Certificaatprofielen maken in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.
Certificaatprofielen in System Center 2012 Configuration Manager integreren met Active Directory Certificate Services en de rol Registratieservice voor netwerkapparaten om beheerde apparaten in te richten met verificatiecertificaten, zodat gebruikers toegang kunnen hebben tot bedrijfsbronnen door gebruik te maken van certificaten. De informatie in dit onderwerp kan u helpen bij het maken van certificaatprofielen in Configuration Manager.
Belangrijk |
---|
U moet eerst een configuratie uitvoeren voordat u certificaatprofielen kunt maken. Zie Certificaatprofielen configureren in Configuration Manager voor meer informatie. |
Stappen voor het maken van een certificaatprofiel
Gebruik de volgende vereiste stappen om een certificaatprofiel te maken met de wizard Certificaatprofiel maken.
Stap |
Details |
Meer informatie |
---|---|---|
Stap 1: Start de wizard Certificaatprofiel maken |
Start de wizard in de werkruimte Activa en naleving in het knooppunt Instellingen voor naleving. |
Zie de sectie Stap 1: Start de wizard Certificaatprofiel maken in dit onderwerp. |
Stap 2: Geef algemene informatie over het certificaatprofiel op |
Geef algemene informatie, zoals de naam en beschrijving van het certificaatprofiel en het type van certificaatprofiel dat u wilt maken. |
Zie de sectie Stap 2: Geef algemene informatie over het certificaatprofiel op in dit onderwerp. |
Stap 3: Geef informatie over het certificaatprofiel op |
Geef configuratiegegevens voor het certificaatprofiel op. |
Zie de sectie Stap 3: Geef informatie over het certificaatprofiel op in dit onderwerp. |
Stap 4: Configureer ondersteunde platformen voor het certificaatprofiel |
Specificeer de besturingssystemen waarvoor u het certificaatprofiel wilt installeren. |
Zie de sectie Stap 4: Ondersteunde platforms voor het certificaatprofiel configureren in dit onderwerp. |
Stap 5: Voltooi de wizard |
Voltooi de wizard om het nieuwe certificaatprofiel te maken. |
Zie de sectie Stap 5: De wizard voltooien in dit onderwerp. |
Let op |
---|
Als u reeds een certificaat hebt geïmplementeerd via een Simple Certificate Enrollment Protocol (SCEP)-certificaatprofiel, zal het veranderen van enkele configuratieopties resulteren in het aanvragen van een nieuw certificaat dat de nieuwe waarden bevat. Als het aantal vernieuwingen van certificaataanvragen groot is door deze wijzigingen, is het mogelijk dat dit een hoog CPU-verbruik veroorzaakt op de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd. Als de certificaataanvraag voor een client op het intranet is (bijvoorbeeld Windows 8.1), wordt het oorspronkelijke certificaat verwijderd wanneer er een nieuw certificaat met de nieuwe waarden wordt aangevraagd. Wanneer de certificaataanvraag echter gebeurt voor een client die wordt beheerd via de Microsoft Intune-connector, wordt het oorspronkelijke certificaat niet verwijderd van het apparaat en blijft het geïnstalleerd. De volgende secties vermelden de instellingen die resulteren in een aanvraag voor certificaatvernieuwing. |
Aanvullende procedures voor het maken van een nieuw certificaatprofiel
Gebruik de volgende informatie wanneer de stappen in de voorgaande tabel aanvullende procedures vereisen.
Stap 1: Start de wizard Certificaatprofiel maken
Gebruik deze procedure voor het starten van de wizard Certificaatprofiel maken.
De wizard Certificaatprofiel maken starten
-
Klik in de Configuration Manager-console op Activa en naleving.
-
Vouw in de werkruimte Activa en naleving het gedeelte Instellingen voor naleving uit, vouw vervolgens Toegang tot bedrijfsbronnen uit en klik op Certificaatprofielen.
-
Klik op Certificaatprofiel maken in het tabblad Start in de groep Maken.
Stap 2: Geef algemene informatie over het certificaatprofiel op
Gebruik deze procedure om algemene informatie over het certificaatprofiel op te geven.
