Vytvoření profilů certifikátů
Platí pro: Configuration Manager (Current Branch)
Důležité
Od verze 2203 se tato funkce přístupu k prostředkům společnosti už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.
Profily certifikátů v Configuration Manager můžete použít ke zřízení spravovaných zařízení s certifikáty, které potřebují pro přístup k prostředkům společnosti. Před vytvořením profilů certifikátů nastavte infrastrukturu certifikátů, jak je popsáno v tématu Nastavení infrastruktury certifikátů.
Tento článek popisuje, jak vytvořit profily důvěryhodných kořenových certifikátů a profilů certifikátů SCEP (Simple Certificate Enrollment Protocol). Pokud chcete vytvořit profily certifikátů PFX, přečtěte si téma Vytvoření profilů certifikátů PFX.
Vytvoření profilu certifikátu:
- Spusťte Průvodce vytvořením profilu certifikátu.
- Zadejte obecné informace o certifikátu.
- Nakonfigurujte certifikát důvěryhodné certifikační autority (CA).
- Nakonfigurujte informace o certifikátu SCEP.
- Zadejte podporované platformy pro profil certifikátu.
Spuštění průvodce
Vytvoření profilu certifikátu spustíte tak, že:
V konzole Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita, rozbalte Položku Nastavení dodržování předpisů, rozbalte položku Přístup k prostředkům společnosti a pak vyberte uzel Profily certifikátů.
Na pásu karet na kartě Domů ve skupině Vytvořit vyberte Vytvořit profil certifikátu.
Obecné
Na stránce Obecné v Průvodci vytvořením profilu certifikátu zadejte následující informace:
Název: Zadejte jedinečný název profilu certifikátu. Můžete použít maximálně 256 znaků.
Popis: Zadejte popis, který poskytuje přehled profilu certifikátu. Uveďte také další důležité informace, které vám pomůžou ji identifikovat v konzole Configuration Manager. Můžete použít maximálně 256 znaků.
Zadejte typ profilu certifikátu, který chcete vytvořit:
Certifikát důvěryhodné certifikační autority: Tento typ vyberte, pokud chcete nasadit důvěryhodnou kořenovou certifikační autoritu (CA) nebo certifikát zprostředkující certifikační autority, aby se vytvořil řetěz důvěryhodných certifikátů v případě, že uživatel nebo zařízení musí ověřit jiné zařízení. Zařízení může být například server RADIUS (Remote Authentication Dial-In User Service) nebo server virtuální privátní sítě (VPN).
Před vytvořením profilu certifikátu SCEP také nakonfigurujte profil certifikátu důvěryhodné certifikační autority. V takovém případě musí být certifikát důvěryhodné certifikační autority pro certifikační autoritu, která certifikát vydává uživateli nebo zařízení.
Nastavení protokolu SCEP (Simple Certificate Enrollment Protocol): Tento typ vyberte, pokud chcete požádat o certifikát pro uživatele nebo zařízení s protokolem Simple Certificate Enrollment Protocol a službou role NDES (Network Device Enrollment Service).
Nastavení PKCS #12 (PFX) personal Information Exchange – Import: Tuto možnost vyberte, pokud chcete importovat certifikát PFX. Další informace najdete v tématu Import profilů certifikátů PFX.
Nastavení PKCS #12 (PFX) personal Information Exchange – Vytvořit: Tuto možnost vyberte, pokud chcete zpracovávat certifikáty PFX pomocí certifikační autority. Další informace najdete v tématu Vytvoření profilů certifikátů PFX.
Certifikát důvěryhodné certifikační autority
Důležité
Před vytvořením profilu certifikátu SCEP nakonfigurujte alespoň jeden profil certifikátu důvěryhodné certifikační autority.
