Descrição geral dos certificados CNG v3
O Gestor de Configuração suporta certificados de Criptografia: Próxima Geração (CNG). Os clientes do Gestor de Configuração podem utilizar um certificado de autenticação do cliente PKI com a chave privada gerada e armazenada num Fornecedor de Armazenamento de Chave CNG (KSP). Com suporte KSP, os clientes do Configuration Manager suportam chaves privadas baseadas em hardware, como um KSP TPM para certificados de autenticação de clientes PKI.
Nota
Ao utilizar certificados de CNG, os clientes do Gestor de Configuração apenas suportam certificados que utilizem o algoritmo criptográfico RSA.
Cenários suportados
Pode utilizar modelos de certificados de Cryptography API: Next Generation (CNG) v3 para os seguintes cenários:
- Registo e comunicação do cliente com um ponto de gestão HTTPS
- Distribuição de software e implementação de aplicações com um ponto de distribuição HTTPS
- Implementação de SO
- Mensagens de cliente SDK (com a mais recente atualização) e Proxy ISV
- Configuração do gateway de gestão de nuvem (CMG)
- Aplicações disponíveis direcionadas para o utilizador no Software Center
Utilize também certificados CNG v3 para as seguintes funções de servidor ativadas por HTTPS:
- Ponto de gestão
- Ponto de distribuição
- Ponto de atualização de software
- Ponto de Migração de Estado
- Ponto de registo de certificado, incluindo o servidor NDES com o módulo de política do Gestor de Configuração
Nota
O CNG é retro compatível com Crypto API (CAPI). Os certificados CAPI continuam a ser suportados mesmo quando o suporte do CNG está ativado no cliente.
Cenários não suportados
Os seguintes cenários atualmente não são suportados:
As seguintes funções do servidor não estão operacionais quando instaladas no modo HTTPS com um certificado V3 CNG ligado ao web site em Serviços de Informação Internet (IIS):
- Ponto de inscrição
- Ponto proxy de registo
Utilizar certificados de CNG
Para utilizar certificados CNG v3, a sua autoridade de certificação (CA) precisa de fornecer modelos de certificados de CNG para máquinas-alvo. Os detalhes do modelo variam de acordo com o cenário; no entanto, são necessárias as seguintes propriedades:
Separador de compatibilidade
A Autoridade de Certificados deve ser Windows Server 2008 ou posterior. (Windows Server 2012 é recomendado.)
O destinatário do certificado deve ser Windows Vista/Servidor 2008 ou posterior. (recomenda-se Windows 8/Windows Server 2012.)
Separador criptografia
A categoria de fornecedor deve ser o Fornecedor chave Armazenamento. (obrigatório)
O nome do algoritmo deve ser RSA. (obrigatório)
O pedido deve utilizar um dos seguintes fornecedores: deve ser o Microsoft Software Key Armazenamento Provider.
Nota
Os requisitos para o seu ambiente ou organização podem ser diferentes. Contacte o seu especialista em PKI. O ponto importante a considerar é que um modelo de certificado deve usar um Fornecedor de Armazenamento chave para tirar partido do CNG.
Para obter os melhores resultados, recomendamos a construção do Nome do Assunto a partir de informações do Ative Directory. Utilize o nome DNS para o formato nome do assunto e inclua o nome DNS no nome do sujeito alternativo. Caso contrário, deve fornecer estas informações quando o dispositivo se inscrever no perfil do certificado.