Aracılığıyla paylaş

Sertifika profilleri oluşturma

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Önemli

Sürüm 2203'den itibaren bu şirket kaynak erişimi özelliği artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.

Yönetilen cihazları şirket kaynaklarına erişmek için ihtiyaç duydukları sertifikalarla sağlamak için Configuration Manager'deki sertifika profillerini kullanın. Sertifika profilleri oluşturmadan önce Sertifika altyapısını ayarlama bölümünde açıklandığı gibi sertifika altyapısını ayarlayın.

Bu makalede, güvenilen kök ve Basit Sertifika Kayıt Protokolü (SCEP) sertifika profillerinin nasıl oluşturulacağı açıklanır. PFX sertifika profilleri oluşturmak istiyorsanız bkz. PFX sertifika profilleri oluşturma.

Sertifika profili oluşturmak için:

  1. Sertifika Profili Oluşturma Sihirbazı'nı başlatın.
  2. Sertifika hakkında genel bilgiler sağlayın.
  3. Güvenilir bir sertifika yetkilisi (CA) sertifikası yapılandırın.
  4. SCEP sertifika bilgilerini yapılandırın.
  5. Sertifika profili için desteklenen platformları belirtin.

Sihirbazı başlatma

Sertifika Profili Oluştur'u başlatmak için:

  1. Configuration Manager konsolunda Varlıklar ve Uyumluluk çalışma alanına gidin, Uyumluluk Ayarları'nı genişletin, Şirket Kaynak Erişimi'ni genişletin ve sertifika profilleri düğümünü seçin.

  2. Şeridin Giriş sekmesindeki Oluştur grubunda Sertifika Profili Oluştur'u seçin.

Genel

Sertifika Profili Oluşturma Sihirbazı'nın Genel sayfasında aşağıdaki bilgileri belirtin:

  • Ad: Sertifika profili için benzersiz bir ad girin. En fazla 256 karakter kullanabilirsiniz.

  • Açıklama: Sertifika profiline genel bakış sağlayan bir açıklama sağlayın. Ayrıca, Configuration Manager konsolunda tanımlamaya yardımcı olan diğer ilgili bilgileri de ekleyin. En fazla 256 karakter kullanabilirsiniz.

  • Oluşturmak istediğiniz sertifika profilinin türünü belirtin:

    • Güvenilen CA sertifikası: Kullanıcı veya cihazın başka bir cihazın kimliğini doğrulaması gerektiğinde bir güven sertifikası zinciri oluşturmak üzere bir güvenilen kök sertifika yetkilisi (CA) veya ara CA sertifikası dağıtmak için bu türü seçin. Örneğin, cihaz bir Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) sunucusu veya bir sanal özel ağ (VPN) sunucusu olabilir.

      Ayrıca, SCEP sertifika profili oluşturmadan önce güvenilir bir CA sertifika profili yapılandırın. Bu durumda, güvenilen CA sertifikası, sertifikayı kullanıcıya veya cihaza veren CA için olmalıdır.

    • Basit Sertifika Kayıt Protokolü (SCEP) ayarları: Basit Sertifika Kayıt Protokolü ve Ağ Cihazı Kayıt Hizmeti (NDES) rol hizmeti ile bir kullanıcı veya cihaz için sertifika istemek için bu türü seçin.

    • Kişisel Bilgi Değişimi PKCS #12 (PFX) ayarları - İçeri Aktar: PFX sertifikasını içeri aktarmak için bu seçeneği belirleyin. Daha fazla bilgi için bkz. PFX sertifika profillerini içeri aktarma.

    • Kişisel Bilgi Değişimi PKCS #12 (PFX) ayarları - Oluştur: PfX sertifikalarını bir sertifika yetkilisi kullanarak işlemek için bu seçeneği belirleyin. Daha fazla bilgi için bkz. PFX sertifika profilleri oluşturma.

Güvenilen CA sertifikası

Önemli

SCEP sertifika profili oluşturmadan önce en az bir güvenilen CA sertifika profili yapılandırın.

