Créer des profils de certificat PFX à l’aide d’une autorité de certification
S’applique à : Gestionnaire de Configuration (branche actuelle)
Découvrez comment créer un profil de certificat qui utilise une autorité de certification pour les informations d’identification. Cet article met en évidence des informations spécifiques sur les profils de certificat d’échange d’informations personnelles (PFX). Pour plus d’informations sur la création et la configuration de ces profils, consultez Profils de certificat.
Configuration Manager vous permet de créer un profil de certificat PFX à l’aide des informations d’identification émises par une autorité de certification. Vous pouvez choisir Microsoft ou Entrust comme autorité de certification. Lorsqu’ils sont déployés sur des appareils utilisateur, les fichiers PFX génèrent des certificats spécifiques à l’utilisateur pour prendre en charge l’échange de données chiffré.
Pour importer des informations d’identification de certificat à partir de fichiers de certificat existants, consultez Importer des profils de certificat PFX.
Conditions préalables
Avant de commencer à créer un profil de certificat, assurez-vous que les prérequis nécessaires sont prêts. Pour plus d’informations, consultez Prérequis pour les profils de certificat. Par exemple, pour les profils de certificat PFX, vous avez besoin d’un rôle de système de site de point d’enregistrement de certificat .
Créer un profil
Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité, développez Paramètres de conformité, Accédez aux ressources de l’entreprise, puis sélectionnez Profils de certificat.
Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Créer un profil de certificat.
Dans la page Général de l’Assistant Création d’un profil de certificat, spécifiez les informations suivantes :
Nom : entrez un nom unique pour le profil de certificat. Vous pouvez utiliser un maximum de 256 caractères.
Description : fournissez une description qui donne une vue d’ensemble du profil de certificat qui permet de l’identifier dans la console Configuration Manager. Vous pouvez utiliser un maximum de 256 caractères.
Sélectionnez Échange d’informations personnelles - Paramètres PKCS #12 (PFX) - Créer. Cette option demande un certificat au nom d’un utilisateur auprès d’une autorité de certification locale connectée. Choisissez votre autorité de certification : Microsoft ou Entrust.
Remarque
L’option Importer obtient des informations à partir d’un certificat existant pour créer un profil de certificat. Pour plus d’informations, consultez Importer des profils de certificat PFX.
Dans la page Plateformes prises en charge , sélectionnez les versions de système d’exploitation prises en charge par ce profil de certificat. Pour plus d’informations sur les versions de système d’exploitation prises en charge pour votre version de Configuration Manager, consultez Versions de système d’exploitation prises en charge pour les clients et les appareils.
Dans la page Autorités de certification, choisissez le point d’enregistrement de certificat (CRP) pour traiter les certificats PFX :
- Site principal : choisissez le serveur contenant le rôle CRP pour l’autorité de certification.
- Autorités de certification : sélectionnez l’autorité de certification appropriée.
Pour plus d’informations, consultez Infrastructure de certificats.
Les paramètres de la page Certificat PFX varient en fonction de l’autorité de certification sélectionnée dans la page Général :
Configurer les paramètres de certificat PFX pour Microsoft’autorité de certification
Pour nom du modèle de certificat, choisissez le modèle de certificat.
Pour utiliser le profil de certificat pour la signature S/MIME ou le chiffrement, activez l’utilisation du certificat.
Lorsque vous activez cette option, elle remet tous les certificats PFX associés à l’utilisateur cible à tous ses appareils. Si vous n’activez pas cette option, chaque appareil reçoit un certificat unique.
Définissez Le format du nom de l’objet sur Nom commun ou Nom unique complet. Si vous ne savez pas laquelle utiliser, contactez votre administrateur d’autorité de certification.
Pour l’autre nom de l’objet, activez Email’adresse et nom d’utilisateur principal (UPN) en fonction de votre autorité de certification.
Seuil de renouvellement : détermine quand les certificats sont automatiquement renouvelés, en fonction du pourcentage de temps restant avant l’expiration.
Définissez la période de validité du certificat sur la durée de vie du certificat.
Lorsque le point d’inscription de certificat spécifie les informations d’identification Active Directory, activez la publication Active Directory.
Si vous avez sélectionné une ou plusieurs plateformes Windows 10 prises en charge :
Définissez le magasin de certificats Windows sur Utilisateur. (L’option Ordinateur local ne déploie pas de certificats, ne la choisissez pas.)
Sélectionnez l’un des fournisseurs de stockage de clés (KSP) suivants :
- Installer sur le module de plateforme sécurisée (TPM) le cas échéant
- Sinon, l’installation sur le module de plateforme sécurisée (TPM) échoue
- Installer sur Windows Hello Entreprise sinon échouer
- Installer sur le fournisseur de stockage de clés logicielles
Suivez les instructions de l’Assistant.
Configurer les paramètres de certificat PFX pour l’autorité de certification Entrust
Pour La configuration de l’ID numérique, choisissez le profil de configuration. L’administrateur Entrust crée les options de configuration de l’ID numérique.
Pour utiliser le profil de certificat pour la signature S/MIME ou le chiffrement, activez l’utilisation du certificat.
Lorsque vous activez cette option, elle remet tous les certificats PFX associés à l’utilisateur cible à tous ses appareils. Si vous n’activez pas cette option, chaque appareil reçoit un certificat unique.
Pour mapper les jetons de format de nom d’objet Entrust aux champs Configuration Manager, sélectionnez Format.
La boîte de dialogue Mise en forme du nom du certificat répertorie les variables de configuration Entrust Digital ID. Pour chaque variable Entrust, choisissez les champs Configuration Manager appropriés.
Pour mapper les jetons Entrust Subject Alternative Name aux variables LDAP prises en charge, sélectionnez Format.
La boîte de dialogue Mise en forme du nom du certificat répertorie les variables de configuration Entrust Digital ID. Pour chaque variable Entrust, choisissez la variable LDAP appropriée.
Seuil de renouvellement : détermine quand les certificats sont automatiquement renouvelés, en fonction du pourcentage de temps restant avant l’expiration.
Définissez la période de validité du certificat sur la durée de vie du certificat.
Lorsque le point d’inscription de certificat spécifie les informations d’identification Active Directory, activez la publication Active Directory.
Si vous avez sélectionné une ou plusieurs plateformes Windows 10 prises en charge :
Définissez le magasin de certificats Windows sur Utilisateur. (L’option Ordinateur local ne déploie pas de certificats, ne la choisissez pas.)
Sélectionnez l’un des fournisseurs de stockage de clés (KSP) suivants :
- Installer sur le module de plateforme sécurisée (TPM) le cas échéant
- Sinon, l’installation sur le module de plateforme sécurisée (TPM) échoue
- Installer sur Windows Hello Entreprise sinon échouer
- Installer sur le fournisseur de stockage de clés logicielles
Suivez les instructions de l’Assistant.
Déployer le profil
Une fois que vous avez créé un profil de certificat, il est désormais disponible dans le nœud Profils de certificat. Pour plus d’informations sur la façon de le déployer, consultez Déployer des profils d’accès aux ressources.