Erstellen von PFX-Zertifikatprofilen mithilfe einer Zertifizierungsstelle
Gilt für: Configuration Manager (Current Branch)
Erfahren Sie, wie Sie ein Zertifikatprofil erstellen, das eine Zertifizierungsstelle für Anmeldeinformationen verwendet. In diesem Artikel werden spezifische Informationen zu PFX-Zertifikatprofilen (Personal Information Exchange) erläutert. Weitere Informationen zum Erstellen und Konfigurieren dieser Profile finden Sie unter Zertifikatprofile.
mit Configuration Manager können Sie ein PFX-Zertifikatprofil mithilfe von Anmeldeinformationen erstellen, die von einer Zertifizierungsstelle ausgestellt wurden. Sie können Microsoft oder Entrust als Zertifizierungsstelle auswählen. Bei der Bereitstellung auf Benutzergeräten generieren PFX-Dateien benutzerspezifische Zertifikate, um den verschlüsselten Datenaustausch zu unterstützen.
Informationen zum Importieren von Zertifikatanmeldeinformationen aus vorhandenen Zertifikatdateien finden Sie unter Importieren von PFX-Zertifikatprofilen.
Voraussetzungen
Bevor Sie mit dem Erstellen eines Zertifikatprofils beginnen, stellen Sie sicher, dass die erforderlichen Voraussetzungen bereit sind. Weitere Informationen finden Sie unter Voraussetzungen für Zertifikatprofile. Für PFX-Zertifikatprofile benötigen Sie beispielsweise eine Standortsystemrolle für den Zertifikatregistrierungspunkt .
Erstellen eines Profils
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität, erweitern Sie Konformitätseinstellungen, erweitern Sie Unternehmensressourcenzugriff, und wählen Sie dann Zertifikatprofile aus.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Zertifikatprofil erstellen aus.
Geben Sie auf der Seite Allgemein des Assistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:
Name: Geben Sie einen eindeutigen Namen für das Zertifikatprofil ein. Sie können maximal 256 Zeichen verwenden.
Beschreibung: Geben Sie eine Beschreibung an, die eine Übersicht über das Zertifikatprofil bietet, mit deren Hilfe es in der Configuration Manager-Konsole identifiziert werden kann. Sie können maximal 256 Zeichen verwenden.
Wählen Sie Persönliche Informationsaustausch - PKCS #12 (PFX)-Einstellungen – Erstellen aus. Diese Option fordert ein Zertifikat im Namen eines Benutzers von einer verbundenen lokalen Zertifizierungsstelle an. Wählen Sie Ihre Zertifizierungsstelle aus: Microsoft oder Entrust.
Hinweis
Die Option Importieren ruft Informationen aus einem vorhandenen Zertifikat ab, um ein Zertifikatprofil zu erstellen. Weitere Informationen finden Sie unter Importieren von PFX-Zertifikatprofilen.
Wählen Sie auf der Seite Unterstützte Plattformen die Betriebssystemversionen aus, die dieses Zertifikatprofil unterstützt. Weitere Informationen zu unterstützten Betriebssystemversionen für Ihre Version von Configuration Manager finden Sie unter Unterstützte Betriebssystemversionen für Clients und Geräte.
Wählen Sie auf der Seite Zertifizierungsstellen den Zertifikatregistrierungspunkt (Certificate Registration Point, CRP) aus, um die PFX-Zertifikate zu verarbeiten:
- Primärer Standort: Wählen Sie den Server aus, der die CRP-Rolle für die Zertifizierungsstelle enthält.
- Zertifizierungsstellen: Wählen Sie die entsprechende Zertifizierungsstelle aus.
Weitere Informationen finden Sie unter Zertifikatinfrastruktur.
Die Einstellungen auf der Seite PFX-Zertifikat variieren je nach ausgewählter Zertifizierungsstelle auf der Seite Allgemein :
Konfigurieren von PFX-Zertifikateinstellungen für Microsoft Zertifizierungsstelle
Wählen Sie unter Name der Zertifikatvorlage die Zertifikatvorlage aus.
Um das Zertifikatprofil für die S/MIME-Signatur oder -Verschlüsselung zu verwenden, aktivieren Sie Die Zertifikatverwendung.
Wenn Sie diese Option aktivieren, werden alle PFX-Zertifikate, die dem Zielbenutzer zugeordnet sind, an alle Geräte übermittelt. Wenn Sie diese Option nicht aktivieren, erhält jedes Gerät ein eindeutiges Zertifikat.
Legen Sie das Format des Antragstellernamens entweder auf Allgemeiner Name oder Vollständiger Distinguished Name fest. Wenn Sie nicht sicher sind, welche Sie verwenden möchten, wenden Sie sich an den Administrator Ihrer Zertifizierungsstelle.