Sertifika dağıtıldıktan sonra, bu değerlerden herhangi birini değiştirirseniz yeni bir sertifika istenir:

  • Anahtar Depolama Sağlayıcısı
  • Sertifika şablonu adı
  • Sertifika türü
  • Konu adı biçimi
  • Konu alternatif adı
  • Sertifika geçerlilik süresi
  • Anahtar kullanımı
  • Anahtar boyutu
  • Genişletilmiş anahtar kullanımı
  • Kök CA sertifikası

  1. Sertifika Profili Oluşturma Sihirbazı'nın Güvenilen CA Sertifikası sayfasında aşağıdaki bilgileri belirtin:

    • Sertifika dosyası: İçeri Aktar'ı seçin ve sertifika dosyasına gidin.

    • Hedef depo: Birden fazla sertifika deposu olan cihazlar için sertifikanın depolandığı yeri seçin. Yalnızca bir deposu olan cihazlar için bu ayar yoksayılır.

  2. Doğru sertifikayı içeri aktardığınızdan emin olmak için Sertifika parmak izi değerini kullanın.

SCEP sertifikaları

1. SCEP Sunucuları

Sertifika Profili Oluşturma Sihirbazı'nın SCEP Sunucuları sayfasında, SCEP aracılığıyla sertifika verecek NDES Sunucularının URL'lerini belirtin. Sertifika kayıt noktasının yapılandırmasına bağlı olarak otomatik olarak ndes URL'si atayabilir veya URL'leri el ile ekleyebilirsiniz.

2. SCEP Kaydı

Sertifika Profili Oluşturma Sihirbazı'nın SCEP Kayıt sayfasını tamamlayın.

  • Yeniden denemeler: Cihazın sertifika isteğini NDES sunucusuna otomatik olarak yeniden deneme sayısını belirtin. Bu ayar, ca yöneticisinin bir sertifika isteğini kabul etmeden önce onaylaması gereken senaryoyu destekler. Bu ayar genellikle yüksek güvenlikli ortamlar için veya kurumsal CA yerine tek başına sertifika veren bir CA'nız varsa kullanılır. Sertifika veren CA sertifika isteğini işlemeden önce sertifika isteği seçeneklerini inceleyebilmeniz için bu ayarı test amacıyla da kullanabilirsiniz. Bu ayarı Yeniden deneme gecikmesi (dakika) ayarıyla kullanın.

  • Yeniden deneme gecikmesi (dakika):Veren CA sertifika isteğini işlemeden önce CA yöneticisi onayını kullandığınızda her kayıt girişimi arasındaki aralığı dakika cinsinden belirtin. Yönetici onayını test amacıyla kullanıyorsanız, düşük bir değer belirtin. Ardından, isteği onayladıktan sonra cihazın sertifika isteğini yeniden denemesini uzun süre beklemezsiniz.

    Üretim ağında yönetici onayı kullanıyorsanız daha yüksek bir değer belirtin. Bu davranış, CA yöneticisinin bekleyen onayları onaylaması veya reddetmesi için yeterli süre sağlar.

  • Yenileme eşiği (%): Cihaz sertifikanın yenilenmesini istemeden önce kalan sertifika ömrünün yüzdesini belirtin.

  • Anahtar Depolama Sağlayıcısı (KSP):Sertifika anahtarının depolandığı yeri belirtin. Aşağıdaki değerlerden birini seçin:

    • Varsa Güvenilir Platform Modülü'ne (TPM) yükleyin: Anahtarı TPM'ye yükler. TPM yoksa, anahtar yazılım anahtarı için depolama sağlayıcısına yüklenir.

    • Güvenilir Platform Modülü'ne (TPM) yükleme aksi takdirde başarısız olur: Anahtarı TPM'ye yükler. TPM modülü yoksa yükleme başarısız olur.

    • Yükleme İş İçin Windows Hello aksi takdirde başarısız olur: Bu seçenek Windows 10 veya sonraki cihazlarda kullanılabilir. Sertifikayı çok faktörlü kimlik doğrulaması ile korunan İş İçin Windows Hello deposunda depolamanıza olanak tanır. Daha fazla bilgi için bkz. İş İçin Windows Hello.

      Not

      Bu seçenek, Sertifika Özellikleri sayfasındaki Gelişmiş anahtar kullanımı için Akıllı kart oturum açma özelliğini desteklemez.

    • Yazılım Anahtarı Depolama Sağlayıcısına Yükle: Anahtarı yazılım anahtarı için depolama sağlayıcısına yükler.

