Udostępnij za pośrednictwem

Konfigurowanie PKI w chmurze firmy Microsoft — przynieś własny urząd certyfikacji

W tym artykule opisano sposób konfigurowania PKI w chmurze firmy Microsoft dla Intune z własnym urzędem certyfikacji. Model wdrażania "Przynieś własny urząd certyfikacji" (BYOCA) obsługiwany przez Intune umożliwia utworzenie i zakotwiczenie prywatnego urzędu certyfikacji wystawiającego certyfikaty w chmurze do lokalnego lub prywatnego urzędu certyfikacji. Prywatny urząd certyfikacji może składać się z hierarchii urzędu certyfikacji N+1.

Wymagania wstępne

Aby uzyskać więcej informacji na temat przygotowywania dzierżawy do PKI w chmurze firmy Microsoft, w tym kluczowych pojęć i wymagań, zobacz:

  • Omówienie PKI w chmurze firmy Microsoft dla Intune: zapoznaj się z architekturą, wymaganiami dzierżawy, podsumowaniem funkcji oraz znanymi problemami i ograniczeniami.

  • Modele wdrażania: przejrzyj opcje wdrażania PKI w chmurze firmy Microsoft.

  • Podstawy: zapoznaj się z podstawowymi i pojęciami dotyczącymi infrastruktury kluczy publicznych, które należy znać przed konfiguracją i wdrożeniem.

Kontrola dostępu oparta na rolach

Konto używane do logowania się do centrum administracyjnego Microsoft Intune musi mieć uprawnienia do utworzenia urzędu certyfikacji. Konto administratora Microsoft Entra Intune (znanego również jako administrator usługi Intune) ma odpowiednie wbudowane uprawnienia do tworzenia urzędów certyfikacji. Alternatywnie możesz przypisać uprawnienia urzędu certyfikacji PKI w chmurze do użytkownika administracyjnego. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) z Microsoft Intune.

Krok 1. Tworzenie urzędu wystawiającego certyfikaty i żądania podpisania certyfikatu

Utwórz urząd wystawiający certyfikaty w centrum administracyjnym Microsoft Intune.

  1. Przejdź do obszaru Administracja> dzierżawą PKI w chmurze, a następnie wybierz pozycję Utwórz.

    Obraz przedstawiający stronę PKI w chmurze centrum administracyjnego Microsoft Intune z wyróżnioną ścieżką tworzenia głównego urzędu certyfikacji PKI w chmurze.

  2. W polu Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę obiektu urzędu certyfikacji. Nadaj jej nazwę, aby można było łatwo zidentyfikować ją później. Przykład: Urząd wystawiający certyfikat BYOCA firmy Contoso
    • Opis: wprowadź opis obiektu urzędu certyfikacji. To ustawienie jest opcjonalne, ale zalecane. Przykład: PKI w chmurze wystawiania urzędu certyfikacji przy użyciu polecenia bring-your-own-root-CA zakotwiczonego w lokalnym urzędzie wystawiającym usługi ADCS

  3. Wybierz pozycję Dalej , aby przejść do pozycji Ustawienia konfiguracji.

  4. Wybierz typ urzędu certyfikacji i źródło głównego urzędu certyfikacji.

    Administracja centrum z wyświetlonym ustawieniami źródła głównego urzędu certyfikacji typu urzędu certyfikacji dla funkcji bring your own CA PKI w chmurze.

    Skonfiguruj następujące ustawienia dla urzędu wystawiającego certyfikaty:

    • Typ urzędu certyfikacji: wybierz pozycję Wystawianie urzędu certyfikacji.
    • Źródło głównego urzędu certyfikacji: wybierz pozycję Przynieś własny główny urząd certyfikacji. To ustawienie określa źródło głównego urzędu certyfikacji zakotwiczenie wystawiającego urzędu certyfikacji.

  5. Pomiń okres ważności. To ustawienie nie jest dostępne do skonfigurowania. Urząd certyfikacji używany do podpisywania żądania podpisania certyfikatu BYOCA określa okres ważności.