Algemene informatie over het certificaatprofiel opgeven
-
Geef op de pagina Algemeen van de wizard Certificaatprofiel maken de volgende informatie op:
- **Naam**: Voer een unieke naam in voor het certificaatprofiel. U kunt maximaal 256 tekens gebruiken. - **Beschrijving**: Geef een beschrijving met een overzicht van het certificaatprofiel en andere relevante informatie die u kan helpen bij het identificeren ervan in de Configuration Manager-console. U kunt maximaal 256 tekens gebruiken. - **Specificeer het type certificaatprofiel dat u wilt maken**: Kies een van de volgende certificaatprofieltypen: - **Vertrouwd CA-certificaat**: Selecteer dit certificaatprofieltype als u een vertrouwde basiscertificeringsinstantie (CA) of tussenliggend CA-certificaat wilt implementeren om een certificaatvertrouwensketen in te richten voor wanneer de gebruiker of het apparaat een ander apparaat moeten verifiëren. Het apparaat zou bijvoorbeeld een Remote Authentication Dial-In User Service (RADIUS)-server of een virtueel particulier netwerk (VPN)-server kunnen zijn. U moet ook een vertrouwd CA-certificaatprofiel configureren voordat u een SCEP-certificaatprofiel kunt maken. In dit geval moet het vertrouwde CA-certificaat het vertrouwde basiscertificaat zijn voor de CA die het certificaat aan de gebruiker of het apparaat zal verlenen. - **Instellingen voor het Simple Certificate Enrollment Protocol (SCEP)**: Selecteer dit certificaatprofieltype als u een certificaat wilt aanvragen voor een gebruiker of een apparaat, door gebruik te maken van het Simple Certificate Enrollment Protocol en de registratieservice voor netwerkapparaten.
Stap 3: Geef informatie over het certificaatprofiel op
Gebruik een van de volgende procedures om certificaatprofielinformatie te configureren voor vertrouwde CA-certificaten en SCEP-certificaten in het certificaatprofiel.
Belangrijk |
---|
U moet minstens één vertrouwd CA-certificaatprofiel configureren voordat u een SCEP-certificaatprofiel kunt maken. |
Een vertrouwd CA-certificaat configureren
-
Geef op de pagina Vertrouwd CA-certificaat van de wizard Certificaatprofiel maken de volgende informatie op:
- **Certificaatbestand**: Klik op **Importeren** en blader vervolgens naar het certificaatbestand dat u wilt gebruiken. - **Doelarchief**: Voor apparaten met meer dan een certificaatarchief selecteert u waar het certificaat wordt opgeslagen. Voor apparaten die slechts één archief hebben, wordt deze instelling wordt genegeerd.
-
Gebruik de Vingerafdruk van het certificaat om te verifiëren dat u het juiste certificaat hebt geïmporteerd.
Verder met Stap 4: Ondersteunde platforms voor het certificaatprofiel configureren.
Gegevens van SCEP-certificaat configureren
-
Geef op de pagina SCEP-registratie van de wizard Certificaatprofiel maken, de volgende informatie op:
- **Nieuwe pogingen**: Geef het aantal keer op dat het apparaat automatisch opnieuw probeert om de certificaataanvraag uit te voeren naar de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd. Deze instelling ondersteunt het scenario waarbij een CA-manager een certificaataanvraag moet goedkeuren voordat het wordt geaccepteerd. Deze instelling wordt doorgaans gebruikt voor sterk beveiligde omgevingen of als u een zelfstandige verlenende CA en geen bedrijfs-CA hebt. U kunt deze instelling mogelijk ook gebruiken voor testdoeleinden zodat u de certificaataanvraagopties kunt inspecteren alvorens de verlenende CA de certificaataanvraag verwerkt. Gebruik deze instellingen met de instelling **Tijd tussen pogingen (minuten)**. - **Tijd tussen elke poging (minuten)**: Geef het interval op, in minuten, tussen elke registratiepoging wanneer u goedkeuring van een CA-manager gebruikt voordat het verlenende CA de certificaataanvraag verwerkt. Als u beheergoedkeuring gebruikt voor testdoeleinden, zult u waarschijnlijk een lage waarde willen opgeven ,zodat u niet lang te hoeft wachten voordat het apparaat de certificaataanvraag opnieuw probeert nadat u de aanvraag goedkeurt. Als u echter beheergoedkeuring op een productienetwerk gebruikt, zult u waarschijnlijk een hogere waarde willen opgeven om voldoende tijd te geven aan de CA-beheerder om aangevraagde goedkeuringen toe te staan of te weigeren. - **Drempelwaarde voor vernieuwing (%)**: Geef het percentage van de levensduur van het certificaat op dat resteert voordat het apparaat verlenging van het certificaat aanvraagt. - **Sleutelarchiefprovider (KSP)**: Geef op waar de sleutel voor het certificaat wordt opgeslagen. Kies een van de volgende waarden: - **Installeren naar TPM (Trusted Platform Module) indien aanwezig**: Installeert de sleutel voor de TPM. Als de TPM niet aanwezig is, wordt de sleutel geïnstalleerd in de archiefprovider voor de softwaresleutel. - **Installeren naar TPM (Trusted Platform Module), anders mislukt**: Installeert de sleutel voor de TPM. De installatie mislukt als de TPM-module niet aanwezig is. - **Installeren naar sleutelarchiefprovider van software**: Installeert de sleutel op de archiefprovider voor de softwaresleutel. <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Apparaten voor certificaatinschrijving**: Als het certificaatprofiel wordt geïmplementeerd naar een gebruikersverzameling, dient u te selecteren of het is toegestaan om certificaatregistratie alleen op het primaire apparaat van de gebruiker of op alle apparaten waarmee de gebruiker zich aanmeldt, uit te voeren. Als het certificaatprofiel wordt geïmplementeerd naar een apparaatsverzameling, dient u te selecteren of het is toegestaan om certificaatregistratie alleen voor de primaire gebruiker of voor alle gebruikers van het apparaat uit te voeren.
