System Center Configuration Manager 的 PKI 憑證需求

 

適用於: System Center Configuration Manager (current branch)

下表中列出 System Center Configuration Manager 可能需要的公開金鑰基礎結構 (PKI) 憑證。 這項資訊假設已具備 PKI 憑證的基本知識。 如需逐步部署指引,請參閱為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位。 如需 Active Directory 憑證服務的詳細資訊,請參閱下列文件:針對 Windows Server 2012:Active Directory 憑證服務概觀http://go.microsoft.com/fwlink/p/?LinkId=286744針對 Windows Server 2008:Windows Server 2008 中的 Active Directory 憑證服務http://go.microsoft.com/fwlink/p/?LinkId=115018自 2017 年 1 月 1 日起生效,Windows 將不再信任以 SHA-1 簽署的憑證。 建議您發行以 SHA-2 簽署的新伺服器和用戶端驗證憑證。如需此變更的詳細資料以及可能的期限更新,請關注此部落格文章:Windows Enforcement of Authenticode Code Signing and Timestamping (Windows 強制的 Authenticode 碼簽署及時間戳記)http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx[要使用的 Microsoft 憑證範本] 資料行,可找出最符合憑證需求的憑證範本。 範本憑證只能由執行 Enterprise Edition 或 Datacenter Edition 伺服器作業系統 (例如 如果您使用企業憑證授權單位和憑證範本,請勿使用第 3 版範本。 這些憑證範本會建立與 System Center Configuration Manager 不相容的憑證。 請改用第 2 版範本,同時請遵循下列指示:Windows Server 2008 上的 CA:當您複製憑證範本時,請在 [複製範本] 快顯對話方塊提示您時,保留預設選擇 [Windows Server 2003 Enterprise]。 請勿選取 [Windows Server 2008 Enterprise Edition]。使用下列各節來檢視憑證需求。伺服器的 PKI 憑證System Center Configuration Manager 元件憑證用途要使用的 Microsoft 憑證範本憑證中的特定資訊憑證如何用於 System Center Configuration Manager執行 Internet Information Services (IIS) 且設定為使用 HTTPS 用戶端連線的站台系統:- 管理點- 發佈點- 軟體更新點- 狀態移轉點- 註冊點- 註冊 Proxy 點- 應用程式類別目錄 Web 服務點- 應用程式類別目錄網站點- 憑證登錄點 伺服器驗證Web 伺服器[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。如果站台系統接受來自網際網路的連線,則 [主體名稱] 或 [主體別名] 必須包含網際網路完整網域名稱 (FQDN)。如果站台系統接受來自內部網路的連線,則根據站台系統的設定方式,[主體名稱] 或 [主體別名] 必須包含內部網路 FQDN (建議使用) 或電腦名稱。如果站台系統同時接受來自網際網路及內部網路的連線,則必須同時指定網際網路 FQDN 和內部網路 FQDN (或電腦名稱),並使用 (&) 符號分隔兩個名稱。注意:若軟體更新點只接受來自網際網路的用戶端連線,則憑證必須同時包含網際網路 FQDN 和內部網路 FQDN。支援 SHA-2 雜湊演算法。 。此憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中。此網頁伺服器憑證可用來對用戶端驗證這些伺服器,以及使用安全通訊端層 (SSL) 加密用戶端與這些伺服器之間傳送的所有資料。雲端發佈點 伺服器驗證Web 伺服器[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。[主體名稱] 必須包含 FQDN 格式的客戶定義服務名稱及網域,作為特定雲端架構發佈點執行個體的 [一般名稱]。 私密金鑰必須可匯出。支援 SHA-2 雜湊演算法。支援的金鑰長度:2048 位元。 此服務憑證用來向 Configuration Manager 用戶端驗證雲端架構發佈點服務,以及將使用安全通訊端層 (SSL) 在它們之間傳送的所有資料加密。此憑證必須以公開金鑰憑證標準 (PKCS #12) 格式匯出,而且必須得知密碼,才能在建立雲端架構發佈點時匯入。注意:此憑證會搭配 Windows Azure 管理憑證使用。 