  • Sertifika kaydı için cihazlar: Sertifika profilini bir kullanıcı koleksiyonuna dağıtırsanız, sertifika kaydına yalnızca kullanıcının birincil cihazında veya kullanıcının oturum açtığı herhangi bir cihazda izin verin.

    Sertifika profilini bir cihaz koleksiyonuna dağıtırsanız, yalnızca cihazın birincil kullanıcısı veya cihazda oturum açabilen tüm kullanıcılar için sertifika kaydına izin verin.

3. Sertifika Özellikleri

Sertifika Profili Oluşturma Sihirbazı'nın Sertifika Özellikleri sayfasında aşağıdaki bilgileri belirtin:

  • Sertifika şablonu adı: NDES'te yapılandırdığınız ve veren CA'ya eklediğiniz bir sertifika şablonunun adını seçin. Sertifika şablonlarına başarıyla göz atmak için kullanıcı hesabınızın sertifika şablonunda Okuma iznine sahip olması gerekir. Sertifikaya Gözatamıyorsanız , sertifikanın adını yazın.

    Önemli

    Sertifika şablonu adı ASCII olmayan karakterler içeriyorsa, sertifika dağıtılmaz. (Bu karakterlerin bir örneği Çin alfabesindendir.) Sertifikanın dağıtıldığından emin olmak için önce CA'da sertifika şablonunun bir kopyasını oluşturun. Ardından ASCII karakterleri kullanarak kopyayı yeniden adlandırın.

    • Sertifika şablonunun adını seçmek için göz atarsanız , sayfadaki bazı alanlar sertifika şablonundan otomatik olarak doldurulur. Bazı durumlarda, farklı bir sertifika şablonu seçmediğiniz sürece bu değerleri değiştiremezsiniz.

    • Sertifika şablonunun adını yazarsanız , adın sertifika şablonlarından biriyle tam olarak eşleştiğinden emin olun. NDES sunucusunun kayıt defterinde listelenen adlarla eşleşmelidir. Sertifika şablonunun görünen adını değil sertifika şablonunun adını belirttiğinizden emin olun.

      Sertifika şablonlarının adlarını bulmak için aşağıdaki kayıt defteri anahtarına göz atın: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Sertifika şablonlarını EncryptionTemplate, GeneralPurposeTemplate ve SignatureTemplate değerleri olarak listeler. Varsayılan olarak, üç sertifika şablonunun da değeri IPSec (Çevrimdışı istek) şablonunun görünen adıyla eşlenen IPSECIntermediateOffline'dır.

      Uyarı

      Sertifika şablonunun adını yazdığınızda, Configuration Manager sertifika şablonunun içeriğini doğrulayamaz. Sertifika şablonunun desteklemediği seçenekleri belirleyebilirsiniz ve bu da başarısız bir sertifika isteğine neden olabilir. Bu davranış gerçekleştiğinde CPR.log dosyasında w3wp.exe için sertifika imzalama isteğindeki (CSR) şablon adının ve sınamanın eşleşmediğini belirten bir hata iletisi görürsünüz.

      GeneralPurposeTemplate değeri için belirtilen sertifika şablonunun adını yazdığınızda, bu sertifika profili için Anahtar şifrelemesini ve Dijital imza seçeneklerini seçin. Bu sertifika profilinde yalnızca Anahtar şifreleme seçeneğini etkinleştirmek istiyorsanız EncryptionTemplate anahtarı için sertifika şablonu adını belirtin. Benzer şekilde, bu sertifika profilinde yalnızca Dijital imza seçeneğini etkinleştirmek istiyorsanız SignatureTemplate anahtarı için sertifika şablonu adını belirtin.

  • Sertifika türü: Sertifikayı bir cihaza mı yoksa kullanıcıya mı dağıtabileceğinizi seçin.

  • Konu adı biçimi: Configuration Manager sertifika isteğinde konu adını otomatik olarak nasıl oluşturduğunu seçin. Sertifika bir kullanıcıya yönelikse, konu adına kullanıcının e-posta adresini de ekleyebilirsiniz.

    Not

    IMEI numarası veya Seri numarası'nı seçerseniz, aynı kullanıcıya ait farklı cihazlar arasında ayrım yapabilirsiniz. Örneğin, bu cihazlar ortak bir ad paylaşabilir, ancak bir IMEI numarası veya seri numarası paylaşamayabilir. Cihaz bir IMEI veya seri numarası bildirmezse sertifika ortak adla verilir.

