A Microsoft Intune tanúsítvány-összekötőjének beállítása a DigiCert PKI platform támogatásához
A Microsoft Intune tanúsítvány-összekötőjével PKCS-tanúsítványokat bocsáthat ki a DigiCert PKI platformról az Intune által felügyelt eszközökre. A tanúsítvány-összekötő csak DigiCert hitelesítésszolgáltatóval (CA) működik, vagy DigiCert hitelesítésszolgáltatóval és Microsoft hitelesítésszolgáltatóval is.
Tipp
A DigiCert megszerezte a Symantec Website Security és a kapcsolódó PKI-megoldások üzletágát. A változással kapcsolatos további információkért tekintse meg a Symantec technikai támogatási cikkét.
Ha már használja a Microsoft Intune tanúsítvány-összekötőjét a Microsoft CA-tól származó tanúsítványok PKCS vagy SCEP használatával történő kiállításához, ugyanezzel az összekötővel konfigurálhatja és kibocsáthatja a DigiCert hitelesítésszolgáltatótól származó PKCS-tanúsítványokat. Miután elvégezte a DigiCert hitelesítésszolgáltatót támogató konfigurációt, az összekötő a következő tanúsítványokat bocsáthatja ki:
- PKCS-tanúsítványok Microsoft hitelesítésszolgáltatótól
- PKCS-tanúsítványok DigiCert hitelesítésszolgáltatótól
- Endpoint Protection-tanúsítványok Microsoft hitelesítésszolgáltatótól
Ha nincs telepítve az összekötő, de a Microsoft hitelesítésszolgáltatóhoz és a DigiCert hitelesítésszolgáltatóhoz is használni szeretné, először végezze el a Microsoft hitelesítésszolgáltató összekötő-konfigurációját. Ezután térjen vissza ehhez a cikkhez, és konfigurálja úgy, hogy a DigiCertet is támogassa. További információ a tanúsítványprofilokról és az összekötőről: Tanúsítványprofil konfigurálása az eszközökhöz a Microsoft Intune-ban.
Ha csak a DigiCert hitelesítésszolgáltatóval fogja használni az összekötőt, az ebben a cikkben található utasításokat követve telepítheti és konfigurálhatja az összekötőt.
Előfeltételek
A DigiCert hitelesítésszolgáltató használatának támogatásához a következőkre lesz szüksége:
Aktív előfizetés a DigiCert hitelesítésszolgáltatónál – Az előfizetésnek regisztrációs szolgáltatói (RA-) tanúsítványt kell beszereznie a DigiCert hitelesítésszolgáltatótól.
Tanúsítvány-összekötő a Microsoft Intune-hoz – A cikk későbbi részében arra utasítjuk, hogy telepítse és konfigurálja a tanúsítvány-összekötőt. Az összekötők előzetes tervezéséhez tekintse meg az alábbi cikkeket:
A DigiCert RA-tanúsítvány telepítése
Mentse a következő kódrészletet egy certreq.ini nevű fájlba, és szükség szerint frissítse (például: Tulajdonos neve CN formátumban).
[Version] Signature="$Windows NT$" [NewRequest] ;Change to your,country code, company name and common name Subject = "Subject Name in CN format" KeySpec = 1 KeyLength = 2048 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.2 ; Client Authentication // Uncomment if you need a mutual TLS authentication ;-----------------------------------------------
Nyisson meg egy rendszergazda jogú parancssort, és hozzon létre egy tanúsítvány-aláírási kérést (CSR) a következő paranccsal:
Certreq.exe -new certreq.ini request.csr
Nyissa meg a request.csr fájlt a Jegyzettömbben, és másolja a következő formátumú CSR-tartalmat:
-----BEGIN NEW CERTIFICATE REQUEST----- MIID8TCCAtkCAQAwbTEMMAoGA1UEBhMDVVNBMQswCQYDVQQIDAJXQTEQMA4GA1UE … … fzpeAWo= -----END NEW CERTIFICATE REQUEST-----
Jelentkezzen be a DigiCert hitelesítésszolgáltatóba, és tallózással keresse meg az RA-tanúsítvány lekérése a feladatokból lehetőséget.
a. A szövegmezőben adja meg a 3. lépésben szereplő CSR-tartalmat.
b. Adjon meg egy rövid nevet a tanúsítványnak.
c. Válassza a Folytatás lehetőséget.
d. A megadott hivatkozásra kattintva töltse le az RA-tanúsítványt a helyi számítógépre.