-
Geef op de pagina Certificaateigenschappen van de wizard Certificaatprofiel maken de volgende informatie op:
- **Certificaatsjabloonnaam**: Klik op **Bladeren** om de naam te selecteren van een certificaatsjabloon die is geconfigureerd om door de registratieservice van het netwerkapparaat te worden gebruikt en die is toegevoegd aan een verlenende CA. Het gebruikersaccount dat u gebruikt om de Configuration Manager-console uit te voeren, moet leesmachtigingen hebben voor het certificaatsjabloon om naar het certificaat te kunnen bladeren. Als u **Bladeren** echter niet kunt gebruiken, typ dan de naam van het certificaatsjabloon. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Mt131422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Belangrijk</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Het certificaat zal niet worden geïmplementeerd als de naam van het certificaatsjabloon niet-ASCII-tekens bevat (bijvoorbeeld teken van het Chinese alfabet). U kunt ervoor zorgen dat het certificaat wordt geïmplementeerd door eerst een kopie te maken van het certificaatsjabloon op de CA en de kopie een nieuwe naam te geven met alleen ASCII-tekens.</p></td> </tr> </tbody> </table> </div> Let op het volgende, afhankelijk of u bladert naar het certificaatsjabloon of u de certificaatnaam invoert: - Als u bladert om de naam van het certificaatsjabloon te selecteren, worden sommige velden op de pagina automatisch vanaf het certificaatsjabloon ingevuld. In sommige gevallen is het niet mogelijk deze waarden te wijzigen, tenzij u een ander certificaatsjabloon selecteert. - Als u de naam van het certificaatsjabloon invoert, dient u ervoor te zorgen dat de naam exact overeenkomt met een van de certificaatsjablonen die zijn vermeld in het register van de server waarop de registratieservice van netwerkapparaten wordt uitgevoerd. Zorg ervoor dat u de naam opgeeft van het certificaatsjabloon en niet de weergavenaam van het certificaatsjabloon. Blader naar de volgende sleutel om de namen te vinden van certificaatsjablonen: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP. De certificaatsjablonen worden hier vermeld als de waarden voor **EncryptionTemplate**, **GeneralPurposeTemplate** en **SignatureTemplate**. Standaard is **IPSECIntermediateOffline** de waarde voor deze drie certificaatsjablonen. Dit verwijst naar de sjabloonweergavenaam **IPSec (Offline-aanvraag)**. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/JJ906422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-warning(SC.12).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />Waarschuwing</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Omdat Configuration Manager de inhoud van het certificaatsjabloon niet kan verifiëren als u de naam van het certificaatsjabloon invoert (in plaats van ernaar te bladeren), is het mogelijk dat u opties kunt selecteren die het certificaatsjabloon niet ondersteunt. Dit zorgt ervoor dat de certificaataanvraag zal mislukken. Als dit gebeurt, ziet u een foutmelding voor w3wp.exe in het bestand CPR.log met het bericht dat de sjabloonnaam van het Certificate Signing Request (CSR) en de invoer niet overeenkomen.</p> <p>Als u de naam van het certificaatsjabloon invoert dat is opgegeven voor de waarde <strong>GeneralPurposeTemplate</strong>, dient u de opties <strong>Sleutelcodering</strong> en de <strong>Digitale handtekening</strong> voor dit certificaatprofiel te selecteren. Als u echter alleen de optie <strong>Sleutelcodering</strong> in dit certificaatprofiel wilt inschakelen, dient u de naam van het certificaatsjabloon op te geven voor de sleutel <strong>EncryptionTemplate</strong>. Op dezelfde manier dient u, als u alleen de optie <strong>Digitale handtekening</strong> in dit certificaatprofiel wilt inschakelen, de naam van het certificaatsjabloon op te geven voor de sleutel <strong>SignatureTemplate</strong>.