  6. W obszarze Rozszerzone użycie klucza wybierz sposób korzystania z urzędu certyfikacji.

    Obraz przedstawiający kartę Ustawienia konfiguracji z sekcją Rozszerzone użycie klucza dla PKI w chmurze.

    Aby zapobiec potencjalnym zagrożeniom dla bezpieczeństwa, urzędy certyfikacji są ograniczone do wyboru użycia. Dostępne opcje:

  7. W obszarze Atrybuty podmiotu wprowadź nazwę pospolitą (CN) dla urzędu wystawiającego certyfikaty.

    Intune centrum administracyjne z wyświetlonymi ustawieniami atrybutów podmiotu PKI w chmurze.

    Opcjonalne atrybuty obejmują:

    • Organizacja (O)
    • Jednostka organizacyjna (OU)
    • Kraj (C)
    • Stan/prowincja (ST)
    • Lokalizacja (L)

    Aby przestrzegać standardów infrastruktury kluczy publicznych, Intune wymusza limit dwóch znaków dla kraju/regionu.

  8. W obszarze Szyfrowanie wprowadź rozmiar klucza.

    Obraz przedstawiający ustawienie rozmiaru klucza i algorytmu w ustawieniach konfiguracji PKI w chmurze.

    Dostępne opcje:

    • RSA-2048

    • RSA-3072

    • RSA-4096

    To ustawienie wymusza górny rozmiar klucza powiązanego, który może być używany podczas konfigurowania profilu certyfikatu SCEP konfiguracji urządzenia w Intune. Umożliwia wybranie dowolnego rozmiaru klucza do rozmiaru ustawionego na PKI w chmurze urzędu wystawiającego certyfikaty. Pamiętaj, że rozmiar klucza 1024 i skrót SHA-1 nie są obsługiwane w przypadku PKI w chmurze. Nie trzeba jednak podawać algorytmu wyznaczania wartości skrótu. Urząd certyfikacji używany do podpisywania pliku CSR określa algorytm wyznaczania wartości skrótu.

  9. Wybierz pozycję Dalej , aby przejść do pozycji Tagi zakresu.

  10. Opcjonalnie możesz dodać tagi zakresu, aby kontrolować widoczność i dostęp do tego urzędu certyfikacji.

  11. Wybierz pozycję Dalej , aby kontynuować przeglądanie i tworzenie.

  12. Przejrzyj podane podsumowanie. Gdy wszystko będzie gotowe do sfinalizowania, wybierz pozycję Utwórz.

    Ważna

    Nie będzie można edytować tych właściwości po utworzeniu urzędu certyfikacji. Wybierz pozycję Wstecz , aby edytować ustawienia i upewnić się, że są poprawne i spełniają wymagania infrastruktury kluczy publicznych. Jeśli później musisz dodać jednostkę EKU, musisz utworzyć nowy urząd certyfikacji.

  13. Wróć do listy urzędu certyfikacji PKI w chmurze firmy Microsoft w centrum administracyjnym. Wybierz pozycję Odśwież , aby wyświetlić nowy urząd certyfikacji.

  14. Wybierz urząd certyfikacji. W obszarze Podstawy stan powinien mieć wartość Wymagane podpisywanie.

  15. Przejdź do pozycji Właściwości.

  16. Wybierz pozycję Pobierz plik CSR. Poczekaj, Intune pobiera plik w formacie REQ o nazwie urzędu certyfikacji. Na przykład: Contoso BYOCA Issuing CA.req

Krok 2. Podpisywanie żądania podpisania certyfikatu

Prywatny urząd certyfikacji jest wymagany do podpisania pobranego pliku żądania podpisania certyfikatu (CSR). Urząd certyfikacji podpisywania może być urzędem certyfikacji głównym lub wystawiającym z dowolnej warstwy prywatnego urzędu certyfikacji. Istnieją dwa sposoby podpisywania:

  • Opcja 1. Użyj rejestracji internetowej urzędu certyfikacji, która jest funkcją usług certyfikatów Active Directory (ADCS). Ta opcja udostępnia prosty interfejs internetowy, który umożliwia wykonywanie zadań specyficznych dla administratora, takich jak żądanie i odnawianie certyfikatów.

