建立憑證設定檔

  • 發行項

適用於:Configuration Manager (目前的分支)

重要事項

從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

使用 Configuration Manager 中的憑證設定檔,以存取公司資源所需的憑證布建受控裝置。 建立憑證設定檔之前,請設定憑證基礎結構,如 設定憑證基礎結構中所述。

本文說明如何建立受信任的跟憑證註冊通訊協定 (SCEP) 憑證設定檔。 如果您想要建立 PFX 憑證設定檔,請參閱 建立 PFX 憑證設定檔

若要建立憑證設定檔:

  1. 啟動 [建立憑證設定檔精靈]。
  2. 提供憑證的一般資訊。
  3. 設定受信任的憑證授權單位單位 (CA) 憑證。
  4. 設定 SCEP 憑證資訊。
  5. 指定憑證設定檔支援的平臺。

啟動精靈

若要啟動建立憑證設定檔:

  1. 在Configuration Manager主控台中,移至 [資產與相容性] 工作區,依序展開 [相容性設定] 和[公司資源存取],然後選取 [憑證設定檔]節點。

  2. 在功能區的 [ 常用] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立憑證設定檔]

一般

在 [建立憑證設定檔精靈] 的 [ 一般 ] 頁面上,指定下列資訊:

  • 名稱:輸入憑證設定檔的唯一名稱。 您最多可以使用 256 個字元。

  • 描述:提供提供憑證設定檔概觀的描述。 也包含其他相關資訊,可協助您在主控台中識別Configuration Manager。 您最多可以使用 256 個字元。

  • 指定您要建立的憑證配置檔案類型:

    • 信任的 CA 憑證:選取此類型可將受信任的根憑證授權單位部署 (CA) 或中繼 CA 憑證,以在使用者或裝置必須驗證另一個裝置時形成信任的憑證鏈結。 例如,裝置可能是 REMOTE Authentication Dial-In User Service (RADIUS) 伺服器或虛擬私人網路 (VPN) 伺服器。

      也請先設定受信任的 CA 憑證設定檔,才能建立 SCEP 憑證設定檔。 在此情況下,信任的 CA 憑證必須是發行憑證給使用者或裝置的 CA。

    • 簡單憑證註冊通訊協定 (SCEP) 設定:選取此類型以要求具有簡單憑證註冊通訊協定的使用者或裝置憑證,以及 NDES) 角色服務 (網路裝置註冊服務。

    • 個人資訊交換 PKCS #12 (PFX) 設定 - 匯入:選取此選項以匯入 PFX 憑證。 如需詳細資訊,請參閱 匯入 PFX 憑證設定檔

    • 個人資訊交換 PKCS #12 (PFX) 設定 - 建立:選取此選項以使用憑證授權單位單位處理 PFX 憑證。 如需詳細資訊,請 參閱建立 PFX 憑證設定檔

信任的 CA 憑證

重要事項

建立 SCEP 憑證設定檔之前,請設定至少一個受信任的 CA 憑證設定檔。

部署憑證之後,如果您變更其中任何一個值,則會要求新的憑證:

  • 金鑰儲存提供者
  • 憑證範本名稱
  • 憑證類型
  • 主體名稱格式
  • 主體替代名稱
  • 憑證有效期間
  • 金鑰使用方式
  • 金鑰大小
  • 擴充金鑰使用方式
  • 根 CA 憑證

  1. 在 [建立憑證設定檔精靈] 的 [ 信任的 CA 憑證 ] 頁面上,指定下列資訊:

    • 憑證檔案:選取 [ 入],然後流覽至憑證檔案。

    • 目的地存放區:對於擁有多個憑證存放區的裝置,請選取要儲存憑證的位置。 對於只有一個存放區的裝置,會忽略此設定。

  2. 使用憑 證指紋 值來確認您已匯入正確的憑證。

SCEP 憑證

1. SCEP 伺服器

在 [建立憑證設定檔精靈] 的 [SCEP 伺服器 ] 頁面上,指定將透過 SCEP 發行憑證之 NDES 伺服器的 URL。 您可以根據憑證登錄點的設定自動指派 NDES URL,或手動新增 URL。

