Condividi tramite


Creare profili certificato PFX usando un'autorità di certificazione

Si applica a: Configuration Manager (Current Branch)

Informazioni su come creare un profilo certificato che usa un'autorità di certificazione per le credenziali. Questo articolo evidenzia informazioni specifiche sui profili di certificato PFX (Personal Information Exchange). Per altre informazioni su come creare e configurare questi profili, vedere Profili certificato.

Configuration Manager consente di creare un profilo certificato PFX usando le credenziali rilasciate da un'autorità di certificazione. È possibile scegliere Microsoft o Entrust come autorità di certificazione. Quando vengono distribuiti nei dispositivi utente, i file PFX generano certificati specifici dell'utente per supportare lo scambio di dati crittografati.

Per importare le credenziali del certificato dai file di certificato esistenti, vedere Importare profili certificato PFX.

Prerequisiti

Prima di iniziare a creare un profilo certificato, assicurarsi che i prerequisiti necessari siano pronti. Per altre informazioni, vedere Prerequisiti per i profili certificato. Per i profili certificato PFX, ad esempio, è necessario un ruolo del sistema del sito del punto di registrazione certificati .

Creare un profilo

  1. Nella console Configuration Manager passare all'area di lavoro Asset e conformità, espandere Impostazioni di conformità, Accesso alle risorse aziendali e quindi selezionare Profili certificato.

  2. Nel gruppo Crea della scheda Home della barra multifunzione selezionare Crea profilo certificato.

  3. Nella pagina Generale della Creazione guidata profilo certificato specificare le informazioni seguenti:

    • Nome: immettere un nome univoco per il profilo certificato. È possibile usare un massimo di 256 caratteri.

    • Descrizione: fornire una descrizione che offre una panoramica del profilo certificato che consente di identificarlo nella console di Configuration Manager. È possibile usare un massimo di 256 caratteri.

  4. Selezionare Impostazioni di Scambio di informazioni personali - PKCS #12 (PFX) - Crea. Questa opzione richiede un certificato per conto di un utente da un'autorità di certificazione locale connessa. Scegliere l'autorità di certificazione: Microsoft o Entrust.

    Nota

    L'opzione Importa ottiene informazioni da un certificato esistente per creare un profilo certificato. Per altre informazioni, vedere Importare profili certificato PFX.

  5. Nella pagina Piattaforme supportate selezionare le versioni del sistema operativo supportate da questo profilo certificato. Per altre informazioni sulle versioni del sistema operativo supportate per la versione di Configuration Manager, vedere Versioni del sistema operativo supportate per client e dispositivi.

  6. Nella pagina Autorità di certificazione scegliere il punto di registrazione certificati (CRP) per elaborare i certificati PFX:

    1. Sito primario: scegliere il server contenente il ruolo CRP per la CA.
    2. Autorità di certificazione: selezionare la CA pertinente.

    Per altre informazioni, vedere Infrastruttura di certificati.

Le impostazioni nella pagina Certificato PFX variano a seconda della CA selezionata nella pagina Generale :

Configurare le impostazioni del certificato PFX per Microsoft CA

  1. Per Nome modello di certificato scegliere il modello di certificato.

  2. Per usare il profilo certificato per la firma O la crittografia S/MIME, abilitare l'utilizzo del certificato.

    Quando si abilita questa opzione, tutti i certificati PFX associati all'utente di destinazione vengono recapitati a tutti i dispositivi. Se non si abilita questa opzione, ogni dispositivo riceve un certificato univoco.

  3. Impostare Formato nome soggetto su Nome comune o Nome completamente distinto. Se non si è certi di quale usare, contattare l'amministratore della CA.

  4. Per il nome alternativo del soggetto, abilitare Email indirizzo e il nome dell'entità utente (UPN) in base alle esigenze della CA.

  5. Soglia di rinnovo: determina quando i certificati vengono rinnovati automaticamente, in base alla percentuale di tempo rimanente prima della scadenza.

  6. Impostare il periodo di validità del certificato sulla durata del certificato.

  7. Quando il punto di registrazione del certificato specifica le credenziali di Active Directory, abilitare la pubblicazione di Active Directory.

  8. Se è stata selezionata una o più piattaforme Windows 10 supportate:

    1. Impostare l'archivio certificati di Windows su Utente. L'opzione Computer locale non distribuisce i certificati, non sceglierli.

    2. Selezionare uno dei provider di archiviazione chiavi (KSP) seguenti:

      • Installare in Trusted Platform Module (TPM) se presente
      • L'installazione in Trusted Platform Module (TPM) non riesce in caso contrario
      • L'installazione in Windows Hello for Business in caso contrario non riesce
      • Installare nel provider di archiviazione delle chiavi software
  9. Completare la procedura guidata.

Configurare le impostazioni del certificato PFX per Entrust CA

  1. Per Configurazione ID digitale scegliere il profilo di configurazione. L'amministratore Entrust crea le opzioni di configurazione dell'ID digitale.

  2. Per usare il profilo certificato per la firma O la crittografia S/MIME, abilitare l'utilizzo del certificato.

    Quando si abilita questa opzione, tutti i certificati PFX associati all'utente di destinazione vengono recapitati a tutti i dispositivi. Se non si abilita questa opzione, ogni dispositivo riceve un certificato univoco.

  3. Per eseguire il mapping dei token di formato Entrust Subject name a Configuration Manager campi, selezionare Formatta.

    Nella finestra di dialogo Formattazione nome certificato sono elencate le variabili di configurazione Entrust Digital ID. Per ogni variabile Entrust, scegliere i campi di Configuration Manager appropriati.

  4. Per eseguire il mapping dei token Entrust Subject Alternative Name alle variabili LDAP supportate, selezionare Formato.

    Nella finestra di dialogo Formattazione nome certificato sono elencate le variabili di configurazione Entrust Digital ID. Per ogni variabile Entrust, scegliere la variabile LDAP appropriata.

  5. Soglia di rinnovo: determina quando i certificati vengono rinnovati automaticamente, in base alla percentuale di tempo rimanente prima della scadenza.

  6. Impostare il periodo di validità del certificato sulla durata del certificato.

  7. Quando il punto di registrazione del certificato specifica le credenziali di Active Directory, abilitare la pubblicazione di Active Directory.

  8. Se è stata selezionata una o più piattaforme Windows 10 supportate:

    1. Impostare l'archivio certificati di Windows su Utente. L'opzione Computer locale non distribuisce i certificati, non sceglierli.

    2. Selezionare uno dei provider di archiviazione chiavi (KSP) seguenti:

      • Installare in Trusted Platform Module (TPM) se presente
      • L'installazione in Trusted Platform Module (TPM) non riesce in caso contrario
      • L'installazione in Windows Hello for Business in caso contrario non riesce
      • Installare nel provider di archiviazione delle chiavi software
  9. Completare la procedura guidata.

Distribuire il profilo

Dopo aver creato un profilo certificato, è ora disponibile nel nodo Profili certificato . Per altre informazioni su come distribuirlo, vedere Distribuire i profili di accesso alle risorse.

Vedere anche

Creare un nuovo profilo certificato

Importare profili certificato PFX

Distribuire profili Wi-Fi, VPN, posta elettronica e profili certificati