PKI-certifikatkrav för Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
De PKI-certifikat (public key infrastructure) som du kan behöva för System Center 2012 Configuration Manager listas i de följande tabellerna. Den här informationen förutsätter grundläggande kunskaper om PKI-certifikat. Detaljerade anvisningar om en exempeldistribution av dessa certifikat finns i Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare. Mer information om Active Directory Certificate Services finns i följande dokumentation:
För Windows Server 2012: Översikt över Active Directory Certificate Services
För Windows Server 2008: Active Directory Certificate Services i Windows Server 2008
Viktigt |
---|
Från och med 1 januari 2017 kommer certifikat signerade med SHA-1 inte längre vara betrodda av Windows. Vi rekommenderar att du utfärdar nya server- och klientautentiseringscertifikat som är signerade med SHA-2. Mer information om den här ändringen och eventuella uppdateringar av deadline finns i detta blogginlägg: Windows genomför Authenticode-kodsignering och tidsstämplar |
Med undantag för klientcertifikaten som Configuration Manager registrerar på mobila enheter och på Mac-datorer, certifikaten som Microsoft Intune skapar automatiskt för hantering av mobila enheter samt certifikaten som Configuration Manager installerar på AMT-baserade datorer, kan du använda en valfri PKI för att skapa, distribuera och hantera de följande certifikaten. Men när du använder Active Directory Certificate Services och certifikatmallar, kan denna PKI-lösning från Microsoft göra det lättare att hantera certifikaten. Identifiera certifikatmallarna som liknar certifikatkraven bäst i kolumnen Microsoft-certifikatmall att använda i de följande tabellerna. Mallbaserade certifikat går bara att utfärda av en utfärdare av företagscertifikat som körs på Enterprise- eller Datacenter-versionen av serveroperativsystemet, t.ex. Windows Server 2008 Enterprise eller Windows Server 2008 Datacenter.
Viktigt |
---|
Använd inte version 3-mallar när du använder en utfärdare av företagscertifikat och certifikatmallar. Dessa certifikatmallar skapar certifikat som inte är kompatibla med Configuration Manager. Använd i stället version 2-mallar genom att följa dessa anvisningar:
|
Läs om certifikatkraven i de följande avsnitten.
PKI-certifikat för servrar
Configuration Manager-komponent |
Certifikatets syfte |
Microsoft-certifikatmall att använda |
Särskild information i certifikatet |
Hur certifikatet används i Configuration Manager |
||
---|---|---|---|---|---|---|
Platssystem som kör Internet Information Services (IIS) och som är konfigurerade för HTTPS-klientanslutningar:
|
Serverautentisering |
Webbserver |
Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1). Om platssystemet tar emot anslutningar från internet, måste namnet eller det alternativa namnet på certifikatmottagaren innehålla det fullständigt bestämda domännamnet på internet (FQDN). Om platssystemet tar emot anslutningar från intranätet, måste subjektsnamnet eller det alternativa namnet på certifikatmottagaren innehålla antingen intranätets fullständigt bestämda domännamn (rekommenderas) eller datorns namn, beroende på hur platssystemet är konfigurerat. Om systemet tar emot anslutningar både från internet och från intranätet, måste det fullständigt bestämda domännamnet på internet och för intranätet (eller datorns namn) anges med ett et-tecken (&) mellan de två namnen.
SHA-2-hashalgoritmen stöds. Configuration Manager anger inte en maximal nyckellängd som stöds för det här certifikatet. Läs i PKI- och IIS-dokumentationen om eventuella nyckelstorleksrelaterade problem för detta certifikat. |
Det här certifikatet måste finnas i det personliga arkivet i datorns certifikatarkiv. Det här webbservercertifikatet används för att autentisera dessa servrar inför klienterna och för att kryptera alla data som överförs mellan klienten och dessa servrar via SSL (Secure Sockets Layer). |
||
Molnbaserad distributionsplats |
Serverautentisering |
Webbserver |
Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1). Namnet på certifikatmottagaren måste innehålla ett kunddefinierat tjänstnamn och domännamn i FQDN-format som nätverksnamn för den specifika instansen av den molnbaserade distributionsplatsen. Den privata nyckeln måste gå att exportera. SHA-2-hashalgoritmen stöds. Nyckellängd som stöds: 2048 bitar. |
För System Center 2012 Configuration Manager SP1 och senare: Detta tjänstcertifikat används för att autentisera den molnbaserade distributionsplatstjänsten inför Configuration Manager-klienter och för att kryptera alla data som överförs mellan dem via SSL (Secure Sockets Layer). Det här certifikatet måste exporteras i PKCS #12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att det kan importeras när du skapar en molnbaserad distributionsplats.
|
||
NLB-kluster (utjämning av nätverksbelastning) för en programuppdateringsplats |
Serverautentisering |
Webbserver |
Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1).