  • Opcja 2. Użyj pliku wykonywalnego narzędzia certreq.exe wiersza polecenia usługi ADCS systemu Windows.

W poniższej tabeli wymieniono identyfikatory obiektów (OID) obsługiwane w przypadku certyfikatów podpisywania używanych we wdrożeniach BYOCA.

Właściwość nazwy podmiotu Identyfikator obiektu
Nazwa pospolita (CN) OID.2.5.4.3
Organizacja (O) OID.2.5.4.10
Jednostka organizacyjna (OU) OID.2.5.4.11
Lokalizacja (L) OID.2.5.4.7
Stan (ST) lub prowincja OID.2.5.4.8
Kraj (C) OID.2.5.4.6
Tytuł (T) OID.2.5.4.12
Serial Number (Numer seryjny) OID.2.5.4.5
Email (E) OID.1.2.840.113549.1.9.1
Składnik domeny (DC) OID.0.9.2342.19200300.100.1.25
Ulica OID.2.5.4.9
Imię OID.2.5.4.42
Inicjały OID.2.5.4.43
Kod pocztowy OID.2.5.4.17
Kwalifikator nazw wyróżniających OID.2.5.4.46

Aby uzyskać więcej informacji na temat podpisywania certyfikatów, zapoznaj się z dokumentacją pomocy udostępnioną przez urząd certyfikacji.

Opcja 1. Rejestracja internetowa urzędu certyfikacji

Aby wykonać te kroki, użyj notepad.exe na urządzeniu z systemem Windows lub równoważnym programie w systemie macOS.

  1. Otwórz plik REQ pobrany po utworzeniu urzędu wystawiającego certyfikaty. Skopiuj (CTRL + C) zawartość pliku.

  2. Otwórz przeglądarkę na urządzeniu z dostępem do hosta internetowego z uruchomioną rejestracją internetową urzędu certyfikacji. Przykład: https://WebSrv_running_CAWebEnrollment/certsrv

  3. Wybierz pozycję Zażądaj certyfikatu.

  4. Wybierz pozycję Zaawansowane żądanie certyfikatu.

  5. Wklej zawartość skopiowana wcześniej w obszarze Zapisane żądanie .

  6. W obszarze Szablon certyfikatu wybierz pozycję Podrzędny urząd certyfikacji.

    Uwaga

    Szablon podrzędnego urzędu certyfikacji musi być opublikowany i dostępny w urzędzie certyfikacji, który podpisuje certyfikat. Otwórz plik certsrv.msc — konsolę zarządzania urzędu certyfikacji na urządzeniu, aby wyświetlić dostępne szablony certyfikatów.

  7. Wybierz pozycję Prześlij , aby kontynuować.

  8. W obszarze Wystawiony certyfikat wybierz pozycję DER zakodowane lub Zakodowane w formacie Base 4. PKI w chmurze obsługuje oba formaty plików. Następnie wykonaj następujące kroki:

    1. Wybierz pozycję Pobierz certyfikat. Plik certyfikatu jest pobierany i zapisywany jako certnew.cer.

    2. Wybierz pozycję Pobierz łańcuch certyfikatów. Podpisany certyfikat jest pobierany, w tym pełny łańcuch certyfikatów, główny urząd certyfikacji oraz wszelkie pośrednie lub wystawiające certyfikaty urzędu certyfikacji w hierarchii prywatnego urzędu certyfikacji. Plik jest zapisywany jako certnew.p7b.

    Intune wymaga obu tych plików, aby włączyć urząd wystawiający dla PKI w chmurze BYOCA.

  9. Kontynuuj przekazywanie podpisanego certyfikatu, aby włączyć urząd certyfikacji wystawiający certyfikat BYOCA w tym artykule.

Uwaga

Jeśli używasz centrum administracyjnego i konsoli rejestracji internetowej urzędu certyfikacji z 2 różnych stacji roboczych, musisz skopiować lub mieć dostęp do 2 plików certyfikacji ze stacji roboczej centrum administracyjnego.

