Megosztás a következőn keresztül:

Tanúsítványprofilok létrehozása

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Fontos

A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.

A Configuration Manager tanúsítványprofiljaival kiépíthet felügyelt eszközöket a vállalati erőforrások eléréséhez szükséges tanúsítványokkal. Tanúsítványprofilok létrehozása előtt állítsa be a tanúsítványinfrastruktúrát a Tanúsítványinfrastruktúra beállítása című cikkben leírtak szerint.

Ez a cikk azt ismerteti, hogyan hozhat létre megbízható legfelső szintű és SCEP-tanúsítványprofilokat. Ha PFX-tanúsítványprofilokat szeretne létrehozni, tekintse meg a PFX-tanúsítványprofilok létrehozását.

Tanúsítványprofil létrehozása:

  1. Indítsa el a Tanúsítványprofil létrehozása varázslót.
  2. Adjon meg általános információkat a tanúsítványról.
  3. Konfiguráljon egy megbízható hitelesítésszolgáltatói (CA-) tanúsítványt.
  4. Konfigurálja az SCEP-tanúsítvány adatait.
  5. Adja meg a tanúsítványprofil támogatott platformokat.

A varázsló elindítása

A Tanúsítványprofil létrehozása folyamat indítása:

  1. A Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre, bontsa ki a Megfelelőségi beállítások, majd a Vállalati erőforrás-hozzáférés csomópontot, majd válassza a Tanúsítványprofilok csomópontot.

  2. A menüszalag KezdőlapjánakLétrehozás csoportjában válassza a Tanúsítványprofil létrehozása lehetőséget.

Általános

A Tanúsítványprofil létrehozása varázsló Általános lapján adja meg a következő információkat:

  • Név: Adjon meg egy egyedi nevet a tanúsítványprofilnak. Legfeljebb 256 karaktert használhat.

  • Leírás: Adjon meg egy leírást, amely áttekintést nyújt a tanúsítványprofilról. Egyéb releváns információkat is tartalmaz, amelyek segítenek azonosítani azokat a Configuration Manager konzolon. Legfeljebb 256 karaktert használhat.

  • Adja meg a létrehozni kívánt tanúsítványprofil típusát:

    • Megbízható hitelesítésszolgáltatói tanúsítvány: Ezt a típust választva megbízható legfelső szintű hitelesítésszolgáltatót (CA) vagy köztes hitelesítésszolgáltatói tanúsítványt telepíthet a megbízhatósági tanúsítványlánc létrehozásához, amikor a felhasználónak vagy az eszköznek egy másik eszközt kell hitelesítenie. Az eszköz lehet például egy távoli hitelesítési betárcsázós szolgáltatás (RADIUS) kiszolgálója vagy egy virtuális magánhálózati (VPN-) kiszolgáló.

      Az SCEP-tanúsítványprofil létrehozása előtt konfiguráljon egy megbízható hitelesítésszolgáltatói tanúsítványprofilt is. Ebben az esetben a megbízható hitelesítésszolgáltatói tanúsítványnak annak a hitelesítésszolgáltatónak kell lennie, amely kiadja a tanúsítványt a felhasználónak vagy az eszköznek.

    • Egyszerű tanúsítványigénylési protokoll (SCEP) beállításai: Ezt a típust választva tanúsítványt kérhet egy egyszerű tanúsítványigénylési protokollal és a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) szerepkör-szolgáltatással rendelkező felhasználóhoz vagy eszközhöz.

    • Személyes információcsere PKCS #12 (PFX) beállításai – Importálás: Válassza ezt a lehetőséget a PFX-tanúsítvány importálásához. További információ: PFX-tanúsítványprofilok importálása.

    • Személyes információcsere PKCS #12 (PFX) beállításai – Létrehozás: Válassza ezt a lehetőséget a PFX-tanúsítványok hitelesítésszolgáltatóval történő feldolgozásához. További információ: PFX-tanúsítványprofilok létrehozása.

Megbízható hitelesítésszolgáltatói tanúsítvány

Fontos

SCEP-tanúsítványprofil létrehozása előtt konfiguráljon legalább egy megbízható hitelesítésszolgáltatói tanúsítványprofilt.

A tanúsítvány üzembe helyezése után, ha módosítja ezen értékek bármelyikét, a rendszer új tanúsítványt kér:

  • Kulcstároló-szolgáltató
  • Tanúsítványsablon neve
  • Tanúsítvány típusa
  • Tulajdonos nevének formátuma
  • Tulajdonos alternatív neve
  • Tanúsítvány érvényességi időtartama
  • Kulcshasználat
  • Kulcsméret
  • Kibővített kulcshasználat
  • Legfelső szintű hitelesítésszolgáltatói tanúsítvány

  1. A Tanúsítványprofil létrehozása varázsló Megbízható hitelesítésszolgáltatói tanúsítvány lapján adja meg a következő információkat:

    • Tanúsítványfájl: Válassza az Importálás lehetőséget, majd tallózással keresse meg a tanúsítványfájlt.

