Configuration Manager, per la quale potrebbe essere necessario stabilire una relazione di trust con il server.

Questi certificati vengono usati per l'autenticazione tra server.

Monitoraggio del sistema del sito per i seguenti ruoli del sistema del sito:

  • Punto di gestione

  • Punto di migrazione stato

Autenticazione client

Autenticazione workstation

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

I computer devono disporre di un valore univoco nel campo Nome oggetto o nel campo Nome alternativo oggetto.

Nota

Se si usano più valori per il Nome alternativo oggetto, viene usato solo il primo valore.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

La lunghezza massima supportata per la chiave è 2048 bit.

Questo certificato è richiesto nei server del sistema del sito elencati, anche se il client di System Center 2012 Configuration Manager non è installato, in modo che l'integrità dei ruoli del sistema del sito possa essere monitorata e segnalata al sito.

Il certificato per questi sistemi del sito deve risiedere nell'archivio personale dell'archivio certificati del computer.

Server che eseguono il modulo criteri di Configuration Manager con il servizio ruolo Servizio Registrazione dispositivi di rete.

Autenticazione client

Autenticazione workstation

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

Non sono previsti requisiti specifici per l'oggetto certificato o il nome alternativo oggetto (SAN) ed è possibile usare lo stesso certificato per più server su cui è in esecuzione Servizio Registrazione dispositivi di rete.

Sono supportati gli algoritmi hash SHA-1, SHA-2 e SHA-3.

Lunghezze di chiave supportate: 1024 bit e 2048 bit.

Le informazioni contenute in questo argomento si applicano solo alle versioni di System Center 2012 R2 Configuration Manager.

Questo certificato autentica il modulo criteri di Configuration Manager nel server del sistema del sito del punto di registrazione certificati in modo che Configuration Manager possa registrare i certificati per gli utenti e i dispositivi.

Sistemi del sito in cui è installato un punto di distribuzione

Autenticazione client

Autenticazione workstation

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

Non sono previsti requisiti specifici per l'oggetto certificato o il nome alternativo oggetto (SAN) ed è possibile usare lo stesso certificato per più punti di distribuzione. Si consiglia tuttavia un certificato diverso per ogni punto di distribuzione.

La chiave privata deve essere esportabile.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

La lunghezza massima supportata per la chiave è 2048 bit.

Questo certificato ha due scopi:

  • Consente l'autenticazione del punto di distribuzione in un punto di gestione abilitato per HTTPS prima che il punto di distribuzione invii messaggi di stato.

  • Quando l'opzione del punto di distribuzione Abilita supporto PXE per i client è selezionata, il certificato viene inviato ai computer in modo che se le sequenze attività del processo di distribuzione del sistema operativo includono azioni client come il recupero criteri per un client o l'invio delle informazioni di inventario, i computer client sono in grado di connettersi a un punto di gestione abilitato per HTTPS durante la distribuzione del sistema operativo.

    Questo certificato viene usato solo per la durata del processo di distribuzione del sistema operativo e non viene installato nel client. Per via dell'utilizzo temporaneo, lo stesso certificato può essere usato per tutte le distribuzioni del sistema operativo se si sceglie di non usare più certificati client.

Questo certificato deve essere esportato in formato PKCS #12 (Public Key Certificate Standard) e la password deve essere nota, affinché sia possibile importarla nelle proprietà del punto di distribuzione.

Nota

I requisiti per il certificato corrispondono ai requisiti del certificato client per le immagini di avvio per la distribuzione dei sistemi operativi. Poiché i requisiti sono identici, è possibile usare lo stesso file di certificato.

Punto di servizio fuori banda

Provisioning AMT

Server Web (modificato)

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione server (1.3.6.1.5.5.7.3.1) e il seguente identificatore di oggetto: 2.16.840.1.113741.1.2.3.

Il campo Nome oggetto deve contenere l'FQDN del server che ospita il punto di servizio fuori banda.

Nota

Se viene richiesto un certificato di provisioning AMT da una CA esterna anziché dalla CA interna e l'identificatore di oggetto provisioning AMT 2.16.840.1.113741.1.2.3 non è supportato, è possibile specificare la seguente stringa di testo come attributo dell'unità organizzativa (OU) nel nome oggetto del certificato: Certificato di installazione client di Intel(R). La stessa stringa di testo in inglese deve essere usata, in caso analogo, senza il punto finale e in aggiunta all'FQDN del server che ospita il punto di servizio fuori banda.

SHA-1 è l'unico algoritmo hash supportato.

