Freigeben über


ClientCertificateInstall-Konfigurationsdienstanbieter

Logo von Windows Insider.

Wichtig

Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview Builds gelten. Diese Einstellungen können geändert werden und können Abhängigkeiten von anderen Features oder Diensten in der Vorschau aufweisen.

Der ClientCertificateInstall-Konfigurationsdienstanbieter ermöglicht es dem Unternehmen, Clientzertifikate zu installieren. Ein Clientzertifikat verfügt über eine eindeutige ID, d. h. die [UniqueID] für diese Konfiguration. Jedes Clientzertifikat muss über unterschiedliche UniqueIDs für die SCEP-Registrierungsanforderung verfügen.

Hinweis

Für die Installation des PFX-Zertifikats und die SCEP-Installation müssen die SyncML-Befehle in atomare Befehle eingeschlossen werden, um sicherzustellen, dass die Registrierungsausführung erst ausgelöst wird, wenn alle Einstellungen konfiguriert sind. Der Befehl Enroll muss das letzte Element im atomischen Block sein.

In der folgenden Liste sind die ClientCertificateInstall-Konfigurationsdienstanbieterknoten aufgeführt:

Device/PFXCertInstall

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall

Erforderlich für die Installation des PFX-Zertifikats. Der übergeordnete Knoten, der die Einstellungen für das PFX-Zertifikat gruppiert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Device/PFXCertInstall/{UniqueID}

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}

Erforderlich für die Installation des PFX-Zertifikats. Eine eindeutige ID, um verschiedene Zertifikatinstallationsanforderungen zu unterscheiden.

Das Format ist node.

Durch Aufrufen von Delete auf diesem Knoten sollten die Zertifikate und Schlüssel gelöscht werden, die vom entsprechenden PFX-Blob installiert wurden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Atomic Erforderlich Wahr
Dynamische Knotenbenennung ServerGeneratedUniqueIdentifier

Device/PFXCertInstall/{UniqueID}/ContainerName

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/ContainerName

Optional.

Gibt den Namen des NGC-Containers an (wenn für den obigen Knoten NGC KSP ausgewählt wird). Wenn dieser Knoten bei der Auswahl des NGC-KSP nicht angegeben wird, schlägt die Registrierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

Device/PFXCertInstall/{UniqueID}/KeyLocation

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/KeyLocation

Erforderlich für die Installation des PFX-Zertifikats. Gibt den KeyStorage-Anbieter an, auf den die Installation des privaten Schlüssels ausgerichtet werden soll.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

Zulässige Werte:

Wert Beschreibung
1 Installation in TPM, falls vorhanden, fehler, wenn nicht vorhanden.
2 Installieren Sie das TPM, falls vorhanden. Falls nicht vorhanden, fallback auf Software.
3 Installieren sie in Software.
4 Installieren Sie auf Windows Hello for Business (früher als Microsoft Passport for Work bezeichnet), dessen Name angegeben ist.

Device/PFXCertInstall/{UniqueID}/PFXCertBlob

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertBlob

Erforderlich.

CRYPT_DATA_BLOB Struktur, die ein PFX-Paket mit den exportierten und verschlüsselten Zertifikaten und Schlüsseln enthält. Wenn Sie auf diesem Knoten hinzufügen, wird das Hinzufügen zum PFX-Zertifikat ausgelöst. Dies erfordert, dass alle anderen Knoten unter UniqueID, die Parameter für die PFX-Installation sind (Containername, KeyLocation, CertPassword, fKeyExportable), vorhanden sind, bevor dies aufgerufen wird. Dadurch wird auch der Knoten Status auf den aktuellen Status des Vorgangs festgelegt.

Wenn Add auf diesem Knoten aufgerufen wird und bereits ein Blob vorhanden ist, tritt ein Fehler auf. Wenn Replace auf diesem Knoten aufgerufen wird, werden die Zertifikate überschrieben.

Wenn Add für diesen Knoten für eine neue PFX aufgerufen wird, wird das Zertifikat hinzugefügt. Wenn Replace auf diesem Knoten aufgerufen wird, wenn er nicht vorhanden ist, schlägt dies fehl.

Anders ausgedrückt: Die Verwendung von Ersetzen oder Hinzufügen führt dazu, dass entweder das alte Zertifikat überschrieben oder ein neues Zertifikat hinzugefügt wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format bin
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

Device/PFXCertInstall/{UniqueID}/PFXCertPassword

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertPassword

Kennwort, das das PFX-Blob schützt. Dies ist erforderlich, wenn die PFX kennwortgeschützter ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

Device/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionStore

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionStore

Optional.

Wenn der Wert "2" in PFXCertPasswordEncryptionType enthalten ist, geben Sie den Speichernamen an, in dem das Zertifikat zum Entschlüsseln des PFXCertPasswords gespeichert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Abrufen, Ersetzen
Abhängigkeit [EncryptionTypeDependency] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/[UniqueID]/PFXCertPasswordEncryptionType
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [2]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Device/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionType

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionType

Optional. Wird verwendet, um anzugeben, ob das PFX-Zertifikatkennwort mit einem Zertifikat verschlüsselt ist.

Wenn der Wert 0 ist – Kennwort ist nicht verschlüsselt 1 – Kennwort wird mithilfe des MDM-Zertifikats vom MDM-Server verschlüsselt 2 – Kennwort wird durch ein benutzerdefiniertes Zertifikat vom MDM-Server verschlüsselt. Wenn dieser Wert hier verwendet wird, geben Sie auch den Namen des benutzerdefinierten Speichers im Knoten PFXCertPasswordEncryptionStore an.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Das Kennwort ist nicht verschlüsselt.
1 Das Kennwort wird mit dem MDM-Zertifikat verschlüsselt.
2 Das Kennwort wird mit einem benutzerdefinierten Zertifikat verschlüsselt.

