Configurar o Conector de Certificado para a Plataforma DigiCert PKI
Utilize o Conector de Certificado para Microsoft Intune para emitir certificados PKCS da Plataforma DigiCert PKI para dispositivos geridos por Intune. Pode utilizar o conector apenas com uma autoridade de certificação DigiCert (CA), ou com um DigiCert CA e um Microsoft CA.
Dica
A DigiCert adquiriu o website security da Symantec e o negócio relacionado com a PKI Solutions. Para obter mais informações sobre esta mudança, consulte o artigo de suporte técnico da Symantec.
Se já utilizar o Conector certificado para Microsoft Intune para emitir certificados de um Microsoft CA utilizando O Protocolo de Inscrição de PKCS ou Certificado Simples (SCEP), pode utilizar esse mesmo conector para configurar e emitir certificados PKCS a partir de um DigiCert CA. Depois de completar a configuração para suportar o DigiCert CA, o conector pode emitir os seguintes certificados:
- Certificados PKCS de um Microsoft CA
- Certificados PKCS de um DigiCert CA
- Certificados de proteção de pontos finais de um Microsoft CA
Se não tiver o conector instalado, mas planeia usá-lo tanto para um Microsoft CA como para um DigiCert CA, preencha primeiro a configuração do conector para o Microsoft CA. Em seguida, volte a este artigo para configurá-lo para também apoiar DigiCert. Para obter mais informações sobre perfis de certificados e o conector, consulte configurar um perfil de certificado para os seus dispositivos em Microsoft Intune.
Se utilizar o conector apenas com o DigiCert CA, pode utilizar as instruções deste artigo para instalar e, em seguida, configurar o conector.
Pré-requisitos
Você precisará do seguinte para apoiar o uso de um DigiCert CA:
- Uma subscrição ativa no DigiCert CA - A subscrição é necessária para obter um certificado de autoridade de registo (RA) da DigiCert CA.
- Conector de Certificado para Microsoft Intune - O conector do certificado tem os seus próprios pré-requisitos. Para obter informações sobre o conector do certificado, consulte:
Instale o certificado DigiCert RA
Guarde o seguinte corte de código como num ficheiro nomeado certreq.ini e atualize-o conforme necessário (por exemplo: Nome do assunto no formato CN).
[Version] Signature="$Windows NT$" [NewRequest] ;Change to your,country code, company name and common name Subject = "Subject Name in CN format" KeySpec = 1 KeyLength = 2048 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.2 ; Client Authentication // Uncomment if you need a mutual TLS authentication ;-----------------------------------------------Abra uma solicitação de comando elevada e gere um pedido de assinatura de certificado (RSE) utilizando o seguinte comando:
Certreq.exe -new certreq.ini request.csrAbra o ficheiro .csr pedido em Bloco de notas e copie o conteúdo da RSE que está no seguinte formato:
-----BEGIN NEW CERTIFICATE REQUEST----- MIID8TCCAtkCAQAwbTEMMAoGA1UEBhMDVVNBMQswCQYDVQQIDAJXQTEQMA4GA1UE … … fzpeAWo= -----END NEW CERTIFICATE REQUEST-----Inscreva-se no DigiCert CA e navegue para obter um RA Cert das tarefas.
a. Na caixa de texto, forneça o conteúdo da RSE a partir do passo 3.
b. Forneça um nome amigável para o certificado.
c. Selecione Continuar.
d. Utilize o link fornecido para transferir o certificado RA para o seu computador local.
Importar o certificado RA na loja de certificados Windows:
a. Abra uma consola MMC.
b. Selecione Adicionar ficheiro > ou remover o certificado snap-ins > > Adicionar.
c. Selecione conta de computador > seguinte.
d. Selecione acabamento de computador > local.
e. Selecione OK na janela Add or Remove Snap-ins. Expandir Certificados (Computador Local) > Certificados Pessoais. >
f. Clique com o botão direito do rato no nó Certificados e selecione Todas as Tarefas > Importar.
exemplo, Selecione a localização do certificado RA que descarregou a partir do DigiCert CA e, em seguida, selecione Next.
h. Selecione Loja de Certificados > Pessoais Em seguida.
i. Selecione Acabamento para importar o certificado RA e sua chave privada para a loja Local Machine-Personal.