Lunghezze di chiave supportate: 1024 e 2048. Per AMT 6.0 e versioni successive, è supportata anche la lunghezza di chiave di 4096 bit.

Questo certificato risiede nell'archivio personale dell'archivio certificati del computer del server del sistema del sito del punto di servizio fuori banda.

Il certificato di provisioning AMT viene usato per la preparazione dei computer alla gestione fuori banda.

È necessario richiedere il certificato da una CA che rilascia certificati di provisioning AMT e l'estensione BIOS per i computer basati su Intel AMT devono essere configurati per l'utilizzo dell'identificazione personale del certificato radice (chiamata anche hash del certificato) per il certificato di provisioning.

VeriSign è un esempio tipico di CA esterna che rilascia certificati di provisioning AMT, ma è possibile usare anche la CA interna.

Installare il certificato nel server che ospita il punto di servizio fuori banda, che deve essere in grado di collegarsi correttamente alla CA radice del certificato. (Per impostazione predefinita, il certificato della CA radice e il certificato della CA intermedia per VeriSign vengono installati durante l'installazione di Windows.)

Il server del sistema del sito che esegue il connettore Microsoft Intune

Autenticazione client

Non applicabile: Intune crea automaticamente il certificato.

Il valore Utilizzo chiavi avanzato include Autenticazione client (1.3.6.1.5.5.7.3.2).

3 estensioni personalizzate identificano in modo univoco la sottoscrizione a Intune dei clienti.

La chiave ha una dimensione di 2048 bit e usa l'algoritmo hash SHA-1.

Nota

Non è possibile modificare queste impostazioni: Queste informazioni vengono fornite esclusivamente a scopo informativo.

Questo certificato viene automaticamente richiesto e installato nel database di Configuration Manager quando si sottoscrive Microsoft Intune. Quando viene installato il connettore Microsoft Intune, il certificato viene installato nel server del sistema del sito che esegue il connettore Microsoft Intune. L'installazione viene eseguita nell'archivio certificati del computer.

Questo certificato viene usato per autenticare la gerarchia di Configuration Manager in Microsoft Intune tramite il connettore Microsoft Intune. Tutti i dati trasferiti usano Secure Sockets Layer (SSL).

Server Web proxy per la gestione client basata su Internet

Se il sito supporta la gestione client basata su Internet e si sta usando un server Web proxy con una terminazione SSL (bridging) per le connessioni Internet in entrata, il server Web proxy dispone dei requisiti del certificato elencati nella seguente tabella.

Nota

Se si sta usando un server Web proxy senza terminazione SSL (tunneling), non è necessario alcun certificato aggiuntivo nel server Web proxy.

Componente dell'infrastruttura di rete

Scopo del certificato

Modello di certificato Microsoft da usare

Informazioni specifiche del certificato

Modalità di utilizzo del certificato in Configuration Manager 

Server Web proxy che accetta connessioni client in Internet

Autenticazione server e autenticazione client

  1. Server Web

  2. Autenticazione workstation

FQDN Internet nel campo Nome oggetto o nel campo Nome alternativo oggetto (se si usano i modelli di certificato Microsoft, il Nome alternativo oggetto è disponibile solo con il modello per workstation).

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

Questo certificato viene usato per autenticare i seguenti server nei client Internet, nonché per crittografare tutti i dati trasferiti tra il client e i server usando SSL:

  • Punto di gestione basato su Internet

  • Punto di distribuzione basato su Internet

  • Punto di aggiornamento software basato su Internet

L'autenticazione client viene usata per effettuare il bridging delle connessioni client tra i client di System Center 2012 Configuration Manager e i sistemi del sito basati su Internet.

Certificati PKI per i client

Componente di Configuration Manager

Scopo del certificato

Modello di certificato Microsoft da usare

Informazioni specifiche del certificato

Modalità di utilizzo del certificato in Configuration Manager 

Computer client Windows

Autenticazione client

Autenticazione workstation

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

I computer client devono disporre di un valore univoco nel campo Nome oggetto o nel campo Nome alternativo oggetto.

Nota

Se si usano più valori per il Nome alternativo oggetto, viene usato solo il primo valore.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

La lunghezza massima supportata per la chiave è 2048 bit.

Per impostazione predefinita, Configuration Manager cerca i certificati del computer nell'archivio personale dell'archivio certificati del computer.

A eccezione del punto di aggiornamento software e del punto per siti Web del Catalogo applicazioni, questo certificato autentica il client nei server del sistema del sito che eseguono IIS e che sono configurati per l'utilizzo di HTTPS.

Client dispositivo mobile

Autenticazione client

Sessione autenticata

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

SHA-1 è l'unico algoritmo hash supportato.