如需此憑證的詳細資訊,請參閱 MSDN Library 之<Windows Azure 平台>一節中的如何建立管理憑證http://go.microsoft.com/fwlink/p/?LinkId=220281和如何將管理憑證加入 Windows Azure 訂閱中http://go.microsoft.com/fwlink/?LinkId=241722。 <tr> <TD> <para>執行 Microsoft SQL Server 的網站系統伺服器</para> </TD> <TD> <para>伺服器驗證</para> </TD> <TD> <para> <ui>Web 伺服器</ui> </para> </TD> <TD colspan="1"> <para> <ui>[增強金鑰使用方法]</ui> 值必須包含 <ui>[伺服器驗證 (1.3.6.1.5.5.7.3.1)]</ui>。</para> <para>[主題名稱] 必須包含內部網路完整網域名稱 (FQDN)。</para> <para>支援 SHA-2 雜湊演算法。</para> <para>支援的金鑰長度上限是 2048 位元。</para> </TD> <TD> <para>此憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中,且 <token><?xm-deletion_mark author="Nathan Bigman" time="20151108T145935+0200" data="cmshort"?><?xm-insertion_mark_start author="Nathan Bigman" time="20151108T145935+0200"?>cm6long<?xm-insertion_mark_end?></token> 會自動將此憑證複製到 <token><?xm-deletion_mark author="Nathan Bigman" time="20151108T145935+0200" data="cmshort"?><?xm-insertion_mark_start author="Nathan Bigman" time="20151108T145935+0200"?>cm6long<?xm-insertion_mark_end?></token> 階層中可能需要與伺服器建立信任之伺服器的 [受信任的人存放區]。</para> <para>這些憑證用於伺服器對伺服器驗證。</para> </TD> </tr> <tr> <TD> <?Comment CB: 337761 2013-03-13T14:15:00Z Id='5?> <para>SQL Server 叢集:執行 Microsoft SQL Server 的站台系統伺服器<?CommentEnd Id='5' ?></para> </TD> <TD> <para>伺服器驗證</para> </TD> <TD> <para> <ui>Web 伺服器</ui> </para> </TD> <TD colspan="1"> <para> <ui>[增強金鑰使用方法]</ui> 值必須包含 <ui>[伺服器驗證 (1.3.6.1.5.5.7.3.1)]</ui>。</para> <para>[主題名稱] 必須包含叢集的內部網路完整網域名稱 (FQDN)。</para> <para>私密金鑰必須可匯出。</para> <para>當您設定 <token><?xm-deletion_mark author="Nathan Bigman" time="20151108T145935+0200" data="cmshort"?><?xm-insertion_mark_start author="Nathan Bigman" time="20151108T145935+0200"?>cm6long<?xm-insertion_mark_end?></token> 使用 SQL Server 叢集時,憑證必須至少有兩年的有效期間。</para> <para>支援 SHA-2 雜湊演算法。</para> <para>支援的金鑰長度上限是 2048 位元。</para> </TD> <TD> <para>您在叢集中的某個節點上要求並安裝此憑證後,請匯出憑證,再將它匯入 SQL Server 叢集中每個額外的節點。</para> <para>此憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中,且 <token><?xm-deletion_mark author="Nathan Bigman" time="20151108T145935+0200" data="cmshort"?><?xm-insertion_mark_start author="Nathan Bigman" time="20151108T145935+0200"?>cm6long<?xm-insertion_mark_end?></token> 會自動將此憑證複製到 <token><?xm-deletion_mark author="Nathan Bigman" time="20151108T145935+0200" data="cmshort"?