Freigeben über

Konfigurieren von Microsoft Cloud PKI – Bring Your Own Ca

In diesem Artikel wird beschrieben, wie Sie Microsoft Cloud PKI für Intune mit Ihrer eigenen Zertifizierungsstelle konfigurieren. Mit dem Intune unterstützten BYOCA-Bereitstellungsmodell (Bring Your Own Ca) können Sie eine private ausstellende Zertifizierungsstelle in der Cloud erstellen und in Ihrer lokalen oder privaten Zertifizierungsstelle verankern. Die private Zertifizierungsstelle kann aus N+1-Zertifizierungsstellenhierarchien bestehen.

Voraussetzungen

Weitere Informationen zur Vorbereitung Ihres Mandanten für Microsoft Cloud PKI, einschließlich der wichtigsten Konzepte und Anforderungen, finden Sie unter:

  • Übersicht über Microsoft Cloud PKI für Intune: Überprüfen Sie die Architektur, die Mandantenanforderungen, eine Featurezusammenfassung sowie bekannte Probleme und Einschränkungen.

  • Bereitstellungsmodelle: Überprüfen Sie die Microsoft Cloud PKI Bereitstellungsoptionen.

  • Grundlagen: Sehen Sie sich die PKI-Grundlagen und -Konzepte an, die vor der Konfiguration und Bereitstellung wichtig sind.

Rollenbasierte Zugriffssteuerung

Das Konto, das Sie zum Anmelden beim Microsoft Intune Admin Center verwenden, muss über die Berechtigung zum Erstellen einer Zertifizierungsstelle verfügen. Das Konto Microsoft Entra Intune Administrator (auch als Intune-Dienstadministrator bezeichnet) verfügt über die entsprechenden integrierten Berechtigungen zum Erstellen von Zertifizierungsstellen. Alternativ können Sie einem Administratorbenutzer Cloud PKI Zertifizierungsstellenberechtigungen zuweisen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.

Schritt 1: Erstellen einer ausstellenden Zertifizierungsstelle und einer Zertifikatsignieranforderung

Erstellen Sie eine ausstellende Zertifizierungsstelle im Microsoft Intune Admin Center.

  1. Wechseln Sie zu Mandantenverwaltung>Cloud PKI, und wählen Sie dann Erstellen aus.

    Abbildung der Seite Microsoft Intune Admin Center Cloud PKI, auf der der Pfad zum Erstellen einer Cloud PKI Stammzertifizierungsstelle hervorgehoben ist.

  2. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen beschreibenden Namen für das ZS-Objekt ein. Benennen Sie ihn, damit Sie ihn später leicht identifizieren können. Beispiel: Contoso BYOCA stellt eine Zertifizierungsstelle aus
    • Beschreibung: Geben Sie eine Beschreibung für das Ca-Objekt ein. Diese Einstellung ist optional, wird jedoch empfohlen. Beispiel: Cloud PKI ausstellenden Zertifizierungsstelle mithilfe einer bring-your-own-root-CA, die an einer lokalen ADCS-Ausstellenden Zertifizierungsstelle verankert ist

  3. Wählen Sie Weiter aus, um mit den Konfigurationseinstellungen fortzufahren.

  4. Wählen Sie den Zertifizierungsstellentyp und die Quelle der Stammzertifizierungsstelle aus.

    Admin Center mit den Quelleinstellungen der Stammzertifizierungsstelle des Zertifizierungsstellentyps für Bring Your Own Ca Cloud PKI.

    Konfigurieren Sie die folgenden Einstellungen für die ausstellende Zertifizierungsstelle:

    • Zertifizierungsstellentyp: Wählen Sie Ausstellende Zertifizierungsstelle aus.
    • Quelle der Stammzertifizierungsstelle: Wählen Sie Bring Your Own Root CA (Eigene Stammzertifizierungsstelle verwenden) aus. Diese Einstellung gibt die Stammzertifizierungsstelle an, die die ausstellende Zertifizierungsstelle verankert.

  5. Gültigkeitszeitraum überspringen. Diese Einstellung kann nicht konfiguriert werden. Die Zertifizierungsstelle, die Sie zum Signieren der BYOCA-Zertifikatsignaturanforderung verwenden, bestimmt den Gültigkeitszeitraum.

