Certificaatprofielen maken
Van toepassing op: Configuration Manager (current branch)
Belangrijk
Vanaf versie 2203 wordt deze functie voor bedrijfsresources niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.
Gebruik certificaatprofielen in Configuration Manager om beheerde apparaten in te richten met de certificaten die ze nodig hebben voor toegang tot bedrijfsbronnen. Voordat u certificaatprofielen maakt, moet u de certificaatinfrastructuur instellen, zoals beschreven in Certificaatinfrastructuur instellen.
In dit artikel wordt beschreven hoe u vertrouwde basis- en SCEP-certificaatprofielen (Simple Certificate Enrollment Protocol) maakt. Zie PFX-certificaatprofielen maken als u PFX-certificaatprofielen wilt maken.
Een certificaatprofiel maken:
- Start de wizard Certificaatprofiel maken.
- Geef algemene informatie over het certificaat op.
- Configureer een ca-certificaat (vertrouwde certificeringsinstantie).
- SCEP-certificaatgegevens configureren.
- Geef ondersteunde platforms op voor het certificaatprofiel.
De wizard starten
Ga als volgt te werk om het certificaatprofiel maken te starten:
Ga in de Configuration Manager-console naar de werkruimte Activa en naleving, vouw Nalevingsinstellingen uit, vouw Toegang tot bedrijfsresources uit en selecteer vervolgens het knooppunt Certificaatprofielen.
Selecteer op het tabblad Start van het lint in de groep Maken de optie Certificaatprofiel maken.
Algemeen
Geef op de pagina Algemeen van de wizard Certificaatprofiel maken de volgende informatie op:
Naam: voer een unieke naam in voor het certificaatprofiel. U kunt maximaal 256 tekens gebruiken.
Beschrijving: geef een beschrijving op met een overzicht van het certificaatprofiel. Neem ook andere relevante informatie op waarmee u deze kunt identificeren in de Configuration Manager-console. U kunt maximaal 256 tekens gebruiken.
Geef het type certificaatprofiel op dat u wilt maken:
Vertrouwd CA-certificaat: selecteer dit type om een vertrouwde basiscertificeringsinstantie (CA) of een tussenliggend CA-certificaat te implementeren om een certificaatketen van vertrouwen te vormen wanneer de gebruiker of het apparaat een ander apparaat moet verifiëren. Het apparaat kan bijvoorbeeld een RADIUS-server (Remote Authentication Dial-In User Service) of een VPN-server (Virtual Private Network) zijn.
Configureer ook een vertrouwd CA-certificaatprofiel voordat u een SCEP-certificaatprofiel kunt maken. In dit geval moet het vertrouwde CA-certificaat zijn voor de CA die het certificaat aan de gebruiker of het apparaat uitgeeft.
SCEP-instellingen (Simple Certificate Enrollment Protocol): selecteer dit type om een certificaat aan te vragen voor een gebruiker of apparaat met het Simple Certificate Enrollment Protocol en de NDES-functieservice (Network Device Enrollment Service).
PKCS #12 (PFX)-instellingen (Personal Information Exchange) - Importeren: selecteer deze optie om een PFX-certificaat te importeren. Zie PFX-certificaatprofielen importeren voor meer informatie.
PKCS #12 (PFX)-instellingen (Personal Information Exchange) - Maken: selecteer deze optie om PFX-certificaten te verwerken met behulp van een certificeringsinstantie. Zie PFX-certificaatprofielen maken voor meer informatie.
Vertrouwd CA-certificaat
Belangrijk
Voordat u een SCEP-certificaatprofiel maakt, moet u ten minste één vertrouwd CA-certificaatprofiel configureren.
Nadat het certificaat is geïmplementeerd en u een van deze waarden wijzigt, wordt een nieuw certificaat aangevraagd:
- Sleutelopslagprovider
- Naam van certificaatsjabloon
- Certificaattype
- Indeling van onderwerpnaam
- Alternatieve naam van onderwerp
- Geldigheidsperiode van certificaat
- Sleutelgebruik
- Sleutelgrootte
- Uitgebreid sleutelgebruik
- Basis-CA-certificaat
Geef op de pagina Vertrouwd CA-certificaat van de wizard Certificaatprofiel maken de volgende informatie op:
Certificaatbestand: selecteer Importeren en blader vervolgens naar het certificaatbestand.