Opcja 2. Narzędzie wiersza polecenia usługi Windows ADCS

Użyj narzędzia wiersza poleceniacertreq.exe , aby przesłać żądanie certyfikatu do urzędu certyfikacji, w którym można określić szablon certyfikatu i urząd certyfikacji podpisywania. Pobrany wcześniej plik REQ musi znajdować się na komputerze z systemem Windows, na którym jest uruchomione narzędzie wiersza polecenia.

W wierszu polecenia możesz użyć następującej składni, aby przesłać żądanie certyfikatu z wybranym szablonem i urzędem certyfikacji podpisywania:

certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>

Zastąp zmienne w poleceniu w następujący sposób:

  1. Zastąp <template_name> nazwą szablonu certyfikatu, którego chcesz użyć.

  2. Zastąp <CA_server_name><CA_name> nazwą serwera urzędu certyfikacji i nazwą urzędu certyfikacji, których chcesz użyć do podpisania żądania certyfikatu.

W przypadku< request_file> i <response_file nie jest wymagana żadna akcja>. Zostaną one zastąpione nazwą pliku zawierającego żądanie certyfikatu oraz nazwą pliku zawierającego odpowiednio odpowiedź urzędu certyfikacji.

W poniższych przykładach opisano sposób przesyłania żądania certyfikatu przy użyciu szablonu podrzędnego urzędu certyfikacji oraz sposobu jego podpisywania.

  • Przykład 1: Urząd certyfikacji podpisywania, ContosoCA, działa na serwerze o nazwie CA-Server. Możesz użyć następującego polecenia:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer

  • Przykład 2: Urząd certyfikacji podpisywania ma nazwę CaleroCorp SubCA (US) działającą na serwerze o nazwie Win2k16-subCA. Możesz użyć następującego polecenia:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"

  • Przykład 3: Jeśli uruchomisz polecenie certreq.exe bez parametrów, system Windows wyświetli monit o zidentyfikowanie najpierw pliku REQ. W tym podejściu używany jest interfejs użytkownika systemu Windows, który przeprowadzi Cię przez proces podpisywania.

Oprócz podpisanego certyfikatu potrzebny jest pełny łańcuch kluczy prywatnego urzędu certyfikacji. Pełny łańcuch kluczy obejmuje główny urząd certyfikacji i wszystkie pośrednie, wystawiające lub podrzędne urzędy certyfikacji w łańcuchu. Użyj następującej składni w narzędziu wiersza polecenia, aby wyeksportować pełny łańcuch kluczy do pliku P7B:

certutil [options] -ca.chain OutCACertChainFile [Index]

Uruchom polecenie z komputera przyłączanego do domeny systemu Windows z dostępem sieciowym do usługi ADCS. Przykład:

certutil -ca.chain c:\temp\fullChain.p7b

Aby wyświetlić wyeksportowany łańcuch i sprawdzić, czy eksport miał miejsce w Eksploratorze plików systemu Windows:

  1. Przejdź do lokalizacji ścieżki, w której plik został wyeksportowany.
  2. Kliknij dwukrotnie plik, aby go otworzyć.

W pliku powinien zostać wyświetlony pełny łańcuch, w tym główne i pośrednie urzędy certyfikacji.

Uwaga

Alternatywnie można użyć certmgr.msc lub certlm.msc wyeksportować indywidualny klucz publiczny dla każdego urzędu certyfikacji w łańcuchu prywatnego urzędu certyfikacji. Każdy z tych plików ma rozszerzenie CER.

Krok 3. Przekazywanie podpisanego certyfikatu w celu włączenia urzędu wystawiającego certyfikaty BYOCA

Aby ukończyć proces podpisywania urzędu certyfikacji wystawiającego certyfikaty byoca PKI w chmurze i umożliwić urzędowi certyfikacji w chmurze rozpoczęcie wystawiania certyfikatów dla Intune zarządzanych urządzeń, musisz mieć:

  • Podpisany certyfikat dla urzędu wystawiającego certyfikat BYOCA.
  • Pełny łańcuch prywatnego urzędu certyfikacji używany do podpisywania żądania certyfikatu.