Exporte e importe o certificado de chave privada:
a. Expandir Certificados (Máquina Local) > Certificados Pessoais. >
b. Selecione o certificado importado no passo anterior.
c. Clique com o botão direito no certificado e selecione Todas as Tarefas > Exportação.
d. Selecione Seguinte e, em seguida, introduza a palavra-passe.
e. Selecione o local para exportar e, em seguida, selecione Terminar.
f. Utilize o procedimento a partir do passo 5 para importar o certificado chave privado para a loja Local Computer-Personal.
exemplo, Grave uma cópia da impressão digital do certificado RA sem espaços. Segue-se um exemplo da impressão digital:
RA Cert Thumbprint: "EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"Nota
Para obter o certificado RA da DigiCert CA, contacte o suporte ao cliente digiCert.
Prepare-se para instalar o Conector certificado para Microsoft Intune
Dica
Esta secção aplica-se se utilizar o Conector de Certificado Intune apenas com um DigiCert CA. Se utilizar o Conector de Certificado Intune com um Microsoft CA e quiser adicionar suporte DigiCert CA, avance para configurar o conector para suportar o DigiCert.
Escolha uma das versões Windows do sistema operativo da seguinte lista e instale-a num computador:
- Windows Server 2012 R2 Datacenter
- Windows Server 2012 R2 Standard
- Windows Server 2016 Datacenter
- Windows Server 2016 Standard
Crie um utilizador com privilégios administrativos e utilize-o para realizar os passos seguintes.
Verifique as últimas atualizações Windows e instale-as se disponível. Depois de instalar Windows atualizações, reinicie o computador.
Instale o .NET Framework 3.5:
a. Abra os programas e > funcionalidades Abra > Windows funcionalidades ligados ou desligados.
b. Selecione o .NET Framework 3.5 e instale-o.
Instale o conector de certificado para Microsoft Intune para utilização com o DigiCert
Dica
Se utilizar o conector de certificado com um Microsoft CA e quiser adicionar suporte DigiCert CA, avance para configurar o conector para suportar o DigiCert.
Descarregue a versão mais recente do Intune Certificate Connector a partir do portal de administração Intune e siga estas instruções.
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
Selecione Conectores e fichas de administração de > > inquilinos Conectores de certificado > + Adicionar.
Clique em Baixar o software do conector de certificado para o conector de PKCS #12 e guardar o ficheiro para um local a que possa aceder a partir do servidor onde vai instalar o conector.
No servidor onde pretende instalar o conector, execute NDESConnectorSetup.exe com privilégios elevados.
Na página Opções de Instalação, selecione distribuição PFX.
Importante
Se utilizar o Conector de Certificados Intune para emitir certificados de um Microsoft CA e de um DigiCert CA, selecione SCEP e PFX Profile Distribution.
Utilize as seleções predefinidos para terminar a configuração do conector.
Configure o conector para suportar o DigiCert
Por predefinição, o Conector de Certificado Intune é instalado em %ProgramFiles%\Microsoft Intune\NDESConnectorSvc.
Na pasta NDESConnectorSvc, abra o ficheiro NDESConnector.exe.config Bloco de notas.
a. Atualize o
RACertThumbprintvalor chave com o valor de impressão digital do certificado que copiou na secção anterior. Por exemplo:<add key="RACertThumbprint" value="EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"/>b. Guarde e feche o ficheiro.
Serviços abertos.msc:
a. Selecione Intune Connector Service.
b. Pare o serviço e, em seguida, inicie-o.
c. Feche a janela do serviço.