Device/PFXCertInstall/{UniqueID}/PFXKeyExportable

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXKeyExportable

Optional. Wird verwendet, um anzugeben, ob der installierte private Schlüssel exportiert werden kann (kann später exportiert werden).

Die PFX kann nicht exportiert werden, wenn sie in TPM installiert ist.

Hinweis

Sie können PFXKeyExportable nur auf true festlegen, wenn KeyLocation=3 ist. Bei jedem anderen KeyLocation-Wert schlägt der CSP fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Abrufen, Ersetzen
Standardwert true
Abhängigkeit [KeyLocationDependency] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/[UniqueID]/KeyLocation
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [3]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Zulässige Werte:

Wert Beschreibung
false FALSE.
true (Standard) STIMMT.

Device/PFXCertInstall/{UniqueID}/Status

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/Status

Gibt den Fehlercode der PFX-Installation aus dem GetLastError-Befehl zurück, der nach pfxImportCertStore aufgerufen wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Device/PFXCertInstall/{UniqueID}/Thumbprint

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/Thumbprint

Gibt den Fingerabdruck des installierten PFX-Zertifikats zurück.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Gerät/SCEP

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP

Knoten für SCEP. Nach der Installation des SCEP-Zertifikats wird eine Warnung gesendet.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Gerät/SCEP/{UniqueID}

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}

Erforderlich für die SCEP-Zertifikatinstallation. Eine eindeutige ID, um verschiedene Zertifikatinstallationsanforderungen zu unterscheiden.

Durch Aufrufen von Delete auf diesem Knoten sollte das entsprechende SCEP-Zertifikat gelöscht werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Atomic Erforderlich Wahr
Dynamische Knotenbenennung ServerGeneratedUniqueIdentifier

Device/SCEP/{UniqueID}/CertThumbprint

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/CertThumbprint

Optional. Geben Sie den Fingerabdruck des aktuellen Zertifikats an, wenn die Zertifikatregistrierung erfolgreich ist. Es handelt sich um einen 20-Byte-Wert des SHA1-Zertifikathashs, der als hexadezimaler Zeichenfolgenwert angegeben ist.

Hinweis

Wenn das Zertifikat auf dem Gerät ungültig wird (Zertifikat abgelaufen, Zertifikatkette ist ungültig, privater Schlüssel gelöscht usw.), wird eine leere Zeichenfolge zurückgegeben.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Device/SCEP/{UniqueID}/ErrorCode

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/ErrorCode

Optional. Der ganzzahlige Wert, der das HRESULT des letzten Registrierungsfehlercodes angibt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Device/SCEP/{UniqueID}/Install

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install

Erforderlich für die SCEP-Zertifikatregistrierung. Übergeordneter Knoten zum Gruppieren der Anforderung zur SCEP-Zertifikatinstallation. HINWEIS: Obwohl die untergeordneten Knoten unter Installieren Befehle ersetzen unterstützen, übernimmt das Gerät nach dem Senden des Exec-Befehls an das Gerät die Werte, die festgelegt werden, wenn der Exec-Befehl akzeptiert wird. Der Server sollte nicht erwarten, dass sich der Knotenwert ändert, nachdem der Exec-Befehl akzeptiert wurde. Dies wirkt sich auf die aktuelle Registrierung aus. Der Server sollte den Wert des Knotens Status überprüfen und sicherstellen, dass sich das Gerät nicht in einer unbekannten Phase befindet, bevor die Werte des untergeordneten Knotens geändert werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/AADKeyIdentifierList
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/AADKeyIdentifierList

Optional. Geben Sie die Microsoft Entra ID Schlüsselbezeichnerliste als durch Semikolons getrennte Werte an. Unter Registrieren werden die Werte in dieser Liste anhand des auf dem Gerät vorhandenen Microsoft Entra ID Schlüssels überprüft. Wenn keine Übereinstimmung gefunden wird, schlägt die Registrierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/AttestPrivateKey
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/AttestPrivateKey

Definiert das Verhalten des bestätigenden SCEP-privaten Schlüssels 0 – normal, 1 – best effort, 2 – bei Fehler, Fehler bei der Installation.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Abrufen
Device/SCEP/{UniqueID}/Install/CAThumbprint
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/CAThumbprint

Erforderlich. Geben Sie den Fingerabdruck der Stammzertifizierungsstelle an. Es handelt sich um einen 20-Byte-Wert des SHA1-Zertifikathashs, der als hexadezimaler Zeichenfolgenwert angegeben ist. Wenn der Client den SCEP-Server authentifiziert, überprüft er das Zertifizierungsstellenzertifikat vom SCEP-Server, ob mit diesem Zertifikat übereinstimmt. Wenn keine Übereinstimmung gefunden wird, schlägt die Authentifizierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/Challenge
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/Challenge

Erforderlich für die SCEP-Zertifikatregistrierung. B64-codierte SCEP-Registrierungsanforderung. Die Abfrage wird kurz nach der Annahme des Exec-Befehls gelöscht.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/ContainerName
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ContainerName

Optional.