Pokud po nasazení certifikátu změníte některou z těchto hodnot, vyžádá se nový certifikát:
- Poskytovatel úložiště klíčů
- Název šablony certifikátu
- Typ certifikátu
- Formát názvu subjektu
- Alternativní název subjektu
- Doba platnosti certifikátu
- Použití klíče
- Velikost klíče
- Rozšířené použití klíče
- Certifikát kořenové certifikační autority
Na stránce Certifikát důvěryhodné certifikační autority v Průvodci vytvořením profilu certifikátu zadejte následující informace:
Soubor certifikátu: Vyberte Importovat a pak přejděte k souboru certifikátu.
Cílové úložiště: U zařízení, která mají více než jedno úložiště certifikátů, vyberte, kam chcete certifikát uložit. U zařízení, která mají jenom jedno úložiště, se toto nastavení ignoruje.
Pomocí hodnoty kryptografického otisku certifikátu ověřte, že jste importovali správný certifikát.
Certifikáty SCEP
1. Servery SCEP
Na stránce Servery SCEP v Průvodci vytvořením profilu certifikátu zadejte adresy URL pro servery NDES, které budou vydávat certifikáty prostřednictvím SCEP. Adresu URL NDES můžete automaticky přiřadit na základě konfigurace bodu registrace certifikátu nebo přidat adresy URL ručně.
2. Registrace SCEP
Dokončete stránku Registrace SCEP v Průvodci vytvořením profilu certifikátu.
Opakování: Zadejte, kolikrát zařízení automaticky opakuje žádost o certifikát na server NDES. Toto nastavení podporuje scénář, ve kterém musí správce certifikační autority schválit žádost o certifikát před jejím přijetím. Toto nastavení se obvykle používá v prostředích s vysokou úrovní zabezpečení nebo v případě, že máte samostatnou certifikační autoritu vydávající místo certifikační autority organizace. Toto nastavení můžete také použít pro účely testování, abyste mohli zkontrolovat možnosti žádosti o certifikát předtím, než vydávající certifikační autorita žádost o certifikát zpracuje. Toto nastavení použijte s nastavením Zpoždění opakování (minuty).
Zpoždění opakování (minuty): Zadejte interval (v minutách) mezi každým pokusem o registraci, když použijete schválení správce certifikační autority před tím, než vydávající certifikační autorita zpracuje žádost o certifikát. Pokud pro účely testování používáte schválení nadřízeným, zadejte nízkou hodnotu. Pak nečekáte dlouho, až zařízení po schválení žádosti zopakuje žádost o certifikát.
Pokud v produkční síti používáte schválení nadřízeným, zadejte vyšší hodnotu. Toto chování poskytuje správci certifikační autority dostatek času na schválení nebo zamítnutí čekajících na schválení.
Prahová hodnota obnovení (%): Zadejte procento životnosti certifikátu, která zůstane před tím, než zařízení požádá o prodloužení platnosti certifikátu.
Zprostředkovatel úložiště klíčů (KSP): Určete, kam se uloží klíč k certifikátu. Vyberte jednu z následujících hodnot:
Nainstalovat do čipu TPM (Trusted Platform Module), pokud existuje: Nainstaluje klíč do čipu TPM. Pokud čip TPM neexistuje, klíč se nainstaluje k poskytovateli úložiště pro softwarový klíč.
Instalace do čipu TPM (Trusted Platform Module) v opačném případě selže: Nainstaluje klíč do čipu TPM. Pokud modul TPM není k dispozici, instalace se nezdaří.
Instalace Windows Hello pro firmy jinak selže: Tato možnost je dostupná pro Windows 10 nebo novější zařízení. Umožňuje uložit certifikát do úložiště Windows Hello pro firmy, které je chráněno vícefaktorovým ověřováním. Další informace najdete v tématu Windows Hello pro firmy.
Poznámka
Tato možnost nepodporuje přihlášení pomocí čipové karty pro použití rozšířeného klíče na stránce Vlastnosti certifikátu.
Nainstalovat do poskytovatele úložiště softwarových klíčů: Nainstaluje klíč do poskytovatele úložiště pro softwarový klíč.