2.SCEP 註冊

完成 [建立憑證設定檔精靈] 的 [SCEP 註冊 ] 頁面。

  • 重試:指定裝置自動向 NDES 伺服器重試憑證要求的次數。 此設定支援 CA 管理員必須先核准憑證要求才能被接受的案例。 此設定通常用於高安全性環境,或如果您有獨立發行 CA 而非企業 CA。 您也可以使用此設定進行測試,以便在發行 CA 處理憑證要求之前,先檢查憑證要求選項。 使用此設定搭配 [重試延遲 (分鐘) 設定。

  • 重試延遲 (分鐘) :指定在發行 CA 處理憑證要求之前使用 CA 管理員核准時,每個註冊嘗試之間的間隔,以分鐘為單位。 如果您使用主管核准進行測試,請指定低值。 然後,在核准要求之後,您不會等待很長的時間讓裝置重試憑證要求。

    如果您在生產網路上使用管理員核准,請指定較高的值。 此行為可讓 CA 系統管理員有足夠的時間來核准或拒絕擱置中的核准。

  • 更新閾值 (%) :指定裝置要求更新憑證之前保留的憑證存留期百分比。

  • 金鑰儲存提供者 (KSP) :指定憑證金鑰的儲存位置。 請選擇下列其中一個值:

    • 如果存在,請安裝至信賴平臺模組 (TPM) :將金鑰安裝至 TPM。 如果 TPM 不存在,則會將金鑰安裝到軟體金鑰的儲存體提供者。

    • 安裝至信賴平臺模組 (TPM) 否則會失敗:將金鑰安裝至 TPM。 如果 TPM 模組不存在,安裝會失敗。

    • 安裝至Windows Hello 企業版否則會失敗:此選項適用于Windows 10或更新版本的裝置。 它可讓您將憑證儲存在受多重要素驗證保護的Windows Hello 企業版存放區中。 如需詳細資訊,請參閱 Windows Hello 企業版

      注意事項

      此選項不支援在 [憑證屬性] 頁面上使用增強金鑰的智慧卡登入。

    • 安裝至軟體金鑰儲存提供者:將金鑰安裝到軟體金鑰的儲存體提供者。

  • 憑證註冊的裝置:如果您將憑證設定檔部署至使用者集合,則只允許在使用者的主要裝置或使用者登入的任何裝置上註冊憑證。

    如果您將憑證設定檔部署至裝置集合,則只允許裝置主要使用者或登入裝置的所有使用者註冊憑證。

3.憑證屬性

在 [建立憑證設定檔精靈] 的 [ 憑證屬性 ] 頁面上,指定下列資訊:

  • 憑證範本名稱:選取您在 NDES 中設定並新增至發行 CA 的憑證範本名稱。 若要成功流覽至憑證範本,您的使用者帳戶需要憑證範本的 取許可權。 如果您無法 流覽 憑證,請輸入其名稱。

    重要事項

    如果憑證範本名稱包含非 ASCII 字元,則不會部署憑證。 (這些字元的其中一個範例來自中文字母) 若要確定已部署憑證,請先在 CA 上建立憑證範本的複本。 然後使用 ASCII 字元重新命名複本。

    • 如果您 流覽 以選取憑證範本的名稱,頁面上的某些欄位會自動從憑證範本填入。 在某些情況下,除非您選擇不同的憑證範本,否則無法變更這些值。

    • 如果您 輸入 憑證範本的名稱,請確定名稱完全符合其中一個憑證範本。 它必須符合 NDES 伺服器登錄中所列的名稱。 請確定您指定的是憑證範本的名稱,而不是憑證範本的顯示名稱。

      若要尋找憑證範本的名稱,請流覽至下列登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 。 它會將憑證範本列為 EncryptionTemplateGeneralPurposeTemplateSignatureTemplate 的值。 根據預設,這三個憑證範本的值都是 IPSECIntermediateOffline,它會對應至 IPSec 的範本顯示名稱 (離線要求)

      警告

      當您輸入憑證範本的名稱時,Configuration Manager無法驗證憑證範本的內容。 您可以選取憑證範本不支援的選項,這可能會導致憑證要求失敗。 發生此行為時,您會在 CPR.log 檔案中看到w3wp.exe的錯誤訊息,指出憑證簽署要求中的範本名稱 (CSR) ,且挑戰不相符。