Aktivieren Sie für den alternativen AntragstellernamenEmail Adresse und Benutzerprinzipalname (User Principle Name, UPN), die für Ihre Zertifizierungsstelle geeignet sind.
Verlängerungsschwellenwert: Bestimmt, wann Zertifikate automatisch verlängert werden, basierend auf dem Prozentsatz der verbleibenden Zeit vor dem Ablauf.
Legen Sie die Gültigkeitsdauer des Zertifikats auf die Lebensdauer des Zertifikats fest.
Wenn der Zertifikatregistrierungspunkt Active Directory-Anmeldeinformationen angibt, aktivieren Sie die Active Directory-Veröffentlichung.
Wenn Sie mindestens eine Windows 10 unterstützten Plattformen ausgewählt haben:
Legen Sie den Windows-Zertifikatspeicher auf Benutzer fest. (Die Option Lokaler Computer stellt keine Zertifikate bereit, wählen Sie sie nicht aus.)
Wählen Sie einen der folgenden Schlüsselspeicheranbieter (Key Storage Provider, KSP) aus:
- Installation auf Trusted Platform Module (TPM), falls vorhanden
- Bei der Installation auf trusted Platform Module (TPM) tritt andernfalls ein Fehler auf.
- Installation auf Windows Hello for Business andernfalls fehlschlagen
- Installieren beim Softwareschlüsselspeicheranbieter
Schließen Sie den Assistenten ab.
Konfigurieren von PFX-Zertifikateinstellungen für Entrust-Zertifizierungsstelle
Wählen Sie für die Konfiguration der digitalen ID das Konfigurationsprofil aus. Der Entrust-Administrator erstellt die Konfigurationsoptionen für die digitale ID.
Um das Zertifikatprofil für die S/MIME-Signatur oder -Verschlüsselung zu verwenden, aktivieren Sie Die Zertifikatverwendung.
Wenn Sie diese Option aktivieren, werden alle PFX-Zertifikate, die dem Zielbenutzer zugeordnet sind, an alle Geräte übermittelt. Wenn Sie diese Option nicht aktivieren, erhält jedes Gerät ein eindeutiges Zertifikat.
Wählen Sie Formatieren aus, um Token im Format von Entrust-Antragstellernamen Configuration Manager Feldern zuzuordnen.
Im Dialogfeld Zertifikatnamenformatierung werden die Konfigurationsvariablen von Entrust Digital ID aufgelistet. Wählen Sie für jede Entrust-Variable die entsprechenden Configuration Manager Felder aus.
Wählen Sie Format aus, um Token des alternativen Antragstellernamens von Entrust unterstützten LDAP-Variablen zuzuordnen.
Im Dialogfeld Zertifikatnamenformatierung werden die Konfigurationsvariablen von Entrust Digital ID aufgelistet. Wählen Sie für jede Entrust-Variable die entsprechende LDAP-Variable aus.
Verlängerungsschwellenwert: Bestimmt, wann Zertifikate automatisch verlängert werden, basierend auf dem Prozentsatz der verbleibenden Zeit vor dem Ablauf.
Legen Sie die Gültigkeitsdauer des Zertifikats auf die Lebensdauer des Zertifikats fest.
Wenn der Zertifikatregistrierungspunkt Active Directory-Anmeldeinformationen angibt, aktivieren Sie die Active Directory-Veröffentlichung.
Wenn Sie mindestens eine Windows 10 unterstützten Plattformen ausgewählt haben:
Legen Sie den Windows-Zertifikatspeicher auf Benutzer fest. (Die Option Lokaler Computer stellt keine Zertifikate bereit, wählen Sie sie nicht aus.)
Wählen Sie einen der folgenden Schlüsselspeicheranbieter (Key Storage Provider, KSP) aus:
- Installation auf Trusted Platform Module (TPM), falls vorhanden
- Bei der Installation auf trusted Platform Module (TPM) tritt andernfalls ein Fehler auf.
- Installation auf Windows Hello for Business andernfalls fehlschlagen
- Installieren beim Softwareschlüsselspeicheranbieter
Schließen Sie den Assistenten ab.
Bereitstellen des Profils
Nachdem Sie ein Zertifikatprofil erstellt haben, ist es jetzt im Knoten Zertifikatprofile verfügbar. Weitere Informationen zum Bereitstellen finden Sie unter Bereitstellen von Ressourcenzugriffsprofilen.
Siehe auch
Erstellen eines neuen Zertifikatprofils
Importieren von PFX-Zertifikatprofilen
Bereitstellen von WLAN-, VPN-, E-Mail- und Zertifikatprofilen