Doelarchief: voor apparaten met meer dan één certificaatarchief selecteert u waar u het certificaat wilt opslaan. Voor apparaten die slechts één winkel hebben, wordt deze instelling genegeerd.
Gebruik de vingerafdrukwaarde certificaat om te controleren of u het juiste certificaat hebt geïmporteerd.
SCEP-certificaten
1. SCEP-servers
Geef op de pagina SCEP-servers van de wizard Certificaatprofiel maken de URL's op voor de NDES-servers die certificaten via SCEP uitgeven. U kunt automatisch een NDES-URL toewijzen op basis van de configuratie van het certificaatregistratiepunt of URL's handmatig toevoegen.
2. SCEP-inschrijving
Voltooi de pagina SCEP-inschrijving van de wizard Certificaatprofiel maken.
Nieuwe pogingen: geef het aantal keren op dat het apparaat de certificaataanvraag automatisch opnieuw naar de NDES-server verzendt. Deze instelling ondersteunt het scenario waarin een CA-manager een certificaataanvraag moet goedkeuren voordat deze wordt geaccepteerd. Deze instelling wordt doorgaans gebruikt voor omgevingen met een hoge beveiliging of als u een zelfstandige verlenende CA hebt in plaats van een ondernemings-CA. U kunt deze instelling ook gebruiken voor testdoeleinden, zodat u de opties voor certificaataanvragen kunt inspecteren voordat de verlenende CA de certificaataanvraag verwerkt. Gebruik deze instelling met de instelling Vertraging opnieuw proberen (minuten).
Vertraging voor opnieuw proberen (minuten): geef het interval op in minuten tussen elke inschrijvingspoging wanneer u goedkeuring van CA-manager gebruikt voordat de verlenende CA de certificaataanvraag verwerkt. Als u goedkeuring van de manager gebruikt voor testdoeleinden, geeft u een lage waarde op. Vervolgens wacht u niet lang totdat het apparaat de certificaataanvraag opnieuw heeft geprobeerd nadat u de aanvraag hebt goedgekeurd.
Als u goedkeuring van de manager in een productienetwerk gebruikt, geeft u een hogere waarde op. Dit gedrag biedt voldoende tijd voor de CA-beheerder om goedkeuringen in behandeling goed te keuren of te weigeren.
Drempelwaarde voor verlenging (%): geef het percentage van de levensduur van het certificaat op dat overblijft voordat het apparaat verlenging van het certificaat aanvraagt.
Key Storage Provider (KSP): geef op waar de sleutel van het certificaat wordt opgeslagen. Kies uit een van de volgende waarden:
Installeren op Trusted Platform Module (TPM) indien aanwezig: installeert de sleutel op de TPM. Als de TPM niet aanwezig is, wordt de sleutel geïnstalleerd bij de opslagprovider voor de softwaresleutel.
Anders mislukt de installatie van Trusted Platform Module (TPM): installeert de sleutel op de TPM. Als de TPM-module niet aanwezig is, mislukt de installatie.
Installeren op Windows Hello voor Bedrijven anders mislukt: deze optie is beschikbaar voor apparaten met Windows 10 of hoger. Hiermee kunt u het certificaat opslaan in het Windows Hello voor Bedrijven archief, dat wordt beveiligd door meervoudige verificatie. Zie Windows Hello voor Bedrijven voor meer informatie.
Opmerking
Deze optie biedt geen ondersteuning voor smartcardaanmelding voor het uitgebreide sleutelgebruik op de pagina Certificaateigenschappen.
Installeren bij softwaresleutelopslagprovider: installeert de sleutel naar de opslagprovider voor de softwaresleutel.
Apparaten voor certificaatinschrijving: als u het certificaatprofiel implementeert in een gebruikersverzameling, staat u certificaatinschrijving alleen toe op het primaire apparaat van de gebruiker of op elk apparaat waarop de gebruiker zich aanmeldt.