SHA-2-hashalgoritmen stöds. |
För System Center 2012 Configuration Manager utan service pack: Det här certifikatet används för att autentisera det nätverksbelastningsutjämnande programmets uppdateringsplats för klienter, samt för att kryptera alla data som överförs mellan klienten och dessa servrar via SSL.
|
||
Platssystemsservrar som kör Microsoft SQL Server |
Serverautentisering |
Webbserver |
Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1). Namnet på certifikatmottagaren måste innehålla det fullständigt bestämda domännamnet på internet. SHA-2-hashalgoritmen stöds. Maximal nyckellängd är 2 048 bitar. |
Det här certifikatet måste finnas i det personliga arkivet i datorns certifikatarkiv. Det kopieras automatiskt till arkivet Betrodda personer av Configuration Manager för servrar i Configuration Manager-hierarkin som kan behöva upprätta förtroende med servern. Dessa certifikat används för autentisering mellan servrar. |
||
SQL Server-kluster: Platssystemsservrar som kör Microsoft SQL Server |
Serverautentisering |
Webbserver |
Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1). Namnet på certifikatmottagaren måste innehålla klustrets fullständigt bestämda domännamn på internet. Den privata nyckeln måste gå att exportera. Certifikatet måste ha en giltighetsperiod om minst två år när du konfigurerar Configuration Manager att använda SQL Server-klustret. SHA-2-hashalgoritmen stöds. Maximal nyckellängd är 2 048 bitar. |
När du har begärt och installerat detta certifikat på en nod i klustret, ska du exportera det och importera det på alla andra noder i SQL Server-klustret. Det här certifikatet måste finnas i det personliga arkivet i datorns certifikatarkiv. Det kopieras automatiskt till arkivet Betrodda personer av Configuration Manager för servrar i Configuration Manager-hierarkin som kan behöva upprätta förtroende med servern. Dessa certifikat används för autentisering mellan servrar. |
||
Platssystemsövervakning för följande platssystemsroller:
|
Klientautentisering |
Autentisering av arbetsstation |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). Datorer måste ha ett unikt värde i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare.
SHA-2-hashalgoritmen stöds. Maximal nyckellängd är 2 048 bitar. |
Det här certifikatet måste finnas på de platssystemsservrar som listas, även om System Center 2012 Configuration Manager-klienten inte är installerad, så att dessa platssystemsrollers hälsa kan övervakas och rapporteras till platsen. Certifikatet för dessa platssystem måste finnas i det personliga arkivet i datorns certifikatarkiv. |
||
Servrar som kör Configuration Manager-principmodulen med rolltjänsten Registreringstjänsten för nätverksenheter. |
Klientautentisering |
Autentisering av arbetsstation |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). Det finns inga särskilda krav på certifikatets namn eller alternativa namn på certifikatmottagare, och du kan använda samma certifikat för flera servrar som kör Registreringstjänsten för nätverksenheter. SHA-2- och SHA-3-hashalgoritmer stöds. Nyckellängder som stöds: 1024 bitar och 2048 bitar. |
Informationen i det här ämnet gäller enbart System Center 2012 R2 Configuration Manager. Detta certifikat autentiserar Configuration Manager-principmodulen för certifikatregistreringsplatsens platssystemsserver, så att Configuration Manager kan registrera certifikat för användare och enheter. |
||
Platssystem med en installerad distributionsplats |
Klientautentisering |
Autentisering av arbetsstation |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). Det finns inga särskilda krav på certifikatets namn eller alternativa namn på certifikatmottagare, och du kan använda samma certifikat för flera distributionsplatser. Vi rekommenderar dock ett annat certifikat för varje distributionsplats. Den privata nyckeln måste gå att exportera. SHA-2-hashalgoritmen stöds. Maximal nyckellängd är 2 048 bitar. |
Certifikatet har två syften:
Det här certifikatet måste exporteras i PKCS #12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att det kan importeras till distributionsplatsens egenskaper.
|
||
Out-of-band-servicepunkt |
AMT-etablering |
Webbserver (ändrad) |
Värdet Förbättrad nyckelanvändning måste innehålla Autentisera server (1.3.6.1.5.5.7.3.1) och följande objekt-id: 2.16.840.1.113741.1.2.3. Fältet Namn på certifikatmottagare måste innehålla det fullständigt bestämda domännamnet på den server där out of band-tjänstplatsen finns.