Gibt den Namen des NGC-Containers an (wenn für den obigen Knoten NGC KSP ausgewählt wird). Wenn dieser Knoten bei der Auswahl des NGC-KSP nicht angegeben wird, schlägt die Registrierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/CustomTextToShowInPrompt
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/CustomTextToShowInPrompt

Optional. Gibt den benutzerdefinierten Text an, der während der Zertifikatregistrierung in der NGC-PIN-Eingabeaufforderung angezeigt werden soll. Der Administrator kann weitere Kontextinformationen angeben, warum der Benutzer die PIN eingeben muss und wofür das Zertifikat verwendet wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/EKUMapping
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/EKUMapping

Erforderlich. Geben Sie erweiterte Schlüsselverwendungen an. Unterliegt der SCEP-Serverkonfiguration. Die Liste der OIDs ist durch plus "+" getrennt. Beispielformat: OID1+OID2+OID3.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/Enroll
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/Enroll

Erforderlich. Lösen Sie das Gerät aus, um die Zertifikatregistrierung zu starten. Das Gerät benachrichtigt den MDM-Server nicht, nachdem die Zertifikatregistrierung abgeschlossen ist. Der MDM-Server könnte das Gerät später abfragen, um herauszufinden, ob ein neues Zertifikat hinzugefügt wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format null
Zugriffstyp Exec
Device/SCEP/{UniqueID}/Install/HashAlgorithm
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/HashAlgorithm

Erforderlich für die Registrierung. Vom MDM-Server angegebene Hashalgorithmusfamilie (SHA-1, SHA-2, SHA-3). Wenn mehrere Hashalgorithmusfamilien angegeben werden, müssen diese durch +getrennt werden.

Für NGC wird nur SHA256 als unterstützter Algorithmus unterstützt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/KeyLength
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/KeyLength

Erforderlich für die Registrierung. Geben Sie die Länge des privaten Schlüssels (RSA) an.

Gültiger Wert: 1024, 2048, 4096. Für NGC ist nur 2048 die unterstützte Keylength.

Hinweis

Für Windows Hello for Business (ehemals Microsoft Passport for Work) ist 2048 die einzige unterstützte Schlüssellänge.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Zulässige Werte:

Wert Beschreibung
1024 1024.
2048 2048.
4096 4096.
Device/SCEP/{UniqueID}/Install/KeyProtection
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/KeyProtection

Optional. Geben Sie an, wo der private Schlüssel beibehalten werden soll. Beachten Sie, dass es selbst durch TPM geschützt ist, es nicht mit TPM-PIN geschützt ist.

Das SCEP-registrierte Zertifikat unterstützt keinen TPM-PIN-Schutz.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
1 Privater Schlüssel, der durch TPM geschützt ist.
2 Privater Schlüssel, der durch telefongeschütztes TPM geschützt wird, wenn das Gerät TPM unterstützt. Alle Windows Phone 8.1-Geräte unterstützen TPM und behandeln Wert 2 als 1.
3 (Standard) (Standard) Privater Schlüssel, der in Software-KSP gespeichert ist.
4 Privater Schlüssel, der durch Windows Hello for Business (früher als Microsoft Passport for Work bezeichnet) geschützt wird. Wenn diese Option angegeben ist, muss containerName angegeben werden, andernfalls schlägt die Registrierung fehl.
Device/SCEP/{UniqueID}/Install/KeyUsage
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/KeyUsage

Erforderlich für die Registrierung. Geben Sie die Schlüsselverwendungsbits (0x80, 0x20, 0xA0 usw.) für das Zertifikat im Dezimalformat an. Für den Wert sollte mindestens second (0x20) oder höher (0x80) oder beide Bits festgelegt sein. Wenn diese Bits für den Wert nicht festgelegt sind, tritt bei der Konfiguration ein Fehler auf.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/RetryCount
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/RetryCount

Optional. Speziell für SCEP. Geben Sie die Wiederholungszeiten des Geräts an, wenn der SCEP-Server ausstehende status sendet. Das Format ist int. Der Standardwert ist 3. Maximalwert: Der Wert darf nicht größer als 30 sein. Wenn es größer als 30 ist, verwendet das Gerät 30.

Der min-Wert ist 0, was bedeutet, dass kein Wiederholungsversuch ausgeführt wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-30]
Standardwert 3
Device/SCEP/{UniqueID}/Install/RetryDelay
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/RetryDelay

Optional. Wenn der SCEP-Server ausstehende status sendet, geben Sie die Wartezeit für Die Gerätewiegeversuche in Minuten an.

Standardwert: 5 Der Mindestwert ist 1.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-4294967295]
Standardwert 5
Device/SCEP/{UniqueID}/Install/ServerURL
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ServerURL

Erforderlich für die SCEP-Zertifikatregistrierung. Geben Sie den Zertifikatregistrierungsserver an. Der Server kann mehrere Server-URLs angeben, die durch Semikolon getrennt sind.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/SubjectAlternativeNames
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/SubjectAlternativeNames

Optional. Geben Sie den alternativen Antragstellernamen an. Dieser Knoten kann mehrere alternative Namen angeben. Jeder Name ist die Kombination aus Namensformat und tatsächlichem Namen. Weitere Informationen finden Sie unter Nametypdefinition in MSDN. Jedes Paar wird durch Semikolon getrennt. Beispielsweise werden mehrere SAN im Format [nameformat1]+[tatsächlicher Name1]; [Name format 2]+[tatsächlicher Name2].

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/SubjectName
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/SubjectName

Erforderlich. Geben Sie den Antragstellernamen an. Der SubjectName-Wert wird in Anführungszeichen gesetzt, wenn er führende oder nachfolgende Leerzeichen oder eines der folgenden Zeichen enthält: ("," "=" "+" ";" ).

