Requisitos de certificado PKI para Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Os certificados PKI (infraestrutura de chave pública) que você pode exigir para Configuration Manager estão listados nas tabelas a seguir. Essas informações assumem o conhecimento básico dos certificados PKI.

Você pode usar qualquer PKI para criar, implantar e gerenciar a maioria dos certificados em Configuration Manager. Para certificados de cliente que Configuration Manager se registra em dispositivos móveis e computadores Mac, eles exigem o uso dos Serviços de Certificado do Active Directory.

Quando você usa os Serviços de Certificado do Active Directory e modelos de certificado, essa solução PKI da Microsoft pode facilitar o gerenciamento de certificados. Use a referência de modelo de certificado da Microsoft nas seções abaixo para identificar o modelo de certificado que corresponde mais de perto aos requisitos de certificado. Somente uma AC (autoridade de certificação corporativa) que é executada nas edições Enterprise ou Datacenter do servidor Windows pode usar certificados baseados em modelo.

Para saber mais, confira os seguintes artigos:

Tipos de certificado com suporte

Certificados do Algoritmo de Hash Seguro 2 (SHA-2)

Emita novos certificados de autenticação de servidor e cliente que são assinados com SHA-2, que inclui SHA-256 e SHA-512. Todos os serviços voltados para a Internet devem usar um certificado SHA-2. Por exemplo, se você comprar um certificado público para uso com um gateway de gerenciamento de nuvem, certifique-se de comprar um certificado SHA-2.

O Windows não confia em certificados assinados com SHA-1. Para obter mais informações, consulte Windows Enforcement de certificados SHA1.

Certificados CNG v3

Configuration Manager dá suporte a certificados Cryptography: Next Generation (CNG) v3. Configuration Manager clientes podem usar um certificado de autenticação de cliente PKI com chave privada em um KSP (Provedor de Armazenamento de Chaves CNG). Com suporte para KSP, Configuration Manager clientes dão suporte a chaves privadas baseadas em hardware, como um TPM KSP para certificados de autenticação de cliente PKI.

Para obter mais informações, confira Visão geral dos certificados CNG v3.

Certificados PKI para servidores

Sistemas de site que executam o IIS e dão suporte a conexões de cliente HTTPS

Este certificado do servidor Web é usado para:

  • Autenticar os servidores no cliente
  • Criptografe todos os dados transferidos entre o cliente e esses servidores com TLS.

Aplicável a:

  • Ponto de gerenciamento
  • Ponto de distribuição
  • Ponto de atualização de software
  • Ponto de migração de estado
  • Ponto de registro
  • Ponto de proxy de registro
  • Ponto de registro de certificado

Requisitos de certificado:

  • Finalidade do certificado: autenticação do servidor

  • Modelo de certificado da Microsoft: Web Server

  • O valor de uso de chave aprimorada deve conter Server Authentication (1.3.6.1.5.5.7.3.1)

  • Nome do assunto:

    • Se o sistema de sites aceitar conexões da Internet, o Nome do Assunto ou Nome Alternativo do Assunto deverá conter o FQDN (nome de domínio totalmente qualificado) da Internet.

    • Se o sistema de sites aceitar conexões da intranet, o Nome do Assunto ou Nome Alternativo do Assunto deverá conter o FQDN da intranet (recomendado) ou o nome do computador, dependendo de como o sistema de site está configurado.

    • Se o sistema de sites aceitar conexões da Internet e da intranet, o FQDN da Internet e o FQDN da intranet (ou nome do computador) devem ser especificados. Use o delimitador de símbolos ampersand (&) entre os dois nomes.

    Observação

    Quando o ponto de atualização de software aceita conexões de cliente somente da Internet, o certificado deve conter o FQDN da Internet e o FQDN da intranet.

  • Comprimento da chave: Configuration Manager não especifica um comprimento máximo de chave com suporte para este certificado. Consulte a documentação do PKI e do IIS para ver quaisquer problemas relacionados ao tamanho da chave para este certificado.

A maioria das funções do sistema de site dá suporte a provedores de armazenamento chave para chaves privadas de certificado (v3). Para obter mais informações, confira Visão geral dos certificados CNG v3.

Esse certificado deve estar no repositório Pessoal no repositório de certificados de computador.

CMG (gateway de gerenciamento de nuvem)

Este certificado de serviço é usado para:

  • Autenticar o serviço CMG no Azure para Configuration Manager clientes

  • Criptografar todos os dados transferidos entre eles usando o TLS.