SHA-1 är den enda hashalgoritm som stöds. Nyckellängder som stöds: 1024 och 2048. För AMT 6.0 och senare versioner stöds även nyckellängden 4 096 bitar. |
Det här certifikatet finns i det personliga arkivet i datorns certifikatarkiv på platssystemsservern som är out of band-tjänstplats. Detta AMT-etableringscertifikat används för att förbereda datorer på out of band-hantering. Du måste begära detta certifikat från en certifikatutfärdare som levererar AMT-etableringscertifikat, och BIOS-tillägget för Intel AMT-baserade datorer måste vara konfigurerat att använda rotcertifikattumavtrycket (som även kallas certifikatets hashvärde) för detta etableringscertifikat. VeriSign är ett typexempel på en extern certifikatutfärdare som tillhandahåller AMT-etableringscertifikat, men du kan även använda en intern certifikatutfärdare. Installera certifikatet på servern med out of band-tjänstplatsen, som måste ingå i kedjan till certifikatets rotcertifikatutfärdare. (Normalt installeras rotcertifikatutfärdarens certifikat och mellanliggande certifikatutfärdares certifikat för VeriSign när Windows installeras.) |
||
Platssystemsserver som kör Microsoft Intune-anslutningsappen |
Klientautentisering |
Inte tillämpligt: Intune skapar detta certifikat automatiskt. |
Värdet Förbättrad nyckelanvändning innehåller Klientautentisering (1.3.6.1.5.5.7.3.2). Tre anpassade tillägg identifierar kundens Intune-prenumeration unikt. Nyckellängden är 2 048 bitar och SHA-1-hashningsalgoritmen används.
|
Det här certifikatet begärs automatiskt och installeras i Configuration Managers databas när du prenumererar på Microsoft Intune. När du installerar Microsoft Intune-anslutningsappen installeras detta certifikat på platssystemsservern där Microsoft Intune-anslutningsappen körs. Det installeras i datorns certifikatarkiv. Det här certifikatet används för att autentisera Configuration Manager-hierarkin för Microsoft Intune genom att Microsoft Intune-anslutningsappen används. Alla data mellan dem överförs via SSL (Secure Sockets Layer). |
Proxywebbservrar för internetbaserad klienthantering
Om platsen stöder internetbaserad klienthantering och du använder en proxywebbserver genom att använda SSL-terminering (bryggning) för inkommande internetanslutningar, har proxywebbservern de certifikatkrav som står i tabellen nedan.
Obs! |
---|
Om du använder en proxywebbserver utan SSL-terminering (tunnling), behöver den inga ytterligare certifikat. |
Komponent i nätverksinfrastrukturen |
Certifikatets syfte |
Microsoft-certifikatmall att använda |
Särskild information i certifikatet |
Hur certifikatet används i Configuration Manager |
---|---|---|---|---|
Proxywebbservern tar emot klientanslutningar via internet |
Server- och klientautentisering |
|
Internet-FQDN i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare (om du använder Microsoft-certifikatmallar är Alternativt namn på certifikatmottagare bara tillgängligt för arbetsstationsmallen). SHA-2-hashalgoritmen stöds. |
Det här certifikatet används för att autentisera följande servrar på internetklienter och för att kryptera alla data som överförs mellan klienten och den här servern via SSL:
Klientautentiseringen används till överbrygga klientanslutningar mellan System Center 2012 Configuration Manager-klienter och de internetbaserade platssystemen. |
PKI-certifikat för klienter
Configuration Manager-komponent |
Certifikatets syfte |
Microsoft-certifikatmall att använda |
Särskild information i certifikatet |
Hur certifikatet används i Configuration Manager |
||
---|---|---|---|---|---|---|
Windows-klientdatorer |
Klientautentisering |
Autentisering av arbetsstation |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). Klientdatorer måste ha ett unikt värde i fältet Namn på certifikatmottagare eller i fältet Alternativt namn på certifikatmottagare.