  6. Wählen Sie für Erweiterte Schlüsselverwendungen aus, wie Sie die Zertifizierungsstelle verwenden möchten.

    Abbildung der Registerkarte

    Um potenzielle Sicherheitsrisiken zu vermeiden, sind Zertifizierungsstellen auf die ausgewählte Verwendung beschränkt. Ihre Optionen:

  7. Geben Sie unter Antragstellerattribute einen allgemeinen Namen (Common Name, CN) für die ausstellende Zertifizierungsstelle ein.

    Intune Admin Center mit einstellungen für Cloud PKI Betreffattribute.

    Zu den optionalen Attributen gehören:

    • Organisation (O)
    • Organisationseinheit
    • Land (C)
    • Bundesland/Provinz (ST)
    • Ort (L)

    Um die PKI-Standards einzuhalten, erzwingt Intune ein Zweizeichenlimit für Land/Region.

  8. Geben Sie unter Verschlüsselung die Schlüsselgröße ein.

    Abbildung der Schlüsselgröße und der Algorithmuseinstellung in Cloud PKI Konfigurationseinstellungen.

    Ihre Optionen:

    • RSA-2048

    • RSA-3072

    • RSA-4096

    Diese Einstellung erzwingt die Obergrenze der Schlüsselgröße, die beim Konfigurieren eines SCEP-Zertifikatprofils für die Gerätekonfiguration in Intune verwendet werden kann. Es ermöglicht Ihnen, eine beliebige Schlüsselgröße bis zu dem auszuwählen, was auf der Cloud PKI ausstellenden Zertifizierungsstelle festgelegt ist. Beachten Sie, dass die Schlüsselgröße 1024 und der SHA-1-Hash nicht mit Cloud PKI unterstützt werden. Der Hashalgorithmus muss jedoch nicht bereitgestellt werden. Die Zertifizierungsstelle, die Sie zum Signieren der CSR verwenden, bestimmt den Hashalgorithmus.

  9. Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.

  10. Optional können Sie Bereichstags hinzufügen, um die Sichtbarkeit und den Zugriff auf diese Zertifizierungsstelle zu steuern.

  11. Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.

  12. Überprüfen Sie die bereitgestellte Zusammenfassung. Wenn Sie bereit sind, alles fertig zu stellen, wählen Sie Erstellen aus.

    Wichtig

    Sie können diese Eigenschaften nach dem Erstellen der Zertifizierungsstelle nicht mehr bearbeiten. Wählen Sie Zurück aus, um die Einstellungen zu bearbeiten und sicherzustellen, dass sie korrekt sind und Ihre PKI-Anforderungen erfüllen. Wenn Sie später eine EKU hinzufügen müssen, müssen Sie eine neue Zertifizierungsstelle erstellen.

  13. Kehren Sie zur liste der Microsoft Cloud PKI Zertifizierungsstellen im Admin Center zurück. Wählen Sie Aktualisieren aus, um Ihre neue Zertifizierungsstelle anzuzeigen.

  14. Wählen Sie die Zertifizierungsstelle aus. Unter Grundlagen sollte der status Signatur erforderlich lesen.

  15. Wechseln Sie zu Eigenschaften.

  16. Wählen Sie CSR herunterladen aus. Warten Sie, während Intune eine DATEI im REQ-Format mit dem Namen der Zertifizierungsstelle herunterlädt. Beispiel: Contoso BYOCA issuing CA.req

Schritt 2: Signieren einer Zertifikatsignieranforderung

Eine private Zertifizierungsstelle ist erforderlich, um die heruntergeladene Zertifikatsignieranforderungsdatei (Certificate Signing Request, CSR) zu signieren. Die Signaturzertifizierungsstelle kann eine Stamm- oder ausstellende Zertifizierungsstelle einer beliebigen Ebene der privaten Zertifizierungsstelle sein. Es gibt zwei Möglichkeiten zum Signieren:

  • Option 1: Verwenden Sie die Webregistrierung der Zertifizierungsstelle, ein Feature von Active Directory Certificate Services (ADCS). Diese Option bietet eine einfache Weboberfläche, mit der Sie administratorspezifische Aufgaben wie das Anfordern und Erneuern von Zertifikaten ausführen können.

  • Option 2: Verwenden Sie die ausführbare Datei des Windows ADCS-Befehlszeilentools certreq.exe .