  • Konu alternatif adı: Configuration Manager sertifika isteğinde konu alternatif adı (SAN) için değerleri otomatik olarak nasıl oluşturacağını belirtin. Örneğin, bir kullanıcı sertifika türü seçtiyseniz, konu alternatif adına kullanıcı asıl adını (UPN) ekleyebilirsiniz. İstemci sertifikası ağ ilkesi sunucusunda kimlik doğrulaması yapacaksa, konu alternatif adını UPN olarak ayarlayın.

  • Sertifika geçerlilik süresi: Sertifika veren CA'da özel bir geçerlilik süresi ayarlarsanız, sertifikanın süresi dolmadan önce kalan süreyi belirtin.

    İpucu

    Aşağıdaki komut satırıyla özel bir geçerlilik süresi ayarlayın:certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Bu komut hakkında daha fazla bilgi için bkz. Sertifika altyapısı.

    Belirtilen sertifika şablonundaki geçerlilik süresinden daha düşük ancak daha yüksek olmayan bir değer belirtebilirsiniz. Örneğin, sertifika şablonundaki sertifika geçerlilik süresi iki yılsa, bir yıllık bir değer belirtebilirsiniz, ancak beş yıllık bir değer belirtemezsiniz. Değer, sertifika veren CA'nın sertifikasının kalan geçerlilik süresinden de düşük olmalıdır.

  • Anahtar kullanımı: Sertifika için anahtar kullanım seçeneklerini belirtin. Aşağıdaki seçeneklerden birini belirleyin:

    • Anahtar şifrelemesi: Anahtar değişimine yalnızca anahtar şifrelendiğinde izin verir.

    • Dijital imza: Anahtar değişimine yalnızca dijital imza anahtarın korunmasına yardımcı olduğunda izin verir.

    Bir sertifika şablonuna göz atmışsanız, farklı bir sertifika şablonu seçmediğiniz sürece bu ayarları değiştiremezsiniz.

    Seçili sertifika şablonunu yukarıdaki iki anahtar kullanım seçeneğinden biriyle veya her ikisiyle yapılandırın. Aksi takdirde, sertifika kayıt noktası günlük dosyasında şu iletiyi görürsünüz: Crp.log: CSR'de anahtar kullanımı ve sınama eşleşmiyor

  • Anahtar boyutu (bit): Bit cinsinden anahtarın boyutunu seçin.

  • Genişletilmiş anahtar kullanımı: Sertifikanın hedeflenen amacına yönelik değerler ekleyin. Çoğu durumda, kullanıcının veya cihazın bir sunucuda kimlik doğrulamasından geçmek için sertifika İstemci Kimlik Doğrulaması gerektirir. Diğer tüm anahtar kullanımlarını gerektiği gibi ekleyebilirsiniz.

  • Karma algoritma: Bu sertifikayla kullanılacak kullanılabilir karma algoritma türlerinden birini seçin. Bağlanan cihazların desteklediği en güçlü güvenlik düzeyini seçin.

    Not

    SHA-2 SHA-256, SHA-384 ve SHA-512'yi destekler. SHA-3 yalnızca SHA-3'i destekler.

  • Kök CA sertifikası: Daha önce yapılandırdığınız ve kullanıcıya veya cihaza dağıttığınız bir kök CA sertifika profili seçin. Bu CA sertifikası, bu sertifika profilinde yapılandırdığınız sertifikayı veren CA'nın kök sertifikası olmalıdır.

    Önemli

    Kullanıcıya veya cihaza dağıtılmayan bir kök CA sertifikası belirtirseniz, Configuration Manager bu sertifika profilinde yapılandırdığınız sertifika isteğini başlatmaz.

Desteklenen platformlar

Sertifika Profili Oluşturma Sihirbazı'nın Desteklenen Platformlar sayfasında, sertifika profilini yüklemek istediğiniz işletim sistemi sürümlerini seçin. Sertifika profilini tüm kullanılabilir işletim sistemlerine yüklemek için Tümünü seç'i seçin.

Sonraki adımlar

Yeni sertifika profili, Varlıklar ve Uyumluluk çalışma alanının Sertifika Profilleri düğümünde görünür. Kullanıcılara veya cihazlara dağıtmanız için hazır. Daha fazla bilgi için bkz. Profilleri dağıtma.