SHA-2-hashalgoritmen stöds. Maximal nyckellängd är 2 048 bitar. |
Som standard söker Configuration Manager efter datorcertifikat i det personliga arkivet i datorns certifikatarkiv. Med undantag för programuppdateringsplatsen och webbplatsen för programkatalogen så autentiserar det här certifikatet klienten på platssystemservrar som kör IIS och som har konfigurerats för att använda HTTPS. |
||
Klienter för mobila enheter |
Klientautentisering |
Autentiserad session |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). SHA-1 är den enda hashalgoritm som stöds. Maximal nyckellängd är 2 048 bitar.
|
Det här certifikatet autentiserar klienten för mobila enheter på platssystemservrar som den kommunicerar med, till exempel hanterings- och distributionsplatser. |
||
Startavbildningar för distribution av operativsystem |
Klientautentisering |
Autentisering av arbetsstation |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). Det finns inga särskilda krav för fältet Namn på certifikatmottagare eller fältet Alternativt namn på certifikatmottagare, och du kan använda samma certifikat för alla startavbildningar. Den privata nyckeln måste gå att exportera. SHA-2-hashalgoritmen stöds. Maximal nyckellängd är 2 048 bitar. |
Certifikatet används om aktivitetssekvensen i operativsystemdistributionen inkluderar klientåtgärder, till exempel klientprinciphämtning eller sändning av inventeringsinformation. Det här certifikatet används endast medan operativsystemet distribueras och installeras inte på datorn. Eftersom det är tillfälligt, kan samma certifikat användas för varje operativsystemsdistribution om du inte vill använda flera klientcertifikat. Det här certifikatet måste exporteras i PKCS #12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att det kan importeras till Configuration Manager-startavbildningarna.
|
||
Mac-klientdatorer |
Klientautentisering |
För Configuration Manager-registrering: Autentiserad session För certifikatinstallation oberoende av Configuration Manager: Autentisering av arbetsstation |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). För Configuration Manager som skapar ett användarcertifikat fylls certifikatmottagarens värde automatiskt i med användarnamnet för personen som registrerar Mac-datorn. För en certifikatinstallation där Configuration Manager-registrering inte används, utan där ett datorcertifikat distribueras oberoende av Configuration Manager, måste certifikatmottagarens värde vara unikt. Ange till exempel fullständigt domännamn för datorn. Fältet Alternativt namn på certifikatmottagare stöds inte. SHA-2-hashalgoritmen stöds. Maximal nyckellängd är 2 048 bitar. |
För System Center 2012 Configuration Manager SP1 och senare: Det här certifikatet autentiserar Mac-klientdatorn på platssystemservrar som den kommunicerar med, till exempel hanterings- och distributionsplatser. |
||
Linux- och UNIX-klientdatorer |
Klientautentisering |
Autentisering av arbetsstation |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). Fältet Alternativt namn på certifikatmottagare stöds inte. Den privata nyckeln måste gå att exportera. SHA-1-hashalgoritm stöds. SHA-2 hash-algoritmen stöds om klientens operativsystem stöder SHA-2. Mer information finns i avsnittet Om Linux och UNIX operativsystem som har inte stöd för SHA-256 i artikeln Planera för distribution av klienter för Linux och UNIX-servrar. Nyckellängd som stöds: 2048 bitar.