La lunghezza massima supportata per la chiave è 2048 bit.

System_CAPS_importantImportante

Questi certificati devono essere in formato binario codificato DER X.509.

Il formato codificato Base64 X.509 non è supportato.

Questo certificato autentica il client dispositivo mobile nei server del sistema del sito con cui comunica, ad esempio punti di distribuzione e punti di gestione.

Immagini di avvio per la distribuzione dei sistemi operativi

Autenticazione client

Autenticazione workstation

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

Non sono previsti requisiti specifici per il campo Nome oggetto o Nome alternativo oggetto (SAN) del certificato ed è possibile usare lo stesso certificato per tutte le immagini di avvio.

La chiave privata deve essere esportabile.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

La lunghezza massima supportata per la chiave è 2048 bit.

Il certificato viene usato se le sequenze attività nel processo di distribuzione del sistema operativo includono azioni client come il recupero criteri client o l'invio di informazioni di inventario.

Questo certificato viene usato solo per la durata del processo di distribuzione del sistema operativo e non viene installato nel client. Per via dell'utilizzo temporaneo, lo stesso certificato può essere usato per tutte le distribuzioni del sistema operativo se si sceglie di non usare più certificati client.

Questo certificato deve essere esportato in formato PKCS #12 (Public Key Certificate Standard) e la password deve essere nota, affinché sia possibile importarla nelle immagini di avvio di Configuration Manager.

Nota

I requisiti per questo certificato sono gli stessi del certificato server per i sistemi del sito con un punto di distribuzione installato. Poiché i requisiti sono identici, è possibile usare lo stesso file di certificato.

Computer client Mac

Autenticazione client

Per la registrazione di Configuration Manager:Sessione autenticata

Per l'installazione del certificato indipendente da Configuration Manager: Autenticazione workstation

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

Per Configuration Manager che crea un certificato Utente, il valore Oggetto del certificato viene popolato automaticamente con il nome utente della persona che registra il computer Mac.

Per l'installazione del certificato che non usa la registrazione di Configuration Manager ma distribuisce un certificato Computer indipendentemente da Configuration Manager, il valore Oggetto del certificato deve essere univoco. Ad esempio, specificare l'FQDN del computer.

Il campo Nome alternativo oggetto non è supportato.

Sono supportati gli algoritmi hash SHA-1 e SHA-2.

La lunghezza massima supportata per la chiave è 2048 bit.

per System Center 2012 Configuration Manager SP1 e versioni successive:

Questo certificato autentica il computer client Mac nei server del sistema del sito con cui comunica, ad esempio punti di distribuzione e punti di gestione.

Computer client Linux e UNIX

Autenticazione client

Autenticazione workstation

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

Il campo Nome alternativo oggetto non è supportato.

La chiave privata deve essere esportabile.

L'algoritmo hash SHA-1 è supportato.

L'algoritmo hash SHA-2 è supportato se il sistema operativo del client supporta SHA-2. Per altre informazioni, vedere la sezione Su Linux e UNIX sistemi operativi che è non supporto SHA-256 nell'argomento Pianificazione della distribuzione Client per i server Linux e UNIX.

Lunghezze di chiave supportate: 2048 bit.

System_CAPS_importantImportante

Questi certificati devono essere in formato binario codificato DER X.509. Il formato codificato Base64 X.509 non è supportato.

per System Center 2012 Configuration Manager SP1 e versioni successive:

Questo certificato autentica il client per Linux e UNIX nei server del sistema del sito con cui comunica, ad esempio punti di distribuzione e punti di gestione.

Questo certificato deve essere esportato in formato PKCS #12 (Public Key Certificate Standard) e la password deve essere nota, affinché sia possibile specificarla nel client quando si specifica il certificato PKI.

Per altre informazioni, vedere la sezione Pianificazione della sicurezza e certificati per i server UNIX e Linux nell'argomento Pianificazione della distribuzione Client per i server Linux e UNIX.

Certificati dell'autorità di certificazione radice (CA) per i seguenti scenari:

  • Distribuzione del sistema operativo

  • Registrazione del dispositivo mobile

  • Autenticazione del server RADIUS per computer basati su Intel AMT

  • Autenticazione del certificato client

Catena di certificati a un'origine attendibile

Non applicabile.

Certificato CA radice standard.

È necessario fornire il certificato CA radice quando i client devono concatenare i certificati del server di comunicazione all'origine attendibile. Questa caratteristica si applica nei seguenti scenari:

  • Quando si distribuisce un sistema operativo e vengono eseguite sequenze attività che connettono il computer client a un punto di gestione configurato per l'utilizzo di HTTPS.

  • Quando si registra un dispositivo mobile per la gestione da parte di System Center 2012 Configuration Manager.

  • Quando si usa l'autenticazione 802.1X per computer basati su AMT e si desidera specificare un file per il certificato radice del server RADIUS.

Inoltre, è necessario fornire il certificato CA radice per i client se i certificati client vengono rilasciati da una gerarchia CA diversa da quella che ha rilasciato il certificato del punto di gestione.

Computer basati su Intel AMT

Autenticazione server.

Server Web (modificato)

È necessario configurare il Nome oggetto per Crea in base alle informazioni di Active Directory e quindi selezionare Nome comune per Formato nome oggetto.

È necessario concedere le autorizzazioni Lettura e Registrazione al gruppo di sicurezza universale specificato nelle proprietà del componente di gestione fuori banda.

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione server (1.3.6.1.5.5.7.3.1).

Il Nome oggetto deve contenere l'FQDN del computer basato su AMT, che viene fornito automaticamente da Servizi di dominio Active Directory.

SHA-1 è l'unico algoritmo hash supportato.

Lunghezza massima supportata per la chiave: 2048 bit.

Questo certificato risiede nella RAM (Random Access Memory) non volatile del controller gestione nel computer e non è visualizzabile nell'interfaccia utente Windows.

Ogni computer basato su Intel AMT richiede questo certificato durante il provisioning AMT e per gli aggiornamenti successivi. Se si rimuovono le informazioni di provisioning AMT da questi computer, il certificato verrà revocato.

Quando questo certificato viene installato nei computer basati su Intel AMT, viene installata anche la catena di certificati alla CA radice. I computer basati su AMT non possono supportare i certificati CA con una lunghezza di chiave superiore a 2048 bit.

Dopo essere stato installato nei computer basati su Intel AMT, il certificato autentica tali computer nel server del sito del punto di servizio fuori banda e nei computer che eseguono la console di gestione fuori banda e crittografa tutti i dati trasferiti usando Transport Layer Security (TLS).

Certificato client Intel AMT 802.1X

Autenticazione client

Autenticazione workstation

È necessario configurare il Nome oggetto per Crea in base alle informazioni di Active Directory e quindi selezionare Nome comune per Formato nome oggetto, cancellare il nome DNS e selezionare il Nome entità utente (UPN) come nome alternativo oggetto.

È necessario concedere le autorizzazioni Lettura e Registrazione per questo certificato al gruppo di sicurezza universale specificato nelle proprietà del componente di gestione fuori banda.

Il valore Utilizzo chiavi avanzato deve contenere Autenticazione client (1.3.6.1.5.5.7.3.2).

Il campo Nome oggetto deve contenere l'FQDN del computer basato su AMT e il Nome alternativo oggetto deve contenere l'UPN.

Lunghezza massima supportata per la chiave: 2048 bit.

Questo certificato risiede nella RAM (Random Access Memory) non volatile del controller gestione nel computer e non è visualizzabile nell'interfaccia utente Windows.

Ogni computer basato su Intel AMT può richiedere questo certificato durante il provisioning AMT, ma il certificato non viene revocato quando le informazioni di provisioning AMT vengono rimosse.

Dopo essere stato installato nei computer basati su AMT, il certificato autentica tali computer nel server RADIUS in modo che possa essere autorizzato per l'accesso alla rete.

I dispositivi mobili registrati da Microsoft Intune

Autenticazione client

Non applicabile: Intune crea automaticamente il certificato.

Il valore Utilizzo chiavi avanzato include Autenticazione client (1.3.6.1.5.5.7.3.2).

3 estensioni personalizzate identificano in modo univoco la sottoscrizione a Intune del cliente.

Gli utenti possono fornire il valore Oggetto del certificato durante la registrazione. Tuttavia, questo valore non viene usato da Intune per identificare il dispositivo.

La chiave ha una dimensione di 2048 bit e usa l'algoritmo hash SHA-1.

Nota

Non è possibile modificare queste impostazioni: Queste informazioni vengono fornite esclusivamente a scopo informativo.

Questo certificato viene richiesto e installato automaticamente quando gli utenti autenticati registrano i dispositivi mobili con Microsoft Intune. Il certificato risultante nel dispositivo risiede nell'archivio del computer e autentica il dispositivo mobile registrato in Intune in modo che possa essere gestito.

A causa delle estensioni personalizzate nel certificato, l'autenticazione è limitata alla sottoscrizione a Intune stabilita per l'organizzazione.