In der folgenden Tabelle sind die Objektbezeichner (OID) aufgeführt, die für das Signieren von Zertifikaten unterstützt werden, die in BYOCA-Bereitstellungen verwendet werden.

Subject name-Eigenschaft Objektbezeichner
Allgemeiner Name (Common Name, CN) OID.2.5.4.3
Organisation (O) OID.2.5.4.10
Organisationseinheit (OE) OID.2.5.4.11
Ort (L) OID.2.5.4.7
Bundesstaat (ST) oder Provinz OID.2.5.4.8
Land (C) OID.2.5.4.6
Titel (T) OID.2.5.4.12
Seriennummer OID.2.5.4.5
Email (E) OID.1.2.840.113549.1.9.1
Domänenkomponente (DC) OID.0.9.2342.19200300.100.1.25
Straße OID.2.5.4.9
Vorname OID.2.5.4.42
Initialen OID.2.5.4.43
Postleitzahl OID.2.5.4.17
Distinguished Name-Qualifizierer OID.2.5.4.46

Weitere Informationen zum Signieren von Zertifikaten finden Sie in der Hilfedokumentation Ihrer Zertifizierungsstelle.

Option 1: Webregistrierung der Zertifizierungsstelle

Verwenden Sie zum Ausführen dieser Schritte notepad.exe auf einem Windows-Gerät oder ein entsprechendes Programm unter macOS.

  1. Öffnen Sie die REQ-Datei, die Sie heruntergeladen haben, nachdem Sie die ausstellende Zertifizierungsstelle erstellt haben. Kopieren Sie den Inhalt der Datei (STRG+C).

  2. Öffnen Sie einen Browser auf einem Gerät, das Zugriff auf den Webhost hat, auf dem die ZS-Webregistrierung ausgeführt wird. Beispiel: https://WebSrv_running_CAWebEnrollment/certsrv

  3. Wählen Sie Zertifikat anfordern aus.

  4. Wählen Sie Erweiterte Zertifikatanforderung aus.

  5. Fügen Sie den Inhalt, den Sie zuvor kopiert haben, in den Bereich Gespeicherte Anforderung ein.

  6. Wählen Sie unter Zertifikatvorlage die Option Untergeordnete Zertifizierungsstelle aus.

    Hinweis

    Die Vorlage der untergeordneten Zertifizierungsstelle muss veröffentlicht und auf der Zertifizierungsstelle verfügbar sein, die das Zertifikat signiert. Öffnen Sie certsrv.msc – Certificate Authority Verwaltungskonsole auf Ihrem Gerät, um verfügbare Zertifikatvorlagen anzuzeigen.

  7. Wählen Sie Absenden aus, um fortzufahren.

  8. Wählen Sie unter Zertifikat ausgestelltdie Option DER-codiert oder Base 4-codiert aus. Cloud PKI unterstützt beide Dateiformate. Führen Sie dann die folgenden Schritte aus:

    1. Wählen Sie Zertifikat herunterladen aus. Die Zertifikatdatei wird heruntergeladen und als certnew.cer gespeichert.

    2. Wählen Sie Zertifikatkette herunterladen aus. Das signierte Zertifikat wird heruntergeladen, einschließlich der vollständigen Zertifikatkette, der Stammzertifizierungsstelle und aller zwischengeschalteten oder ausstellenden Zertifizierungsstellenzertifikate in der Hierarchie der privaten Zertifizierungsstelle. Die Datei wird als certnew.p7b gespeichert.

    Intune erfordert beide Dateien, um die ausstellende Zertifizierungsstelle für Cloud PKI BYOCA zu aktivieren.

  9. Fahren Sie in diesem Artikel mit Dem Hochladen eines signierten Zertifikats fort, um byoca die ausstellende Zertifizierungsstelle zu aktivieren .

Hinweis

Wenn Sie das Admin Center und die Webregistrierungskonsole der Zertifizierungsstelle von 2 verschiedenen Arbeitsstationen aus verwenden, müssen Sie die 2 Zertifizierungsdateien von der Admin Center-Arbeitsstation kopieren oder darauf zugreifen können.

