Tworzenie profilów certyfikatów
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ważna
Począwszy od wersji 2203, ta funkcja dostępu do zasobów firmy nie jest już obsługiwana. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.
Profile certyfikatów w Configuration Manager umożliwiają aprowizowanie zarządzanych urządzeń przy użyciu certyfikatów potrzebnych do uzyskiwania dostępu do zasobów firmy. Przed utworzeniem profilów certyfikatów skonfiguruj infrastrukturę certyfikatów zgodnie z opisem w temacie Konfigurowanie infrastruktury certyfikatów.
W tym artykule opisano sposób tworzenia profilów certyfikatów zaufanego katalogu głównego i prostego protokołu rejestracji certyfikatów (SCEP). Jeśli chcesz utworzyć profile certyfikatów PFX, zobacz Tworzenie profilów certyfikatów PFX.
Aby utworzyć profil certyfikatu:
- Uruchom Kreatora tworzenia profilu certyfikatu.
- Podaj ogólne informacje o certyfikacie.
- Skonfiguruj certyfikat zaufanego urzędu certyfikacji.
- Skonfiguruj informacje o certyfikacie SCEP.
- Określ obsługiwane platformy dla profilu certyfikatu.
Uruchamianie kreatora
Aby rozpocząć tworzenie profilu certyfikatu:
W konsoli Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność, rozwiń węzeł Ustawienia zgodności, rozwiń węzeł Dostęp do zasobów firmy, a następnie wybierz węzeł Profile certyfikatów.
Na karcie Narzędzia główne na wstążce w grupie Tworzenie wybierz pozycję Utwórz profil certyfikatu.
Ogólne
Na stronie Ogólne Kreatora tworzenia profilu certyfikatu podaj następujące informacje:
Nazwa: wprowadź unikatową nazwę profilu certyfikatu. Można użyć maksymalnie 256 znaków.
Opis: podaj opis, który zawiera omówienie profilu certyfikatu. Dołącz również inne istotne informacje, które ułatwiają ich identyfikację w konsoli Configuration Manager. Można użyć maksymalnie 256 znaków.
Określ typ profilu certyfikatu, który chcesz utworzyć:
Zaufany certyfikat urzędu certyfikacji: wybierz ten typ, aby wdrożyć zaufany główny urząd certyfikacji (CA) lub pośredni certyfikat urzędu certyfikacji w celu utworzenia łańcucha zaufania certyfikatów, gdy użytkownik lub urządzenie musi uwierzytelnić inne urządzenie. Na przykład urządzenie może być serwerem usługi radius (Dial-In User Service) uwierzytelniania zdalnego lub serwerem wirtualnej sieci prywatnej (VPN).
Przed utworzeniem profilu certyfikatu SCEP skonfiguruj również profil zaufanego certyfikatu urzędu certyfikacji. W takim przypadku certyfikat zaufanego urzędu certyfikacji musi być przeznaczony dla urzędu certyfikacji, który wystawia certyfikat użytkownikowi lub urządzeniu.
Ustawienia protokołu SCEP (Simple Certificate Enrollment Protocol): wybierz ten typ, aby zażądać certyfikatu dla użytkownika lub urządzenia za pomocą prostego protokołu rejestracji certyfikatów i usługi roli Usługi rejestracji urządzeń sieciowych (NDES).
Ustawienia PKCS 12 (PFX) wymiany informacji osobistych — import: wybierz tę opcję, aby zaimportować certyfikat PFX. Aby uzyskać więcej informacji, zobacz Importowanie profilów certyfikatów PFX.
Ustawienia PKCS 12 (PFX) wymiany informacji osobistych — utwórz: wybierz tę opcję, aby przetworzyć certyfikaty PFX przy użyciu urzędu certyfikacji. Aby uzyskać więcej informacji, zobacz Tworzenie profilów certyfikatów PFX.
Zaufany certyfikat urzędu certyfikacji
Ważna
Przed utworzeniem profilu certyfikatu SCEP skonfiguruj co najmniej jeden profil zaufanego certyfikatu urzędu certyfikacji.