Criar a conta de administrador intune
Dica
Se utilizar o Conector de Certificado Intune com um Microsoft CA e quiser adicionar suporte DigiCert CA, avance para criar um perfil de certificado de confiança.
Abra a interface de utilizador do NDES Connector a partir de %ProgramFiles%\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.
No separador Inscrição, selecione Iniciar Sômis.
Forneça as suas credenciais de administrador intune.
Selecione Iniciar sê-lo e, em seguida, selecione OK para confirmar uma inscrição bem sucedida. Em seguida, pode fechar a interface de utilizador do conector NDES.
Criar um perfil de certificado fidedigno
Os certificados PKCS que irá utilizar para dispositivos geridos pela Intune devem ser acorrentados com um certificado de raiz fidedigno. Para estabelecer esta cadeia, crie um perfil de certificado fidedigno Intune com o certificado raiz da DigiCert CA, e implemente tanto o perfil de certificado fidedigno como o perfil de certificado PKCS para os mesmos grupos.
Obtenha um certificado de raiz fidedigno da DigiCert CA:
a. Inscreva-se no portal de administração DigiCert CA.
b. Selecione Gerir CAs a partir de tarefas.
c. Selecione o CA apropriado da lista.
d. Selecione Descarregue o certificado de raiz para descarregar o certificado de raiz fidedigno.
Crie um perfil de certificado de confiança no portal do centro de administração Microsoft Endpoint Manager. Para obter orientações detalhadas, consulte para criar um perfil de certificado de confiança. Certifique-se de atribuir este perfil a dispositivos que receberão certificados. Para atribuir o perfil a grupos, consulte atribuir perfis de dispositivo .
Depois de criar o perfil, aparece na lista de perfis na configuração do Dispositivo – Painel de Perfis, com um tipo de perfil de certificado Fidedigno.
Obtenha o perfil de certificado OID
O perfil de certificado OID está associado a um modelo de perfil de certificado no DigiCert CA. Para criar um perfil de certificado PKCS no Intune, o nome do modelo de certificado deve ser na forma de um OID de perfil de certificado que esteja associado a um modelo de certificado no DigiCert CA.
Inscreva-se no portal de administração DigiCert CA.
Selecione Gerir perfis de certificados.
Selecione o perfil de certificado que pretende utilizar.
Copie o perfil de certificado OID. É semelhante ao seguinte exemplo:
Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109
Nota
Se precisar de ajuda para obter o perfil de certificado OID, contacte o suporte ao cliente da DigiCert.
Criar um perfil de certificado PKCS
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
Selecione perfis > de configuração de dispositivos > Criar perfil.
Introduza as seguintes propriedades:
- Plataforma: Escolha a plataforma dos seus dispositivos.
- Perfil: Selecione certificado PKCS. Ou, selecione o certificado > PKCS de modelos.
Selecione Criar.
No Básico, insira as seguintes propriedades:
- Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde.
- Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.
Nas definições de configuração, configure os parâmetros com os valores da tabela seguinte. Estes valores são necessários para emitir certificados PKCS a partir de um DigiCert CA, através do Conector de Certificado intune.
Parâmetro de certificado PKCS Valor Descrição Autoridade de certificação pki-ws.symauth.com Este valor deve ser o serviço base da DigiCert CA FQDN sem cortes de rasto. Se não tiver a certeza se este é o serviço base FQDN correto para a sua subscrição DigiCert CA, contacte o suporte ao cliente da DigiCert.
Com a mudança de Symantec para DigiCert, este URL permanece inalterado.
Se este FQDN estiver incorreto, o Intune Certificate Connector não emitirá certificados PKCS do DigiCert CA.Nome da autoridade de certificação Symantec Este valor tem de ser a cadeia Symantec.
