Создание профилей сертификатов
Относится к Configuration Manager (Current Branch)
Важно!
Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.
Используйте профили сертификатов в Configuration Manager для подготовки управляемых устройств сертификатов, необходимых для доступа к ресурсам компании. Перед созданием профилей сертификатов настройте инфраструктуру сертификатов, как описано в разделе Настройка инфраструктуры сертификатов.
В этой статье описывается создание доверенных корневых профилей сертификатов и сертификатов SCEP. Если вы хотите создать профили сертификатов PFX, см. статью Создание профилей сертификатов PFX.
Чтобы создать профиль сертификата, выполните приведенные далее действия.
- Запустите мастер создания профиля сертификата.
- Укажите общие сведения о сертификате.
- Настройте сертификат доверенного центра сертификации (ЦС).
- Настройка сведений о сертификате SCEP.
- Укажите поддерживаемые платформы для профиля сертификата.
Запуск мастера
Чтобы запустить создание профиля сертификата, выполните следующие действия:
В консоли Configuration Manager перейдите в рабочую область Активы и соответствие, разверните узел Параметры соответствия, Разверните узел Доступ к ресурсам компании, а затем выберите узел Профили сертификатов.
На вкладке Главная ленты в группе Создать выберите Создать профиль сертификата.
Общие указания
На странице Общие мастера создания профиля сертификатов укажите следующие сведения:
Имя. Введите уникальное имя профиля сертификата. Можно использовать не более 256 символов.
Описание. Укажите описание, которое содержит общие сведения о профиле сертификата. Кроме того, добавьте другую важную информацию, которая помогает идентифицировать ее в консоли Configuration Manager. Можно использовать не более 256 символов.
Укажите тип профиля сертификата, который требуется создать:
Сертификат доверенного ЦС. Выберите этот тип, чтобы развернуть доверенный корневой центр сертификации (ЦС) или промежуточный сертификат ЦС, чтобы сформировать цепочку сертификатов доверия, когда пользователь или устройство должны пройти проверку подлинности другого устройства. Например, устройство может быть сервером RADIUS или сервером виртуальной частной сети (VPN).
Также настройте профиль сертификата доверенного ЦС перед созданием профиля сертификата SCEP. В этом случае доверенный сертификат ЦС должен быть предназначен для ЦС, который выдает сертификат пользователю или устройству.
Параметры протокола scEP. Выберите этот тип, чтобы запросить сертификат для пользователя или устройства с помощью протокола регистрации простых сертификатов и службы роли службы регистрации сетевых устройств (NDES).
Параметры обмена личными данными PKCS #12 (PFX) — импорт: выберите этот параметр, чтобы импортировать PFX-сертификат. Дополнительные сведения см. в разделе Импорт профилей сертификатов PFX.
Параметры обмена персональными данными PKCS No 12 (PFX) — Создать. Выберите этот параметр для обработки сертификатов PFX с помощью центра сертификации. Дополнительные сведения см. в статье Создание профилей сертификатов PFX.
Сертификат доверенного ЦС
Важно!
Перед созданием профиля сертификата SCEP настройте по крайней мере один профиль доверенного сертификата ЦС.
После развертывания сертификата при изменении любого из этих значений запрашивается новый сертификат:
- Поставщик хранилища ключей
- Имя шаблона сертификата
- Тип сертификата
- Формат имени субъекта
- Альтернативное имя субъекта
- Срок действия сертификата.
- Использование ключа
- Размер ключа
- Расширенное использование ключа
- Сертификат корневого ЦС
На странице Сертификат доверенного ЦС мастера создания профиля сертификатов укажите следующие сведения:
Файл сертификата. Выберите Импорт, а затем перейдите к файлу сертификата.
Целевое хранилище. Для устройств с несколькими хранилищами сертификатов выберите место хранения сертификата. Для устройств, имеющих только одно хранилище, этот параметр игнорируется.
Используйте значение Отпечаток сертификата , чтобы убедиться, что вы импортировали правильный сертификат.
Сертификаты SCEP
1. Серверы SCEP
На странице СЕРВЕРЫ SCEP мастера создания профиля сертификатов укажите URL-адреса для серверов NDES, которые будут выдавать сертификаты через SCEP. Вы можете автоматически назначить URL-адрес NDES в зависимости от конфигурации точки регистрации сертификата или добавить URL-адреса вручную.
2. Регистрация SCEP
Завершите страницу регистрация SCEP мастера создания профиля сертификата.