Weitere Informationen finden Sie unter CertNameToStrA-Funktion.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/TemplateName
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/TemplateName

Optional. OID des Zertifikatvorlagennamens. Beachten Sie, dass dieser Name in der Regel vom SCEP-Server ignoriert wird, daher muss er vom MDM-Server in der Regel nicht bereitgestellt werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Device/SCEP/{UniqueID}/Install/ValidPeriod
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ValidPeriod

Optional. Geben Sie die Einheiten für einen gültigen Zeitraum an. Gültige Werte sind: Tage (Standard), Monate, Jahre.

Mdm-Server erwartet Zertifikatüberprüfungszeitraum (ValidPeriodUnits + ValidPeriod) des SCEP-Servers als Teil der Zertifikatregistrierungsanforderung. Es ist die Entscheidung des Servers, wie dieser gültige Zeitraum zum Erstellen des Zertifikats verwendet werden soll.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Tage

Zulässige Werte:

Wert Beschreibung
Tage (Standard) Tage.
Monate Monate.
Jahre Jahre.
Device/SCEP/{UniqueID}/Install/ValidPeriodUnits
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ValidPeriodUnits

Optional. Geben Sie die gewünschte Anzahl von Einheiten an, die im Gültigkeitszeitraum verwendet werden. Unterliegt der SCEP-Serverkonfiguration. Der Standardwert ist 0. Die Einheiten werden im Knoten ValidPeriod definiert. Beachten Sie, dass der von MDM angegebene gültige Zeitraum den in der Zertifikatvorlage angegebenen gültigen Zeitraum überschreibt. Wenn ValidPeriod beispielsweise Tage und ValidPeriodUnits 30 ist, bedeutet dies, dass die gesamtgütliche Dauer 30 Tage beträgt.

Hinweis

Das Gerät sendet nur den erwarteten Zertifikatüberprüfungszeitraum des MDM-Servers (ValidPeriodUnits + ValidPeriod) an den SCEP-Server als Teil der Zertifikatregistrierungsanforderung. Es ist die Entscheidung des Servers, wie dieser gültige Zeitraum zum Erstellen des Zertifikats verwendet werden soll.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Device/SCEP/{UniqueID}/RespondentServerUrl

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/RespondentServerUrl

Erforderlich. Gibt die URL des SCEP-Servers zurück, der auf die Registrierungsanforderung geantwortet hat.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Gerät/SCEP/{UniqueID}/Status

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Status

Erforderlich. Geben Sie die neueste status für das Zertifikat aufgrund der Registrierungsanforderung an.

Gültige Werte:

1 – erfolgreich abgeschlossen 2 – Ausstehend (das Gerät hat die Aktion nicht abgeschlossen, aber den SCEP-Server hat eine ausstehende Antwort erhalten) 32 – unbekannt 16 – Aktion fehlgeschlagen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

User/PFXCertInstall

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall

Erforderlich für die Installation des PFX-Zertifikats. Der übergeordnete Knoten, der die Einstellungen für das PFX-Zertifikat gruppiert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

User/PFXCertInstall/{UniqueID}

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}

Erforderlich für die Installation des PFX-Zertifikats. Eine eindeutige ID, um verschiedene Zertifikatinstallationsanforderungen zu unterscheiden.

Das Format ist node.

Durch Aufrufen von Delete auf diesem Knoten sollten die Zertifikate und Schlüssel gelöscht werden, die vom entsprechenden PFX-Blob installiert wurden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Atomic Erforderlich Wahr
Dynamische Knotenbenennung ServerGeneratedUniqueIdentifier

User/PFXCertInstall/{UniqueID}/ContainerName

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/ContainerName

Optional.

Gibt den Namen des NGC-Containers an (wenn für den obigen Knoten NGC KSP ausgewählt wird). Wenn dieser Knoten bei der Auswahl des NGC-KSP nicht angegeben wird, schlägt die Registrierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

User/PFXCertInstall/{UniqueID}/KeyLocation

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/KeyLocation

Erforderlich für die Installation des PFX-Zertifikats. Gibt den KeyStorage-Anbieter an, auf den die Installation des privaten Schlüssels ausgerichtet werden soll.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

Zulässige Werte:

Wert Beschreibung
1 Installation in TPM, falls vorhanden, fehler, wenn nicht vorhanden.
2 Installieren Sie das TPM, falls vorhanden. Falls nicht vorhanden, fallback auf Software.
3 Installieren sie in Software.
4 Installieren Sie auf Windows Hello for Business (früher als Microsoft Passport for Work bezeichnet), dessen Name angegeben ist.

User/PFXCertInstall/{UniqueID}/PFXCertBlob

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertBlob

Erforderlich.

CRYPT_DATA_BLOB Struktur, die ein PFX-Paket mit den exportierten und verschlüsselten Zertifikaten und Schlüsseln enthält. Wenn Sie auf diesem Knoten hinzufügen, wird das Hinzufügen zum PFX-Zertifikat ausgelöst. Dies erfordert, dass alle anderen Knoten unter UniqueID, die Parameter für die PFX-Installation sind (Containername, KeyLocation, CertPassword, fKeyExportable), vorhanden sind, bevor dies aufgerufen wird. Dadurch wird auch der Knoten Status auf den aktuellen Status des Vorgangs festgelegt.