Als u het certificaatprofiel implementeert in een apparaatverzameling, staat u alleen certificaatinschrijving toe voor de primaire gebruiker van het apparaat of voor alle gebruikers die zich aanmelden bij het apparaat.
3. Certificaateigenschappen
Geef op de pagina Certificaateigenschappen van de wizard Certificaatprofiel maken de volgende informatie op:
Naam van certificaatsjabloon: selecteer de naam van een certificaatsjabloon die u hebt geconfigureerd in NDES en hebt toegevoegd aan een verlenende CA. Als u naar certificaatsjablonen wilt bladeren, moet uw gebruikersaccount de machtiging Lezen voor de certificaatsjabloon hebben. Als u niet naar het certificaat kunt bladeren , typt u de naam ervan.
Belangrijk
Als de naam van de certificaatsjabloon niet-ASCII-tekens bevat, wordt het certificaat niet geïmplementeerd. (Een voorbeeld van deze tekens is van het Chinese alfabet.) Maak eerst een kopie van de certificaatsjabloon op de CA om ervoor te zorgen dat het certificaat is geïmplementeerd. Wijzig vervolgens de naam van de kopie met behulp van ASCII-tekens.
Als u bladert om de naam van de certificaatsjabloon te selecteren, worden sommige velden op de pagina automatisch ingevuld vanuit de certificaatsjabloon. In sommige gevallen kunt u deze waarden alleen wijzigen als u een andere certificaatsjabloon kiest.
Als u de naam van de certificaatsjabloon typt , controleert u of de naam exact overeenkomt met een van de certificaatsjablonen. Deze moet overeenkomen met de namen die worden vermeld in het register van de NDES-server. Zorg ervoor dat u de naam van de certificaatsjabloon opgeeft en niet de weergavenaam van de certificaatsjabloon.
Als u de namen van certificaatsjablonen wilt vinden, bladert u naar de volgende registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
. De certificaatsjablonen worden vermeld als de waarden voor EncryptionTemplate, GeneralPurposeTemplate en SignatureTemplate. Standaard is de waarde voor alle drie de certificaatsjablonen IPSECIntermediateOffline, die wordt toegewezen aan de weergavenaam van de sjabloon IPSec (offlineaanvraag).Waarschuwing
Wanneer u de naam van de certificaatsjabloon typt, kunt Configuration Manager de inhoud van de certificaatsjabloon niet controleren. Mogelijk kunt u opties selecteren die niet worden ondersteund door de certificaatsjabloon, wat kan leiden tot een mislukte certificaataanvraag. Wanneer dit gedrag optreedt, ziet u een foutbericht voor w3wp.exe in het bestand CPR.log dat de sjabloonnaam in de aanvraag voor certificaatondertekening (CSR) en de uitdaging niet overeenkomen.
Wanneer u de naam typt van de certificaatsjabloon die is opgegeven voor de waarde GeneralPurposeTemplate , selecteert u de opties Sleutelcodering en Digitale handtekening voor dit certificaatprofiel. Als u alleen de optie Sleutelversleuteling in dit certificaatprofiel wilt inschakelen, geeft u de naam van de certificaatsjabloon op voor de sleutel EncryptionTemplate . Als u alleen de optie Digitale handtekening in dit certificaatprofiel wilt inschakelen, geeft u de naam van de certificaatsjabloon op voor de SignatureTemplate-sleutel .
Certificaattype: geef aan of u het certificaat wilt implementeren op een apparaat of een gebruiker.
Indeling van onderwerpnaam: selecteer hoe Configuration Manager automatisch de onderwerpnaam in de certificaataanvraag maakt. Als het certificaat voor een gebruiker is, kunt u ook het e-mailadres van de gebruiker opnemen in de onderwerpnaam.
Opmerking
Als u IMEI-nummer of Serienummer selecteert, kunt u onderscheid maken tussen verschillende apparaten die eigendom zijn van dezelfde gebruiker. Deze apparaten kunnen bijvoorbeeld een gemeenschappelijke naam delen, maar geen IMEI-nummer of serienummer. Als het apparaat geen IMEI- of serienummer rapporteert, wordt het certificaat uitgegeven met de algemene naam.