><?xm-insertion_mark_start author="Nathan Bigman" time="20151108T145935+0200"?>cm6long<?xm-insertion_mark_end?></token> 階層中可能需要與伺服器建立信任之伺服器的 [受信任的人存放區]。</para> <para>這些憑證用於伺服器對伺服器驗證。</para> </TD> </tr> <tr> <TD> <para>下列站台系統角色的站台系統監視:</para> <para>管理點</para><para>狀態移轉點</para> </TD> <TD> <para>用戶端驗證</para> </TD> <TD> <para> <ui>工作站驗證</ui> </para> </TD> <TD colspan="1"> <para> <ui>[增強金鑰使用方法]</ui> 值必須包含 <ui>[用戶端驗證 (1.3.6.1.5.5.7.3.2)]</ui>。</para> <para>電腦的 [主體名稱] 欄位或 [主體別名] 欄位中必須擁有唯一的值。</para> <para><legacyBold>注意:</legacyBold>如果您使用多個值作為 [主體別名],則只會使用第一個值。</para> <para>支援 SHA-2 雜湊演算法。</para> <para>支援的金鑰長度上限是 2048 位元。<?Comment A: Bug 146901 2013-03-13T14:15:00Z?></para> </TD> <TD colspan="1"> <para>即使未安裝 <token>cm6long</token> 用戶端,列出的站台系統伺服器上仍必須有此憑證,如此才能監視這些站台系統角色的健全狀況並且回報網站。</para> <para>這些站台系統的憑證必須位於 [電腦] 憑證存放區的 [個人] 存放區中。</para> </TD> </tr> <tr> <TD> <para>執行 <token><?xm-deletion_mark author="Nathan Bigman" time="20151108T145935+0200" data="cmshort"?><?xm-insertion_mark_start author="Nathan Bigman" time="20151108T145935+0200"?>cm6long<?xm-insertion_mark_end?></token> 原則模組與網路裝置註冊服務角色服務的伺服器。 </para> </TD> <TD> <para>用戶端驗證</para> </TD> <TD> <para>工作站驗證</para> </TD> <TD> <para> <ui>[增強金鑰使用方法]</ui> 值必須包含 <ui>[用戶端驗證 (1.3.6.1.5.5.7.3.2)]</ui>。</para> <para>對於憑證主體或主體別名 (SAN) 並無特定需求,您可以針對多個執行網路裝置註冊服務之伺服器使用同一個憑證。</para> <para>支援 SHA-2 和 SHA-3 雜湊演算法。</para> <para>支援的金鑰長度上限:1024 位元和 2048 位元。</para> </TD> <TD> <?xm-deletion_mark author="Nathan Bigman" time="20151108T150719+0200" data="&lt;maml:para xmlns:maml=&quot;http://ddue.schemas.microsoft.com/authoring/2003/5&quot;&gt; &lt;maml:token&gt;sccm2012r2notetopic&lt;/maml:token&gt; &lt;/maml:para&gt; &lt;maml:para xmlns:maml=&quot;http://ddue.schemas.microsoft.com/authoring/2003/5&quot;&gt;This certificate authenticates the &lt;maml:token&gt;cmshort&lt;/maml:token&gt; Policy Module to the certificate registration point site system server so that &lt;maml:token&gt;cmshort&lt;/maml:token&gt; can enroll certificates for users and devices.&lt;/maml:para&gt; "?></TD> </tr> <tr> <TD> <para> <?Comment CB: 246354,246356 2013-03-13T14:15:00Z Id='8?>已安裝發佈點的網站系統<?CommentEnd Id='8' ?