Создание профилей сертификатов PFX в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager SP2

Configuration Manager 2012 с пакетом обновления 2 (SP2) позволяет подготовить файлы обмена личной информацией (PFX) для устройств пользователей. PFX-файлы можно использовать для создания пользовательских сертификатов с целью поддержки обмена зашифрованными данными. Сертификаты PFX можно создать в Configuration Manager или импортировать. С помощью Configuration Manager 2012 с пакетом обновления 2 (SP2) импортированные или новые сертификаты PFX можно развертывать на устройствах iOS, Android и Windows 10. Эти файлы можно развернуть на нескольких устройствах для поддержки связи между пользователями на основе PKI.

Совет
Пошаговое руководство, в котором описан этот процесс, также доступно в разделе Создание и развертывание профилей сертификатов PFX в Configuration Manager.

Создание и развертывание профилей сертификатов обмена личной информацией (PFX)

Создание и развертывание профиля сертификата обмена личной информацией (PFX)

1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

2. �� рабочей области Активы и соответствие разверните узлы Параметры соответствия и Доступ к ресурсам компании, а затем выберите пункт Профили сертификатов.

3. На вкладке Главная в группе Создать щелкните пункт Создать профиль сертификата. Открывается мастер Создание профилей сертификатов.

4. На странице Общие мастера Создание профилей сертификатов введите перечисленные ниже сведения.

   - **Имя**. Введите уникальное имя для профиля сертификата. Можно использовать не более 256 символов.
   
   - **Описание**. Введите описание, которое позволяет получить представление о профиле сертификата и содержит другие важные сведения для его идентификации в консоли Configuration Manager. Можно использовать не более 256 символов.
   
   - **Укажите тип профиля сертификата, который нужно создать**. Выберите один из следующих типов профилей сертификатов.
   
       - **Сертификат доверенного ЦС**. Выберите этот тип профиля сертификата, если необходимо развернуть сертификат доверенного корневого центра сертификации (ЦС) или промежуточного ЦС для формирования цепочки сертификатов, когда пользователь или устройство должны проверять подлинность другого устройства. Этим устройством может быть, например, сервер RADIUS или VPN-сервер. Перед созданием профиля сертификата SCEP необходимо настроить профиль сертификата доверенного ЦС. В этом случае сертификат доверенного ЦС должен быть доверенным корневым сертификатом для ЦС, выдающего сертификат для пользователя или устройства.
   
       - **Параметры протокола SCEP**. Выберите этот тип профиля сертификата, если необходимо запросить сертификат для пользователя или устройства с помощью протокола SCEP и службы роли службы регистрации сертификатов для сетевых устройств.
   
       - **Обмен личной информацией — параметры PKCS \#12 (PFX) — импорт**: выберите этот тип, чтобы импортировать сертификат PFX.
   

5. В окне Свойства сертификата в мастере Создание профиля сертификата укажите место хранения сертификата PFX на целевых устройствах.

   - **Установить в доверенный платформенный модуль (TPM) при его наличии**
   
   - **Установить в доверенный платформенный модуль (TPM), в противном случае выдать отказ**
   
   - **Установить в поставщик хранилища ключей программного обеспечения**
   

   Нажмите кнопку Далее.

6. В окне Поддерживаемые платформы в мастере Создание профиля сертификата укажите операционные системы или платформы, которые могут получать импортируемый файл PFX.

   - **Windows 10**
   
   - **iPhone**
   
   - **iPad**
   
   - **Android**
   

7. Щелкните Далее, просмотрите страницу Сводка, а затем закройте мастер.

8. Профиль сертификата, содержащий PFX-файл, теперь доступен в рабочей области Профили сертификатов. В рабочей области Активы и соответствие выберите Параметры соответствия > Доступ к ресурсам компании > Профили сертификатов и щелкните правой кнопкой мыши для развертывания нового сертификата в коллекциях пользователей.

9. С помощью пакета SDK для Windows 8.1, доступном в центре загрузки Майкрософт (https://go.microsoft.com/fwlink/?LinkId=613525, разверните сценарий создания PFX. Сценарий создания PFX, добавленный в Configuration Manager 2012 с пакетом обновления 2 (SP2), добавляет класс SMS_ClientPfxCertificate в пакет SDK. Этот класс содержит следующие методы.

   - ImportForUser
   
   - DeleteForUser
   

   Пример сценария:

     $EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)
   

   Для своего сценария измените следующие переменные:

   - \<blob\> = Зашифрованный с помощью base64 BLOB-объект PFX
   
   - $Password = пароль для PFX-файла
   
   - $ProfileName = имя профиля PFX
   
   - ComputerName — имя главного компьютера
   

См. также

Профили сертификатов в Configuration Manager