Aby uzyskać informacje o sposobie wykonywania tych zadań, które są wymagane do kontynuowania, zobacz Krok 2. Podpisywanie żądania podpisania certyfikatu. Pliki muszą być dostępne na tym samym komputerze, na którym działa centrum administracyjne Microsoft Intune.

  1. Wróć do listy urzędu certyfikacji PKI w chmurze w centrum administracyjnym. Wybierz urząd certyfikacji. Jego stan powinien zostać odczytany jako Wymagany podpisywanie.

  2. Przejdź do pozycji Właściwości i wybierz pozycję Przekaż podpisany certyfikat.

  3. Zostanie otwarte okno Przekazywanie podpisanego certyfikatu . W obszarze Przekazywanie podpisanego certyfikatu (plik .cer, crt lub pem) wybierz pozycję Przeglądaj. Wybierz podpisany plik certyfikatu.

  4. W obszarze Przekaż co najmniej jeden łańcuch certyfikatów zaufania (.cer, .crt .pem lub p7b) przeciągnij i upuść pliki lub wybierz pozycję Przeglądaj , aby wyszukać plik na komputerze.

  5. Wybierz pozycję Zapisz i poczekaj, aż Intune przekaże certyfikat. Może to potrwać kilka minut.

  6. Odśwież listę urzędu certyfikacji. Kolumna stanu urzędu certyfikacji powinna teraz być wyświetlana jako Aktywna. Główna nazwa pospolita jest wyświetlana jako zewnętrzny główny urząd certyfikacji.

    Obraz przedstawiający nowo utworzony urząd certyfikacji w centrum administracyjnym.

Możesz wybrać urząd certyfikacji na liście, aby wyświetlić dostępne właściwości. Właściwości obejmują:

  • Identyfikator URI punktu dystrybucji listy odwołania certyfikatów (CRL).

  • Identyfikator URI dostępu do informacji o urzędzie (AIA).

  • Urząd certyfikacji wystawiający PKI w chmurze wyświetla identyfikator URI protokołu SCEP. Identyfikator URI protokołu SCEP musi zostać skopiowany do profilu konfiguracji protokołu SCEP dla każdego certyfikatu wystawionego przez platformę.

    Gdy wszystko będzie gotowe do pobrania klucza publicznego zaufania urzędu certyfikacji, wybierz pozycję Pobierz.

    Uwaga

    Właściwość AIA dla urzędu wystawiającego certyfikat BYOCA jest definiowana przez prywatny urząd certyfikacji i zawiera właściwości zdefiniowane przez konfigurację AIA prywatnego urzędu certyfikacji. Usługa ADCS używa domyślnej lokalizacji LDAP AIA. Jeśli prywatny urząd certyfikacji udostępnia lokalizację HTTP AIA, właściwości BYOCA będą pokazywać lokalizację AIA HTTP.

Krok 4. Tworzenie profilów zaufania certyfikatów

Należy utworzyć profil certyfikatu zaufanego Intune dla każdego certyfikatu urzędu certyfikacji w hierarchii prywatnego urzędu certyfikacji, jeśli używasz urzędu certyfikacji wystawiającego PKI w chmurze BYOCA zakotwiczonego w prywatnym urzędzie certyfikacji. Ten krok jest wymagany dla każdej platformy (Windows, Android, iOS/iPad, macOS), która wystawia certyfikaty PKI w chmurze SCEP. Należy ustanowić zaufanie do PKI w chmurze urzędu rejestracji certyfikatów obsługującego protokół SCEP.

Aby uzyskać więcej informacji o sposobie tworzenia profilu, zobacz Profile zaufanych certyfikatów.