|
För System Center 2012 Configuration Manager SP1 och senare: Det här certifikatet autentiserar klienten för Linux och UNIX på platssystemservrar som den kommunicerar med, till exempel hanterings- och distributionsplatser. Det här certifikatet måste exporteras i ett PKCS#12-format (Public Key Certificate Standard), och lösenordet måste vara känt så att du kan ange det för klienten när du anger PKI-certifikatet. Ytterligare information finns i avsnittet Planera säkerhet och certifikat för Linux och UNIX-servrar i Planera för distribution av klienter för Linux och UNIX-servrar. |
||
Certifikat från rotcertifikatutfärdare för följande scenarier:
|
Certifikatkedja till en betrodd källa |
Inte tillämpligt. |
Standardcertifikat från rotcertifikatutfärdare: |
Certifikatet från rotcertifikatutfärdaren måste anges när klienter måste skapa en kedja för certifikaten på den kommunicerande servern till en betrodd källa. Det gäller i följande scenarier:
Utöver det måste certifikatet från rotcertifikatutfärdaren för klienter anges om klientcertifikaten utfärdas av en annan certifikatutfärdarhierarki än den hierarki som har utfärdat certifikatet för hanteringsplatsen. |
||
Intel AMT-baserade datorer |
Serverautentisering. |
Webbserver (ändrad) Du måste konfigurera namnet på certifikatmottagaren för Skapa utifrån följande Active Directory-information och välj sedan Eget namn för Format för namn på certifikatmottagare. Du måste ge behörigheterna Läs och Registrera till den universella säkerhetsgrupp som du anger i komponentegenskaperna för out-of-band-hantering. |
Värdet för Förbättrad nyckelanvändning måste innehålla Serverautentisering (1.3.6.1.5.5.7.3.1). Namnet på certifikatmottagaren måste innehålla det fullständiga domännamnet för den AMT-baserade datorn, som anges automatiskt från Active Directory Domain Services. SHA-1 är den enda hashalgoritm som stöds. Maximal nyckellängd som stöds: 2048 bitar. |
Det här certifikatet finns i hanteringsstyrenhetens beständiga RAM-minne på datorn och kan inte visas i Windows-användargränssnittet. Varje Intel AMT-baserad dator begär det här certifikatet vid AMT-etablering och för efterföljande uppdateringar. Om du tar bort AMT-etableringsinformationen från de här datorerna återkallar de certifikatet. När det här certifikatet installeras på Intel AMT-baserade datorer så installeras även certifikatkedjan i rotcertifikatutfärdaren. AMT-baserade datorer kan inte hantera certifikatutfärdarcertifikat med en nyckellängd som är större än 2 048 bitar. När certifikatet har installerats på Intel AMT-baserade datorer autentiserar certifikatet de AMT-baserade datorerna på platssystemservern för out-of-band-tjänstplatsen och på datorer som körs i out-of-band-hanteringskonsolen. Certifikatet krypterar även alla data som överförs mellan datorerna med hjälp av TLS (Transport Layer Security). |
||
Intel AMT 802.1X-klientcertifikat |
Klientautentisering |
Autentisering av arbetsstation Du måste konfigurera namnet på certifikatmottagaren för Skapa utifrån följande Active Directory-information och sedan välja Eget namn för Format för namn på certifikatmottagare, avmarkera DNS-namn och markera UPN-namn för det alternativa namnet på certifikatmottagaren. Du måste ge den universella säkerhetsgruppen som du anger i komponentegenskaperna för out-of-band-hantering behörigheterna Läs och Registrera för den här certifikatmallen. |
Värdet för Förbättrad nyckelanvändning måste innehålla Klientautentisering (1.3.6.1.5.5.7.3.2). Fältet för certifikatmottagarens namn måste innehålla det fullständiga domännamnet för den AMT-baserade datorn, och det alternativa namnet på certifikatmottagaren måste innehålla UPN-namnet. Maximal nyckellängd som stöds: 2048 bitar. |
Det här certifikatet finns i hanteringsstyrenhetens beständiga RAM-minne på datorn och kan inte visas i Windows-användargränssnittet. Varje Intel AMT-baserad dator kan begära det här certifikatet vid AMT-etablering men de återkallar inte certifikatet när AMT-etableringsinformationen tas bort. När certifikatet har installerats på AMT-baserade datorer så autentiseras de AMT-baserade datorerna med certifikatet på RADIUS-servern, så att den sedan kan auktoriseras för nätverksåtkomst. |
||
Mobila enheter som har registrerats av Microsoft Intune |
Klientautentisering |
Inte tillämpligt: Intune skapar detta certifikat automatiskt. |
Värdet Förbättrad nyckelanvändning innehåller Klientautentisering (1.3.6.1.5.5.7.3.2). Tre anpassade tillägg identifierar kundens Intune-prenumeration unikt. Användarna kan ange certifikatmottagarvärdet vid registreringen. Men värdet används inte av Intune för att identifiera enheten. Nyckellängden är 2 048 bitar och SHA-1-hashningsalgoritmen används.
|
Det här certifikatet begärs och installerats automatiskt när autentiserade användare registrerar sina mobila enheter med Microsoft Intune. Det resulterande certifikatet på enheten finns i datorarkivet och autentiserar den registrerade mobila enheten på Intune, så att den sedan kan hanteras. På grund av de anpassade tilläggen i certifikatet så begränsas autentiseringen till den Intune-prenumeration som har upprättats för organisationen. |