Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Microsoft Cloud PKI für Intune mit Ihrer eigenen Zertifizierungsstelle konfigurieren. Mit dem Intune unterstützten BYOCA-Bereitstellungsmodell (Bring Your Own Ca) können Sie eine private ausstellende Zertifizierungsstelle in der Cloud erstellen und in Ihrer lokalen oder privaten Zertifizierungsstelle verankern. Die private Zertifizierungsstelle kann aus N+1-Zertifizierungsstellenhierarchien bestehen.
Voraussetzungen
Weitere Informationen zur Vorbereitung Ihres Mandanten für Microsoft Cloud PKI, einschließlich der wichtigsten Konzepte und Anforderungen, finden Sie unter:
Übersicht über Microsoft Cloud PKI für Intune: Überprüfen Sie die Architektur, die Mandantenanforderungen, eine Featurezusammenfassung sowie bekannte Probleme und Einschränkungen.
Bereitstellungsmodelle: Überprüfen Sie die Microsoft Cloud PKI Bereitstellungsoptionen.
Grundlagen: Sehen Sie sich die PKI-Grundlagen und -Konzepte an, die vor der Konfiguration und Bereitstellung wichtig sind.
Rollenbasierte Zugriffssteuerung
Das Konto, das Sie zum Anmelden beim Microsoft Intune Admin Center verwenden, muss über die Berechtigung zum Erstellen einer Zertifizierungsstelle verfügen. Das Konto Microsoft Entra Intune Administrator (auch als Intune-Dienstadministrator bezeichnet) verfügt über die entsprechenden integrierten Berechtigungen zum Erstellen von Zertifizierungsstellen. Alternativ können Sie einem Administratorbenutzer Cloud PKI Zertifizierungsstellenberechtigungen zuweisen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
Schritt 1: Erstellen einer ausstellenden Zertifizierungsstelle und einer Zertifikatsignieranforderung
Erstellen Sie eine ausstellende Zertifizierungsstelle im Microsoft Intune Admin Center.
Wechseln Sie zu Mandantenverwaltung>Cloud PKI, und wählen Sie dann Erstellen aus.
Geben Sie unter Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen beschreibenden Namen für das ZS-Objekt ein. Benennen Sie ihn, damit Sie ihn später leicht identifizieren können. Beispiel: Contoso BYOCA stellt eine Zertifizierungsstelle aus
- Beschreibung: Geben Sie eine Beschreibung für das Ca-Objekt ein. Diese Einstellung ist optional, wird jedoch empfohlen. Beispiel: Cloud PKI ausstellenden Zertifizierungsstelle mithilfe einer bring-your-own-root-CA, die an einer lokalen ADCS-Ausstellenden Zertifizierungsstelle verankert ist
Wählen Sie Weiter aus, um mit den Konfigurationseinstellungen fortzufahren.
Wählen Sie den Zertifizierungsstellentyp und die Quelle der Stammzertifizierungsstelle aus.
Konfigurieren Sie die folgenden Einstellungen für die ausstellende Zertifizierungsstelle:
- Zertifizierungsstellentyp: Wählen Sie Ausstellende Zertifizierungsstelle aus.
- Quelle der Stammzertifizierungsstelle: Wählen Sie Bring Your Own Root CA (Eigene Stammzertifizierungsstelle verwenden) aus. Diese Einstellung gibt die Stammzertifizierungsstelle an, die die ausstellende Zertifizierungsstelle verankert.
Gültigkeitszeitraum überspringen. Diese Einstellung kann nicht konfiguriert werden. Die Zertifizierungsstelle, die Sie zum Signieren der BYOCA-Zertifikatsignaturanforderung verwenden, bestimmt den Gültigkeitszeitraum.
Wählen Sie für Erweiterte Schlüsselverwendungen aus, wie Sie die Zertifizierungsstelle verwenden möchten.
Um potenzielle Sicherheitsrisiken zu vermeiden, sind Zertifizierungsstellen auf die ausgewählte Verwendung beschränkt. Ihre Optionen:
- Typ: Wählen Sie den Zweck der Zertifizierungsstelle aus. Die erweiterte Schlüsselverwendung Any Purpose (2.5.29.37.0) ist nicht für die Verwendung vorgesehen, da sie zu wenig freizügig ist und ein potenzielles Sicherheitsrisiko darstellt. Weitere Informationen finden Sie unter Edit overly permissive certificates template with privileged EKU.For more information, see Edit overly permissive certificates template with privileged EKU.