Eksportowanie certyfikatów

Wyeksportowane certyfikaty służą do tworzenia profilu zaufanego certyfikatu w Intune dla każdego urzędu certyfikacji w łańcuchu. Jeśli używasz prywatnego urzędu certyfikacji, musisz użyć ich narzędzi, aby wyeksportować pęku kluczy urzędu certyfikacji do zestawu plików zakodowanych w formacie DER lub Base 4 z rozszerzeniem CER. Jeśli usługa ADCS jest prywatnym urzędem certyfikacji, możesz użyć narzędzia wiersza polecenia certutil.exe systemu Windows do wyeksportowania pełnego łańcucha kluczy urzędu certyfikacji do pliku p7b.

Uruchom następujące polecenie z komputera przyłączanego do domeny systemu Windows z dostępem sieciowym do usługi ADCS.

certutil [options] -ca.chain OutCACertChainFile [Index]

Przykład:

certutil -ca.chain c:\temp\fullChain.p7b

Możesz użyć Eksploratora plików systemu Windows, aby wyświetlić wyeksportowany łańcuch.

  1. Przejdź do lokalizacji ścieżki, w której wyeksportowano plik p7b, i kliknij dwukrotnie plik. Powinien zostać wyświetlony pełny łańcuch, w tym główne i pośrednie urzędy certyfikacji w łańcuchu.

  2. Kliknij prawym przyciskiem myszy każdy certyfikat na liście.

  3. Wybierz pozycję Eksportuj wszystkie zadania>. Wyeksportuj zaufany certyfikat w formacie DER. Zalecamy nazewnictwo wyeksportowanego pliku certyfikatu przy użyciu tej samej nazwy pospolitej urzędu certyfikacji pokazanej w kolumnie Wystawione dla narzędzia certmgr. Nazwa ułatwia znalezienie głównego urzędu certyfikacji na liście, ponieważ nazwa pospolita w obszarze Wystawione dla i Wystawione przez będzie taka sama.

Tworzenie profilu zaufanego certyfikatu dla prywatnego głównego urzędu certyfikacji

Utwórz profil zaufanego certyfikatu z wyeksportowanym plikiem głównego urzędu certyfikacji, który został pobrany. W centrum administracyjnym utwórz profil zaufanego certyfikatu dla każdej docelowej platformy systemu operacyjnego, która korzysta z certyfikatu głównego prywatnego urzędu certyfikacji.

Tworzenie profilów zaufanych certyfikatów dla prywatnych urzędów certyfikacji podrzędnych

Utwórz profil zaufanego certyfikatu z wyeksportowanym plikiem pośredniego lub wystawiającego certyfikat urzędu certyfikacji, który został pobrany. W centrum administracyjnym utwórz profil zaufanego certyfikatu dla każdej docelowej platformy systemuOS korzystającej z certyfikatu głównego urzędu wystawiającego certyfikat.

Tworzenie profilu zaufanego certyfikatu na potrzeby wystawiania urzędu certyfikacji

Porada

Aby znaleźć urzędy certyfikacji BYOCA na liście urzędu certyfikacji, poszukaj urzędów certyfikacji z następującymi wartościami:

  • Typ: Wystawianie
  • Główna nazwa pospolita: zewnętrzny główny urząd certyfikacji

  1. W centrum administracyjnym przejdź do obszaru Administracja> dzierżawą PKI w chmurze.

  2. Wybierz urząd certyfikacji wystawiający PKI w chmurze BYOCA.

  3. Przejdź do pozycji Właściwości.

  4. Wybierz opcję Pobierz. Poczekaj na pobranie klucza publicznego dla wystawiającego urzędu certyfikacji.

  5. W centrum administracyjnym utwórz profil zaufanego certyfikatu dla każdej docelowej platformy systemu operacyjnego. Po wyświetleniu monitu wprowadź pobrany klucz publiczny.

Certyfikat urzędu wystawiającego certyfikat pobrany dla PKI w chmurze BYOCA musi być zainstalowany na wszystkich jednostkach uzależnionych.

Nazwa pliku nadana pobranym kluczom publicznym jest oparta na nazwach pospolitych określonych w urzędzie certyfikacji. Niektóre przeglądarki, takie jak Microsoft Edge, wyświetlają ostrzeżenie, jeśli pobierzesz plik z .cer lub innym dobrze znanym rozszerzeniem certyfikatu. Jeśli zostanie wyświetlone to ostrzeżenie, wybierz pozycję Zachowaj.