Повторные попытки. Укажите число автоматических повторных попыток устройства для запроса сертификата на сервер NDES. Этот параметр поддерживает сценарий, в котором диспетчер ЦС должен утвердить запрос на сертификат, прежде чем он будет принят. Этот параметр обычно используется для сред с высоким уровнем безопасности или если у вас есть автономный ЦС, выдающий, а не корпоративный ЦС. Этот параметр также можно использовать для тестирования, чтобы проверить параметры запроса на сертификат до того, как выдающий ЦС обработает запрос сертификата. Используйте этот параметр с параметром Задержка повтора (в минутах).
Задержка повтора (в минутах): укажите интервал (в минутах) между каждой попыткой регистрации при использовании утверждения диспетчера ЦС до того, как выдающий ЦС обработает запрос на сертификат. Если для тестирования используется утверждение руководителя, укажите низкое значение. Затем вы не будете долго ждать, пока устройство повторит запрос на сертификат после утверждения запроса.
Если вы используете утверждение руководителя в рабочей сети, укажите более высокое значение. Это позволяет администратору ЦС утвердить или отклонить ожидающие утверждения достаточно времени.
Порог продления (%): укажите процент времени существования сертификата, который остается до того, как устройство запросит продление сертификата.
Поставщик хранилища ключей (KSP): укажите, где хранится ключ сертификата. Выберите одно из следующих значений:
Установка в доверенный платформенный модуль (TPM), если он имеется: устанавливает ключ в доверенный платформенный модуль. Если TPM отсутствует, ключ устанавливается поставщику хранилища для программного ключа.
Установка в доверенный платформенный модуль (TPM) в противном случае завершается ошибкой: устанавливает ключ для доверенного платформенного модуля. Если модуль TPM отсутствует, установка завершается сбоем.
Установка в Windows Hello для бизнеса в противном случае сбой: этот параметр доступен для Windows 10 или более поздних устройств. Он позволяет хранить сертификат в хранилище Windows Hello для бизнеса, которое защищено многофакторной проверкой подлинности. Дополнительные сведения см. в статье Windows Hello для бизнеса.
Примечание.
Этот параметр не поддерживает вход с помощью смарт-карты для расширенного использования ключа на странице Свойства сертификата.
Установка на поставщик хранилища ключей программного обеспечения. Устанавливает ключ к поставщику хранилища для программного ключа.
Устройства для регистрации сертификатов. Если вы развертываете профиль сертификата в коллекции пользователей, разрешите регистрацию сертификатов только на основном устройстве пользователя или на любом устройстве, на котором пользователь входит.
При развертывании профиля сертификата в коллекции устройств разрешите регистрацию сертификатов только для основного пользователя устройства или для всех пользователей, которые входят на устройство.
3. Свойства сертификата
На странице Свойства сертификата мастера создания профиля сертификатов укажите следующие сведения:
Имя шаблона сертификата. Выберите имя шаблона сертификата, настроенного в NDES и добавленного в выдающий ЦС. Чтобы успешно перейти к шаблонам сертификатов, вашей учетной записи пользователя требуется разрешение на чтение шаблона сертификата. Если не удается найти сертификат, введите его имя.
Важно!
Если имя шаблона сертификата содержит символы, отличные от ASCII, сертификат не развертывается. (Одним из примеров этих символов является китайский алфавит.) Чтобы убедиться, что сертификат развернут, сначала создайте копию шаблона сертификата в ЦС. Затем переименуйте копию, используя символы ASCII.
При выборе имени шаблона сертификата некоторые поля на странице будут автоматически заполнены из шаблона сертификата. В некоторых случаях эти значения нельзя изменить, если не выбрать другой шаблон сертификата.
Если вы вводите имя шаблона сертификата, убедитесь, что имя в точности соответствует одному из шаблонов сертификатов. Он должен соответствовать именам, указанным в реестре сервера NDES. Убедитесь, что вы указываете имя шаблона сертификата, а не отображаемое имя шаблона сертификата.
Чтобы найти имена шаблонов сертификатов, перейдите к следующему разделу реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
. В нем перечислены шаблоны сертификатов в качестве значений EncryptionTemplate, GeneralPurposeTemplate и SignatureTemplate. По умолчанию для всех трех шаблонов сертификатов используется значение IPSECIntermediateOffline, которое сопоставляется с отображаемым именем шаблона IPSec (автономный запрос).Предупреждение
При вводе имени шаблона сертификата Configuration Manager не сможет проверить содержимое шаблона сертификата. Возможно, вы сможете выбрать параметры, которые не поддерживает шаблон сертификата, что может привести к сбою запроса на сертификат. При таком поведении вы увидите сообщение об ошибке для w3wp.exe в файле CPR.log, что имя шаблона в запросе на подпись сертификата (CSR) и запрос не совпадают.