Alternatieve onderwerpnaam: geef op hoe Configuration Manager automatisch de waarden maakt voor de alternatieve onderwerpnaam (SAN) in de certificaataanvraag. Als u bijvoorbeeld een gebruikerscertificaattype hebt geselecteerd, kunt u de UPN (User Principal Name) opnemen in de alternatieve onderwerpnaam. Als het clientcertificaat wordt geverifieerd bij een netwerkbeleidsserver, stelt u de alternatieve onderwerpnaam in op de UPN.
Geldigheidsperiode van certificaat: als u een aangepaste geldigheidsperiode instelt voor de verlenende CA, geeft u de resterende tijd op voordat het certificaat verloopt.
Tip
Stel een aangepaste geldigheidsperiode in met de volgende opdrachtregel:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
Zie Certificaatinfrastructuur voor meer informatie over deze opdracht.U kunt een waarde opgeven die lager is dan de geldigheidsperiode in de opgegeven certificaatsjabloon, maar niet hoger. Als de geldigheidsperiode van het certificaat in de certificaatsjabloon bijvoorbeeld twee jaar is, kunt u een waarde van één jaar opgeven, maar niet een waarde van vijf jaar. De waarde moet ook lager zijn dan de resterende geldigheidsperiode van het certificaat van de verlenende CA.
Sleutelgebruik: geef opties voor sleutelgebruik op voor het certificaat. Kies uit de volgende opties:
Sleutelcodering: sleuteluitwisseling alleen toestaan wanneer de sleutel is versleuteld.
Digitale handtekening: sleuteluitwisseling alleen toestaan wanneer een digitale handtekening helpt de sleutel te beveiligen.
Als u naar een certificaatsjabloon hebt gezocht, kunt u deze instellingen niet wijzigen, tenzij u een andere certificaatsjabloon selecteert.
Configureer de geselecteerde certificaatsjabloon met een of beide van de twee bovenstaande opties voor sleutelgebruik. Zo niet, dan ziet u het volgende bericht in het logboekbestand van het certificaatregistratiepunt, Crp.log: Sleutelgebruik in CSR en uitdaging komen niet overeen
Sleutelgrootte (bits): selecteer de grootte van de sleutel in bits.
Uitgebreid sleutelgebruik: voeg waarden toe voor het beoogde doel van het certificaat. In de meeste gevallen is clientverificatie vereist voor het certificaat, zodat de gebruiker of het apparaat zich kan verifiëren bij een server. U kunt desgewenst andere sleutelgebruiken toevoegen.
Hash-algoritme: selecteer een van de beschikbare hash-algoritmetypen voor gebruik met dit certificaat. Selecteer het sterkste beveiligingsniveau dat de verbindingsapparaten ondersteunen.
Opmerking
SHA-2 ondersteunt SHA-256, SHA-384 en SHA-512. SHA-3 ondersteunt alleen SHA-3.
Basis-CA-certificaat: kies een basis-CA-certificaatprofiel dat u eerder hebt geconfigureerd en geïmplementeerd op de gebruiker of het apparaat. Dit CA-certificaat moet het basiscertificaat zijn voor de CA die het certificaat uitgeeft dat u in dit certificaatprofiel configureert.
Belangrijk
Als u een basis-CA-certificaat opgeeft dat niet is geïmplementeerd op de gebruiker of het apparaat, initieert Configuration Manager niet de certificaataanvraag die u in dit certificaatprofiel configureert.
Ondersteunde platforms
Selecteer op de pagina Ondersteunde platforms van de wizard Certificaatprofiel maken de versies van het besturingssysteem waarin u het certificaatprofiel wilt installeren. Kies Alles selecteren om het certificaatprofiel te installeren op alle beschikbare besturingssystemen.
Volgende stappen
Het nieuwe certificaatprofiel wordt weergegeven in het knooppunt Certificaatprofielen in de werkruimte Activa en naleving . Het is klaar voor implementatie op gebruikers of apparaten. Zie Profielen implementeren voor meer informatie.