- Um eine benutzerdefinierte erweiterte Schlüsselverwendung zu erstellen, geben Sie alternativ den Namen und den Objektbezeichner ein.
Geben Sie unter Antragstellerattribute einen allgemeinen Namen (Common Name, CN) für die ausstellende Zertifizierungsstelle ein.
Zu den optionalen Attributen gehören:
- Organisation (O)
- Organisationseinheit
- Land (C)
- Bundesland/Provinz (ST)
- Ort (L)
Um die PKI-Standards einzuhalten, erzwingt Intune ein Zweizeichenlimit für Land/Region.
Geben Sie unter Verschlüsselung die Schlüsselgröße ein.
Ihre Optionen:
RSA-2048
RSA-3072
RSA-4096
Diese Einstellung erzwingt die Obergrenze der Schlüsselgröße, die beim Konfigurieren eines SCEP-Zertifikatprofils für die Gerätekonfiguration in Intune verwendet werden kann. Es ermöglicht Ihnen, eine beliebige Schlüsselgröße bis zu dem auszuwählen, was auf der Cloud PKI ausstellenden Zertifizierungsstelle festgelegt ist. Beachten Sie, dass die Schlüsselgröße 1024 und der SHA-1-Hash nicht mit Cloud PKI unterstützt werden. Der Hashalgorithmus muss jedoch nicht bereitgestellt werden. Die Zertifizierungsstelle, die Sie zum Signieren der CSR verwenden, bestimmt den Hashalgorithmus.
Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.
Optional können Sie Bereichstags hinzufügen, um die Sichtbarkeit und den Zugriff auf diese Zertifizierungsstelle zu steuern.
Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.
Überprüfen Sie die bereitgestellte Zusammenfassung. Wenn Sie bereit sind, alles fertig zu stellen, wählen Sie Erstellen aus.
Wichtig
Sie können diese Eigenschaften nach dem Erstellen der Zertifizierungsstelle nicht mehr bearbeiten. Wählen Sie Zurück aus, um die Einstellungen zu bearbeiten und sicherzustellen, dass sie korrekt sind und Ihre PKI-Anforderungen erfüllen. Wenn Sie später eine EKU hinzufügen müssen, müssen Sie eine neue Zertifizierungsstelle erstellen.
Kehren Sie zur liste der Microsoft Cloud PKI Zertifizierungsstellen im Admin Center zurück. Wählen Sie Aktualisieren aus, um Ihre neue Zertifizierungsstelle anzuzeigen.
Wählen Sie die Zertifizierungsstelle aus. Unter Grundlagen sollte der status Signatur erforderlich lesen.
Wechseln Sie zu Eigenschaften.
Wählen Sie CSR herunterladen aus. Warten Sie, während Intune eine DATEI im REQ-Format mit dem Namen der Zertifizierungsstelle herunterlädt. Beispiel: Contoso BYOCA issuing CA.req
Schritt 2: Signieren einer Zertifikatsignieranforderung
Eine private Zertifizierungsstelle ist erforderlich, um die heruntergeladene Zertifikatsignieranforderungsdatei (Certificate Signing Request, CSR) zu signieren. Die Signaturzertifizierungsstelle kann eine Stamm- oder ausstellende Zertifizierungsstelle einer beliebigen Ebene der privaten Zertifizierungsstelle sein. Es gibt zwei Möglichkeiten zum Signieren:
Option 1: Verwenden Sie die Webregistrierung der Zertifizierungsstelle, ein Feature von Active Directory Certificate Services (ADCS). Diese Option bietet eine einfache Weboberfläche, mit der Sie administratorspezifische Aufgaben wie das Anfordern und Erneuern von Zertifikaten ausführen können.
Option 2: Verwenden Sie die ausführbare Datei des Windows ADCS-Befehlszeilentools
certreq.exe
.