Exporte esse certificado em um formato PKCS #12 (Public Key Certificate Standard). Você precisa saber a senha para poder importar o certificado ao criar o CMG.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do servidor

  • Modelo de certificado da Microsoft: Web Server

  • O valor de uso de chave aprimorada deve conter Server Authentication (1.3.6.1.5.5.7.3.1)

  • O Nome do Assunto deve conter um nome de serviço definido pelo cliente como o Nome Comum para a instância específica do gateway de gerenciamento de nuvem.

  • A chave privada deve ser exportável.

  • Comprimentos de chave com suporte: 2048 bits ou 4096 bits

Esse certificado dá suporte aos principais provedores de armazenamento para chaves privadas de certificado (v3).

Para obter mais informações, consulte certificado de autenticação do servidor CMG.

Servidores do sistema de sites que executam o Microsoft SQL Server

Esse certificado é usado para autenticação servidor a servidor.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do servidor

  • Modelo de certificado da Microsoft: Web Server

  • O valor de uso de chave aprimorada deve conter Server Authentication (1.3.6.1.5.5.7.3.1)

  • O Nome do Assunto deve conter o nome de domínio totalmente qualificado da intranet (FQDN)

  • O comprimento máximo da chave com suporte é de 2.048 bits.

Esse certificado deve estar no repositório Pessoal no repositório de certificados de computador. Configuration Manager copia-o automaticamente para o Trusted Pessoas Store para servidores na hierarquia Configuration Manager que talvez precise estabelecer confiança com o servidor.

SQL Server Always On instância de cluster de failover

Esse certificado é usado para autenticação servidor a servidor.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do servidor

  • Modelo de certificado da Microsoft: Web Server

  • O valor de uso de chave aprimorada deve conter Server Authentication (1.3.6.1.5.5.7.3.1)

  • O Nome do Assunto deve conter o FQDN (nome de domínio totalmente qualificado) da intranet do cluster

  • A chave privada deve ser exportável

  • O certificado deve ter um período de validade de pelo menos dois anos quando você configurar Configuration Manager para usar a instância do cluster de failover

  • O comprimento máximo da chave com suporte é de 2.048 bits.

Solicite e instale esse certificado em um nó no cluster. Em seguida, exporte o certificado e importe-o para os outros nós.

Esse certificado deve estar no repositório Pessoal no repositório de certificados de computador. Configuration Manager copia-o automaticamente para o Trusted Pessoas Store para servidores na hierarquia Configuration Manager que talvez precise estabelecer confiança com o servidor.

Monitoramento do sistema de sites

Aplicável a:

  • Ponto de gerenciamento
  • Ponto de migração de estado

Requisitos de certificado:

  • Finalidade do certificado: autenticação do cliente

  • Modelo de certificado da Microsoft: Autenticação de estação de trabalho

  • O valor de uso de chave aprimorada deve conter Client Authentication (1.3.6.1.5.5.7.3.2)

  • Os computadores devem ter um valor exclusivo no campo Nome da Entidade ou no campo Nome Alternativo do Assunto .

    Observação

    Se você usar vários valores para o Nome Alternativo do Assunto, ele só usará o primeiro valor.

  • O comprimento máximo da chave com suporte é de 2.048 bits.

Esse certificado é necessário nos servidores do sistema de site listados, mesmo que o Configuration Manager cliente não esteja instalado. Essa configuração permite que o site monitore e informe sobre a integridade dessas funções do sistema de sites.

O certificado para esses sistemas de site deve estar no repositório pessoal do repositório de certificados de computador.

Servidores que executam o Módulo de Política Configuration Manager com o serviço de função NDES (Serviço de Registro de Dispositivo de Rede)

Requisitos de certificado:

  • Finalidade do certificado: autenticação do cliente

  • Modelo de certificado da Microsoft: Autenticação de estação de trabalho

  • O valor de uso de chave aprimorada deve conter Client Authentication (1.3.6.1.5.5.7.3.2)

  • Não há requisitos específicos para o nome da entidade de certificado ou nome alternativo da entidade (SAN). Você pode usar o mesmo certificado para vários servidores que executam o Serviço de Registro de Dispositivo de Rede.

  • Comprimentos de chave com suporte: 1.024 bits e 2.048 bits.

Sistemas de site que têm um ponto de distribuição instalado

Este certificado tem duas finalidades:

  • Ele autentica o ponto de distribuição para um ponto de gerenciamento habilitado para HTTPS antes que o ponto de distribuição envie mensagens de status.

    Observação

    Ao configurar todos os pontos de gerenciamento para HTTPS, os pontos de distribuição habilitados para HTTPS devem usar um certificado emitido por PKI. Não use certificados autoassinados em pontos de distribuição quando os pontos de gerenciamento usam certificados. Os problemas podem ocorrer caso contrário. Por exemplo, os pontos de distribuição não enviarão mensagens de estado.