></para> </TD> <TD> <para>用戶端驗證</para> </TD> <TD> <para> <ui>工作站驗證</ui> </para> </TD> <TD colspan="1"> <para> <ui>[增強金鑰使用方法]</ui> 值必須包含 <ui>[用戶端驗證 (1.3.6.1.5.5.7.3.2)]</ui>。</para> <para>對於憑證主體或主體別名 (SAN) 並無特定需求,您可以針對多個發佈點使用同一個憑證。 不過,我們建議每個發佈點使用不同的憑證。</para> <para>私密金鑰必須可匯出。</para> <para>支援 SHA-2 雜湊演算法。</para> <para>支援的金鑰長度上限是 2048 位元。<?Comment A: Bug 146901 2013-03-13T14:15:00Z?></para> </TD> <TD colspan="1"> <para>此憑證有兩種用途:</para> <para>-在發佈點傳送狀態訊息之前,對啟用 HTTPS 的管理點驗證發佈點。</para><para>- 選取 <ui>[為用戶端啟用 PXE 支援]</ui> 發佈點選項時,憑證會傳送至電腦,這樣一來,如果作業系統部署程序中的工作順序包含用戶端原則擷取或傳送清查資訊這類用戶端動作,用戶端電腦就能在部署作業系統期間連線到啟用 HTTPS 的管理點。</para><para>此憑證僅於作業系統部署程序期間使用,不會安裝到用戶端上。 由於是暫時使用的緣故,如果不想使用多個用戶端憑證,您可以在每次部署作業系統時使用同一個憑證。</para> <para>此憑證必須以公開金鑰憑證標準 (PKCS #12) 格式匯出,而且必須得知密碼,才能匯入至發佈點內容。</para> <para><legacyBold>注意:</legacyBold>此憑證的需求與用於部署作業系統之開機映像的用戶端憑證相同。 由於需求相同,因此您可以使用相同的憑證檔案。</para> </TD> </tr> <tr> <TD> <para>超出訊號範圍服務點</para> </TD> <TD> <para>AMT 佈建</para> </TD> <TD colspan="1"> <para> <ui>Web 伺服器</ui> (已修改)</para> </TD> <TD colspan="1"> <para> <ui>[增強金鑰使用方法]</ui> 值必須包含 <ui>[伺服器驗證 (1.3.6.1.5.5.7.3.1)]</ui> 和下列物件識別碼:<ui>2.16.840.1.113741.1.2.3</ui>。</para> <para>[主體名稱] 欄位必須包含裝載超出訊號範圍服務點的伺服器 FQDN。 </para> <para><legacyBold> 注意:如果您向外部 CA 而不是向自己的內部 CA 要求 AMT 佈建憑證,而它不支援 AMT 佈建物件識別碼 2.16.840.1.113741.1.2.3,您可以改為指定下列文字字串作為憑證主體名稱中的組織單位 (OU) 屬性:Intel(R) Client Setup Certificate。 除了裝載超出訊號範圍服務點的伺服器 FQDN 之外,還必須使用與上述完全相同的英文字串,大小寫須相符,而且後面沒有句號。<?CommentEnd Id='12' ?> 支援的金鑰長度:1024 和 2048。 AMT 6.0 和更新版本也支援 4096 位元的金鑰長度。此憑證位於超出訊號範圍服務點站台系統伺服器的 [電腦] 憑證存放區中的 [個人] 存放區。此 AMT 佈建憑證用來準備電腦進行超出訊號範圍的管理。 您必須向提供 AMT 佈建憑證的 CA 要求此憑證,而且 Intel AMT 電腦的 BIOS 延伸模組必須設定為針對此佈建憑證使用根憑證指紋 (也稱為憑證雜湊)。VeriSign 是提供 AMT 佈建憑證的外部 CA 典型範例,但您也可以使用自己的內部 CA。將憑證安裝到裝載超出訊號範圍服務點的伺服器上,該服務點必須能夠成功鏈結至憑證的根 CA。 (根據預設,VeriSign 的根 CA 憑證及中繼 CA 憑證惠在 Windows 安裝時一併安裝)。執行 Microsoft Intune 連接器的站台系統伺服器用戶端驗證不適用:Intune 會自動建立此憑證。[增強金鑰使用方法] 值包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。3 個可唯一識別客戶 Intune 訂閱的自訂延伸。金鑰大小是 2048 位元,並且使用 SHA-1 雜湊演算法。注意:您無法變更這些設定:此資訊僅供參考。此憑證會在您訂閱 Microsoft Intune 時,自動要求並安裝到 Configuration Manager 資料庫。 當您安裝 Microsoft Intune 連接器時,此憑證就會安裝到執行 Microsoft Intune 連接器的站台系統伺服器上。 憑證會安裝到 [電腦] 憑證存放區中。此憑證用於使用 Microsoft Intune 連接器對 Microsoft Intune 驗證 Configuration Manager 階層。 兩者之間一律使用安全通訊端層 (SSL) 傳送資料。