In der folgenden Tabelle sind die Objektbezeichner (OID) aufgeführt, die für das Signieren von Zertifikaten unterstützt werden, die in BYOCA-Bereitstellungen verwendet werden.
Subject name-Eigenschaft | Objektbezeichner |
---|---|
Allgemeiner Name (Common Name, CN) | OID.2.5.4.3 |
Organisation (O) | OID.2.5.4.10 |
Organisationseinheit (OE) | OID.2.5.4.11 |
Ort (L) | OID.2.5.4.7 |
Bundesstaat (ST) oder Provinz | OID.2.5.4.8 |
Land (C) | OID.2.5.4.6 |
Titel (T) | OID.2.5.4.12 |
Seriennummer | OID.2.5.4.5 |
Email (E) | OID.1.2.840.113549.1.9.1 |
Domänenkomponente (DC) | OID.0.9.2342.19200300.100.1.25 |
Straße | OID.2.5.4.9 |
Vorname | OID.2.5.4.42 |
Initialen | OID.2.5.4.43 |
Postleitzahl | OID.2.5.4.17 |
Distinguished Name-Qualifizierer | OID.2.5.4.46 |
Weitere Informationen zum Signieren von Zertifikaten finden Sie in der Hilfedokumentation Ihrer Zertifizierungsstelle.
Option 1: Webregistrierung der Zertifizierungsstelle
Verwenden Sie zum Ausführen dieser Schritte notepad.exe auf einem Windows-Gerät oder ein entsprechendes Programm unter macOS.
Öffnen Sie die REQ-Datei, die Sie heruntergeladen haben, nachdem Sie die ausstellende Zertifizierungsstelle erstellt haben. Kopieren Sie den Inhalt der Datei (STRG+C).
Öffnen Sie einen Browser auf einem Gerät, das Zugriff auf den Webhost hat, auf dem die ZS-Webregistrierung ausgeführt wird. Beispiel:
https://WebSrv_running_CAWebEnrollment/certsrv
Wählen Sie Zertifikat anfordern aus.
Wählen Sie Erweiterte Zertifikatanforderung aus.
Fügen Sie den Inhalt, den Sie zuvor kopiert haben, in den Bereich Gespeicherte Anforderung ein.
Wählen Sie unter Zertifikatvorlage die Option Untergeordnete Zertifizierungsstelle aus.
Hinweis
Die Vorlage der untergeordneten Zertifizierungsstelle muss veröffentlicht und auf der Zertifizierungsstelle verfügbar sein, die das Zertifikat signiert. Öffnen Sie certsrv.msc – Certificate Authority Verwaltungskonsole auf Ihrem Gerät, um verfügbare Zertifikatvorlagen anzuzeigen.
Wählen Sie Absenden aus, um fortzufahren.
Wählen Sie unter Zertifikat ausgestelltdie Option DER-codiert oder Base 4-codiert aus. Cloud PKI unterstützt beide Dateiformate. Führen Sie dann die folgenden Schritte aus:
Wählen Sie Zertifikat herunterladen aus. Die Zertifikatdatei wird heruntergeladen und als certnew.cer gespeichert.
Wählen Sie Zertifikatkette herunterladen aus. Das signierte Zertifikat wird heruntergeladen, einschließlich der vollständigen Zertifikatkette, der Stammzertifizierungsstelle und aller zwischengeschalteten oder ausstellenden Zertifizierungsstellenzertifikate in der Hierarchie der privaten Zertifizierungsstelle. Die Datei wird als certnew.p7b gespeichert.
Intune erfordert beide Dateien, um die ausstellende Zertifizierungsstelle für Cloud PKI BYOCA zu aktivieren.
Fahren Sie in diesem Artikel mit Dem Hochladen eines signierten Zertifikats fort, um byoca die ausstellende Zertifizierungsstelle zu aktivieren .
Hinweis
Wenn Sie das Admin Center und die Webregistrierungskonsole der Zertifizierungsstelle von 2 verschiedenen Arbeitsstationen aus verwenden, müssen Sie die 2 Zertifizierungsdateien von der Admin Center-Arbeitsstation kopieren oder darauf zugreifen können.
