使用憑證授權單位單位建立 PFX 憑證設定檔

  • 發行項

適用於:Configuration Manager (目前的分支)

瞭解如何建立使用憑證授權單位單位進行認證的憑證設定檔。 本文強調 PFX) 憑證設定檔 (個人資訊交換的特定資訊。 如需如何建立和設定這些設定檔的詳細資訊,請參閱 憑證設定檔

Configuration Manager可讓您使用憑證授權單位單位所簽發的認證來建立 PFX 憑證設定檔。 您可以選擇 Microsoft 或 Entrust 作為您的憑證授權單位單位。 部署至使用者裝置時,PFX 檔案會產生使用者特定的憑證,以支援加密的資料交換。

若要從現有的憑證檔案匯入憑證認證,請參閱 匯入 PFX 憑證設定檔

先決條件

開始建立憑證設定檔之前,請確定必要的必要條件已就緒。 如需詳細資訊,請參閱 憑證設定檔的必要條件。 例如,針對 PFX 憑證設定檔,您需要憑 證登錄點 月臺系統角色。

建立設定檔

  1. 在Configuration Manager主控台中,移至 [資產與相容性] 工作區,依序展開 [相容性設定]、[公司資源存取],然後選取 [憑證設定檔]

  2. 在功能區的 [ 常用] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立憑證設定檔]

  3. 在 [建立憑證設定檔精靈] 的 [一般] 頁面上,指定下列資訊:

    • 名稱:輸入憑證設定檔的唯一名稱。 您最多可以使用 256 個字元。

    • 描述:提供可協助在Configuration Manager主控台中識別憑證設定檔概觀的描述。 您最多可以使用 256 個字元。

  4. 取 [個人資訊交換 - PKCS #12 (PFX) 設定 - 建立]。 此選項會代表連線內部部署憑證授權單位單位 (CA) 的使用者要求憑證。 選擇您的憑證授權單位單位:MicrosoftEntrust

    注意事項

    [ 匯入 ] 選項會從現有的憑證取得資訊,以建立憑證設定檔。 如需詳細資訊,請參閱 匯入 PFX 憑證設定檔

  5. 在 [ 支援的平臺] 頁面上,選取此憑證設定檔支援的 OS 版本。 如需Configuration Manager版本支援的 OS 版本詳細資訊,請參閱用戶端和裝置支援的作業系統版本

  6. 在 [ 憑證授權單位單位 ] 頁面上,選擇 CRP) (憑證註冊點來處理 PFX 憑證:

    1. 主要月臺:選擇包含 CA CRP 角色的伺服器。
    2. 憑證授權單位單位:選取相關的 CA。

    如需詳細資訊,請參閱 憑證基礎結構

[PFX 憑證] 頁面上的設定會根據 [一般] 頁面上選取的 CA 而有所不同:

設定 Microsoft CA 的PFX 憑證設定

  1. 針對 [ 憑證範本名稱],選擇憑證範本。

  2. 若要使用憑證設定檔進行 S/MIME 簽署或加密,請啟用 憑證使用方式

    當您啟用此選項時,它會將與目標使用者相關聯的所有 PFX 憑證傳遞至其所有裝置。 如果您未啟用此選項,則每個裝置都會收到唯一的憑證。

  3. [主體名稱格式] 設定為 [ 一般名稱 ] 或 [ 完全辨別名稱]。 如果您不確定要使用哪一個,請連絡您的 CA 系統管理員。

  4. 針對[主體別名],視您的 CA 而定,啟用Email 位址使用者主體名稱 (UPN)

  5. 更新閾值:根據到期前剩餘的時間百分比,決定憑證何時自動更新。

  6. 將 [ 憑證有效期間 ] 設定為憑證的存留期。

  7. 當憑證登錄點指定 Active Directory 認證時,請啟用 Active Directory 發佈

  8. 如果您選取了一或多個支援的平臺Windows 10:

    1. Windows 憑證存放區 設定為 [使用者]。 ([本 機電腦 ] 選項不會部署憑證,請勿選擇它。)

    2. 選取下列其中一個 金鑰儲存提供者 (KSP)

      • 如果存在,請安裝至信賴平臺模組 (TPM)
      • 安裝至信賴平臺模組 (TPM) 否則會失敗
      • 安裝至 Windows Hello 企業版否則會失敗
      • 安裝至軟體金鑰儲存提供者

  9. 完成精靈。

設定 Entrust CA 的 PFX 憑證 設定

  1. 針對 [數位識別碼設定],選擇組態設定檔。 Entrust 系統管理員會建立數位識別碼組態選項。

  2. 若要使用憑證設定檔進行 S/MIME 簽署或加密,請啟用 憑證使用方式

    當您啟用此選項時,它會將與目標使用者相關聯的所有 PFX 憑證傳遞至其所有裝置。 如果您未啟用此選項,則每個裝置都會收到唯一的憑證。

  3. 若要將 [受信任主體名稱格式] 權杖對應至 [Configuration Manager] 欄位,請選取 [格式]

    [ 憑證名稱格式化 ] 對話方塊會列出 Entrust Digital ID 組態變數。 針對每個 Entrust 變數,選擇適當的Configuration Manager欄位。

  4. 若要將 [受信任 主體別名 ] 權杖對應至支援的 LDAP 變數,請選取 [格式]

    [ 憑證名稱格式化 ] 對話方塊會列出 Entrust Digital ID 組態變數。 針對每個 Entrust 變數,選擇適當的 LDAP 變數。

  5. 更新閾值:根據到期前剩餘的時間百分比,決定憑證何時自動更新。

  6. 將 [ 憑證有效期間 ] 設定為憑證的存留期。

  7. 當憑證登錄點指定 Active Directory 認證時,請啟用 Active Directory 發佈

  8. 如果您選取了一或多個支援的平臺Windows 10:

    1. Windows 憑證存放區 設定為 [使用者]。 ([本 機電腦 ] 選項不會部署憑證,請勿選擇它。)

    2. 選取下列其中一個 金鑰儲存提供者 (KSP)

      • 如果存在,請安裝至信賴平臺模組 (TPM)
      • 安裝至信賴平臺模組 (TPM) 否則會失敗
      • 安裝至 Windows Hello 企業版否則會失敗
      • 安裝至軟體金鑰儲存提供者

  9. 完成精靈。

部署設定檔

建立憑證設定檔之後,它現在可在 [憑 證設定檔 ] 節點中取得。 如需如何部署它的詳細資訊,請 參閱部署資源存取設定檔

另請參閱

建立新的憑證設定檔

匯入 PFX 憑證設定檔

部署 Wi-Fi、VPN、電子郵件和憑證設定檔