Vytvoření profilů certifikátů PFX pomocí certifikační autority

  • Článek

Platí pro: Configuration Manager (Current Branch)

Zjistěte, jak vytvořit profil certifikátu, který používá certifikační autoritu pro přihlašovací údaje. Tento článek popisuje konkrétní informace o profilech certifikátů PFX (Personal Information Exchange). Další informace o tom, jak tyto profily vytvořit a nakonfigurovat, najdete v tématu Profily certifikátů.

Configuration Manager umožňuje vytvořit profil certifikátu PFX pomocí přihlašovacích údajů vydaných certifikační autoritou. Jako certifikační autoritu můžete zvolit Microsoft nebo Pověřit. Při nasazení do uživatelských zařízení soubory PFX generují certifikáty specifické pro uživatele pro podporu šifrované výměny dat.

Pokud chcete importovat přihlašovací údaje certifikátu z existujících souborů certifikátů, přečtěte si téma Import profilů certifikátů PFX.

Požadavky

Než začnete vytvářet profil certifikátu, ujistěte se, že jsou připravené nezbytné požadavky. Další informace najdete v tématu Požadavky na profily certifikátů. Například pro profily certifikátů PFX potřebujete roli systému lokality bodu registrace certifikátu .

Vytvoření profilu

  1. V konzole Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita, rozbalte Položku Nastavení dodržování předpisů, rozbalte položku Přístup k prostředkům společnosti a pak vyberte Profily certifikátů.

  2. Na pásu karet na kartě Domů ve skupině Vytvořit vyberte Vytvořit profil certifikátu.

  3. Na stránce Obecnév Průvodci vytvořením profilu certifikátu zadejte následující informace:

    • Název: Zadejte jedinečný název profilu certifikátu. Můžete použít maximálně 256 znaků.

    • Popis: Zadejte popis, který poskytuje přehled profilu certifikátu, který ho pomůže identifikovat v konzole Configuration Manager. Můžete použít maximálně 256 znaků.

  4. Vyberte Personal Information Exchange - PKCS #12 (PFX) Settings ( Personal Information Exchange – PKCS #12 (PFX) – Create (Vytvořit). Tato možnost požaduje certifikát jménem uživatele od připojené místní certifikační autority (CA). Zvolte certifikační autoritu: Microsoft nebo Pověřit.

    Poznámka

    Možnost Importovat získá informace z existujícího certifikátu a vytvoří profil certifikátu. Další informace najdete v tématu Import profilů certifikátů PFX.

  5. Na stránce Podporované platformy vyberte verze operačního systému, které tento profil certifikátu podporuje. Další informace o podporovaných verzích operačního systému pro vaši verzi Configuration Manager najdete v tématu Podporované verze operačního systému pro klienty a zařízení.

  6. Na stránce Certifikační autority zvolte bod registrace certifikátu (CRP) pro zpracování certifikátů PFX:

    1. Primární lokalita: Zvolte server obsahující roli CRP pro certifikační autoritu.
    2. Certifikační autority: Vyberte příslušnou certifikační autoritu.

    Další informace najdete v tématu Infrastruktura certifikátů.

Nastavení na stránce Certifikát PFX se liší v závislosti na vybrané certifikační autoritě na stránce Obecné :

Konfigurace nastavení certifikátu PFX pro certifikační autoritu Microsoft

  1. Jako název šablony certifikátu zvolte šablonu certifikátu.

  2. Pokud chcete použít profil certifikátu pro podepisování nebo šifrování S/MIME, povolte použití certifikátu.

    Když tuto možnost povolíte, doručí se všechny certifikáty PFX přidružené k cílovému uživateli do všech jeho zařízení. Pokud tuto možnost nepovolíte, každé zařízení obdrží jedinečný certifikát.

  3. Formát názvu subjektu nastavte na Běžný název nebo Plně rozlišující název. Pokud si nejste jistí, který z nich použít, obraťte se na správce certifikační autority.