Zařízení pro zápis certifikátu: Pokud nasadíte profil certifikátu do kolekce uživatelů, povolte zápis certifikátu jenom na primárním zařízení uživatele nebo na libovolném zařízení, ke kterému se uživatel přihlašuje.
Pokud nasadíte profil certifikátu do kolekce zařízení, povolte zápis certifikátu jenom primárnímu uživateli zařízení nebo všem uživatelům, kteří se k zařízení přihlašují.
3. Vlastnosti certifikátu
Na stránce Vlastnosti certifikátu v Průvodci vytvořením profilu certifikátu zadejte následující informace:
Název šablony certifikátu: Vyberte název šablony certifikátu, kterou jste nakonfigurovali v NDES a přidali do vydávající certifikační autority. K úspěšnému procházení šablon certifikátů potřebuje váš uživatelský účet oprávnění ke čtení šablony certifikátu. Pokud nemůžete vyhledat certifikát, zadejte jeho název.
Důležité
Pokud název šablony certifikátu obsahuje jiné znaky než ASCII, certifikát se nenasadí. (Jeden příklad těchto znaků je z čínské abecedy.) Abyste měli jistotu, že je certifikát nasazený, vytvořte nejprve kopii šablony certifikátu v certifikační autoritě. Potom přejmenujte kopii pomocí znaků ASCII.
Pokud vyberete název šablony certifikátu, některá pole na stránce se automaticky vyplní ze šablony certifikátu. V některých případech nemůžete tyto hodnoty změnit, pokud nevyberete jinou šablonu certifikátu.
Pokud zadáte název šablony certifikátu, ujistěte se, že název přesně odpovídá jedné ze šablon certifikátů. Musí se shodovat s názvy, které jsou uvedené v registru serveru NDES. Ujistěte se, že jste zadali název šablony certifikátu, a ne zobrazovaný název šablony certifikátu.
Pokud chcete najít názvy šablon certifikátů, přejděte k následujícímu klíči registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
. Uvádí šablony certifikátů jako hodnoty pro EncryptionTemplate, GeneralPurposeTemplate a SignatureTemplate. Ve výchozím nastavení je hodnota pro všechny tři šablony certifikátů IPSECIntermediateOffline, která se mapuje na zobrazovaný název šablony IPSec (offline požadavek).Upozornění
Když zadáte název šablony certifikátu, Configuration Manager nebude možné ověřit obsah šablony certifikátu. Možná budete moct vybrat možnosti, které šablona certifikátu nepodporuje, což může vést k selhání žádosti o certifikát. Když k tomuto chování dojde, zobrazí se v souboru CPR.log chybová zpráva pro w3wp.exe, že název šablony v žádosti o podepsání certifikátu (CSR) a výzva neodpovídají.
Když zadáte název šablony certifikátu, který je určený pro hodnotu GeneralPurposeTemplate , vyberte pro tento profil certifikátu možnosti Šifrování klíče a digitální podpis . Pokud chcete v tomto profilu certifikátu povolit pouze možnost šifrování klíče , zadejte název šablony certifikátu pro klíč EncryptionTemplate . Podobně pokud chcete v tomto profilu certifikátu povolit pouze možnost Digitální podpis , zadejte název šablony certifikátu pro klíč SignatureTemplate .
Typ certifikátu: Vyberte, jestli certifikát nasadíte do zařízení nebo uživatele.
Formát názvu subjektu: Vyberte, jak Configuration Manager automaticky vytvoří název subjektu v žádosti o certifikát. Pokud je certifikát určený pro uživatele, můžete do názvu subjektu zahrnout také e-mailovou adresu uživatele.
Poznámka
Pokud vyberete číslo IMEI nebo Sériové číslo, můžete rozlišovat mezi různými zařízeními vlastněnými stejným uživatelem. Tato zařízení například můžou sdílet běžný název, ale ne číslo IMEI nebo sériové číslo. Pokud zařízení nenahlásí IMEI nebo sériové číslo, certifikát se vystaví s běžným názvem.