При вводе имени шаблона сертификата, указанного для значения GeneralPurposeTemplate , выберите параметры Шифрование ключа и Цифровая подпись для этого профиля сертификата. Если вы хотите включить только параметр Шифрования ключа в этом профиле сертификата, укажите имя шаблона сертификата для ключа EncryptionTemplate . Аналогичным образом, если вы хотите включить только параметр Цифровая подпись в этом профиле сертификата, укажите имя шаблона сертификата для ключа SignatureTemplate .
Тип сертификата. Выберите, будете ли вы развертывать сертификат для устройства или пользователя.
Формат имени субъекта. Выберите, как Configuration Manager автоматически создает имя субъекта в запросе на сертификат. Если сертификат предназначен для пользователя, можно также включить адрес электронной почты пользователя в имя субъекта.
Примечание.
Если выбрать номер IMEI или Серийный номер, можно различать разные устройства, принадлежащие одному и тому же пользователю. Например, эти устройства могут использовать общее имя, но не номер IMEI или серийный номер. Если устройство не сообщает IMEI или серийный номер, сертификат выдается с общим именем.
Альтернативное имя субъекта. Укажите, как Configuration Manager автоматически создает значения для альтернативного имени субъекта (SAN) в запросе сертификата. Например, если вы выбрали тип сертификата пользователя, можно включить имя участника-пользователя (UPN) в альтернативное имя субъекта. Если сертификат клиента будет проходить проверку подлинности на сервере политики сети, задайте для альтернативного имени субъекта имя участника-пользователя.
Срок действия сертификата. Если для выдающего ЦС задан пользовательский срок действия, укажите оставшееся время до истечения срока действия сертификата.
Совет
Задайте пользовательский срок действия с помощью следующей командной строки:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
Дополнительные сведения об этой команде см. в разделе Инфраструктура сертификатов.Можно указать значение, которое меньше срока действия в указанном шаблоне сертификата, но не выше. Например, если срок действия сертификата в шаблоне сертификата составляет два года, можно указать значение одного года, но не пять лет. Кроме того, значение не должно превышать значение оставшегося периода действия сертификата, выдаваемого центром сертификации.
Использование ключа. Укажите параметры использования ключа для сертификата. Выберите из следующих вариантов.
Шифрование ключей: обмен ключами разрешается, только если они зашифрованы.
Цифровая подпись: обмен ключами разрешается, только если они защищены с помощью цифровой подписи.
Если вы просматривали шаблон сертификата, вы не сможете изменить эти параметры, если не выберете другой шаблон сертификата.
Настройте выбранный шаблон сертификата с помощью одного или обоих указанных выше параметров использования ключа. Если нет, в файле журнала точки регистрации сертификата появится следующее сообщение Crp.log: Использование ключей в CSR и запрос не совпадают.
Размер ключа (биты): выберите размер ключа в битах.
Расширенное использование ключа. Добавьте значения для целевого назначения сертификата. В большинстве случаев сертификату требуется проверка подлинности клиента , чтобы пользователь или устройство могли пройти проверку подлинности на сервере. При необходимости можно добавить любые другие варианты использования ключей.
Хэш-алгоритм. Выберите один из доступных типов хэш-алгоритмов для использования с этим сертификатом. Выберите максимальный уровень безопасности, который поддерживают подключающиеся устройства.
Примечание.
SHA-2 поддерживает SHA-256, SHA-384 и SHA-512. SHA-3 поддерживает только SHA-3.
Сертификат корневого ЦС. Выберите профиль сертификата корневого ЦС, который вы ранее настроили и развернули для пользователя или устройства. Этот сертификат ЦС должен быть корневым сертификатом для ЦС, который выдаст сертификат, который настраивается в этом профиле сертификата.
Важно!
Если указать корневой сертификат ЦС, который не развернут для пользователя или устройства, Configuration Manager не инициирует запрос сертификата, который настраивается в этом профиле сертификата.
Поддерживаемые платформы
На странице Поддерживаемые платформы мастера создания профиля сертификата выберите версии ОС, в которых требуется установить профиль сертификата. Выберите Выбрать все , чтобы установить профиль сертификата во всех доступных операционных системах.
Дальнейшие действия
Новый профиль сертификата появится в узле Профили сертификатов рабочей области Активы и соответствие . Он готов к развертыванию для пользователей или устройств. Дополнительные сведения см. в статье Развертывание профилей.