Wenn Add auf diesem Knoten aufgerufen wird und bereits ein Blob vorhanden ist, tritt ein Fehler auf. Wenn Replace auf diesem Knoten aufgerufen wird, werden die Zertifikate überschrieben.

Wenn Add für diesen Knoten für eine neue PFX aufgerufen wird, wird das Zertifikat hinzugefügt. Wenn Replace auf diesem Knoten aufgerufen wird, wenn er nicht vorhanden ist, schlägt dies fehl.

Anders ausgedrückt: Die Verwendung von Ersetzen oder Hinzufügen führt dazu, dass entweder das alte Zertifikat überschrieben oder ein neues Zertifikat hinzugefügt wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format bin
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

User/PFXCertInstall/{UniqueID}/PFXCertPassword

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertPassword

Kennwort, das das PFX-Blob schützt. Dies ist erforderlich, wenn die PFX kennwortgeschützter ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Abrufen, Ersetzen

User/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionStore

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionStore

Optional.

Wenn der Wert "2" in PFXCertPasswordEncryptionType enthalten ist, geben Sie den Speichernamen an, in dem das Zertifikat zum Entschlüsseln des PFXCertPasswords gespeichert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Abrufen, Ersetzen
Abhängigkeit [EncryptionTypeDependency] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/[UniqueID]/PFXCertPasswordEncryptionType
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [2]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

User/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionType

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXCertPasswordEncryptionType

Optional. Wird verwendet, um anzugeben, ob das PFX-Zertifikatkennwort mit einem Zertifikat verschlüsselt ist.

Wenn der Wert 0 ist – Kennwort ist nicht verschlüsselt 1 – Kennwort wird mithilfe des MDM-Zertifikats vom MDM-Server verschlüsselt 2 – Kennwort wird durch ein benutzerdefiniertes Zertifikat vom MDM-Server verschlüsselt. Wenn dieser Wert hier verwendet wird, geben Sie auch den Namen des benutzerdefinierten Speichers im Knoten PFXCertPasswordEncryptionStore an.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Das Kennwort ist nicht verschlüsselt.
1 Das Kennwort wird mit dem MDM-Zertifikat verschlüsselt.
2 Das Kennwort wird mit einem benutzerdefinierten Zertifikat verschlüsselt.

User/PFXCertInstall/{UniqueID}/PFXKeyExportable

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/PFXKeyExportable

Optional. Wird verwendet, um anzugeben, ob der installierte private Schlüssel exportiert werden kann (kann später exportiert werden).

Hinweis

Sie können PFXKeyExportable nur auf true festlegen, wenn KeyLocation=3 ist. Bei jedem anderen KeyLocation-Wert schlägt der CSP fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Abrufen, Ersetzen
Standardwert true
Abhängigkeit [KeyLocationDependency] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/[UniqueID]/KeyLocation
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [3]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Zulässige Werte:

Wert Beschreibung
false FALSE.
true (Standard) STIMMT.

User/PFXCertInstall/{UniqueID}/Status

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/Status

Gibt den Fehlercode der PFX-Installation aus dem GetLastError-Befehl zurück, der nach pfxImportCertStore aufgerufen wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

User/PFXCertInstall/{UniqueID}/Thumbprint

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/{UniqueID}/Thumbprint

Gibt den Fingerabdruck des installierten PFX-Zertifikats zurück.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Benutzer/SCEP

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP

Knoten für SCEP. Nach der Installation des SCEP-Zertifikats wird eine Warnung gesendet.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

User/SCEP/{UniqueID}

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}

Erforderlich für die SCEP-Zertifikatinstallation. Eine eindeutige ID, um verschiedene Zertifikatinstallationsanforderungen zu unterscheiden.

Durch Aufrufen von Delete auf diesem Knoten sollte das entsprechende SCEP-Zertifikat gelöscht werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Atomic Erforderlich Wahr
Dynamische Knotenbenennung ServerGeneratedUniqueIdentifier

User/SCEP/{UniqueID}/CertThumbprint

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/CertThumbprint

Optional. Geben Sie den Fingerabdruck des aktuellen Zertifikats an, wenn die Zertifikatregistrierung erfolgreich ist. Es handelt sich um einen 20-Byte-Wert des SHA1-Zertifikathashs, der als hexadezimaler Zeichenfolgenwert angegeben ist.

Hinweis

Wenn das Zertifikat auf dem Gerät ungültig wird (Zertifikat abgelaufen, Zertifikatkette ist ungültig, privater Schlüssel gelöscht usw.), wird eine leere Zeichenfolge zurückgegeben.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

User/SCEP/{UniqueID}/ErrorCode

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/ErrorCode

Optional. Der ganzzahlige Wert, der das HRESULT des letzten Registrierungsfehlercodes angibt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

User/SCEP/{UniqueID}/Install

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install

Erforderlich für die SCEP-Zertifikatregistrierung. Übergeordneter Knoten zum Gruppieren der Anforderung zur SCEP-Zertifikatinstallation. HINWEIS: Obwohl die untergeordneten Knoten unter Installieren Befehle ersetzen unterstützen, übernimmt das Gerät nach dem Senden des Exec-Befehls an das Gerät die Werte, die festgelegt werden, wenn der Exec-Befehl akzeptiert wird. Der Server sollte nicht erwarten, dass sich der Knotenwert ändert, nachdem der Exec-Befehl akzeptiert wurde. Dies wirkt sich auf die aktuelle Registrierung aus. Der Server sollte den Wert des Knotens Status überprüfen und sicherstellen, dass sich das Gerät nicht in einer unbekannten Phase befindet, bevor die Werte des untergeordneten Knotens geändert werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/AADKeyIdentifierList
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/AADKeyIdentifierList