      當您輸入為 GeneralPurposeTemplate 值指定的憑證範本名稱時,請選取此憑證設定檔的 金鑰編碼數位簽章 選項。 如果您只想要在此憑證設定檔中啟用 [金鑰加密 ] 選項,請指定 EncryptionTemplate 金鑰的憑證範本名稱。 同樣地,如果您只想要在此憑證設定檔中啟用 數位簽章 選項,請指定 SignatureTemplate 金鑰的憑證範本名稱。

  • 憑證類型:選取您要將憑證部署至裝置或使用者。

  • 主體名稱格式:選取Configuration Manager如何在憑證要求中自動建立主體名稱。 如果憑證適用于使用者,您也可以在主體名稱中包含使用者的電子郵件地址。

    注意事項

    如果您選取 [IMEI 編號 ] 或 [序號],您可以區分相同使用者所擁有的不同裝置。 例如,這些裝置可以共用一般名稱,但不能共用 IMEI 編號或序號。 如果裝置未報告 IMEI 或序號,則憑證會以一般名稱發出。

  • 主體別名:指定Configuration Manager如何在憑證要求中自動建立主體別名 (SAN) 值。 例如,如果您選取了使用者憑證類型,您可以在主體別名中包含使用者主體名稱 (UPN) 。 如果用戶端憑證會向網路原則伺服器進行驗證,請將主體別名設定為 UPN。

  • 憑證有效期間:如果您在發行 CA 上設定自訂有效期間,請指定憑證到期之前的剩餘時間量。

    提示

    使用下列命令列設定自訂有效期間:certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE 如需此命令的詳細資訊,請參閱 憑證基礎結構

    您可以指定低於指定憑證範本中有效期間的值,但不能指定較高的值。 例如,如果憑證範本中的憑證有效期間是兩年,您可以指定一年的值,但不能指定五年的值。 值也必須低於發行 CA 憑證的剩餘有效期間。

  • 金鑰使用方式:指定憑證的金鑰使用選項。 從下列選項中選擇:

    • 金鑰加密:只有在金鑰加密時才允許金鑰交換。

    • 數位簽章:只有在數位簽章有助於保護金鑰時,才允許金鑰交換。

    如果您已流覽憑證範本,除非您選取不同的憑證範本,否則無法變更這些設定。

    使用上述兩個金鑰使用方式選項的其中一個或兩個選項來設定選取的憑證範本。 如果沒有,您會在憑證登錄點記錄檔 Crp.log中看到下列訊息: CSR 中的金鑰使用方式和挑戰不相符

  • 金鑰大小 (位) :選取以位為單位的金鑰大小。

  • 擴充金鑰使用方式:新增憑證預定用途的值。 在大部分情況下,憑證需要 用戶端驗證 ,使用者或裝置才能向伺服器進行驗證。 您可以視需要新增任何其他金鑰使用方式。

  • 雜湊演算法:選取其中一個可用的雜湊演算法類型以搭配此憑證使用。 選取連線裝置支援的最強安全性層級。

    注意事項

    SHA-2 支援 SHA-256、SHA-384 和 SHA-512。 SHA-3 僅支援 SHA-3。

  • 根 CA 憑證:選擇您先前設定並部署至使用者或裝置的根 CA 憑證設定檔。 此 CA 憑證必須是 CA 的根憑證,該憑證將會發行您在此憑證設定檔中設定的憑證。

    重要事項

    如果您指定未部署至使用者或裝置的根 CA 憑證,Configuration Manager將不會起始您在此憑證設定檔中設定的憑證要求。

支援的平台

在 [建立憑證設定檔精靈] 的 [ 支援的平臺 ] 頁面上,選取您要安裝憑證設定檔的 OS 版本。 選擇 [全選 ] 以將憑證設定檔安裝到所有可用的作業系統。

後續步驟

新的憑證設定檔會出現在 [資產與相容性] 工作區的 [憑證設定檔] 節點中。 您已準備好部署至使用者或裝置。 如需詳細資訊,請 參閱如何部署設定檔