Option 2: Windows ADCS-Befehlszeilentool
Verwenden Sie das Befehlszeilentoolcertreq.exe , um eine Zertifikatanforderung an eine Zertifizierungsstelle zu übermitteln, in der Sie die Zertifikatvorlage und die Signaturzertifizierungsstelle angeben können. Die zuvor heruntergeladene REQ-Datei muss sich auf dem Windows-Computer befinden, auf dem Sie das Befehlszeilentool ausführen.
Sie können die folgende Syntax in der Befehlszeile verwenden, um eine Zertifikatanforderung mit ihrer ausgewählten Vorlage und Signaturzertifizierungsstelle zu übermitteln:
certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>
Ersetzen Sie die Variablen im Befehl wie folgt:
Ersetzen Sie <template_name> durch den Namen der Zertifikatvorlage, die Sie verwenden möchten.
Ersetzen Sie <CA_server_name><CA_name> durch den Namen des Zertifizierungsstellenservers bzw. den Namen der Zertifizierungsstelle, die Sie zum Signieren der Zertifikatanforderung verwenden möchten.
Für <request_file und response_file> ist keine Aktion erforderlich.>< Sie werden durch den Namen der Datei ersetzt, die die Zertifikatanforderung enthält, und durch den Namen der Datei, die die Antwort der Zertifizierungsstelle enthält.
In den folgenden Beispielen wird beschrieben, wie Sie eine Zertifikatanforderung mithilfe der vorlage der untergeordneten Zertifizierungsstelle übermitteln und sie signiert erhalten.
Beispiel 1: Die Signaturzertifizierungsstelle ContosoCA wird auf einem Server namens CA-Server ausgeführt. Sie können den folgenden Befehl verwenden:
certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer
Beispiel 2: Die Signaturzertifizierungsstelle heißt CaleroCorp SubCA (US), die auf einem Server mit dem Namen Win2k16-subCA ausgeführt wird. Sie können den folgenden Befehl verwenden:
certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"
Beispiel 3: Wenn Sie auch ohne Parameter ausführen
certreq.exe
, werden Sie von Windows aufgefordert, zuerst die REQ-Datei zu identifizieren. Bei diesem Ansatz wird die Windows-Benutzeroberfläche verwendet, um Sie durch den Signierungsprozess zu führen.
Zusätzlich zum signierten Zertifikat benötigen Sie die vollständige Schlüsselkette der privaten Zertifizierungsstelle. Die vollständige Schlüsselkette umfasst die Stammzertifizierungsstelle und alle zwischengeschalteten, ausstellenden oder untergeordneten Zertifizierungsstellen in der Kette. Verwenden Sie die folgende Syntax im Befehlszeilentool, um die vollständige Schlüsselkette in eine P7B-Datei zu exportieren:
certutil [options] -ca.chain OutCACertChainFile [Index]
Führen Sie den Befehl auf einem in die Windows-Domäne eingebundenen Computer mit Netzwerkzugriff auf ADCS aus. Zum Beispiel:
certutil -ca.chain c:\temp\fullChain.p7b
So zeigen Sie die exportierte Kette an und überprüfen, ob der Export im Windows-Datei-Explorer erfolgt ist:
- Navigieren Sie zu dem Pfadspeicherort, an den die Datei exportiert wurde.
- Doppelklicken Sie auf die Datei, um sie zu öffnen.
In der Datei sollte die vollständige Kette angezeigt werden, einschließlich Stamm- und Zwischenzertifizierungsstellen.
Hinweis
Alternativ können Sie oder certlm.msc
verwendencertmgr.msc
, um den einzelnen öffentlichen Schlüssel für jede Zertifizierungsstelle in der privaten Zertifizierungsstellenkette zu exportieren. Jede dieser Dateien verfügt über eine CER-Erweiterung.
Schritt 3: Hochladen eines signierten Zertifikats zum Aktivieren der BYOCA-Ausstellenden Zertifizierungsstelle
Sie benötigen Folgendes, um die BYOCA-Cloud PKI signieren zu können und der Zertifizierungsstelle in der Cloud das Ausstellen von Zertifikaten für Intune verwaltete Geräte zu ermöglichen:
- Ein signiertes Zertifikat für die BYOCA-ausstellende Zertifizierungsstelle.