Option 2: Windows ADCS-Befehlszeilentool

Verwenden Sie das Befehlszeilentoolcertreq.exe , um eine Zertifikatanforderung an eine Zertifizierungsstelle zu übermitteln, in der Sie die Zertifikatvorlage und die Signaturzertifizierungsstelle angeben können. Die zuvor heruntergeladene REQ-Datei muss sich auf dem Windows-Computer befinden, auf dem Sie das Befehlszeilentool ausführen.

Sie können die folgende Syntax in der Befehlszeile verwenden, um eine Zertifikatanforderung mit ihrer ausgewählten Vorlage und Signaturzertifizierungsstelle zu übermitteln:

certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>

Ersetzen Sie die Variablen im Befehl wie folgt:

  1. Ersetzen Sie <template_name> durch den Namen der Zertifikatvorlage, die Sie verwenden möchten.

  2. Ersetzen Sie <CA_server_name><CA_name> durch den Namen des Zertifizierungsstellenservers bzw. den Namen der Zertifizierungsstelle, die Sie zum Signieren der Zertifikatanforderung verwenden möchten.

Für <request_file und response_file> ist keine Aktion erforderlich.>< Sie werden durch den Namen der Datei ersetzt, die die Zertifikatanforderung enthält, und durch den Namen der Datei, die die Antwort der Zertifizierungsstelle enthält.

In den folgenden Beispielen wird beschrieben, wie Sie eine Zertifikatanforderung mithilfe der vorlage der untergeordneten Zertifizierungsstelle übermitteln und sie signiert erhalten.

  • Beispiel 1: Die Signaturzertifizierungsstelle ContosoCA wird auf einem Server namens CA-Server ausgeführt. Sie können den folgenden Befehl verwenden:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer

  • Beispiel 2: Die Signaturzertifizierungsstelle heißt CaleroCorp SubCA (US), die auf einem Server mit dem Namen Win2k16-subCA ausgeführt wird. Sie können den folgenden Befehl verwenden:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"

  • Beispiel 3: Wenn Sie auch ohne Parameter ausführen certreq.exe , werden Sie von Windows aufgefordert, zuerst die REQ-Datei zu identifizieren. Bei diesem Ansatz wird die Windows-Benutzeroberfläche verwendet, um Sie durch den Signierungsprozess zu führen.

Zusätzlich zum signierten Zertifikat benötigen Sie die vollständige Schlüsselkette der privaten Zertifizierungsstelle. Die vollständige Schlüsselkette umfasst die Stammzertifizierungsstelle und alle zwischengeschalteten, ausstellenden oder untergeordneten Zertifizierungsstellen in der Kette. Verwenden Sie die folgende Syntax im Befehlszeilentool, um die vollständige Schlüsselkette in eine P7B-Datei zu exportieren:

certutil [options] -ca.chain OutCACertChainFile [Index]

Führen Sie den Befehl auf einem in die Windows-Domäne eingebundenen Computer mit Netzwerkzugriff auf ADCS aus. Zum Beispiel:

certutil -ca.chain c:\temp\fullChain.p7b

So zeigen Sie die exportierte Kette an und überprüfen, ob der Export im Windows-Datei-Explorer erfolgt ist:

  1. Navigieren Sie zu dem Pfadspeicherort, an den die Datei exportiert wurde.
  2. Doppelklicken Sie auf die Datei, um sie zu öffnen.

In der Datei sollte die vollständige Kette angezeigt werden, einschließlich Stamm- und Zwischenzertifizierungsstellen.

Hinweis

Alternativ können Sie oder certlm.msc verwendencertmgr.msc, um den einzelnen öffentlichen Schlüssel für jede Zertifizierungsstelle in der privaten Zertifizierungsstellenkette zu exportieren. Jede dieser Dateien verfügt über eine CER-Erweiterung.

Schritt 3: Hochladen eines signierten Zertifikats zum Aktivieren der BYOCA-Ausstellenden Zertifizierungsstelle

Sie benötigen Folgendes, um die BYOCA-Cloud PKI signieren zu können und der Zertifizierungsstelle in der Cloud das Ausstellen von Zertifikaten für Intune verwaltete Geräte zu ermöglichen:

  • Ein signiertes Zertifikat für die BYOCA-ausstellende Zertifizierungsstelle.
  • Die vollständige Kette der privaten Zertifizierungsstelle, die zum Signieren der Zertifikatanforderung verwendet wird.