Alternativní název subjektu: Určete, jak Configuration Manager automaticky vytvoří hodnoty pro alternativní název subjektu (SAN) v žádosti o certifikát. Pokud jste například vybrali typ certifikátu uživatele, můžete do alternativního názvu subjektu zahrnout hlavní název uživatele (UPN). Pokud se klientský certifikát ověří na serveru Network Policy Server, nastavte alternativní název subjektu na hlavní název uživatele (UPN).
Doba platnosti certifikátu: Pokud u vydávající certifikační autority nastavíte vlastní dobu platnosti, zadejte zbývající dobu do vypršení platnosti certifikátu.
Tip
Nastavte vlastní dobu platnosti pomocí následujícího příkazového řádku:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
Další informace o tomto příkazu najdete v tématu Infrastruktura certifikátů.Můžete zadat hodnotu, která je nižší než doba platnosti v zadané šabloně certifikátu, ale ne vyšší. Pokud je například doba platnosti certifikátu v šabloně certifikátu dva roky, můžete zadat hodnotu jednoho roku, ale ne pět let. Hodnota musí být také nižší než zbývající doba platnosti certifikátu vydávající certifikační autority.
Použití klíče: Zadejte možnosti použití klíče pro certifikát. Zvolte některou z následujících možností:
Šifrování klíčů: Umožňuje výměnu klíčů jenom v případech, kdy je klíč zašifrovaný.
Digitální podpis: Umožňuje výměnu klíčů jenom v případech, kdy digitální podpis pomáhá chránit klíč.
Pokud jste hledali šablonu certifikátu, nemůžete tato nastavení změnit, pokud nevyberete jinou šablonu certifikátu.
Nakonfigurujte vybranou šablonu certifikátu s jednou nebo oběma výše dvěma možnostmi použití klíče. Pokud ne, v souboru protokolu bodu registrace certifikátu Crp.log se zobrazí následující zpráva: Použití klíče v CSR a výzvě se neshoduje.
Velikost klíče (bity): Vyberte velikost klíče v bitech.
Rozšířené použití klíče: Přidejte hodnoty pro zamýšlený účel certifikátu. Ve většině případů certifikát vyžaduje ověření klienta , aby se uživatel nebo zařízení mohl ověřit na serveru. Podle potřeby můžete přidat jakékoli další použití klíčů.
Hashovací algoritmus: Vyberte jeden z dostupných typů hashovacího algoritmu, který chcete použít s tímto certifikátem. Vyberte nejvyšší úroveň zabezpečení, kterou připojující se zařízení podporují.
Poznámka
SHA-2 podporuje SHA-256, SHA-384 a SHA-512. SHA-3 podporuje pouze SHA-3.
Certifikát kořenové certifikační autority: Zvolte profil certifikátu kořenové certifikační autority, který jste dříve nakonfigurovali a nasadili pro uživatele nebo zařízení. Tento certifikát certifikační autority musí být kořenovým certifikátem pro certifikační autoritu, která vydá certifikát, který konfigurujete v tomto profilu certifikátu.
Důležité
Pokud zadáte certifikát kořenové certifikační autority, který není nasazený pro uživatele nebo zařízení, Configuration Manager nezahájí žádost o certifikát, kterou konfigurujete v tomto profilu certifikátu.
Podporované platformy
Na stránce Podporované platformy v Průvodci vytvořením profilu certifikátu vyberte verze operačního systému, do kterých chcete profil certifikátu nainstalovat. Zvolte Vybrat vše a nainstalujte profil certifikátu do všech dostupných operačních systémů.
Další kroky
Nový profil certifikátu se zobrazí v uzlu Profily certifikátů v pracovním prostoru Prostředky a kompatibilita . Je připravený k nasazení pro uživatele nebo zařízení. Další informace najdete v tématu Postup nasazení profilů.