Obraz przedstawiający monit o pobranie z wyróżnioną opcją zachowaj.

Krok 5. Tworzenie profilu certyfikatu SCEP

Uwaga

Tylko PKI w chmurze wystawiające urzędy certyfikacji i urzędy certyfikacji wystawiające certyfikaty BYOCA mogą być używane do wystawiania certyfikatów SCEP do Intune zarządzanych urządzeń.

Utwórz profil certyfikatu protokołu SCEP dla każdej docelowej platformy systemu operacyjnego, tak jak w przypadku profilów zaufanych certyfikatów. Profil certyfikatu SCEP służy do żądania certyfikatu uwierzytelniania klienta liścia od urzędu wystawiającego certyfikaty. Ten typ certyfikatu jest używany w scenariuszach uwierzytelniania opartego na certyfikatach, takich jak Wi-Fi i dostęp do sieci VPN.

  1. Wróć do administracji> dzierżawy PKI w chmurze.

  2. Wybierz urząd certyfikacji z typem wystawiania .

  3. Przejdź do pozycji Właściwości.

  4. Skopiuj identyfikator URI protokołu SCEP do schowka.

  5. W centrum administracyjnym utwórz profil certyfikatu SCEP dla każdej docelowej platformy systemu operacyjnego.

  6. W profilu w obszarze Certyfikat główny połącz profil zaufanego certyfikatu. Wybrany zaufany certyfikat musi być certyfikatem głównego urzędu certyfikacji, do który urząd wystawiający certyfikat jest zakotwiczony w hierarchii urzędu certyfikacji.

    Obraz przedstawiający ustawienie certyfikatu głównego z wybranym certyfikatem głównego urzędu certyfikacji.

  7. W przypadku adresów URL serwera SCEP wklej identyfikator URI protokołu SCEP. Ważne jest, aby pozostawić ciąg {{CloudPKIFQDN}} tak, jak jest. Intune zastępuje ten ciąg zastępczy odpowiednią nazwą FQDN, gdy profil jest dostarczany do urządzenia. Nazwa FQDN będzie wyświetlana w przestrzeni nazw *.manage.microsoft.com, podstawowym punkcie końcowym Intune. Aby uzyskać więcej informacji o punktach końcowych Intune, zobacz Network Endpoints for Microsoft Intune (Punkty końcowe sieci dla Microsoft Intune).

  8. Skonfiguruj pozostałe ustawienia, postępując zgodnie z tymi najlepszymi rozwiązaniami:

    • Format nazwy podmiotu: upewnij się, że określone zmienne są dostępne dla obiektu użytkownika lub urządzenia w Tożsamość Microsoft Entra. Jeśli na przykład użytkownik docelowy tego profilu nie ma atrybutu adresu e-mail, ale adres e-mail w tym profilu jest wypełniony, certyfikat nie zostanie wystawiony. Błąd pojawia się również w raporcie profilu certyfikatu SCEP.

    • Rozszerzone użycie klucza: PKI w chmurze firmy Microsoft nie obsługuje opcji Dowolne przeznaczenie.

      Uwaga

      Upewnij się, że wybrane jednostki EKU są skonfigurowane w PKI w chmurze urzędu wystawiającego certyfikaty (CA). Jeśli wybierzesz jednostkę EKU, która nie jest obecna w PKI w chmurze wystawiającego urząd certyfikacji, wystąpi błąd z profilem protokołu SCEP. Certyfikat nie jest wystawiany na urządzeniu.

    • Adresy URL serwera SCEP: nie należy łączyć adresów URL usługi NDES/SCEP z PKI w chmurze firmy Microsoft adresów URL protokołu SCEP wystawiających certyfikaty certyfikacji.

  9. Przypisz i przejrzyj profil. Gdy wszystko będzie gotowe do sfinalizowania, wybierz pozycję Utwórz.