Optional. Geben Sie die Microsoft Entra ID Schlüsselbezeichnerliste als durch Semikolons getrennte Werte an. Unter Registrieren werden die Werte in dieser Liste anhand des auf dem Gerät vorhandenen Microsoft Entra ID Schlüssels überprüft. Wenn keine Übereinstimmung gefunden wird, schlägt die Registrierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/AttestPrivateKey
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows Insider Preview
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/AttestPrivateKey

Definiert das Verhalten des bestätigenden SCEP-privaten Schlüssels 0 – normal, 1 – best effort, 2 – bei Fehler, Fehler bei der Installation.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Abrufen

Zulässige Werte:

Wert Beschreibung
0 Bestätigen Sie keinen privaten Schlüssel.
1 Nachweisschlüssel, aber falls der Nachweis fehlschlägt, best-effort-Ansatz : Csr wird an den Server gesendet.
2 Nachweisschlüssel, aber falls der Nachweis fehlgeschlagen ist, schlägt schnell fehl (d. h. geben Sie den Schlüssel frei, und stellen Sie keine CSR für den Server aus).
User/SCEP/{UniqueID}/Install/CAThumbprint
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/CAThumbprint

Erforderlich. Geben Sie den Fingerabdruck der Stammzertifizierungsstelle an. Es handelt sich um einen 20-Byte-Wert des SHA1-Zertifikathashs, der als hexadezimaler Zeichenfolgenwert angegeben ist. Wenn der Client den SCEP-Server authentifiziert, überprüft er das Zertifizierungsstellenzertifikat vom SCEP-Server, ob mit diesem Zertifikat übereinstimmt. Wenn keine Übereinstimmung gefunden wird, schlägt die Authentifizierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/Challenge
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/Challenge

Erforderlich für die SCEP-Zertifikatregistrierung. B64-codierte SCEP-Registrierungsanforderung. Die Abfrage wird kurz nach der Annahme des Exec-Befehls gelöscht.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/ContainerName
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ContainerName

Optional.

Gibt den Namen des NGC-Containers an (wenn für den obigen Knoten NGC KSP ausgewählt wird). Wenn dieser Knoten bei der Auswahl des NGC-KSP nicht angegeben wird, schlägt die Registrierung fehl.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/CustomTextToShowInPrompt
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/CustomTextToShowInPrompt

Optional. Gibt den benutzerdefinierten Text an, der während der Zertifikatregistrierung in der NGC-PIN-Eingabeaufforderung angezeigt werden soll. Der Administrator kann weitere Kontextinformationen angeben, warum der Benutzer die PIN eingeben muss und wofür das Zertifikat verwendet wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/EKUMapping
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/EKUMapping

Erforderlich. Geben Sie erweiterte Schlüsselverwendungen an. Unterliegt der SCEP-Serverkonfiguration. Die Liste der OIDs ist durch plus "+" getrennt. Beispielformat: OID1+OID2+OID3.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/Enroll
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/Enroll

Erforderlich. Lösen Sie das Gerät aus, um die Zertifikatregistrierung zu starten. Das Gerät benachrichtigt den MDM-Server nicht, nachdem die Zertifikatregistrierung abgeschlossen ist. Der MDM-Server könnte das Gerät später abfragen, um herauszufinden, ob ein neues Zertifikat hinzugefügt wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format null
Zugriffstyp Exec
User/SCEP/{UniqueID}/Install/HashAlgorithm
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/HashAlgorithm

Erforderlich für die Registrierung. Vom MDM-Server angegebene Hashalgorithmusfamilie (SHA-1, SHA-2, SHA-3). Wenn mehrere Hashalgorithmusfamilien angegeben werden, müssen diese durch +getrennt werden.

Für NGC wird nur SHA256 als unterstützter Algorithmus unterstützt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/KeyLength
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/KeyLength

Erforderlich für die Registrierung. Geben Sie die Länge des privaten Schlüssels (RSA) an.

Gültiger Wert: 1024, 2048, 4096. Für NGC ist nur 2048 die unterstützte Keylength.

Hinweis

Für Windows Hello for Business (ehemals Microsoft Passport for Work) ist 2048 die einzige unterstützte Schlüssellänge.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Zulässige Werte:

Wert Beschreibung
1024 1024.
2048 2048.
4096 4096.
User/SCEP/{UniqueID}/Install/KeyProtection
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/KeyProtection

Optional. Geben Sie an, wo der private Schlüssel beibehalten werden soll. Beachten Sie, dass es selbst durch TPM geschützt ist, es nicht mit TPM-PIN geschützt ist.

Das SCEP-registrierte Zertifikat unterstützt keinen TPM-PIN-Schutz.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
1 Privater Schlüssel, der durch TPM geschützt ist.
2 Privater Schlüssel, der durch telefongeschütztes TPM geschützt wird, wenn das Gerät TPM unterstützt. Alle Windows Phone 8.1-Geräte unterstützen TPM und behandeln Wert 2 als 1.
3 (Standard) (Standard) Privater Schlüssel, der in Software-KSP gespeichert ist.
4 Privater Schlüssel, der durch Windows Hello for Business (früher als Microsoft Passport for Work bezeichnet) geschützt wird. Wenn diese Option angegeben ist, muss containerName angegeben werden, andernfalls schlägt die Registrierung fehl.
User/SCEP/{UniqueID}/Install/KeyUsage
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/KeyUsage

Erforderlich für die Registrierung. Geben Sie die Schlüsselverwendungsbits (0x80, 0x20, 0xA0 usw.) für das Zertifikat im Dezimalformat an. Für den Wert sollte mindestens second (0x20) oder höher (0x80) oder beide Bits festgelegt sein. Wenn diese Bits für den Wert nicht festgelegt sind, tritt bei der Konfiguration ein Fehler auf.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/RetryCount
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/RetryCount

Optional. Speziell für SCEP. Geben Sie die Wiederholungszeiten des Geräts an, wenn der SCEP-Server ausstehende status sendet. Das Format ist int. Der Standardwert ist 3. Maximalwert: Der Wert darf nicht größer als 30 sein. Wenn es größer als 30 ist, verwendet das Gerät 30.

