Criar perfis de certificado PFX usando uma autoridade de certificado
Aplica-se a: Gerenciador de Configurações (branch atual)
Saiba como criar um perfil de certificado que usa uma autoridade de certificação para credenciais. Este artigo destaca informações específicas sobre perfis de certificado PFX (troca de informações pessoais). Para obter mais informações sobre como criar e configurar esses perfis, consulte Perfis de certificado.
Configuration Manager permite criar um perfil de certificado PFX usando credenciais emitidas por uma autoridade de certificado. Você pode escolher Microsoft ou Confiar como sua autoridade de certificado. Quando implantados em dispositivos de usuário, os arquivos PFX geram certificados específicos do usuário para dar suporte à troca de dados criptografada.
Para importar credenciais de certificado de arquivos de certificado existentes, consulte Importar perfis de certificado PFX.
Pré-requisitos
Antes de começar a criar um perfil de certificado, verifique se os pré-requisitos necessários estão prontos. Para obter mais informações, consulte Pré-requisitos para perfis de certificado. Por exemplo, para perfis de certificado PFX, você precisa de uma função de sistema de site de ponto de registro de certificado .
Criar um perfil
No console Configuration Manager, acesse o workspace Ativos e Conformidade, expanda Configurações de Conformidade, expandaAcesso a Recursos da Empresa e selecione Perfis de Certificado.
Na guia Página Inicial da faixa de opções, no grupo Criar , selecione Criar Perfil de Certificado.
Na página Geral do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:
Nome: insira um nome exclusivo para o perfil de certificado. Você pode usar um máximo de 256 caracteres.
Descrição: forneça uma descrição que fornece uma visão geral do perfil de certificado que ajuda a identificá-lo no console Configuration Manager. Você pode usar um máximo de 256 caracteres.
Selecione Troca de Informações Pessoais – Configurações PKCS #12 (PFX) – Criar. Essa opção solicita um certificado em nome de um usuário de uma AC (autoridade de certificado local) conectada. Escolha sua autoridade de certificado: Microsoft ou Confie.
Observação
A opção Importar obtém informações de um certificado existente para criar um perfil de certificado. Para obter mais informações, consulte Importar perfis de certificado PFX.
Na página Plataformas Com Suporte , selecione as versões do sistema operacional compatíveis com esse perfil de certificado. Para obter mais informações sobre versões do sistema operacional com suporte para sua versão do Configuration Manager, consulte Versões de sistema operacional com suporte para clientes e dispositivos.
Na página Autoridades de Certificado , escolha o CRP (ponto de registro de certificado) para processar os certificados PFX:
- Site Primário: escolha o servidor que contém a função CRP para a AC.
- Autoridades de certificação: selecione a AC relevante.
Para obter mais informações, consulte Infraestrutura de certificado.
As configurações na página Certificado PFX variam dependendo da AC selecionada na página Geral :
Configurar configurações do Certificado PFX para Microsoft AC
Para o nome do modelo de certificado, escolha o modelo de certificado.
Para usar o perfil de certificado para assinatura ou criptografia S/MIME, habilite o uso do Certificado.
Quando você habilita essa opção, ela fornece todos os certificados PFX associados ao usuário de destino para todos os seus dispositivos. Se você não habilitar essa opção, cada dispositivo receberá um certificado exclusivo.
Defina o formato nome do assunto como nome comum ou nome totalmente diferenciado. Se você não tiver certeza de qual usar, entre em contato com o administrador da AC.
Para o nome alternativo assunto, habilite Email endereço e nome de princípio do usuário (UPN) conforme apropriado para sua AC.
Limite de renovação: determina quando os certificados são renovados automaticamente, com base no percentual de tempo restante antes da expiração.
Defina o período de validade do Certificado como o tempo de vida do certificado.
Quando o ponto de registro de certificado especificar credenciais do Active Directory, habilite a publicação do Active Directory.
Se você selecionou uma ou mais plataformas com suporte Windows 10:
Defina o repositório de certificados do Windows como Usuário. (A opção Computador Local não implanta certificados, não o escolhe.)
Selecione um dos seguintes provedores de armazenamento de chaves (KSP):
- Instalar no TPM (Trusted Platform Module) se estiver presente
- Instalar no TPM (Módulo de Plataforma Confiável) caso contrário, falhará
- Instalar para Windows Hello para Empresas caso contrário, falhar
- Instalar no Provedor de Armazenamento de Chaves de Software
Conclua o assistente.
Configurar as configurações do Certificado PFX para a CA de Confiação
Para a Configuração de ID Digital, escolha o perfil de configuração. O administrador do Entrust cria as opções de configuração de ID digital.
Para usar o perfil de certificado para assinatura ou criptografia S/MIME, habilite o uso do Certificado.
Quando você habilita essa opção, ela fornece todos os certificados PFX associados ao usuário de destino para todos os seus dispositivos. Se você não habilitar essa opção, cada dispositivo receberá um certificado exclusivo.
Para mapear tokens de formato de nome da Entidade de Confiação para campos Configuration Manager, selecione Formatar.
A caixa de diálogo Formatação de Nome do Certificado lista as variáveis de configuração de ID Digital de Confiação. Para cada variável Entrust, escolha os campos de Configuration Manager apropriados.
Para mapear tokens de Nome Alternativo da Entidade de Confiação para variáveis LDAP com suporte, selecione Formatar.
A caixa de diálogo Formatação de Nome do Certificado lista as variáveis de configuração de ID Digital de Confiação. Para cada variável Entrust, escolha a variável LDAP apropriada.
Limite de renovação: determina quando os certificados são renovados automaticamente, com base no percentual de tempo restante antes da expiração.
Defina o período de validade do Certificado como o tempo de vida do certificado.
Quando o ponto de registro de certificado especificar credenciais do Active Directory, habilite a publicação do Active Directory.
Se você selecionou uma ou mais plataformas com suporte Windows 10:
Defina o repositório de certificados do Windows como Usuário. (A opção Computador Local não implanta certificados, não o escolhe.)
Selecione um dos seguintes provedores de armazenamento de chaves (KSP):
- Instalar no TPM (Trusted Platform Module) se estiver presente
- Instalar no TPM (Módulo de Plataforma Confiável) caso contrário, falhará
- Instalar para Windows Hello para Empresas caso contrário, falhar
- Instalar no Provedor de Armazenamento de Chaves de Software
Conclua o assistente.
Implantar o perfil
Depois de criar um perfil de certificado, ele agora está disponível no nó Perfis de Certificado . Para obter mais informações sobre como implantá-lo, confira Implantar perfis de acesso a recursos.
Confira também
Criar um novo perfil de certificado