Importálja az RA-tanúsítványt a Windows tanúsítványtárolójába:
a. Nyisson meg egy MMC-konzolt.
b. Válassza a Fájl>hozzáadása vagy eltávolítása beépülő modul tanúsítvány>>hozzáadása lehetőséget.
c. Válassza a Számítógépfióktovább lehetőséget>.
d. Válassza a Helyi számítógép>befejezése lehetőséget.
e. Válassza az OK gombot a Beépülő modulok hozzáadása vagy eltávolítása ablakban. Bontsa ki a Tanúsítványok (helyi számítógép)>Személyes>tanúsítványok elemet.
f. Kattintson a jobb gombbal a Tanúsítványok csomópontra , és válassza a Minden tevékenység>importálása lehetőséget.
g. Válassza ki a DigiCert hitelesítésszolgáltatóról letöltött RA-tanúsítvány helyét, majd kattintson a Tovább gombra.
h. Válassza a Személyes tanúsítványtároló>tovább lehetőséget.
i. A Befejezés gombra kattintva importálja az RA-tanúsítványt és annak titkos kulcsát a Local Machine-Personal tárolóba.
Exportálja és importálja a titkoskulcs-tanúsítványt:
a. Bontsa ki a Tanúsítványok (helyi gép)>Személyes>tanúsítványok elemet.
b. Válassza ki az előző lépésben importált tanúsítványt.
c. Kattintson a jobb gombbal a tanúsítványra, és válassza a Minden feladat>exportálása lehetőséget.
d. Válassza a Tovább gombot, majd adja meg a jelszót.
e. Válassza ki azt a helyet, ahová exportálni szeretné, majd kattintson a Befejezés gombra.
f. Az 5. lépésben leírt eljárással importálja a titkos kulcsú tanúsítványt a helyi számítógép személyes tárolójába.
g. Jegyezze fel az RA-tanúsítvány ujjlenyomatának másolatát szóközök nélkül. Az alábbiakban egy példa látható az ujjlenyomatra:
RA Cert Thumbprint: "EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"
Később, a Microsoft Intune tanúsítvány-összekötőjének telepítése után ezt az értéket fogja használni az összekötő három .config fájljának frissítéséhez.
Megjegyzés:
Ha segítségre van szüksége az RA-tanúsítvány DigiCert hitelesítésszolgáltatótól való beszerzéséhez, forduljon a DigiCert ügyfélszolgálatához.
A tanúsítvány-összekötő konfigurálása a DigiCert támogatásához
A Tanúsítvány-összekötő telepítése a Microsoft Intune-hoz című cikkben található információk alapján először töltse le, majd telepítse és konfigurálja a Microsoft Intune tanúsítvány-összekötőt:
- Az összekötő telepítési eljárásának 2 . lépése során válassza ki a PKCS és opcionálisan a Tanúsítvány visszavonása lehetőséget.
- Az összekötő telepítési és konfigurációs eljárásának befejezése után térjen vissza ehhez az eljáráshoz a folytatáshoz.
Konfigurálja az összekötőt a DigiCert támogatására az összekötő három .config fájljának módosításával, majd indítsa újra a kapcsolódó szolgáltatásokat:
Azon a kiszolgálón, amelyen az összekötő telepítve van, lépjen a %ProgramFiles%\Microsoft Intune\PFXCertificateConnector\ConnectorSvc helyre. (Alapértelmezés szerint a Microsoft Intune tanúsítvány-összekötője a következő helyre települ: %ProgramFiles%\Microsoft Intune\PFXCertificateConnector.)
Az alábbi három fájlban az RACertThumbprint kulcsértékének frissítéséhez használjon egy egyszerű szövegszerkesztőt, például a Notepad.exe. Cserélje le a fájlokban lévő értéket az előző szakaszeljárásának 6.g. lépésében kimásolt értékre:
- Microsoft.Intune.ConnectorsPkiCreate.exe.config
- Microsoft.Intune.ConnectorsPkiRevoke.exe.config
- Microsoft.Intune.ConnectorsPkiCreateLegacy.exe.config
Keresse meg például a bejegyzést minden fájlban, amely a következőhöz
<add key="RACertThumbprint" value="EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"/>
hasonló: , és cserélje leEA7A4E0CD1A4F81CF0740527C31A57F6020C17C5
a elemet az új RA-tanúsítvány ujjlenyomatértékére .Futtassa a services.msc fájlt, állítsa le, majd indítsa újra a következő három szolgáltatást:
- PFX Tanúsítvány-összekötő visszavonása a Microsoft Intune-hoz (PkiRevokeConnectorSvc)
- PFX Tanúsítvány-összekötő létrehozása a Microsoft Intune-hoz (PkiCreateConnectorSvc)
- PFX – Örökölt összekötő létrehozása a Microsoft Intune-hoz (PfxCreateLegacyConnectorSvc)
Megbízható tanúsítványprofil létrehozása
Az Intune által felügyelt eszközökön üzembe helyezendő PKCS-tanúsítványokat megbízható főtanúsítvánnyal kell összekapcsolni. A lánc létrehozásához hozzon létre egy Megbízható Intune-tanúsítványprofilt a DigiCert hitelesítésszolgáltató főtanúsítványával, és helyezze üzembe a megbízható tanúsítványprofilt és a PKCS-tanúsítványprofilt is ugyanazon csoportokban.