    • Céltároló: Egynél több tanúsítványtárolóval rendelkező eszközök esetén válassza ki, hogy hol tárolja a tanúsítványt. A csak egy tárolóval rendelkező eszközök esetében ez a beállítás figyelmen kívül lesz hagyva.

  2. A Tanúsítvány ujjlenyomat értékével ellenőrizze, hogy a megfelelő tanúsítványt importálta-e.

SCEP-tanúsítványok

1. SCEP-kiszolgálók

A Tanúsítványprofil létrehozása varázsló SCEP-kiszolgálók lapján adja meg azon NDES-kiszolgálók URL-címét, amelyek SCEP-en keresztül fognak tanúsítványokat kiadni. A tanúsítványregisztrációs pont konfigurációja alapján automatikusan hozzárendelhet egy NDES URL-címet, vagy manuálisan is hozzáadhat URL-címeket.

2. SCEP-regisztráció

Töltse ki a Tanúsítványprofil létrehozása varázsló SCEP-regisztráció lapját.

  • Újrapróbálkozások: Adja meg, hogy az eszköz hányszor próbálkozik automatikusan újra a tanúsítványkérelmet az NDES-kiszolgálónak. Ez a beállítás azt a forgatókönyvet támogatja, amelyben a hitelesítésszolgáltató-kezelőnek jóvá kell hagynia egy tanúsítványkérelmet annak elfogadása előtt. Ezt a beállítást általában magas biztonsági szintű környezetekhez használják, vagy ha vállalati hitelesítésszolgáltató helyett önálló kiállító hitelesítésszolgáltatóval rendelkezik. Ezt a beállítást tesztelési célokra is használhatja, hogy megtekinthesse a tanúsítványkérelem beállításait, mielőtt a kiállító hitelesítésszolgáltató feldolgozná a tanúsítványkérelmet. Használja ezt a beállítást az Újrapróbálkozás késleltetése (perc) beállítással.

  • Újrapróbálkozási késleltetés (perc): Adja meg az egyes beléptetési kísérletek közötti időközt percekben, amikor a hitelesítésszolgáltató-kezelő jóváhagyását használja, mielőtt a kiállító hitelesítésszolgáltató feldolgozza a tanúsítványkérelmet. Ha tesztelési célokra használja a felettes jóváhagyását, adjon meg egy alacsony értéket. Ezután nem vár sokáig, hogy az eszköz újrapróbálkozjon a tanúsítványkérelmet a kérelem jóváhagyása után.

    Ha éles hálózaton használ vezető-jóváhagyást, adjon meg egy magasabb értéket. Ez a viselkedés elegendő időt biztosít a hitelesítésszolgáltató rendszergazdájának a függőben lévő jóváhagyások jóváhagyására vagy elutasítására.

  • Megújítási küszöbérték (%): Adja meg a tanúsítvány élettartamának azon százalékát, amely még azelőtt marad, hogy az eszköz kéri a tanúsítvány megújítását.

  • Kulcstároló-szolgáltató (KSP): Itt adhatja meg a tanúsítvány kulcsának tárolási helyét. Válasszon az alábbi értékek közül:

    • Telepítse a platformmegbízhatósági modulra (TPM), ha van ilyen: Telepíti a kulcsot a TPM-be. Ha a TPM nincs jelen, a rendszer telepíti a kulcsot a szoftverkulcs tárolószolgáltatójára.

    • A platformmegbízhatósági modulba (TPM) való telepítés egyébként sikertelen: Telepíti a kulcsot a TPM-be. Ha a TPM-modul nincs jelen, a telepítés sikertelen lesz.

    • Telepítés sikertelen Vállalati Windows Hello: Ez a lehetőség Windows 10 vagy újabb eszközökön érhető el. Lehetővé teszi a tanúsítvány tárolását a Vállalati Windows Hello tárolóban, amelyet többtényezős hitelesítés véd. További információ: Vállalati Windows Hello.

      Megjegyzés:

      Ez a beállítás nem támogatja az intelligens kártyás bejelentkezést a Kibővített kulcshasználathoz a Tanúsítvány tulajdonságai lapon.

    • Telepítés a szoftverkulcs-tárolószolgáltatóba: Telepíti a kulcsot a szoftverkulcs tárolószolgáltatójára.