Po wdrożeniu certyfikatu w przypadku zmiany dowolnej z tych wartości jest wymagany nowy certyfikat:
- Dostawca magazynu kluczy
- Nazwa szablonu certyfikatu
- Typ certyfikatu
- Format nazwy podmiotu
- Alternatywna nazwa podmiotu
- Okres ważności certyfikatu
- Użycie klucza
- Rozmiar klucza
- Rozszerzone użycie klucza
- Certyfikat głównego urzędu certyfikacji
Na stronie Zaufany certyfikat urzędu certyfikacji Kreatora tworzenia profilu certyfikatu podaj następujące informacje:
Plik certyfikatu: wybierz pozycję Importuj, a następnie przejdź do pliku certyfikatu.
Magazyn docelowy: w przypadku urządzeń, które mają więcej niż jeden magazyn certyfikatów, wybierz miejsce przechowywania certyfikatu. W przypadku urządzeń, które mają tylko jeden magazyn, to ustawienie jest ignorowane.
Użyj wartości odcisku palca certyfikatu , aby sprawdzić, czy zaimportowano prawidłowy certyfikat.
Certyfikaty SCEP
1. Serwery SCEP
Na stronie Serwery SCEP Kreatora tworzenia profilu certyfikatu określ adresy URL serwerów usługi NDES, które będą wystawiać certyfikaty za pośrednictwem protokołu SCEP. Możesz automatycznie przypisać adres URL usługi NDES na podstawie konfiguracji punktu rejestracji certyfikatu lub ręcznie dodać adresy URL.
2. Rejestracja protokołu SCEP
Ukończ stronę Rejestrowanie protokołu SCEP Kreatora tworzenia profilu certyfikatu.
Ponawianie prób: określ, ile razy urządzenie automatycznie ponawia żądanie certyfikatu do serwera usługi NDES. To ustawienie obsługuje scenariusz, w którym menedżer urzędu certyfikacji musi zatwierdzić żądanie certyfikatu przed jego zaakceptowaniem. To ustawienie jest zwykle używane w środowiskach o wysokim poziomie zabezpieczeń lub jeśli masz autonomiczny urząd certyfikacji wystawiający certyfikaty, a nie urząd certyfikacji przedsiębiorstwa. Można również użyć tego ustawienia do celów testowych, aby można było sprawdzić opcje żądania certyfikatu, zanim urząd wystawiający certyfikat przetworzy żądanie certyfikatu. Użyj tego ustawienia z ustawieniem Opóźnienie ponawiania (minuty ).
Opóźnienie ponawiania prób (w minutach):Określ interwał w minutach między każdą próbą rejestracji podczas korzystania z zatwierdzenia menedżera urzędu certyfikacji, zanim urząd wystawiający certyfikat przetworzy żądanie certyfikatu. Jeśli używasz zatwierdzenia menedżera do celów testowych, określ niską wartość. Następnie nie czekasz długo, aż urządzenie ponowi próbę żądania certyfikatu po zatwierdzeniu żądania.
Jeśli używasz zatwierdzenia menedżera w sieci produkcyjnej, określ wyższą wartość. To zachowanie pozwala administratorowi urzędu certyfikacji na zatwierdzanie lub odrzucanie oczekujących zatwierdzeń.
Próg odnowienia (%): określ procent okresu istnienia certyfikatu, który pozostaje przed żądaniem odnowienia certyfikatu przez urządzenie.
Dostawca magazynu kluczy (KSP): określ miejsce przechowywania klucza certyfikatu. Wybierz jedną z następujących wartości:
Zainstaluj w module TPM (Trusted Platform Module): instaluje klucz w module TPM. Jeśli moduł TPM nie jest obecny, klucz jest instalowany u dostawcy magazynu dla klucza oprogramowania.
Instalacja modułu TPM (Trusted Platform Module) w przeciwnym razie kończy się niepowodzeniem: instaluje klucz w module TPM. Jeśli moduł TPM nie jest obecny, instalacja zakończy się niepowodzeniem.
Instalacja Windows Hello dla firm w przeciwnym razie kończy się niepowodzeniem: ta opcja jest dostępna dla urządzeń Windows 10 lub nowszych. Umożliwia ona przechowywanie certyfikatu w magazynie Windows Hello dla firm, który jest chroniony przez uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji, zobacz Windows Hello dla firm.
Uwaga
Ta opcja nie obsługuje logowania do karty inteligentnej w przypadku rozszerzonego użycia klucza na stronie Właściwości certyfikatu.
Zainstaluj w dostawcy magazynu kluczy oprogramowania: instaluje klucz dostawcy magazynu dla klucza oprogramowania.