以網際網路為基礎的用戶端管理的 Proxy 網頁伺服器如果站台支援以網際網路為基礎的用戶端管理,且您透過使用 SSL 終止 (橋接) 功能進行傳入網際網路連線的方式使用 Proxy 網頁伺服器,則該 Proxy 網頁伺服器具備下表所列的憑證需求。如果您使用 Proxy 網頁伺服器但不使用 SSL 終止 (通道) 功能,Proxy 網頁伺服器便不需要其他憑證。網路基礎結構元件憑證用途要使用的 Microsoft 憑證範本憑證中的特定資訊憑證如何用於 System Center Configuration Manager 透過網際網路接受用戶端連線的 Proxy Web 伺服器伺服器驗證與用戶端驗證1. 網頁伺服器2. 工作站驗證[主體名稱] 欄位或 [主體別名] 欄位中的網際網路 FQDN (如果您使用 Microsoft 憑證範本,則 [主體別名] 僅適用於工作站範本)。支援 SHA-2 雜湊演算法。此憑證用於對網際網路用戶端驗證下列伺服器,以及加密用戶端及此伺服器之間使用 SSL 傳送的所有資料:- 以網際網路為基礎的管理點- 以網際網路為基礎的發佈點- 以網際網路為基礎的軟體更新點用戶端驗證用於在 System Center Configuration Manager 用戶端和以網際網路為基礎的站台系統之間橋接用戶端連線。用戶端的 PKI 憑證System Center Configuration Manager 元件憑證用途要使用的 Microsoft 憑證範本憑證中的特定資訊憑證如何用於 System Center Configuration Manager Windows 用戶端電腦用戶端驗證工作站驗證[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。用戶端電腦的 [主體名稱] 欄位或 [主體別名] 欄位中必須擁有唯一的值。注意:如果您使用多個值作為 [主體別名],則只會使用第一個值。支援 SHA-2 雜湊演算法。支援的金鑰長度上限是 2048 位元。依預設,System Center Configuration Manager 會在電腦憑證存放區的個人存放區中尋找電腦憑證。除了軟體更新點和應用程式類別目錄網站點之外,此憑證可以在執行 IIS 的站台系統伺服器以及設定使用 HTTPS 的伺服器上。行動裝置用戶端用戶端驗證驗證的工作階段[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。SHA-1支援的金鑰長度上限是 2048 位元。注意:-這些憑證的格式必須是識別名編碼規則 (DER) 編碼二進位 X.509。 - 不支援 Base64 編碼的 X.509 格式。此憑證會在與行動裝置用戶端通訊的網站系統伺服器 (例如管理點和發佈點) 驗證該用戶端。部署作業系統的開機映像 用戶端驗證工作站驗證[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。憑證的 [主體別名] 欄位或 皆無特定需求,所有開機映像皆可使用同一個憑證。私密金鑰必須可匯出。支援 SHA-2 雜湊演算法。支援的金鑰長度上限是 2048 位元。如果作業系統部署程序中的工作順序包含擷取用戶端原則或傳送清查資訊之類的用戶端動作,便會使用憑證。此憑證僅於作業系統部署程序期間使用,不會安裝到用戶端上。 由於是暫時使用的緣故,如果不想使用多個用戶端憑證,您可以在每次部署作業系統時使用同一個憑證。您必須以公開金鑰憑證標準 (PKCS #12) 格式匯出此憑證,而且必須知道密碼,才能將憑證匯入 System Center Configuration Manager 開機映像中。此憑證是暫時提供給工作順序使用,並非用於安裝用戶端。 如果您的環境只有 HTTPS ,則用戶端必須具備可與站台通訊並且讓部署可以繼續進行的有效憑證。 用戶端憑證在用戶端加入 Active Directory 時即可自動產生,或您可以使用其他方法安裝用戶端憑證。 注意:此憑證的需求與裝有發佈點之站台系統的伺服器憑證需求相同。 由於需求相同,因此您可以使用相同的憑證檔案。Mac 用戶端電腦用戶端驗證針對 System Center Configuration Manager 註冊:驗證的工作階段獨立於 System Center Configuration Manager 的憑證安裝:工作站驗證[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。針對建立使用者憑證的 System Center Configuration Manager,會在憑證的 [主體] 值中自動填入註冊 Mac 電腦者的使用者名稱。若憑證安裝作業未使用 System Center Configuration Manager 註冊,而是從 System Center Configuration Manager 獨立部署電腦憑證,該憑證的 [主體] 值必須是唯一的。 例如,請指定該電腦的 FQDN。不支援 [主體別名] 欄位。支援 SHA-2 雜湊演算法。支援的金鑰長度上限是 2048 位元。