Der min-Wert ist 0, was bedeutet, dass kein Wiederholungsversuch ausgeführt wird.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-30]
Standardwert 3
User/SCEP/{UniqueID}/Install/RetryDelay
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/RetryDelay

Optional. Wenn der SCEP-Server ausstehende status sendet, geben Sie die Wartezeit für Die Gerätewiegeversuche in Minuten an.

Standardwert: 5 Der Mindestwert ist 1.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-4294967295]
Standardwert 5
User/SCEP/{UniqueID}/Install/ServerURL
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ServerURL

Erforderlich für die SCEP-Zertifikatregistrierung. Geben Sie den Zertifikatregistrierungsserver an. Der Server kann mehrere Server-URLs angeben, die durch Semikolon getrennt sind.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/SubjectAlternativeNames
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/SubjectAlternativeNames

Optional. Geben Sie den alternativen Antragstellernamen an. Dieser Knoten kann mehrere alternative Namen angeben. Jeder Name ist die Kombination aus Namensformat und tatsächlichem Namen. Weitere Informationen finden Sie unter Nametypdefinition in MSDN. Jedes Paar wird durch Semikolon getrennt. Beispielsweise werden mehrere SAN im Format [nameformat1]+[tatsächlicher Name1]; [Name format 2]+[tatsächlicher Name2].

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/SubjectName
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/SubjectName

Erforderlich. Geben Sie den Antragstellernamen an. Der SubjectName-Wert wird in Anführungszeichen gesetzt, wenn er führende oder nachfolgende Leerzeichen oder eines der folgenden Zeichen enthält: ("," "=" "+" ";" ).

Weitere Informationen finden Sie unter CertNameToStrA-Funktion.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/TemplateName
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/TemplateName

Optional. OID des Zertifikatvorlagennamens. Beachten Sie, dass dieser Name in der Regel vom SCEP-Server ignoriert wird, daher muss er vom MDM-Server in der Regel nicht bereitgestellt werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
User/SCEP/{UniqueID}/Install/ValidPeriod
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ValidPeriod

Optional. Geben Sie die Einheiten für einen gültigen Zeitraum an. Gültige Werte sind: Tage (Standard), Monate, Jahre.

Mdm-Server erwartet Zertifikatüberprüfungszeitraum (ValidPeriodUnits + ValidPeriod) des SCEP-Servers als Teil der Zertifikatregistrierungsanforderung. Es ist die Entscheidung des Servers, wie dieser gültige Zeitraum zum Erstellen des Zertifikats verwendet werden soll.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Tage

Zulässige Werte:

Wert Beschreibung
Tage (Standard) Tage.
Monate Monate.
Jahre Jahre.
User/SCEP/{UniqueID}/Install/ValidPeriodUnits
Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Install/ValidPeriodUnits

Optional. Geben Sie die gewünschte Anzahl von Einheiten an, die im Gültigkeitszeitraum verwendet werden. Unterliegt der SCEP-Serverkonfiguration. Der Standardwert ist 0. Die Einheiten werden im Knoten ValidPeriod definiert. Beachten Sie, dass der von MDM angegebene gültige Zeitraum den in der Zertifikatvorlage angegebenen gültigen Zeitraum überschreibt. Wenn ValidPeriod beispielsweise Tage und ValidPeriodUnits 30 ist, bedeutet dies, dass die gesamtgütliche Dauer 30 Tage beträgt.

Hinweis

Das Gerät sendet nur den erwarteten Zertifikatüberprüfungszeitraum des MDM-Servers (ValidPeriodUnits + ValidPeriod) an den SCEP-Server als Teil der Zertifikatregistrierungsanforderung. Es ist die Entscheidung des Servers, wie dieser gültige Zeitraum zum Erstellen des Zertifikats verwendet werden soll.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

User/SCEP/{UniqueID}/RespondentServerUrl

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/RespondentServerUrl

Erforderlich. Gibt die URL des SCEP-Servers zurück, der auf die Registrierungsanforderung geantwortet hat.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Benutzer/SCEP/{UniqueID}/Status

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/ClientCertificateInstall/SCEP/{UniqueID}/Status

Erforderlich. Geben Sie die neueste status für das Zertifikat aufgrund der Registrierungsanforderung an.

Gültige Werte:

1 – erfolgreich abgeschlossen 2 – Ausstehend (das Gerät hat die Aktion nicht abgeschlossen, aber den SCEP-Server hat eine ausstehende Antwort erhalten) 32 – unbekannt 16 – Aktion fehlgeschlagen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Beispiele

  • Registrieren Sie ein Clientzertifikat über SCEP.