Informationen zum Ausführen dieser Aufgaben, die erforderlich sind, um fortzufahren, finden Sie unter Schritt 2: Signieren einer Zertifikatsignieranforderung. Die Dateien müssen auf demselben Computer verfügbar sein, auf dem das Microsoft Intune Admin Center ausgeführt wird.

  1. Kehren Sie zur liste der Cloud PKI Zertifizierungsstellen im Admin Center zurück. Wählen Sie eine Zertifizierungsstelle aus. Der status sollte signieren erforderlich lauten.

  2. Wechseln Sie zu Eigenschaften, und wählen Sie Signiertes Zertifikat hochladen aus.

  3. Das Fenster Signiertes Zertifikat hochladen wird geöffnet. Wählen Sie unter Signiertes Zertifikat hochladen (.cer, CRT- oder PEM-Datei) die Option Durchsuchen aus. Wählen Sie die signierte Zertifikatdatei aus.

  4. Ziehen Sie unter Upload one or more chain of trust certificates (.cer, .crt .pem oder .p7b)) die Dateien, oder wählen Sie Durchsuchen aus, um nach der Datei auf Ihrem Computer zu suchen.

  5. Wählen Sie Speichern aus, und warten Sie, während Intune das Zertifikat hochlädt. Dies kann einige Minuten dauern.

  6. Aktualisieren Sie die Liste der Zertifizierungsstellen. Die spalte status für Ihre Zertifizierungsstelle sollte jetzt als Aktiv angezeigt werden. Der allgemeine Stammname wird als Externe Stammzertifizierungsstelle angezeigt.

    Abbildung der neu erstellten Zertifizierungsstelle im Admin Center.

Sie können die Zertifizierungsstelle in der Liste auswählen, um die verfügbaren Eigenschaften anzuzeigen. Die Eigenschaften umfassen:

  • Verteilungspunkt-URI der Zertifikatsperrliste (Certificate Revocation List, CRL).

  • AIA-URI (Authority Information Access).

  • Im Cloud PKI ausstellenden Zertifizierungsstelle wird der SCEP-URI angezeigt. Der SCEP-URI muss für jedes von der Plattform ausgestellte Zertifikat in das SCEP-Konfigurationsprofil kopiert werden.

    Wenn Sie bereit sind, den öffentlichen Schlüssel der Zertifizierungsstelle als Vertrauensstellung herunterzuladen, wählen Sie Herunterladen aus.

    Hinweis

    Die AIA-Eigenschaft für eine BYOCA-ausstellende Zertifizierungsstelle wird von der privaten Zertifizierungsstelle definiert und enthält die Eigenschaften, die von der AIA-Konfiguration der privaten Zertifizierungsstelle definiert werden. ADCS verwendet einen LDAP-AIA-Standardspeicherort. Wenn die private Zertifizierungsstelle einen HTTP-AIA-Speicherort bereitstellt, zeigen die BYOCA-Eigenschaften den HTTP-AIA-Speicherort an.

Schritt 4: Erstellen von Zertifikatvertrauensprofilen

Ein Intune vertrauenswürdiges Zertifikatprofil muss für jedes Zertifizierungsstellenzertifikat in der Hierarchie der privaten Zertifizierungsstelle erstellt werden, wenn Sie eine Cloud PKI BYOCA ausstellende Zertifizierungsstelle verwenden, die an einer privaten Zertifizierungsstelle verankert ist. Dieser Schritt ist eine Voraussetzung für jede Plattform (Windows, Android, iOS/iPad, macOS), die Cloud PKI SCEP-Zertifikate ausstellt. Es ist erforderlich, eine Vertrauensstellung mit der Cloud PKI Zertifikatregistrierungsstelle einzurichten, die das SCEP-Protokoll unterstützt.

Weitere Informationen zum Erstellen des Profils finden Sie unter Vertrauenswürdige Zertifikatprofile.

Exportieren von Zertifikaten

Die exportierten Zertifikate werden verwendet, um ein vertrauenswürdiges Zertifikatprofil in Intune für jede Zertifizierungsstelle in der Kette zu erstellen. Wenn Sie eine private Zertifizierungsstelle verwenden, müssen Sie deren Tools verwenden, um die Zertifizierungsstelle Keychain in einen DER- oder Base 4-codierten Formatsatz von Dateien mit einer CER-Erweiterung zu exportieren. Wenn ADCS Ihre private Zertifizierungsstelle ist, können Sie das Windows certutil.exe-Befehlszeilentool verwenden, um die vollständige Keychain der Zertifizierungsstelle in eine P7B-Datei zu exportieren.