Megbízható főtanúsítvány beszerzése a DigiCert hitelesítésszolgáltatótól:
a. Jelentkezzen be a DigiCert hitelesítésszolgáltató felügyeleti portáljára.
b. Válassza a Ca-k kezelésea Feladatok területen lehetőséget.
c. Válassza ki a megfelelő hitelesítésszolgáltatót a listából.
d. Válassza a Főtanúsítvány letöltése lehetőséget a megbízható főtanúsítvány letöltéséhez.
Hozzon létre egy megbízható tanúsítványprofilt a Microsoft Intune Felügyeleti központban. Részletes útmutatásért lásd: Megbízható tanúsítványprofil létrehozása. Mindenképpen rendelje hozzá ezt a profilt azokhoz az eszközökhöz, amelyek tanúsítványokat fognak kapni. A profil csoportokhoz rendeléséhez lásd: Eszközprofilok hozzárendelése.
Miután létrehozta a profilt, az megjelenik az Eszközkonfiguráció – Profilok panel profillistájában, megbízható tanúsítványtípussal.
A tanúsítványprofil objektumazonosítójának lekérése
A tanúsítványprofil objektumazonosítója a DigiCert hitelesítésszolgáltató tanúsítványprofil-sablonjához van társítva. PKCS-tanúsítványprofil Intune-beli létrehozásához a tanúsítványsablon nevének egy tanúsítványprofil objektumazonosítójának kell lennie, amely a DigiCert hitelesítésszolgáltató tanúsítványsablonjához van társítva.
Jelentkezzen be a DigiCert hitelesítésszolgáltató felügyeleti portáljára.
Válassza a Tanúsítványprofilok kezelése lehetőséget.
Válassza ki a használni kívánt tanúsítványprofilt.
Másolja ki a tanúsítványprofil objektumazonosítóját. A következő példához hasonlóan néz ki:
Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109
Megjegyzés:
Ha segítségre van szüksége a tanúsítványprofil objektumazonosítójának beszerzéséhez, forduljon a DigiCert ügyfélszolgálatához.
PKCS-tanúsítványprofil létrehozása
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Válassza az Eszközök>Kezelése eszközök>konfigurációja>Létrehozás lehetőséget.
Adja meg a következő tulajdonságokat:
- Platform: Válassza ki az eszközei platformját.
- Profil: Válassza a PKCS-tanúsítvány lehetőséget. Vagy válassza a Sablonok>PKCS-tanúsítvány lehetőséget.
Válassza a Létrehozás lehetőséget.
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
- Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.
A Konfigurációs beállítások területen konfigurálja a paramétereket az alábbi táblázat értékeivel. Ezek az értékek szükségesek ahhoz, hogy PKCS-tanúsítványokat állítson ki egy DigiCert hitelesítésszolgáltatótól a Microsoft Intune tanúsítvány-összekötőn keresztül.
PKCS-tanúsítványparaméter Érték Leírás Hitelesítésszolgáltató pki-ws.symauth.com Ennek az értéknek a DigiCert hitelesítésszolgáltató alapszolgáltatásának teljes tartománynevének kell lennie perjelek nélkül. Ha nem tudja biztosan, hogy ez-e a DigiCert CA-előfizetéséhez megfelelő alapszolgáltatás teljes tartománynév, forduljon a DigiCert ügyfélszolgálatához.
A Symantec-ről a DigiCertre való váltáskor ez az URL változatlan marad.
Ha ez az FQDN helytelen, a tanúsítvány-összekötő nem ad ki PKCS-tanúsítványokat a DigiCert hitelesítésszolgáltatótól.Hitelesítésszolgáltató neve Symantec Ennek az értéknek a Symantec sztringnek kell lennie.
Ha ez az érték módosul, a tanúsítvány-összekötő nem bocsát ki PKCS-tanúsítványokat a DigiCert hitelesítésszolgáltatótól.Tanúsítványsablon neve Tanúsítványprofil objektumazonosítója a DigiCert hitelesítésszolgáltatótól. Például: 2.16.840.1.113733.1.16.1.2.3.1.1.61904612 Ennek az értéknek a DigiCert hitelesítésszolgáltató tanúsítványprofil-sablonjából az előző szakaszban beszerzett tanúsítványprofil-objektumazonosítónak kell lennie.