    <SyncML xmlns="SYNCML:SYNCML1.2">
        <SyncBody>
            <Atomic>
            <Add>
                <CmdID>301</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere></LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">node</Format>
                    </Meta>
                </Item>
            </Add>
            <Add>
                <CmdID>302</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/RetryCount</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">int</Format>
                    </Meta>
                    <Data>1</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>303</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/RetryDelay</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">int</Format>
                    </Meta>
                    <Data>1</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>304</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/KeyUsage</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">int</Format>
                    </Meta>
                    <Data>160</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>305</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/KeyLength</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">int</Format>
                    </Meta>
                    <Data>1024</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>306</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/HashAlgorithm</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data>SHA-1</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>307</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/SubjectName</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data>CN=ContosoCSP</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>308</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/SubjectAlternativeNames</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data></Data>
                </Item>
            </Add>
            <Add>
                <CmdID>309</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/ValidPeriod</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data>Years</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>310</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/ValidPeriodUnits</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">int</Format>
                    </Meta>
                    <Data>1</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>311</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/EKUMapping</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data>1.3.6.1.4.1.311.10.3.12+1.3.6.1.4.1.311.10.3.4+1.3.6.1.4.1.311.20.2.2+1.3.6.1.5.5.7.3.2</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>312</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/KeyProtection</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">int</Format>
                    </Meta>
                    <Data>3</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>313$</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/ServerURL</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data>http://constoso.com/certsrv/mscep/mscep.dll</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>314</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/Challenge</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data>1234CB055B7EBF384A9486A22B7559A5</Data>
                </Item>
            </Add>
            <Add>
                <CmdID>315</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/CAThumbprint</LocURI>
                    </Target>
                    <Meta>
                        <Format xmlns="syncml:metinf">chr</Format>
                    </Meta>
                    <Data>12345087E648875D1DF5D9F9FF89DD10</Data>
                </Item>
            </Add>
            <Exec>
                <CmdID>316</CmdID>
                <Item>
                    <Target>
                        <LocURI>./Device/Vendor/MSFT/ClientCertificateInstall/SCEP/<InsertUniqueIDHere>/Install/Enroll</LocURI>
                    </Target>
                </Item>
            </Exec>
            </Atomic>
            <Final/>
        </SyncBody>
    </SyncML>
    
  • Fügen Sie ein PFX-Zertifikat hinzu. Das PFX-Zertifikatkennwort wird mit einem benutzerdefinierten Zertifikat aus dem Speicher "Mein" verschlüsselt.

    <SyncML>
        <SyncBody>
                <Delete>
                    <CmdID>$CmdID$</CmdID>
                    <Item>
                        <Target>
                            <LocURI>./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/813A171D7341E1DA90D4A01878DD5328D351900C</LocURI>
                        </Target>
                    </Item>
                </Delete>
            <Atomic>
                <CmdID>$CmdID$</CmdID>
                <Add>
                    <CmdID>$CmdID$</CmdID>
                    <Item>
                        <Target>
                            <LocURI>./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/813A171D7341E1DA90D4A01878DD5328D351900C/KeyLocation</LocURI>
                        </Target>
                        <Meta>
                            <Format xmlns="syncml:metinf">int</Format>
                        </Meta>
                        <Data>2</Data>
                    </Item>
                </Add>
                <Add>
                    <CmdID>$CmdID$</CmdID>
                    <Item>
                        <Target>
                            <LocURI>./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/813A171D7341E1DA90D4A01878DD5328D351900C/PFXCertBlob</LocURI>
                        </Target>
                         <Meta>
                            <Format xmlns="syncml:metinf">chr</Format>
                        </Meta>
                        <Data>Base64_Encode_Cert_Blob</Data>
                    </Item>
                </Add>
                <Add>
                    <CmdID>$CmdID$</CmdID>
                    <Item>
                        <Target>
                            <LocURI>./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/813A171D7341E1DA90D4A01878DD5328D351900C/PFXCertPassword</LocURI>
                        </Target>
                         <Meta>
                            <Format xmlns="syncml:metinf">chr</Format>
                        </Meta>
                        <Data>Base64Encoded_Encrypted_Password_Blog</Data>
                    </Item>
                </Add>
                <Add>
                    <CmdID>$CmdID$</CmdID>
                    <Item>
                        <Target>
                            <LocURI>./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/813A171D7341E1DA90D4A01878DD5328D351900C/PFXCertPasswordEncryptionType</LocURI>
                        </Target>
                        <Meta>
                            <Format xmlns="syncml:metinf">int</Format>
                        </Meta>
                        <Data>2</Data>
                    </Item>
                </Add>
                <Add>
                    <CmdID>$CmdID$</CmdID>
                    <Item>
                        <Target>
                            <LocURI>./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/813A171D7341E1DA90D4A01878DD5328D351900C/PFXCertPasswordEncryptionStore</LocURI>
                        </Target>
                        <Meta>
                            <Format xmlns="syncml:metinf">chr</Format>
                        </Meta>
                        <Data>My</Data>
                    </Item>
                </Add>
                <Add>
                    <CmdID>$CmdID$</CmdID>
                    <Item>
                        <Target>
                            <LocURI>./User/Vendor/MSFT/ClientCertificateInstall/PFXCertInstall/813A171D7341E1DA90D4A01878DD5328D351900C/PFXKeyExportable</LocURI>
                        </Target>
                        <Meta>
                            <Format xmlns="syncml:metinf">bool</Format>
                        </Meta>
                        <Data>true</Data>
                    </Item>
                </Add>
            </Atomic>
        <Final/>
        </SyncBody>
    </SyncML>
    

Referenz zum Konfigurationsdienstanbieter