Führen Sie den folgenden Befehl auf einem In die Windows-Domäne eingebundenen Computer mit Netzwerkzugriff auf ADCS aus.

certutil [options] -ca.chain OutCACertChainFile [Index]

Zum Beispiel:

certutil -ca.chain c:\temp\fullChain.p7b

Sie können den Windows-Datei-Explorer verwenden, um die exportierte Kette anzuzeigen.

  1. Wechseln Sie zu dem Pfadspeicherort, an dem die P7B-Datei exportiert wurde, und doppelklicken Sie auf die Datei. Die vollständige Kette, einschließlich Stamm- und Zwischenzertifizierungsstellen, sollte in der Kette angezeigt werden.

  2. Klicken Sie mit der rechten Maustaste auf jedes Zertifikat in der Liste.

  3. Wählen Sie Alle Aufgaben>Exportieren aus. Exportieren Sie das vertrauenswürdige Zertifikat im DER-Format. Es wird empfohlen, die exportierte Zertifikatdatei mit demselben allgemeinen Namen der Zertifizierungsstelle zu benennen, der in der Spalte Ausgestellt für des Hilfsprogramms certmgr angezeigt wird. Der Name erleichtert das Auffinden der Stammzertifizierungsstelle in der Liste, da der allgemeine Name unter Ausgestellt für und Ausgestellt von identisch ist.

Erstellen eines vertrauenswürdigen Zertifikatprofils für eine private Stammzertifizierungsstelle

Erstellen Sie ein vertrauenswürdiges Zertifikatprofil mit der exportierten Datei der Stammzertifizierungsstelle, die Sie heruntergeladen haben. Erstellen Sie im Admin Center ein vertrauenswürdiges Zertifikatprofil für jede Betriebssystemplattform, für die Sie das Stammzertifikat der privaten Zertifizierungsstelle verwenden.

Erstellen vertrauenswürdiger Zertifikatprofile für private untergeordnete Zertifizierungsstellen

Erstellen Sie ein vertrauenswürdiges Zertifikatprofil mit der exportierten Zwischendatei oder der ausstellenden Zertifizierungsstelle, die Sie heruntergeladen haben. Erstellen Sie im Admin Center ein vertrauenswürdiges Zertifikatprofil für jede GEWÜNSCHTEOS-Plattform, die das ausstellende Zertifizierungsstellen-Stammzertifikat verwendet.

Erstellen eines vertrauenswürdigen Zertifikatprofils für die Ausstellung einer Zertifizierungsstelle

Tipp

Um Ihre BYOCA-Zertifizierungsstellen in der Zertifizierungsstellenliste zu finden, suchen Sie nach Zertifizierungsstellen mit den folgenden Werten:

  • Typ: Ausstellen
  • Allgemeiner Stammname: Externe Stammzertifizierungsstelle

  1. Wechseln Sie im Admin Center zu Mandantenverwaltung>Cloud PKI.

  2. Wählen Sie die Cloud PKI BYOCA ausstellende Zertifizierungsstelle aus.

  3. Wechseln Sie zu Eigenschaften.

  4. Klicken Sie auf Herunterladen. Warten Sie, während der öffentliche Schlüssel für die ausstellende Zertifizierungsstelle heruntergeladen wird.

  5. Erstellen Sie im Admin Center ein vertrauenswürdiges Zertifikatprofil für jede Betriebssystemplattform, auf die Sie abzielen. Wenn Sie dazu aufgefordert werden, geben Sie den öffentlichen Schlüssel ein, den Sie heruntergeladen haben.

Das ausstellende Zertifizierungsstellenzertifikat, das Sie für Cloud PKI BYOCA heruntergeladen haben, muss auf allen vertrauenden Seiten installiert sein.

Der Dateiname, der den heruntergeladenen öffentlichen Schlüsseln zugewiesen wird, basiert auf den allgemeinen Namen, die in der Zertifizierungsstelle angegeben sind. Einige Browser, z. B. Microsoft Edge, zeigen eine Warnung an, wenn Sie eine Datei mit einer .cer oder einer anderen bekannten Zertifikaterweiterung herunterladen. Wenn Sie diese Warnung erhalten, wählen Sie Beibehalten aus.