Se houver alguma alteração neste valor, o Intune Certificate Connector não emitirá certificados PKCS do DigiCert CA.Nome do modelo de certificado Perfil de certificado OID da DigiCert CA. Por exemplo: 2.16.840.1.113733.1.16.1.2.3.1.61904612 Este valor deve ser um OID de perfil de certificado obtido na secção anterior a partir do modelo de perfil de certificado DigiCert CA.
Se o Intune Certificate Connector não conseguir encontrar um modelo de certificado associado a este perfil de certificado OID no DigiCert CA, não emitirá certificados de PKCS do DigiCert CA.
Nota
O perfil de certificado PKCS para plataformas Windows não precisa de ser associado a um perfil de certificado de confiança. No entanto, é preciso fazê-lo para perfis de plataformas não Windows como o Android.
Complete a configuração do perfil para atender às necessidades do seu negócio e, em seguida, selecione Criar para guardar o perfil.
Na página geral do novo perfil, selecione Atribuições e configufique um grupo apropriado que receberá este perfil. Pelo menos um utilizador ou dispositivo tem de fazer parte do grupo atribuído.
Depois de completar os passos anteriores, o Intune Certificate Connector emitirá certificados PKCS do DigiCert CA para dispositivos geridos pela Intune no grupo designado. Estes certificados estarão disponíveis na loja pessoal da loja de certificados do Utilizador Atual no dispositivo gerido pela Intune.
Atributos suportados para o perfil de certificado PKCS
| Atributo | Formatos suportados intune | DigiCert Cloud CA suportado formatos | result |
|---|---|---|---|
| Nome do requerente | O Intune suporta o nome do requerente apenas nos seguintes três formatos: 1. Nome comum 2. Nome comum que inclui e-mail 3. Nome comum como e-mail Por exemplo: CN = IWUser0 <br><br> E = IWUser0@samplendes.onmicrosoft.com |
O DigiCert CA suporta mais atributos. Se pretender selecionar mais atributos, devem ser definidos com valores fixos no modelo de perfil do certificado DigiCert. | Utilizamos um nome comum ou e-mail a partir do pedido de certificado PKCS. Qualquer incompatibilidade na seleção de atributos entre o perfil do certificado Intune e o modelo de perfil de certificado DigiCert resulta em nenhum certificado emitido do DigiCert CA. |
| SAN | O Intune suporta apenas os valores de campo de SAN seguintes: AltNameTypeEmail AltNameTypeUpn AltNameTypeOtherName (valor codificado) |
O DigiCert Cloud CA também suporta estes parâmetros. Se pretender selecionar mais atributos, devem ser definidos com valores fixos no modelo de perfil do certificado DigiCert. AltNameTypeEmail: Se este tipo não for encontrado no SAN, o Conector de Certificado Intune utiliza o valor da AltNameTypeUpn. Se o AltNameTypeUpn também não for encontrado no SAN, então o Intune Certificate Connector utiliza o valor do nome do sujeito se estiver em formato de e-mail. Se o tipo ainda não for encontrado, o Conector de Certificado Intune não emite os certificados. Exemplo: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.com AltNameTypeUpn: Se este tipo não for encontrado no SAN, o Conector de Certificado Intune utiliza o valor da AltNameTypeEmail. Se o AltNameTypeEmail também não for encontrado no SAN, então o Intune Certificate Connector utiliza o valor do nome do sujeito se estiver em formato de e-mail. Se o tipo ainda não for encontrado, o Conector de Certificado Intune não emite os certificados. Exemplo: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.com AltNameTypeOtherName: Se este tipo não for encontrado no SAN, o Conector de Certificado Intune não emite os certificados. Exemplo: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2c O valor deste campo é suportado apenas em formato codificado (valor hexadecimal) pelo DigiCert CA. Por qualquer valor neste campo, o Intune Certificate Connector converte-o para codificação base64 antes de apresentar o pedido de certificado. O Intune Certificate Connector não valida se este valor já está codificado ou não. |
Nenhuma |
Resolução de problemas
Os registos de serviço do Conector de Certificado intune estão disponíveis em %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs na máquina do conector NDES. Abra os registos no SvcTraceViewer e procure exceções ou mensagens de erro.