Urządzenia do rejestracji certyfikatu: jeśli wdrożysz profil certyfikatu w kolekcji użytkowników, zezwalaj na rejestrację certyfikatów tylko na urządzeniu podstawowym użytkownika lub na dowolnym urządzeniu, na którym użytkownik się loguje.
Jeśli wdrożysz profil certyfikatu w kolekcji urządzeń, zezwól na rejestrację certyfikatu tylko dla podstawowego użytkownika urządzenia lub dla wszystkich użytkowników, którzy logują się do urządzenia.
3. Właściwości certyfikatu
Na stronie Właściwości certyfikatu Kreatora tworzenia profilu certyfikatu określ następujące informacje:
Nazwa szablonu certyfikatu: wybierz nazwę szablonu certyfikatu skonfigurowanego w usłudze NDES i dodanej do urzędu wystawiającego certyfikaty. Aby pomyślnie przejść do szablonów certyfikatów, konto użytkownika musi mieć uprawnienie Odczyt do szablonu certyfikatu. Jeśli nie możesz wyszukać certyfikatu, wpisz jego nazwę.
Ważna
Jeśli nazwa szablonu certyfikatu zawiera znaki inne niż ASCII, certyfikat nie zostanie wdrożony. (Jednym z przykładów tych znaków jest alfabet chiński). Aby upewnić się, że certyfikat jest wdrożony, najpierw utwórz kopię szablonu certyfikatu w urzędzie certyfikacji. Następnie zmień nazwę kopii przy użyciu znaków ASCII.
Jeśli wybierzesz nazwę szablonu certyfikatu, niektóre pola na stronie zostaną automatycznie wypełnione z szablonu certyfikatu. W niektórych przypadkach nie można zmienić tych wartości, chyba że wybierzesz inny szablon certyfikatu.
Jeśli wpiszesz nazwę szablonu certyfikatu, upewnij się, że nazwa jest dokładnie zgodna z jednym z szablonów certyfikatów. Musi być zgodna z nazwami wymienionymi w rejestrze serwera usługi NDES. Upewnij się, że określono nazwę szablonu certyfikatu, a nie nazwę wyświetlaną szablonu certyfikatu.
Aby znaleźć nazwy szablonów certyfikatów, przejdź do następującego klucza rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
. Zawiera ona listę szablonów certyfikatów jako wartości EncryptionTemplate, GeneralPurposeTemplate i SignatureTemplate. Domyślnie wartość dla wszystkich trzech szablonów certyfikatów to IPSECIntermediateOffline, która jest mapowana na nazwę wyświetlaną szablonu IPSec (żądanie offline)..Ostrzeżenie
Po wpisaniu nazwy szablonu certyfikatu Configuration Manager nie może zweryfikować zawartości szablonu certyfikatu. Możesz wybrać opcje, których szablon certyfikatu nie obsługuje, co może spowodować niepowodzenie żądania certyfikatu. W takim zachowaniu zostanie wyświetlony komunikat o błędzie dla w3wp.exe w pliku CPR.log, że nazwa szablonu w żądaniu podpisania certyfikatu (CSR) i wyzwanie nie są zgodne.
Po wpisaniu nazwy szablonu certyfikatu określonego dla wartości GeneralPurposeTemplate wybierz szyfrowanieKlucz i opcje Podpis cyfrowy dla tego profilu certyfikatu. Jeśli chcesz włączyć tylko opcję Szyfrowanie klucza w tym profilu certyfikatu, określ nazwę szablonu certyfikatu dla klucza EncryptionTemplate . Podobnie, jeśli chcesz włączyć tylko opcję Podpis cyfrowy w tym profilu certyfikatu, określ nazwę szablonu certyfikatu dla klucza SignatureTemplate .
Typ certyfikatu: wybierz, czy certyfikat zostanie wdrożony na urządzeniu, czy na urządzeniu.
Format nazwy podmiotu: wybierz sposób, w jaki Configuration Manager automatycznie tworzy nazwę podmiotu w żądaniu certyfikatu. Jeśli certyfikat jest przeznaczony dla użytkownika, możesz również uwzględnić adres e-mail użytkownika w nazwie podmiotu.
Uwaga
Jeśli wybierzesz numer IMEI lub numer seryjny, możesz rozróżnić różne urządzenia należące do tego samego użytkownika. Na przykład te urządzenia mogą współużytkować nazwę pospolitą, ale nie numer IMEI lub numer seryjny. Jeśli urządzenie nie zgłosi numeru IMEI lub numeru seryjnego, certyfikat zostanie wystawiony z nazwą pospolitą.