Abbildung der Aufforderung zum Herunterladen, in der die Option

Schritt 5: Erstellen eines SCEP-Zertifikatprofils

Hinweis

Nur Cloud PKI ausstellenden Zertifizierungsstellen und BYOCA-Ausstellenden Zertifizierungsstellen können verwendet werden, um SCEP-Zertifikate für Intune verwaltete Geräte auszustellen.

Erstellen Sie ein SCEP-Zertifikatprofil für jede Betriebssystemplattform, die Sie als Ziel verwenden, wie sie es für die vertrauenswürdigen Zertifikatprofile getan haben. Das SCEP-Zertifikatprofil wird verwendet, um ein untergeordnetes Clientauthentifizierungszertifikat von der ausstellenden Zertifizierungsstelle anzufordern. Diese Art von Zertifikat wird in zertifikatbasierten Authentifizierungsszenarien verwendet, z. B. für Wi-Fi und VPN-Zugriff.

  1. Kehren Sie zur Mandantenverwaltung>zurück Cloud PKI.

  2. Wählen Sie eine Zertifizierungsstelle mit einem Ausgabetyp aus.

  3. Wechseln Sie zu Eigenschaften.

  4. Kopieren Sie den SCEP-URI in die Zwischenablage.

  5. Erstellen Sie im Admin Center ein SCEP-Zertifikatprofil für jede Betriebssystemplattform, auf die Sie abzielen.

  6. Verknüpfen Sie im Profil unter Stammzertifikat das Profil des vertrauenswürdigen Zertifikats. Das ausgewählte vertrauenswürdige Zertifikat muss das Zertifikat der Stammzertifizierungsstelle sein, an dem die ausstellende Zertifizierungsstelle in der Zertifizierungsstellenhierarchie verankert ist.

    Abbildung der Stammzertifikateinstellung mit ausgewähltem Zertifikat der Stammzertifizierungsstelle.

  7. Fügen Sie für SCEP-Server-URLS den SCEP-URI ein. Es ist wichtig, die Zeichenfolge {{CloudPKIFQDN}} unverändert zu belassen. Intune ersetzt diese Platzhalterzeichenfolge durch den entsprechenden FQDN, wenn das Profil an das Gerät übermittelt wird. Der FQDN wird im *.manage.microsoft.com-Namespace angezeigt, einem Kern Intune-Endpunkt. Weitere Informationen zu Intune-Endpunkten finden Sie unter Netzwerkendpunkte für Microsoft Intune.

  8. Konfigurieren Sie die verbleibenden Einstellungen gemäß den folgenden bewährten Methoden:

    • Format des Antragstellernamens: Stellen Sie sicher, dass die angegebenen Variablen für das Benutzer- oder Geräteobjekt in Microsoft Entra ID verfügbar sind. Wenn der Zielbenutzer dieses Profils beispielsweise kein E-Mail-Adress-Attribut hat, aber die E-Mail-Adresse in diesem Profil ausgefüllt ist, wird das Zertifikat nicht ausgestellt. Ein Fehler wird auch im SCEP-Zertifikatprofilbericht angezeigt.

    • Erweiterte Schlüsselverwendung: Microsoft Cloud PKI die Option "Beliebiger Zweck" nicht unterstützt.

      Hinweis

      Stellen Sie sicher, dass die ausgewählten EKU(n) auf der Cloud PKI ausstellenden Zertifizierungsstelle (Certificate Authority, CA) konfiguriert sind. Wenn Sie eine EKU auswählen, die auf der Cloud PKI ausstellenden Zertifizierungsstelle nicht vorhanden ist, tritt beim SCEP-Profil ein Fehler auf. Außerdem wird kein Zertifikat für das Gerät ausgestellt.

    • SCEP-Server-URLs: Kombinieren Sie keine NDES-/SCEP-URLs mit Microsoft Cloud PKI ausstellenden CA SCEP-URLs.

  9. Weisen Sie das Profil zu, und überprüfen Sie es. Wenn Sie bereit sind, alles fertig zu stellen, wählen Sie Erstellen aus.