| Mensagem de emissão/erro | Passos de resolução |
|---|---|
| Não pode entrar com a conta de administração do inquilino Intune na NDES Connector UI. | Isto pode acontecer quando o conector de certificado no local não está ativado no centro de administração Microsoft Endpoint Manager. Para resolver este problema: 1. Inscreva-se no centro de administração Microsoft Endpoint Manager. 2. Selecione Conectores e fichas de administração de > > inquilinos Conectores de certificados. 3. Localize o conector do certificado e certifique-se de que está ativado. Depois de completar os passos anteriores, tente assinar com a mesma conta de administração intune no NDES Connector UI. |
| Não foi possível encontrar o certificado do Conector do NDES. System.ArgumentNullException: O valor não pode ser nulo. |
O Intune Certificate Connector mostrará este erro se a conta de administrador de inquilino do Intune nunca tiver iniciado sessão na IU do Conector do NDES. Se este erro persistir, reinicie o Conector de Serviço Intune. 1. Serviços abertos.msc. 2. Selecione Intune Connector Service. 3. Clique à direita e selecione Reiniciar. |
| Conector do NDES – IssuePfx – Exceção Genérica: System.NullReferenceException: a referência do objeto não foi definida para uma instância de um objeto. |
Este erro é transitório. Reinicie o conector de serviço Intune. 1. Serviços abertos.msc. 2. Selecione Intune Connector Service. 3. Clique à direita e selecione Reiniciar. |
| DigiCert Provider - Falhou na política digiCert. "A operação está sem tempo." |
O Intune Certificate Connector recebeu um erro de tempo de operação enquanto comunicava com o DigiCert CA. Se este erro continuar a ocorrer, aumente o valor de tempo de intervalo de ligação e tente novamente. Para aumentar o tempo de intervalo da ligação: 1. Aceda ao computador NDES Connector. 2. Abra o ficheiro %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\NDESConnector.exe.config em Bloco de notas. 3. Aumentar o valor de tempo limite para o seguinte parâmetro: CloudCAConnTimeoutInMilliseconds 4. Reinicie o serviço de conector de certificado intune. Se o problema persistir, contacte o suporte ao cliente da DigiCert. |
| DigiCert Provider - Não conseguiu o certificado do cliente. | O Intune Certificate Connector não conseguiu obter o certificado de autorização de recursos da loja de certificados local Machine-Personal. Para resolver este problema, instale o certificado de autorização de recursos na loja de certificados local Machine-Personal juntamente com a sua chave privada. O certificado de autorização de recursos deve ser obtido a partir da DigiCert CA. Para mais detalhes, contacte o suporte ao cliente da DigiCert. |
| DigiCert Provider - Falhou na política digiCert. "O pedido foi abortado: Não foi possível criar um canal seguro SSL/TLS." |
Este erro ocorre nos seguintes cenários: 1. O serviço de conector de certificados Intune não tem permissões para ler o certificado de autorização de recursos juntamente com a sua chave privada da loja de certificados local Machine-Personal. Para resolver este problema, verifique a conta de contexto do serviço de conector em serviços.msc. O serviço de conector deve ser executado no contexto NT AUTHORITY\SYSTEM. 2. O perfil de certificado PKCS no portal de administração Intune pode ser configurado com um serviço base inválido FQDN para o DigiCert CA. O FQDN é semelhante ao pki-ws.symauth.com. Para resolver este problema, consulte o suporte do cliente DigiCert se o URL está correto para a sua subscrição. 3. O Conector de Certificado Intune não autentica com o DigiCert CA através do certificado de autorização de recursos porque não consegue recuperar a chave privada. Para resolver este problema, instale o certificado de autorização de recursos juntamente com a sua chave privada na loja de certificados local Machine-Personal. Se o problema persistir, contacte o suporte ao cliente da DigiCert. |