- Die vollständige Kette der privaten Zertifizierungsstelle, die zum Signieren der Zertifikatanforderung verwendet wird.
Informationen zum Ausführen dieser Aufgaben, die erforderlich sind, um fortzufahren, finden Sie unter Schritt 2: Signieren einer Zertifikatsignieranforderung. Die Dateien müssen auf demselben Computer verfügbar sein, auf dem das Microsoft Intune Admin Center ausgeführt wird.
Kehren Sie zur liste der Cloud PKI Zertifizierungsstellen im Admin Center zurück. Wählen Sie eine Zertifizierungsstelle aus. Der status sollte signieren erforderlich lauten.
Wechseln Sie zu Eigenschaften, und wählen Sie Signiertes Zertifikat hochladen aus.
Das Fenster Signiertes Zertifikat hochladen wird geöffnet. Wählen Sie unter Signiertes Zertifikat hochladen (.cer, CRT- oder PEM-Datei) die Option Durchsuchen aus. Wählen Sie die signierte Zertifikatdatei aus.
Ziehen Sie unter Upload one or more chain of trust certificates (.cer, .crt .pem oder .p7b)) die Dateien, oder wählen Sie Durchsuchen aus, um nach der Datei auf Ihrem Computer zu suchen.
Wählen Sie Speichern aus, und warten Sie, während Intune das Zertifikat hochlädt. Dies kann einige Minuten dauern.
Aktualisieren Sie die Liste der Zertifizierungsstellen. Die spalte status für Ihre Zertifizierungsstelle sollte jetzt als Aktiv angezeigt werden. Der allgemeine Stammname wird als Externe Stammzertifizierungsstelle angezeigt.
Sie können die Zertifizierungsstelle in der Liste auswählen, um die verfügbaren Eigenschaften anzuzeigen. Die Eigenschaften umfassen:
Verteilungspunkt-URI der Zertifikatsperrliste (Certificate Revocation List, CRL).
AIA-URI (Authority Information Access).
Im Cloud PKI ausstellenden Zertifizierungsstelle wird der SCEP-URI angezeigt. Der SCEP-URI muss für jedes von der Plattform ausgestellte Zertifikat in das SCEP-Konfigurationsprofil kopiert werden.
Wenn Sie bereit sind, den öffentlichen Schlüssel der Zertifizierungsstelle als Vertrauensstellung herunterzuladen, wählen Sie Herunterladen aus.
Hinweis
Die AIA-Eigenschaft für eine BYOCA-ausstellende Zertifizierungsstelle wird von der privaten Zertifizierungsstelle definiert und enthält die Eigenschaften, die von der AIA-Konfiguration der privaten Zertifizierungsstelle definiert werden. ADCS verwendet einen LDAP-AIA-Standardspeicherort. Wenn die private Zertifizierungsstelle einen HTTP-AIA-Speicherort bereitstellt, zeigen die BYOCA-Eigenschaften den HTTP-AIA-Speicherort an.
Schritt 4: Erstellen von Zertifikatvertrauensprofilen
Ein Intune vertrauenswürdiges Zertifikatprofil muss für jedes Zertifizierungsstellenzertifikat in der Hierarchie der privaten Zertifizierungsstelle erstellt werden, wenn Sie eine Cloud PKI BYOCA ausstellende Zertifizierungsstelle verwenden, die an einer privaten Zertifizierungsstelle verankert ist. Dieser Schritt ist eine Voraussetzung für jede Plattform (Windows, Android, iOS/iPad, macOS), die Cloud PKI SCEP-Zertifikate ausstellt. Es ist erforderlich, eine Vertrauensstellung mit der Cloud PKI Zertifikatregistrierungsstelle einzurichten, die das SCEP-Protokoll unterstützt.
Weitere Informationen zum Erstellen des Profils finden Sie unter Vertrauenswürdige Zertifikatprofile.