Ha a tanúsítvány-összekötő nem talál a DigiCert hitelesítésszolgáltatóban a tanúsítványprofil objektumazonosítójához társított tanúsítványsablont, akkor nem ad ki PKCS-tanúsítványokat a DigiCert hitelesítésszolgáltatótól.Megjegyzés:
A Windows-platformok PKCS-tanúsítványprofiljának nem kell megbízható tanúsítványprofilhoz társítania. A nem Windows-platformprofilokhoz, például az Androidhoz azonban szükség van rá.
Végezze el a profil konfigurálását az üzleti igényeknek megfelelően, majd válassza a Létrehozás lehetőséget a profil mentéséhez.
Az új profil Áttekintés lapján válassza a Hozzárendelések lehetőséget, és konfiguráljon egy megfelelő csoportot, amely megkapja ezt a profilt. Legalább egy felhasználónak vagy eszköznek a hozzárendelt csoporthoz kell tartoznia.
Az előző lépések elvégzése után a Microsoft Intune tanúsítvány-összekötője PKCS-tanúsítványokat bocsát ki a DigiCert hitelesítésszolgáltatótól a hozzárendelt csoport Intune által felügyelt eszközeinek. Ezek a tanúsítványok az Intune által felügyelt eszköz Aktuális felhasználó tanúsítványtárolójának Személyes tárolójában lesznek elérhetők.
A PKCS-tanúsítványprofil támogatott attribútumai
Attribútum | Az Intune által támogatott formátumok | A DigiCert Cloud CA által támogatott formátumok | eredmény |
---|---|---|---|
Tulajdonos neve | Az Intune csak a következő három formátumban támogatja a tulajdonos nevét: 1. Köznapi név 2. E-maileket tartalmazó köznapi név 3. Köznapi név e-mail-címként Például: CN = IWUser0 <br><br> E = IWUser0@samplendes.onmicrosoft.com |
A DigiCert hitelesítésszolgáltató további attribútumokat támogat. Ha további attribútumokat szeretne kijelölni, azokat rögzített értékekkel kell definiálni a DigiCert tanúsítványprofil-sablonjában. | A PKCS-tanúsítványkérelemből származó köznapi nevet vagy e-mail-címet használunk. Az Intune-tanúsítványprofil és a DigiCert tanúsítványprofilsablon közötti attribútumválasztás eltérése esetén a DigiCert hitelesítésszolgáltató nem bocsát ki tanúsítványokat. |
SAN | Az Intune csak a következő SAN-mezőértékeket támogatja: AltNameTypeEmail AltNameTypeUpn AltNameTypeOtherName (kódolt érték) |
A DigiCert Cloud ca is támogatja ezeket a paramétereket. Ha további attribútumokat szeretne kijelölni, azokat rögzített értékekkel kell definiálni a DigiCert tanúsítványprofil-sablonjában. AltNameTypeEmail: Ha ez a típus nem található a SAN-ban, a tanúsítvány-összekötő az AltNameTypeUpn értékét használja. Ha az AltNameTypeUpn nem található a SAN-ban, akkor a tanúsítvány-összekötő a tulajdonos nevének értékét használja, ha e-mail formátumban van. Ha a típus továbbra sem található, a tanúsítvány-összekötő nem tudja kibocsátani a tanúsítványokat. Példa: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.com AltNameTypeUpn: Ha ez a típus nem található a SAN-ban, a tanúsítvány-összekötő az AltNameTypeEmail értékét használja. Ha az AltNameTypeEmail szintén nem található a SAN-ban, akkor a tanúsítvány-összekötő a tulajdonos nevének értékét használja, ha e-mail formátumban van. Ha a típus továbbra sem található, a tanúsítvány-összekötő nem tudja kibocsátani a tanúsítványokat. Példa: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.com AltNameTypeOtherName: Ha ez a típus nem található a tárolóhálózatban, a tanúsítvány-összekötő nem tudja kiadni a tanúsítványokat. Példa: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2c A mező értékét a DigiCert hitelesítésszolgáltató csak kódolt formátumban (hexadecimális érték) támogatja. A mezőben szereplő bármely érték esetében a tanúsítvány-összekötő base64 kódolásúvá alakítja, mielőtt elküldené a tanúsítványkérelmet. A Microsoft Intune tanúsítvány-összekötője nem ellenőrzi, hogy ez az érték már kódolva van-e. |
Egyikre sem. |
Hibaelhárítás
A Microsoft Intune tanúsítvány-összekötőjének naplói eseménynaplókként érhetők el azon a kiszolgálón, amelyen az összekötő telepítve van. Ezek a naplók részletesen ismertetik az összekötők működését, és a tanúsítvány-összekötővel és -műveletekkel kapcsolatos problémák azonosítására használhatók. További információ: Naplózás.
Következő lépések
A cikkben található információk és a Mik azok a Microsoft Intune-eszközprofilok? című témakörben található információk segítségével kezelheti a szervezet eszközeit és a rajtuk lévő tanúsítványokat.