此憑證會在與 Mac 用戶端電腦通訊的網站系統伺服器 (例如管理點和發佈點) 驗證該電腦。Linux 及 UNIX 用戶端電腦用戶端驗證工作站驗證[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。不支援 [主體別名] 欄位。私密金鑰必須可匯出。如果用戶端的作業系統支援 SHA-2,則支援 SHA-2 雜湊演算法。 如需詳細資訊,請參閱 規劃將用戶端部署至 Linux 和 UNIX 電腦中的關於不支援 SHA-256 的 Linux 和 UNIX 作業系統一節。支援的金鑰長度:2048 位元。注意:這些憑證的格式必須是識別編碼規則 (DER) 編碼二進位 X.509。 不支援 Base64 編碼的 X.509 格式。此憑證會在與 Mac 用戶端電腦通訊的網站系統伺服器 (例如管理點和發佈點) 驗證該電腦。 必須以公開金鑰憑證標準 (PKCS#12) 格式匯出此憑證,而且必須知道密碼,才能在指定 PKI 憑證時將此憑證指定至用戶端。如需詳細資訊,請參閱規劃將用戶端部署至 Linux 和 UNIX 電腦中的規劃 Linux 和 UNIX 伺服器的安全性和憑證一節。。- 下列情況適用的根憑證授權單位 (CA) 憑證:- 作業系統部署 - 行動裝置註冊- Intel AMT 型電腦 RADIUS 伺服器驗證- 用戶端憑證驗證信任來源的憑證鏈結不適用。標準的根 CA 憑證。當用戶端需要將通訊伺服器的憑證鏈結到信任的來源時,必須提供根 CA 憑證。 下列情況皆適用:-部署作業系統時,以及執行將用戶端電腦連線至設定使用 HTTPS 之管理點的工作順序時。 - 註冊將受 System Center Configuration Manager 管理的行動裝置時。- 將 802.1X 驗證用於 AMT 型電腦,且想指定 RADIUS 伺服器根憑證的檔案時。此外,如果用戶端憑證的 CA 與核發管理點憑證的 CA 屬於不同階層,必須提供用戶端的根 CA 憑證。 Intel AMt 型電腦伺服器驗證。網頁伺服器 (已修改)您必須將 [主體名稱] 設為 [用這項 Active Directory 資訊來建立],然後在 [主體名稱格式] 中選取 [一般名稱]。您必須將 [讀取] 和 [註冊] 權限授與在超出訊號範圍管理元件內容中指定的萬用安全性群組。[增強金鑰使用方法] 值必須包含 [伺服器驗證 (1.3.6.1.5.5.7.3.1)]。[主體名稱] 必須包含 AMT 型電腦的 FQDN (Active Directory 網域服務會自動提供)。此憑證位於電腦管理控制器的非動態隨機存取記憶體中,在 Windows 使用者介面中無法看見。每部 Intel AMT 型電腦都會在 AMT 佈建和後續更新期間要求此憑證。 如果從這些電腦中移除 AMT 佈建資訊,就會撤銷此憑證。此憑證安裝在 Intel AMT 型電腦上時,會一併安裝根 CA 的憑證鏈結。 AMT 型電腦無法支援金鑰長度超過 2048 位元的 CA 憑證。將憑證安裝在 Intel AMT 型電腦上後,此憑證會對超出訊號範圍的服務點系統伺服器及執行超出訊號範圍管理主控台的電腦驗證 AMT 型電腦,並且使用傳輸層安全性 (TLS) 加密在電腦之間傳送的所有資料。Intel AMT 802.1X 用戶端憑證用戶端驗證工作站驗證您必須將 [主體名稱] 設為 [用這項 Active Directory 資訊來建立],然後在 [主體名稱格式] 中選取 [一般名稱]、清除 DNS 名稱,然後選取 [使用者主要名稱 (UPN)] 為替代主體名稱。您必須將此憑證範本的 [讀取] 和 [註冊] 權限授與在超出訊號範圍管理元件內容中指定的萬用安全性群組。[增強金鑰使用方法] 值必須包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。主體名稱欄位必須包含 AMT 型電腦的 FQDN,主體別名則必須包含 UPN。 支援的金鑰長度上限:2048 位元。此憑證位於電腦管理控制器的非動態隨機存取記憶體中,在 Windows 使用者介面中無法看見。每部 Intel AMT 型電腦皆可在 AMT 佈建期間要求此憑證,但即使移除 AMT 佈建資訊,也不會撤銷此憑證。將憑證安裝在 AMT 型電腦上後,此憑證會對 RADIUS 伺服器驗證 AMT 型電腦,以便獲得網路存取權限。行動裝置的註冊者為 Microsoft Intune用戶端驗證不適用:Intune 會自動建立此憑證。[增強金鑰使用方法] 值包含 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。3 個可唯一識別客戶 Intune 訂閱的自訂延伸。使用者可以在註冊期間提供憑證主體值。 不過,Intune 不會使用此值識別裝置。金鑰大小是 2048 位元,並且使用 SHA-1 雜湊演算法。注意:您無法變更這些設定:此資訊僅供參考。驗證使用者使用 Microsoft Intune 註冊行動裝置時,會自動要求並安裝此憑證。 裝置上產生的憑證位於電腦存放區中,並且會對 Intune 驗證註冊的行動裝置,以便管理該裝置。 由於憑證中有自訂延伸,因此只能驗證針對組織建立的 Intune 訂閱。
顯示: