Dela via

Konfigurera certifikatanslutningsappen för Microsoft Intune för att stödja DigiCert PKI-plattformen

  • Artikel

Du kan använda certifikatanslutningsappen för Microsoft Intune för att utfärda PKCS-certifikat från DigiCert PKI-plattformen till Intune-hanterade enheter. Certifikatanslutningsappen fungerar antingen med en DigiCert-certifikatutfärdare (CA) eller med både en DigiCert CA och en Microsoft CA.

Tips

DigiCert förvärvade Symantecs webbplatssäkerhet och relaterade PKI Solutions-verksamhet. Mer information om den här ändringen finns i artikeln teknisk support för Symantec.

Om du redan använder certifikatanslutningsappen för Microsoft Intune för att utfärda certifikat från en Microsoft CA med hjälp av PKCS eller Simple Certificate Enrollment Protocol (SCEP), kan du använda samma anslutningsapp för att konfigurera och utfärda PKCS-certifikat från en DigiCert CA. När du har slutfört konfigurationen för att stödja DigiCert CA:en kan anslutningsappen utfärda följande certifikat:

  • PKCS-certifikat från en Microsoft CA
  • PKCS-certifikat från en DigiCert CA
  • Endpoint Protection-certifikat från en Microsoft CA

Om du inte har installerat anslutningsappen men planerar att använda den för både en Microsoft CA och en DigiCert CA slutför du konfigurationen av anslutningsappen för Microsoft CA först. Gå sedan tillbaka till den här artikeln för att konfigurera den så att den även stöder DigiCert. Mer information om certifikatprofiler och anslutningsappen finns i Konfigurera en certifikatprofil för dina enheter i Microsoft Intune.

Om du bara använder anslutningsappen med DigiCert CA:en kan du använda anvisningarna i den här artikeln för att installera och sedan konfigurera anslutningsappen.

Förutsättningar

Du behöver följande för att stödja användning av en DigiCert CA:

  • En aktiv prenumeration på DigiCert CA : Prenumerationen krävs för att hämta ett registreringsutfärdarcertifikat (RA) från DigiCert CA:en.

  • Certifikatanslutningsapp för Microsoft Intune – Du uppmanas att installera och konfigurera certifikatanslutningsappen senare i den här artikeln. Information om hur du planerar för anslutningsappar i förväg finns i följande artiklar:

Installera DigiCert RA-certifikatet

  1. Spara följande kodfragment som i en fil med namnet certreq.ini och uppdatera det efter behov (till exempel : Ämnesnamn i CN-format).

    [Version] 
Signature="$Windows NT$" 

[NewRequest] 
;Change to your,country code, company name and common name 
Subject = "Subject Name in CN format"

KeySpec = 1 
KeyLength = 2048 
Exportable = TRUE 
MachineKeySet = TRUE 
SMIME = False 
PrivateKeyArchive = FALSE 
UserProtected = FALSE 
UseExistingKeySet = FALSE 
ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
ProviderType = 12 
RequestType = PKCS10 
KeyUsage = 0xa0 

[EnhancedKeyUsageExtension] 
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication  // Uncomment if you need a mutual TLS authentication

;-----------------------------------------------

  2. Öppna en upphöjd kommandotolk och generera en certifikatsigneringsbegäran (CSR) med hjälp av följande kommando:

    Certreq.exe -new certreq.ini request.csr

  3. Öppna request.csr-filen i Anteckningar och kopiera CSR-innehållet i följande format:

    -----BEGIN NEW CERTIFICATE REQUEST-----
MIID8TCCAtkCAQAwbTEMMAoGA1UEBhMDVVNBMQswCQYDVQQIDAJXQTEQMA4GA1UE
…
…
fzpeAWo=
-----END NEW CERTIFICATE REQUEST-----

  4. Logga in på DigiCert CA och bläddra till Hämta ett RA-certifikat från aktiviteterna.

    a. I textrutan anger du CSR-innehållet från steg 3.

    b. Ange ett eget namn för certifikatet.

    c. Välj Fortsätt.

    d. Använd den angivna länken för att ladda ned RA-certifikatet till din lokala dator.

  5. Importera RA-certifikatet till Windows-certifikatarkivet:

    a. Öppna en MMC-konsol.

    b. Välj Lägg>till eller ta bort tilläggscertifikat>> för snapin-moduler.

    c. Välj Datorkonto>nästa.

    d. Välj Slutför lokal dator>.

    e. Välj OK i fönstret Lägg till eller ta bort snapin-moduler . Expandera Certifikat (lokal dator)>Personliga>certifikat.

    f. Högerklicka på noden Certifikat och välj Importera alla aktiviteter>.

    G. Välj platsen för RA-certifikatet som du laddade ned från DigiCert CA:en och välj sedan Nästa.

    H. Välj Personligt certifikatarkiv>nästa.

    i. Välj Slutför för att importera RA-certifikatet och dess privata nyckel till det lokala dator-personliga arkivet.

  6. Exportera och importera certifikatet för den privata nyckeln:

    a. Expandera Certifikat (lokal dator)>Personliga>certifikat.

    b. Välj det certifikat som importerades i föregående steg.

    c. Högerklicka på certifikatet och välj Exportera alla aktiviteter>.

    d. Välj Nästa och ange sedan lösenordet.

    e. Välj den plats som du vill exportera till och välj sedan Slutför.

    f. Använd proceduren från steg 5 för att importera certifikatet för den privata nyckeln till det lokala dator-personliga arkivet.

    G. Registrera en kopia av RA-certifikatets tumavtryck utan blanksteg. Följande är ett exempel på tumavtrycket:

    RA Cert Thumbprint: "EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"

    Senare, när du har installerat certifikatanslutningsappen för Microsoft Intune, använder du det här värdet för att uppdatera tre .config filer för anslutningsappen.

    Obs!

    Om du vill ha hjälp med att hämta RA-certifikatet från DigiCert CA:en kontaktar du DigiCerts kundsupport.

Konfigurera certifikatanslutningsappen för att stödja DigiCert

  1. Använd informationen i Installera certifikatanslutningsappen för Microsoft Intune för att först ladda ned och sedan installera och konfigurera certifikatanslutningsappen för Microsoft Intune:

    • Under installationssteg 2 i installationsproceduren för anslutningsappen väljer du alternativen för PKCS och eventuellt för återkallande av certifikat.
    • När du har slutfört installations- och konfigurationsproceduren för anslutningsprogrammet återgår du till den här proceduren för att fortsätta.

  2. Konfigurera anslutningsappen så att den stöder DigiCert genom att ändra tre .config filer för anslutningsappen och sedan starta om deras relaterade tjänster:

    1. På servern där anslutningsappen installerades går du till %ProgramFiles%\Microsoft Intune\PFXCertificateConnector\ConnectorSvc. (Certifikatanslutningsappen för Microsoft Intune installeras som standard på %ProgramFiles%\Microsoft Intune\PFXCertificateConnector.)

    2. Använd en enkel textredigerare som Notepad.exe för att uppdatera nyckelvärdet RACertThumbprint i följande tre filer. Ersätt värdet i filerna med det värde som du kopierade under steg 6.g. i proceduren i föregående avsnitt:

      • Microsoft.Intune.ConnectorsPkiCreate.exe.config
      • Microsoft.Intune.ConnectorsPkiRevoke.exe.config
      • Microsoft.Intune.ConnectorsPkiCreateLegacy.exe.config

    Leta till exempel upp posten i varje fil som liknar <add key="RACertThumbprint" value="EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"/>och ersätt EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5 med det nya RA-certifikatets tumavtrycksvärde .

    1. Kör services.msc och stoppa och starta sedan om följande tre tjänster:

      • PFX Återkalla certifikatanslutningsapp för Microsoft Intune (PkiRevokeConnectorSvc)
      • PFX Skapa certifikatanslutningsapp för Microsoft Intune (PkiCreateConnectorSvc)
      • PFX Skapa äldre anslutningsapp för Microsoft Intune (PfxCreateLegacyConnectorSvc)

Skapa en betrodd certifikatprofil

PKCS-certifikaten som du distribuerar för Intune-hanterade enheter måste vara länkade med ett betrott rotcertifikat. För att upprätta den här kedjan skapar du en betrodd Intune-certifikatprofil med rotcertifikatet från DigiCert CA och distribuerar både den betrodda certifikatprofilen och PKCS-certifikatprofilen till samma grupper.

  1. Hämta ett betrott rotcertifikat från DigiCert CA:en:

    a. Logga in på digiCert CA-administratörsportalen.

    b. Välj Hantera certifikatutfärdare från Uppgifter.

    c. Välj lämplig ca i listan.

    d. Välj Ladda ned rotcertifikat för att ladda ned det betrodda rotcertifikatet.

  2. Skapa en betrodd certifikatprofil i Microsoft Intune administrationscenter. Detaljerad vägledning finns i Skapa en betrodd certifikatprofil. Se till att tilldela den här profilen till enheter som ska ta emot certifikat. Information om hur du tilldelar profilen till grupper finns i Tilldela enhetsprofiler.

    När du har skapat profilen visas den i listan över profiler i fönstret Enhetskonfiguration – Profiler , med profiltypen Betrott certifikat.

Hämta certifikatprofilens OID

Certifikatprofilens OID är associerad med en certifikatprofilmall i DigiCert CA:en. Om du vill skapa en PKCS-certifikatprofil i Intune måste certifikatmallens namn vara i form av en certifikatprofils-OID som är associerad med en certifikatmall i DigiCert CA:en.

  1. Logga in på digiCert CA-administratörsportalen.

  2. Välj Hantera certifikatprofiler.

  3. Välj den certifikatprofil som du vill använda.

  4. Kopiera certifikatprofilens OID. Det ser ut ungefär som i följande exempel:

    Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109

Obs!

Om du behöver hjälp med att hämta certifikatprofilens OID kontaktar du DigiCerts kundsupport.

Skapa en PKCS-certifikatprofil

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enhetskonfiguration>>Skapa.

  3. Ange följande egenskaper:

    • Plattform: Välj plattform för dina enheter.
    • Profil: Välj PKCS-certifikat. Eller välj PKCS-certifikat för mallar>.

  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.

  6. I Konfigurationsinställningar konfigurerar du parametrar med värdena från följande tabell. Dessa värden krävs för att utfärda PKCS-certifikat från en DigiCert CA via certifikatanslutningsappen för Microsoft Intune.

    PKCS-certifikatparameter Värde Beskrivning
    Certifikatutfärdare pki-ws.symauth.com Det här värdet måste vara DigiCert CA-bastjänstens FQDN utan avslutande snedstreck. Om du inte är säker på om det här är rätt bastjänst-FQDN för din DigiCert CA-prenumeration kontaktar du DigiCerts kundsupport.

    Med ändringen från Symantec till DigiCert förblir denna URL oförändrad.

    Om det här FQDN:t är felaktigt utfärdar inte certifikatanslutningsappen PKCS-certifikat från DigiCert CA:n.
    Certifikatutfärdarnamn Symantec Det här värdet måste vara strängen Symantec.

    Om det sker någon ändring av det här värdet utfärdar inte certifikatanslutningsappen PKCS-certifikat från DigiCert CA:en.
    Certifikatmallens namn Certifikatprofilens OID från DigiCert CA:en. Exempel: 2.16.840.1.113733.1.16.1.2.3.1.1.61904612 Det här värdet måste vara en certifikatprofils-OID som hämtades i föregående avsnitt från digiCert CA-certifikatprofilmallen.

    Om certifikatanslutningsappen inte kan hitta en certifikatmall som är associerad med den här certifikatprofilens OID i DigiCert CA:en utfärdar den inte PKCS-certifikat från DigiCert CA:en.

    Val för certifikatutfärdare och certifikatmall

    Obs!

    PKCS-certifikatprofilen för Windows-plattformar behöver inte associeras med en betrodd certifikatprofil. Men det krävs för icke-Windows-plattformsprofiler som Android.

  7. Slutför konfigurationen av profilen för att uppfylla dina affärsbehov och välj sedan Skapa för att spara profilen.

  8. På sidan Översikt för den nya profilen väljer du Tilldelningar och konfigurerar en lämplig grupp som ska ta emot den här profilen. Minst en användare eller enhet måste ingå i den tilldelade gruppen.

När du har slutfört föregående steg utfärdar Certificate Connector för Microsoft Intune PKCS-certifikat från DigiCert CA:en till Intune-hanterade enheter i den tilldelade gruppen. Dessa certifikat kommer att vara tillgängliga i det personliga arkivet för det aktuella användarcertifikatarkivet på den Intune-hanterade enheten.

Attribut som stöds för PKCS-certifikatprofilen

Attribut Format som stöds av Intune Format som stöds av DigiCert Cloud CA Resultatet
Ämnesnamn Intune stöder endast ämnesnamnet i följande tre format:

1. Eget namn
2. Eget namn som innehåller e-post
3. Eget namn som e-post

Till exempel:

CN = IWUser0 <br><br> E = IWUser0@samplendes.onmicrosoft.com		 DigiCert CA stöder fler attribut. Om du vill välja fler attribut måste de definieras med fasta värden i digiCert-certifikatprofilmallen. Vi använder eget namn eller e-postmeddelande från PKCS-certifikatbegäran.

Eventuella matchningsfel i attributval mellan Intune-certifikatprofilen och DigiCert-certifikatprofilmallen resulterar i att inga certifikat utfärdas från DigiCert CA:n.
SAN Intune stöder endast följande SAN-fältvärden:

AltNameTypeEmail
AltNameTypeUpn
AltNameTypeOtherName (kodat värde)		 DigiCert Cloud CA stöder också dessa parametrar. Om du vill välja fler attribut måste de definieras med fasta värden i digiCert-certifikatprofilmallen.

AltNameTypeEmail: Om den här typen inte finns i SAN använder certifikatanslutningsappen värdet från AltNameTypeUpn. Om AltNameTypeUpn inte heller finns i SAN använder certifikatanslutningsappen värdet från ämnesnamnet om det är i e-postformat. Om typen fortfarande inte hittas kan certifikatanslutningsappen inte utfärda certifikaten.

Exempel: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeUpn: Om den här typen inte hittas i SAN använder certifikatanslutningsappen värdet från AltNameTypeEmail. Om AltNameTypeEmail inte heller hittas i SAN använder certifikatanslutningsappen värdet från ämnesnamnet om det är i e-postformat. Om typen fortfarande inte hittas kan certifikatanslutningsappen inte utfärda certifikaten.

Exempel: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeOtherName: Om den här typen inte hittas i SAN kan certifikatanslutningsappen inte utfärda certifikaten.

Exempel: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2c

Värdet för det här fältet stöds endast i kodat format (hexadecimalt värde) av DigiCert CA:en. För alla värden i det här fältet konverterar certifikatanslutningsappen den till base64-kodning innan certifikatbegäran skickas. Certifikatanslutningsappen för Microsoft Intune verifierar inte om det här värdet redan är kodat eller inte.		 Ingen

Felsökning

Loggar för certifikatanslutningsappen för Microsoft Intune är tillgängliga som händelseloggar på servern där anslutningsappen är installerad. De här loggarna innehåller information om anslutningsåtgärden och kan användas för att identifiera problem med certifikatanslutningsappen och -åtgärder. Mer information finns i Loggning.

Nästa steg

Använd informationen i den här artikeln med informationen i Vad är Microsoft Intune enhetsprofiler? för att hantera organisationens enheter och certifikaten på dem.