  4. Jako alternativní název subjektu povolte Email adresu a hlavní název uživatele (UPN) podle potřeby pro vaši certifikační autoritu.

  5. Prahová hodnota pro prodloužení platnosti: Určuje, kdy se certifikáty automaticky prodlužují, na základě procenta zbývající doby před vypršením platnosti.

  6. Nastavte dobu platnosti certifikátu na dobu životnosti certifikátu.

  7. Když bod registrace certifikátu určuje přihlašovací údaje služby Active Directory, povolte publikování služby Active Directory.

  8. Pokud jste vybrali jednu nebo více Windows 10 podporovaných platforem:

    1. Nastavte úložiště certifikátů Windows na Uživatel. (Možnost Místní počítač nenasazuje certifikáty, nevybírejte ji.)

    2. Vyberte jednoho z následujících poskytovatelů úložiště klíčů (KSP):

      • Instalace do čipu TPM (Trusted Platform Module), pokud existuje
      • Instalace do čipu TPM (Trusted Platform Module) v opačném případě selže
      • Instalace do Windows Hello pro firmy jinak selže
      • Instalace do poskytovatele úložiště softwarových klíčů

  9. Dokončete průvodce.

Konfigurace nastavení certifikátu PFX pro svěření certifikační autority

  1. V části Konfigurace digitálního ID zvolte konfigurační profil. Správce pověření vytvoří možnosti konfigurace digitálního ID.

  2. Pokud chcete použít profil certifikátu pro podepisování nebo šifrování S/MIME, povolte použití certifikátu.

    Když tuto možnost povolíte, doručí se všechny certifikáty PFX přidružené k cílovému uživateli do všech jeho zařízení. Pokud tuto možnost nepovolíte, každé zařízení obdrží jedinečný certifikát.

  3. Pokud chcete namapovat tokeny formátu názvu subjektu na pole Configuration Manager, vyberte Formát.

    Dialogové okno Formátování názvu certifikátu obsahuje seznam proměnných konfigurace Svěřit digitální ID. Pro každou proměnnou Entrust zvolte odpovídající pole Configuration Manager.

  4. Pokud chcete namapovat tokeny alternativního názvu subjektu na podporované proměnné LDAP, vyberte Formát.

    Dialogové okno Formátování názvu certifikátu obsahuje seznam proměnných konfigurace Svěřit digitální ID. Pro každou proměnnou Entrust zvolte příslušnou proměnnou LDAP.

  5. Prahová hodnota pro prodloužení platnosti: Určuje, kdy se certifikáty automaticky prodlužují, na základě procenta zbývající doby před vypršením platnosti.

  6. Nastavte dobu platnosti certifikátu na dobu životnosti certifikátu.

  7. Když bod registrace certifikátu určuje přihlašovací údaje služby Active Directory, povolte publikování služby Active Directory.

  8. Pokud jste vybrali jednu nebo více Windows 10 podporovaných platforem:

    1. Nastavte úložiště certifikátů Windows na Uživatel. (Možnost Místní počítač nenasazuje certifikáty, nevybírejte ji.)

    2. Vyberte jednoho z následujících poskytovatelů úložiště klíčů (KSP):

      • Instalace do čipu TPM (Trusted Platform Module), pokud existuje
      • Instalace do čipu TPM (Trusted Platform Module) v opačném případě selže
      • Instalace do Windows Hello pro firmy jinak selže
      • Instalace do poskytovatele úložiště softwarových klíčů

  9. Dokončete průvodce.

Nasazení profilu

Po vytvoření profilu certifikátu je teď k dispozici v uzlu Profily certifikátů . Další informace o tom, jak ho nasadit, najdete v tématu Nasazení profilů přístupu k prostředkům.

Viz také

Vytvoření nového profilu certifikátu

Import profilů certifikátů PFX

Nasazení profilů Wi-Fi, VPN, e-mailu a certifikátů