  • Tanúsítványregisztráció eszközei: Ha a tanúsítványprofilt egy felhasználói gyűjteményben helyezi üzembe, csak a felhasználó elsődleges eszközén vagy bármely olyan eszközön engedélyezze a tanúsítványregisztrációt, amelyre a felhasználó bejelentkezik.

    Ha a tanúsítványprofilt egy eszközgyűjteményben helyezi üzembe, csak az eszköz elsődleges felhasználója vagy az eszközre bejelentkező összes felhasználó számára engedélyezze a tanúsítványregisztrációt.

3. Tanúsítvány tulajdonságai

A Tanúsítványprofil létrehozása varázsló Tanúsítvány tulajdonságai lapján adja meg a következő információkat:

  • Tanúsítványsablon neve: Válassza ki az NDES-ben konfigurált és a kiállító hitelesítésszolgáltatóhoz hozzáadott tanúsítványsablon nevét. A tanúsítványsablonok sikeres tallózásához a felhasználói fióknak Olvasás engedéllyel kell rendelkeznie a tanúsítványsablonhoz. Ha nem tudja megkeresni a tanúsítványt, írja be a nevét.

    Fontos

    Ha a tanúsítványsablon neve nem ASCII-karaktereket tartalmaz, a tanúsítvány nincs üzembe helyezve. (Ilyen karakterek például a kínai ábécéből származnak.) A tanúsítvány üzembe helyezésének biztosításához először hozza létre a tanúsítványsablon másolatát a hitelesítésszolgáltatón. Ezután nevezze át a másolatot ASCII-karakterek használatával.

    • Ha tallózással választja ki a tanúsítványsablon nevét, az oldal egyes mezői automatikusan ki lesznek töltve a tanúsítványsablonból. Bizonyos esetekben ezeket az értékeket csak akkor módosíthatja, ha másik tanúsítványsablont választ.

    • Ha beírja a tanúsítványsablon nevét, győződjön meg arról, hogy a név pontosan megegyezik az egyik tanúsítványsablon nevével. Meg kell egyeznie az NDES-kiszolgáló beállításjegyzékében felsorolt névvel. Győződjön meg arról, hogy a tanúsítványsablon nevét adja meg, nem pedig a tanúsítványsablon megjelenítendő nevét.

      A tanúsítványsablonok nevének megkereséséhez keresse meg a következő beállításkulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. A tanúsítványsablonokat az EncryptionTemplate, a GeneralPurposeTemplate és a SignatureTemplate értékként sorolja fel. Alapértelmezés szerint mindhárom tanúsítványsablon értéke IPSECIntermediateOffline, amely leképezi az IPSec (offline kérelem) sablon megjelenítendő nevét.

      Figyelmeztetés

      Amikor beírja a tanúsítványsablon nevét, Configuration Manager nem tudja ellenőrizni a tanúsítványsablon tartalmát. Előfordulhat, hogy meg tudja adni azokat a beállításokat, amelyeket a tanúsítványsablon nem támogat, ami sikertelen tanúsítványkérelemhez vezethet. Ha ez a viselkedés történik, a CPR.log fájlban megjelenik egy w3wp.exe hibaüzenet, amely szerint a sablon neve a tanúsítvány-aláírási kérelemben (CSR) és a feladványban nem egyezik.

      Amikor beírja a GeneralPurposeTemplate értékhez megadott tanúsítványsablon nevét, válassza ki a kulcs-titkosítást és a digitális aláírás beállításait ehhez a tanúsítványprofilhoz. Ha csak a kulcstitkosítási beállítást szeretné engedélyezni ebben a tanúsítványprofilban, adja meg az EncryptionTemplate kulcs tanúsítványsablonjának nevét. Hasonlóképpen, ha csak a Digitális aláírás beállítást szeretné engedélyezni ebben a tanúsítványprofilban, adja meg a tanúsítványsablon nevét a SignatureTemplate kulcshoz.

  • Tanúsítvány típusa: Itt adhatja meg, hogy a tanúsítványt egy eszközön vagy egy felhasználón helyezi-e üzembe.

  • Tulajdonosnév formátuma: Itt adhatja meg, hogy Configuration Manager hogyan hozza létre automatikusan a tulajdonos nevét a tanúsítványkérelemben. Ha a tanúsítvány egy felhasználóhoz tartozik, a tulajdonos nevében is szerepelhet a felhasználó e-mail-címe.

    Megjegyzés:

    Ha az IMEI-számot vagy a Sorozatszámot választja, megkülönböztetheti az ugyanazon felhasználó tulajdonában lévő különböző eszközöket. Ezek az eszközök például megoszthatnak egy köznapi nevet, de IMEI-számot vagy sorozatszámot nem. Ha az eszköz nem jelent IMEI-t vagy sorozatszámot, a tanúsítványt a köznapi névvel állítják ki.