  • Um ponto de distribuição habilitado para PXE envia esse certificado para computadores. Se a sequência de tarefas incluir ações do cliente, como recuperação de política do cliente ou envio de informações de inventário, o computador poderá se conectar a um ponto de gerenciamento habilitado para HTTPS durante o processo de implantação do sistema operacional.

    Observação

    Para esse cenário PXE, esse certificado só é usado durante o processo de implantação do sistema operacional. Ele não está instalado no cliente. Devido a esse uso temporário, você pode usar o mesmo certificado para cada implantação do sistema operacional se não quiser usar vários certificados de cliente.

    Os requisitos para esse certificado são os mesmos que o certificado do cliente para mídia de sequência de tarefas. Como os requisitos são os mesmos, você pode usar o mesmo arquivo de certificado.

    O certificado que você especifica para habilitar HTTPS a um ponto de distribuição se aplica a todas as operações de distribuição de conteúdo, não apenas à implantação do sistema operacional.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do cliente

  • Modelo de certificado da Microsoft: Autenticação de estação de trabalho

  • O valor de uso de chave aprimorada deve conter Client Authentication (1.3.6.1.5.5.7.3.2)

  • Não há requisitos específicos para o nome da entidade de certificado ou nome alternativo da entidade (SAN). É recomendável usar um certificado diferente para cada ponto de distribuição, mas você pode usar o mesmo certificado.

  • A chave privada deve ser exportável.

  • O comprimento máximo da chave com suporte é de 2.048 bits.

Exporte esse certificado em um formato PKCS #12 (Public Key Certificate Standard). Você precisa saber a senha para importar o certificado para as propriedades do ponto de distribuição.

Servidores Web proxy para gerenciamento de clientes baseados na Internet

Se o site for compatível com o gerenciamento de clientes baseado na Internet e você usar um servidor Web proxy usando a terminação SSL (ponte) para conexões de Internet de entrada, o servidor Web proxy terá os seguintes requisitos de certificado:

Observação

Se você usar um servidor Web proxy sem terminação SSL (túnel), nenhum certificado adicional será necessário no servidor Web proxy.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do servidor e autenticação do cliente

  • Modelo de certificado da Microsoft: Web Server e Autenticação de Estação de Trabalho

  • FQDN da Internet no campo Nome da Entidade ou Nome Alternativo do Assunto . Se você usar modelos de certificado da Microsoft, o Nome Alternativo do Assunto só estará disponível com o modelo de estação de trabalho.

Esse certificado é usado para autenticar os seguintes servidores para clientes da Internet e para criptografar todos os dados transferidos entre o cliente e este servidor com TLS:

  • Ponto de gerenciamento baseado na Internet
  • Ponto de distribuição baseado na Internet
  • Ponto de atualização de software baseado na Internet

A autenticação do cliente é usada para fazer a ponte entre os clientes Configuration Manager e os sistemas de sites baseados na Internet.

Certificados PKI para clientes

Computadores cliente Windows

Exceto pelo ponto de atualização de software, esse certificado autentica o cliente para sistemas de sites que executam o IIS e dão suporte a conexões de cliente HTTPS.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do cliente

  • Modelo de certificado da Microsoft: Autenticação de estação de trabalho

  • O valor de uso de chave aprimorada deve conter Client Authentication (1.3.6.1.5.5.7.3.2)

  • O valor de uso da chave deve conter Digital Signature, Key Encipherment (a0)

  • Os computadores cliente devem ter um valor exclusivo no campo Nome da Entidade ou Nome Alternativo do Assunto . Se usado, o campo Nome do Assunto deve conter o nome do computador local, a menos que um critério de seleção de certificado alternativo seja especificado. Para obter mais informações, consulte Planejar a seleção de certificados de cliente PKI.

    Observação

    Se você usar vários valores para o Nome Alternativo do Assunto, ele só usará o primeiro valor.

  • Não há nenhum comprimento máximo de chave com suporte.

Por padrão, Configuration Manager procura certificados de computador no repositório Pessoal no repositório de certificados de computador.

Mídia de sequência de tarefas para implantar sistemas operacionais

Esse certificado é usado por uma sequência de tarefas do OSD e permite que o computador se conecte a um ponto de gerenciamento e ponto de distribuição habilitado para HTTPS durante o processo de implantação do sistema operacional. As conexões com o ponto de gerenciamento e com o ponto de distribuição podem incluir ações como recuperação de política de cliente do ponto de gerenciamento e download de conteúdo do ponto de distribuição.

Esse certificado só é usado durante o processo de implantação do sistema operacional. Ele não é usado como parte das propriedades de instalação do cliente quando o cliente é instalado durante a tarefa Configuração windows e ConfigMgr , nem é instalado no dispositivo. Devido a esse uso temporário, você pode usar o mesmo certificado para cada implantação do sistema operacional se não quiser usar vários certificados de cliente.

Quando você tem um ambiente que é somente HTTPS, a mídia de sequência de tarefas deve ter um certificado válido. Esse certificado permite que o dispositivo se comunique com o site e que a implantação continue. Após a conclusão da sequência de tarefas, quando o dispositivo é ingressado no Active Directory, o cliente pode gerar automaticamente um certificado PKI por meio de um GPO ou você pode instalar um certificado PKI usando outro método.

Observação

Os requisitos para esse certificado são os mesmos que o certificado do servidor para sistemas de site com a função de ponto de distribuição. Como os requisitos são os mesmos, você pode usar o mesmo arquivo de certificado.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do cliente

  • Modelo de certificado da Microsoft: Autenticação de estação de trabalho

  • O valor de uso de chave aprimorada deve conter Client Authentication (1.3.6.1.5.5.7.3.2)

  • Não há requisitos específicos para os campos SAN (Nome da Entidade do Certificado) ou Nome Alternativo da Entidade (SAN). Você pode usar o mesmo certificado para todas as mídias de sequência de tarefas.

  • A chave privada deve ser exportável.

  • O comprimento máximo da chave com suporte é de 2.048 bits.

Exporte esse certificado em um formato PKCS #12 (Public Key Certificate Standard). Você precisa saber a senha para que você possa importar o certificado ao criar a mídia de sequência de tarefas.

Importante

As imagens de inicialização não contêm certificados PKI para se comunicar com o site. Em vez disso, as imagens de inicialização usam o certificado PKI adicionado à mídia de sequência de tarefas para se comunicar com o site.

Para obter mais informações sobre como adicionar um certificado PKI à mídia de sequência de tarefas, consulte Criar mídia inicializável e Criar mídia prestaged.

Computadores cliente macOS

Esse certificado autentica o computador cliente macOS para os servidores do sistema de site com os quais ele se comunica. Por exemplo, pontos de gerenciamento e pontos de distribuição.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do cliente

  • Modelo de certificado da Microsoft:

    • Para registro Configuration Manager: Sessão autenticada
    • Para instalação de certificado independente de Configuration Manager: Autenticação da estação de trabalho
  • O valor de uso de chave aprimorada deve conter Client Authentication (1.3.6.1.5.5.7.3.2)

  • Nome do assunto:

    • Para Configuration Manager que cria um certificado user, o valor da entidade de certificado é preenchido automaticamente com o nome de usuário da pessoa que registra o computador macOS.
    • Para a instalação do certificado que não usa Configuration Manager registro, mas implanta um certificado de computador independentemente de Configuration Manager, o valor da entidade de certificado deve ser exclusivo. Por exemplo, especifique o FQDN do computador.
    • Não há suporte para o campo Nome Alternativo do Assunto .
  • O comprimento máximo da chave com suporte é de 2.048 bits.

Clientes de dispositivo móvel

Esse certificado autentica o cliente do dispositivo móvel para os servidores do sistema de site com os quais ele se comunica. Por exemplo, pontos de gerenciamento e pontos de distribuição.

Requisitos de certificado:

  • Finalidade do certificado: autenticação do cliente

  • Modelo de certificado da Microsoft: Sessão autenticada

  • O valor de uso de chave aprimorada deve conter Client Authentication (1.3.6.1.5.5.7.3.2)

  • O comprimento máximo da chave com suporte é de 2.048 bits.

Esses certificados devem estar no formato binário X.509 codificado em Distinguished Encoding Rules (DER). Não há suporte para o formato X.509 codificado do Base64.

Certificados de autoridade de certificação raiz (AC)

Esse certificado é um certificado de AC raiz padrão.

Aplicável a:

  • Implantação do SO
  • Autenticação de certificado de cliente
  • Registro de dispositivo móvel

Finalidade do certificado: cadeia de certificados para uma fonte confiável

O certificado de AC raiz deve ser fornecido quando os clientes precisam encadear os certificados do servidor de comunicação a uma fonte confiável. O certificado de AC raiz para clientes deve ser fornecido se os certificados de cliente forem emitidos por uma hierarquia de AC diferente da hierarquia de AC que emitiu o certificado de ponto de gerenciamento.