Exportieren von Zertifikaten
Die exportierten Zertifikate werden verwendet, um ein vertrauenswürdiges Zertifikatprofil in Intune für jede Zertifizierungsstelle in der Kette zu erstellen. Wenn Sie eine private Zertifizierungsstelle verwenden, müssen Sie deren Tools verwenden, um die Zertifizierungsstelle Keychain in einen DER- oder Base 4-codierten Formatsatz von Dateien mit einer CER-Erweiterung zu exportieren. Wenn ADCS Ihre private Zertifizierungsstelle ist, können Sie das Windows certutil.exe-Befehlszeilentool verwenden, um die vollständige Keychain der Zertifizierungsstelle in eine P7B-Datei zu exportieren.
Führen Sie den folgenden Befehl auf einem In die Windows-Domäne eingebundenen Computer mit Netzwerkzugriff auf ADCS aus.
certutil [options] -ca.chain OutCACertChainFile [Index]
Zum Beispiel:
certutil -ca.chain c:\temp\fullChain.p7b
Sie können den Windows-Datei-Explorer verwenden, um die exportierte Kette anzuzeigen.
Wechseln Sie zu dem Pfadspeicherort, an dem die P7B-Datei exportiert wurde, und doppelklicken Sie auf die Datei. Die vollständige Kette, einschließlich Stamm- und Zwischenzertifizierungsstellen, sollte in der Kette angezeigt werden.
Klicken Sie mit der rechten Maustaste auf jedes Zertifikat in der Liste.
Wählen Sie Alle Aufgaben>Exportieren aus. Exportieren Sie das vertrauenswürdige Zertifikat im DER-Format. Es wird empfohlen, die exportierte Zertifikatdatei mit demselben allgemeinen Namen der Zertifizierungsstelle zu benennen, der in der Spalte Ausgestellt für des Hilfsprogramms certmgr angezeigt wird. Der Name erleichtert das Auffinden der Stammzertifizierungsstelle in der Liste, da der allgemeine Name unter Ausgestellt für und Ausgestellt von identisch ist.
Erstellen eines vertrauenswürdigen Zertifikatprofils für eine private Stammzertifizierungsstelle
Erstellen Sie ein vertrauenswürdiges Zertifikatprofil mit der exportierten Datei der Stammzertifizierungsstelle, die Sie heruntergeladen haben. Erstellen Sie im Admin Center ein vertrauenswürdiges Zertifikatprofil für jede Betriebssystemplattform, für die Sie das Stammzertifikat der privaten Zertifizierungsstelle verwenden.
Erstellen vertrauenswürdiger Zertifikatprofile für private untergeordnete Zertifizierungsstellen
Erstellen Sie ein vertrauenswürdiges Zertifikatprofil mit der exportierten Zwischendatei oder der ausstellenden Zertifizierungsstelle, die Sie heruntergeladen haben. Erstellen Sie im Admin Center ein vertrauenswürdiges Zertifikatprofil für jede GEWÜNSCHTEOS-Plattform, die das ausstellende Zertifizierungsstellen-Stammzertifikat verwendet.
Erstellen eines vertrauenswürdigen Zertifikatprofils für die Ausstellung einer Zertifizierungsstelle
Tipp
Um Ihre BYOCA-Zertifizierungsstellen in der Zertifizierungsstellenliste zu finden, suchen Sie nach Zertifizierungsstellen mit den folgenden Werten:
- Typ: Ausstellen
- Allgemeiner Stammname: Externe Stammzertifizierungsstelle
Wechseln Sie im Admin Center zu Mandantenverwaltung>Cloud PKI.
Wählen Sie die Cloud PKI BYOCA ausstellende Zertifizierungsstelle aus.
Wechseln Sie zu Eigenschaften.
Klicken Sie auf Herunterladen. Warten Sie, während der öffentliche Schlüssel für die ausstellende Zertifizierungsstelle heruntergeladen wird.
Erstellen Sie im Admin Center ein vertrauenswürdiges Zertifikatprofil für jede Betriebssystemplattform, auf die Sie abzielen. Wenn Sie dazu aufgefordert werden, geben Sie den öffentlichen Schlüssel ein, den Sie heruntergeladen haben.
Das ausstellende Zertifizierungsstellenzertifikat, das Sie für Cloud PKI BYOCA heruntergeladen haben, muss auf allen vertrauenden Seiten installiert sein.