  • Tulajdonos alternatív neve: Itt adhatja meg, hogy Configuration Manager hogyan hozza létre automatikusan a tulajdonos alternatív nevének (SAN) értékeit a tanúsítványkérelemben. Ha például felhasználótanúsítvány-típust választott, az egyszerű felhasználónevet (UPN) is felveheti a tulajdonos alternatív nevébe. Ha az ügyféltanúsítvány hitelesítést fog végezni egy hálózati házirend-kiszolgálón, állítsa a tulajdonos alternatív nevét az egyszerű felhasználónévre.

  • Tanúsítvány érvényességi időtartama: Ha egyéni érvényességi időtartamot állít be a kiállító hitelesítésszolgáltatón, adja meg a tanúsítvány lejárata előtt hátralévő időt.

    Tipp

    Állítson be egy egyéni érvényességi időtartamot a következő parancssorral: certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE További információ erről a parancsról: Tanúsítványinfrastruktúra.

    A megadott tanúsítványsablonban megadhat egy olyan értéket, amely alacsonyabb, mint az érvényességi időszak, de nem magasabb. Ha például a tanúsítványsablonban a tanúsítvány érvényességi időtartama két év, megadhat egy év értéket, de öt év értéket nem. Az értéknek alacsonyabbnak kell lennie a kiállító hitelesítésszolgáltató tanúsítványának fennmaradó érvényességi időtartamánál is.

  • Kulcshasználat: Adja meg a tanúsítvány kulcshasználati beállításait. Válasszon az alábbi lehetőségek közül:

    • Kulcstikon-titkosítás: Csak akkor engedélyezze a kulcscserét, ha a kulcs titkosítva van.

    • Digitális aláírás: Csak akkor engedélyezze a kulcscserét, ha egy digitális aláírás segít megvédeni a kulcsot.

    Ha tanúsítványsablont keres, csak akkor módosíthatja ezeket a beállításokat, ha másik tanúsítványsablont választ.

    Konfigurálja a kiválasztott tanúsítványsablont a fenti két kulcshasználati lehetőség egyikével vagy mindkettővel. Ha nem, a tanúsítványregisztrációs pont naplófájljában a következő üzenet jelenik meg: Crp.log: A CSR kulcshasználata és a feladat nem egyezik

  • Kulcsméret (bitek): Válassza ki a kulcs méretét bitekben.

  • Kibővített kulcshasználat: Adjon meg értékeket a tanúsítvány kívánt céljához. A legtöbb esetben a tanúsítvány ügyfél-hitelesítést igényel, hogy a felhasználó vagy az eszköz hitelesíthesse magát egy kiszolgálón. Igény szerint bármilyen más kulcshasználatot is hozzáadhat.

  • Kivonatoló algoritmus: Válassza ki a tanúsítvánnyal használható kivonatoló algoritmustípusok egyikét. Válassza ki a csatlakozó eszközök által támogatott legerősebb biztonsági szintet.

    Megjegyzés:

    Az SHA-2 támogatja az SHA-256, az SHA-384 és az SHA-512 elemet. Az SHA-3 csak az SHA-3-at támogatja.

  • Főtanúsítvány: Válasszon egy legfelső szintű hitelesítésszolgáltatói tanúsítványprofilt, amelyet korábban konfigurált és telepített a felhasználó vagy az eszköz számára. Ennek a hitelesítésszolgáltatói tanúsítványnak kell lennie annak a hitelesítésszolgáltatónak a főtanúsítványának, amely az ebben a tanúsítványprofilban konfigurálni kívánt tanúsítványt fogja kibocsátani.

    Fontos

    Ha olyan legfelső szintű hitelesítésszolgáltatói tanúsítványt ad meg, amely nincs telepítve a felhasználó vagy az eszköz számára, Configuration Manager nem fogja kezdeményezni a tanúsítványprofilban konfigurálni kívánt tanúsítványkérelmet.

Támogatott platformok

A Tanúsítványprofil létrehozása varázsló Támogatott platformok lapján válassza ki azokat az operációsrendszer-verziókat, amelyeket telepíteni szeretne a tanúsítványprofilhoz. Válassza az Összes kiválasztása lehetőséget a tanúsítványprofil telepítéséhez az összes elérhető operációs rendszerre.

Következő lépések

Az új tanúsítványprofil megjelenik a Tanúsítványprofilok csomópontban az Eszközök és megfelelőség munkaterületen. Készen áll a felhasználók vagy eszközök üzembe helyezésére. További információ: Profilok üzembe helyezése.