Alternatywna nazwa podmiotu: określ, w jaki sposób Configuration Manager automatycznie tworzy wartości alternatywnej nazwy podmiotu (SAN) w żądaniu certyfikatu. Jeśli na przykład wybrano typ certyfikatu użytkownika, możesz dołączyć główną nazwę użytkownika (UPN) do alternatywnej nazwy podmiotu. Jeśli certyfikat klienta będzie uwierzytelniać się na serwerze zasad sieciowych, ustaw alternatywną nazwę podmiotu na nazwę UPN.
Okres ważności certyfikatu: w przypadku ustawienia niestandardowego okresu ważności dla urzędu wystawiającego certyfikat określ ilość pozostałego czasu przed wygaśnięciem certyfikatu.
Porada
Ustaw niestandardowy okres ważności przy użyciu następującego wiersza polecenia:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
Aby uzyskać więcej informacji na temat tego polecenia, zobacz Infrastruktura certyfikatów.Możesz określić wartość niższą niż okres ważności w określonym szablonie certyfikatu, ale nie wyższą. Jeśli na przykład okres ważności certyfikatu w szablonie certyfikatu wynosi dwa lata, można określić wartość jednego roku, ale nie wartość pięciu lat. Wartość musi być również niższa niż pozostały okres ważności certyfikatu urzędu wystawiającego certyfikat.
Użycie klucza: określ opcje użycia klucza dla certyfikatu. Wybierz jedną z następujących opcji:
Szyfrowanie klucza: zezwalaj na wymianę kluczy tylko wtedy, gdy klucz jest zaszyfrowany.
Podpis cyfrowy: zezwalaj na wymianę kluczy tylko wtedy, gdy podpis cyfrowy pomaga chronić klucz.
Jeśli przeglądasz szablon certyfikatu, nie możesz zmienić tych ustawień, chyba że wybierzesz inny szablon certyfikatu.
Skonfiguruj wybrany szablon certyfikatu przy użyciu jednej lub obu powyższych opcji użycia klucza. Jeśli nie, zobaczysz następujący komunikat w pliku dziennika punktu rejestracji certyfikatu Crp.log: Użycie klucza w pliku CSR i wyzwanie nie są zgodne
Rozmiar klucza (bity): wybierz rozmiar klucza w bitach.
Rozszerzone użycie klucza: dodaj wartości do zamierzonego celu certyfikatu. W większości przypadków certyfikat wymaga uwierzytelniania klienta , aby użytkownik lub urządzenie mogły uwierzytelniać się na serwerze. W razie potrzeby możesz dodać dowolne inne użycie kluczy.
Algorytm skrótu: wybierz jeden z dostępnych typów algorytmów skrótu do użycia z tym certyfikatem. Wybierz najsilniejszy poziom zabezpieczeń obsługiwany przez urządzenia łączące.
Uwaga
Sha-2 obsługuje SHA-256, SHA-384 i SHA-512. Algorytm SHA-3 obsługuje tylko algorytm SHA-3.
Certyfikat głównego urzędu certyfikacji: wybierz profil certyfikatu głównego urzędu certyfikacji, który został wcześniej skonfigurowany i wdrożony dla użytkownika lub urządzenia. Ten certyfikat urzędu certyfikacji musi być certyfikatem głównym urzędu certyfikacji, który wystawi certyfikat skonfigurowany w tym profilu certyfikatu.
Ważna
Jeśli określisz certyfikat głównego urzędu certyfikacji, który nie został wdrożony na urządzeniu lub użytkowniku, Configuration Manager nie zainicjuje żądania certyfikatu skonfigurowanego w tym profilu certyfikatu.
Obsługiwane platformy
Na stronie Obsługiwane platformy Kreatora tworzenia profilu certyfikatu wybierz wersje systemu operacyjnego, w których chcesz zainstalować profil certyfikatu. Wybierz pozycję Wybierz wszystko , aby zainstalować profil certyfikatu we wszystkich dostępnych systemach operacyjnych.
Następne kroki
Nowy profil certyfikatu zostanie wyświetlony w węźle Profile certyfikatów w obszarze roboczym Zasoby i zgodność . Jest ona gotowa do wdrożenia na użytkownikach lub urządzeniach. Aby uzyskać więcej informacji, zobacz Jak wdrażać profile.