Der Dateiname, der den heruntergeladenen öffentlichen Schlüsseln zugewiesen wird, basiert auf den allgemeinen Namen, die in der Zertifizierungsstelle angegeben sind. Einige Browser, z. B. Microsoft Edge, zeigen eine Warnung an, wenn Sie eine Datei mit einer .cer oder einer anderen bekannten Zertifikaterweiterung herunterladen. Wenn Sie diese Warnung erhalten, wählen Sie Beibehalten aus.
Schritt 5: Erstellen eines SCEP-Zertifikatprofils
Hinweis
Nur Cloud PKI ausstellenden Zertifizierungsstellen und BYOCA-Ausstellenden Zertifizierungsstellen können verwendet werden, um SCEP-Zertifikate für Intune verwaltete Geräte auszustellen.
Erstellen Sie ein SCEP-Zertifikatprofil für jede Betriebssystemplattform, die Sie als Ziel verwenden, wie sie es für die vertrauenswürdigen Zertifikatprofile getan haben. Das SCEP-Zertifikatprofil wird verwendet, um ein untergeordnetes Clientauthentifizierungszertifikat von der ausstellenden Zertifizierungsstelle anzufordern. Diese Art von Zertifikat wird in zertifikatbasierten Authentifizierungsszenarien verwendet, z. B. für Wi-Fi und VPN-Zugriff.
Kehren Sie zur Mandantenverwaltung>zurück Cloud PKI.
Wählen Sie eine Zertifizierungsstelle mit einem Ausgabetyp aus.
Wechseln Sie zu Eigenschaften.
Kopieren Sie den SCEP-URI in die Zwischenablage.
Erstellen Sie im Admin Center ein SCEP-Zertifikatprofil für jede Betriebssystemplattform, auf die Sie abzielen.
Verknüpfen Sie im Profil unter Stammzertifikat das Profil des vertrauenswürdigen Zertifikats. Das ausgewählte vertrauenswürdige Zertifikat muss das Zertifikat der Stammzertifizierungsstelle sein, an dem die ausstellende Zertifizierungsstelle in der Zertifizierungsstellenhierarchie verankert ist.
Fügen Sie für SCEP-Server-URLS den SCEP-URI ein. Es ist wichtig, die Zeichenfolge
{{CloudPKIFQDN}}
unverändert zu belassen. Intune ersetzt diese Platzhalterzeichenfolge durch den entsprechenden FQDN, wenn das Profil an das Gerät übermittelt wird. Der FQDN wird im *.manage.microsoft.com-Namespace angezeigt, einem Kern Intune-Endpunkt. Weitere Informationen zu Intune-Endpunkten finden Sie unter Netzwerkendpunkte für Microsoft Intune.Konfigurieren Sie die verbleibenden Einstellungen gemäß den folgenden bewährten Methoden:
Format des Antragstellernamens: Stellen Sie sicher, dass die angegebenen Variablen für das Benutzer- oder Geräteobjekt in Microsoft Entra ID verfügbar sind. Wenn der Zielbenutzer dieses Profils beispielsweise kein E-Mail-Adress-Attribut hat, aber die E-Mail-Adresse in diesem Profil ausgefüllt ist, wird das Zertifikat nicht ausgestellt. Ein Fehler wird auch im SCEP-Zertifikatprofilbericht angezeigt.
Erweiterte Schlüsselverwendung: Microsoft Cloud PKI die Option "Beliebiger Zweck" nicht unterstützt.
Hinweis
Stellen Sie sicher, dass die ausgewählten EKU(n) auf der Cloud PKI ausstellenden Zertifizierungsstelle (Certificate Authority, CA) konfiguriert sind. Wenn Sie eine EKU auswählen, die auf der Cloud PKI ausstellenden Zertifizierungsstelle nicht vorhanden ist, tritt beim SCEP-Profil ein Fehler auf. Außerdem wird kein Zertifikat für das Gerät ausgestellt.
SCEP-Server-URLs: Kombinieren Sie keine NDES-/SCEP-URLs mit Microsoft Cloud PKI ausstellenden CA SCEP-URLs.
Weisen Sie das Profil zu, und überprüfen Sie es. Wenn Sie bereit sind, alles fertig zu stellen, wählen Sie Erstellen aus.