| DigiCert Provider - Falhou na política digiCert. "Um elemento de pedido não é compreendido." |
O Intune Certificate Connector não conseguiu obter o modelo de perfil de certificado DigiCert, porque o perfil do cliente OID não corresponde ao perfil de certificado Intune. Noutro caso, o Intune Certificate Connector não consegue encontrar o modelo de perfil de certificado associado ao perfil do cliente OID no DigiCert CA. Para resolver este problema, obtenha o OID do perfil do cliente correto a partir do modelo de Certificado DigiCert no DigiCert CA. Em seguida, atualize o perfil de certificado PKCS no portal de administração Intune. Obtenha o perfil de cliente OID da DigiCert CA: 1. Inscreva-se no portal de administração DigiCert CA. 2. Selecione Gerir perfis de certificados. 3. Selecione o perfil de certificado que pretende utilizar. 4. Obtenha o perfil de certificado OID. É semelhante ao seguinte exemplo: Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109 Atualize o perfil de certificado PKCS com o certificado correto Profile OID: 1. Inscreva-se no portal de administração Intune. 2. Vá ao perfil de certificado PKCS e selecione Editar. 3. Atualize o perfil de certificado OID no campo para o nome do modelo de certificado. 4. Guarde o perfil do certificado PKCS. |
| DigiCert Provider - A verificação da política falhou. O atributo não se enquadra na lista de atributos do modelo de certificado suportado pela DigiCert. |
O DigiCert CA mostra esta mensagem quando há uma discrepância entre o modelo de perfil de certificado DigiCert e o perfil de certificado Intune. Esta questão provavelmente aconteceu devido a um desfasamento de atributos no Nome sujeito ou no Nome SubjectAlt. Para resolver este problema, selecione Atributos suportados intune para SubjectName e SubjectAltName no modelo de perfil de certificado DigiCert. Para obter mais informações, consulte os atributos suportados intune na secção Parâmetros de Certificado. |
| Alguns dispositivos de utilizador não estão a receber certificados PKCS da DigiCert CA. | Esta questão acontece quando o utilizador UPN contém caracteres especiais como um sublinhado (exemplo: global_admin@intune.onmicrosoft.com ). O DigiCert CA não suporta caracteres especiais em mail_firstname e mail_lastname. Os passos seguintes ajudam a resolver este problema: 1. Inscreva-se no portal de administração DigiCert CA. 2. Vá gerir perfis de certificados. 3. Selecione o perfil de certificado utilizado para o Intune. 4. Selecione o link de opções de personalização. 5. Selecione o botão de opções Avançadas. 6. Nos campos de certificados – Assunto DN, adicione um campo de nome comum (CN) e elimine o campo nome comum existente (CN). As operações de adição e eliminação devem ser realizadas em conjunto. 7. Selecione Guardar. Com a alteração anterior, o perfil do certificado DigiCert solicita "CN=" em vez de mail_firstname e mail_lastname. |
| O utilizador eliminado manualmente já implementou o certificado do dispositivo. | A Intune reimplanta o mesmo certificado durante o próximo check-in ou aplicação da política. Neste caso, o NDES Connector não recebe um pedido de certificado PKCS. |
| O perfil digicert mostra erro para um dispositivo que estava a funcionar anteriormente e o certificado não está presente no dispositivo | A Digicert não pode emitir um certificado duplicado para um nome de hospedeiro específico. Se o certificado já não estiver no dispositivo, revogue o certificado anteriormente emitido na consola de administração Digicert. Isto inclui se o certificado foi removido do dispositivo e se o dispositivo foi reposto de fábrica. No próximo check-in ou aplicação da política, o dispositivo receberá um novo certificado da Digicert. |
Passos seguintes
Utilize as informações deste artigo com a informação em Quais são Microsoft Intune perfis de dispositivos?