</p></td> </tr> </tbody> </table> </div> <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Certificaattype**: Selecteer of het certificaat zal worden geïmplementeerd naar een apparaat of een gebruiker. <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Indeling van onderwerpnaam**: Selecteer in de lijst hoe Configuration Manager automatisch de onderwerpnaam in de certificaataanvraag maakt. Als het certificaat voor een gebruiker is, kunt u ook het e-mailadres van de gebruiker in de onderwerpnaam opnemen. <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Alternatieve naam voor onderwerp**: Specificeer hoe Configuration Manager de waarden voor de alternatieve naam van het onderwerp (SAN) automatisch maakt in de certificaataanvraag. Als u bijvoorbeeld een gebruikerscertificaattype selecteerde, kunt u de User Principal Name (UPN) gebruiken in de alternatieve naam van het onderwerp. <div class="alert"> > [!TIP] > <P>Als het clientcertificaat zal worden gebruikt om een Network Policy Server te verifiëren, dient u de alternatieve naam van het onderwerp op de UPN in te stellen.</P> </div> <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Mt131422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Belangrijk</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>iOS-apparaten ondersteunen slechts een beperkt aantal indelingen van onderwerpnamen en alternatieve namen van onderwerpen in SCEP-certificaten. Als u een indeling opgeeft die niet wordt ondersteund, zullen er geen certificaten op iOS-apparaten worden geregistreerd. Gebruik de <strong>Algemene naam</strong> voor de <strong>Indeling van de onderwerpnaam</strong>, en de <strong>DNS-naam</strong>, <strong>E-mailadres</strong> of <strong>UPN</strong> voor de <strong>Alternatieve naam voor het onderwerp</strong> als u een SCEP-certificaatprofiel configureert voor implementatie op iOS-apparaten.</p></td> </tr> </tbody> </table> </div> - **Geldigheidsduur van certificaat**: Als u de opdracht certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE uitvoert op de verlenende CA, waarop een aangepaste geldigheidsperiode mogelijk is, kunt u opgeven hoelang het certificaat geldig blijft. Zie voor meer informatie over deze opdracht [Stap 1: Installeren en configureren van de registratieservice en afhankelijkheden voor netwerkapparaten](dn270539\(v=technet.10\).md) in het onderwerp [Certificaatprofielen configureren in Configuration Manager](dn270539\(v=technet.10\).md). U kunt een waarde opgeven die lager is dan de geldigheidsperiode in het opgegeven certificaatsjabloon, maar niet hoger. Als de geldigheidsperiode van het certificaat in het certificaatsjabloon bijvoorbeeld twee jaar is, kunt u wel één jaar, maar niet vijf jaar opgeven. De waarde moet ook lager zijn dan de resterende geldigheidsperiode van het certificaat van de verlenende CA. <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Sleutelgebruik**: Geef sleutelgebruikopties voor het certificaat op. U kunt kiezen uit de volgende opties: - **Sleutelcodering**: Sta sleuteluitwisseling alleen toe als de sleutel is gecodeerd. - **Digitale handtekening**: Sta sleuteluitwisseling alleen toe als een digitale handtekening de sleutel helpt beveiligen. Als u een certificaatsjabloon selecteerde door gebruik te maken van **Bladeren**, is het mogelijk dat u deze instellingen niet kunt wijzigen tenzij u een ander certificaatsjabloon selecteert. De certificaatsjabloon die u hebt geselecteerd, moet zijn geconfigureerd met één of beide van de hiervoor vermelde opties voor sleutelgebruik. Als dat niet het geval is, wordt in het logbestand **Crp.log** van het certificaatregistratiepunt vermeld dat het **sleutelgebruik in CSR en de vraag niet overeenkomen**. <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Sleutelgrootte (bits)**: Selecteer de grootte van de sleutel in bits. <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Uitgebreide-sleutelgebruik**: Klik op **Selecteren** om waarden voor het beoogde gebruik van het certificaat toe te voegen. In de meeste gevallen vereist het certificaat **Clientverificatie** zodat de gebruiker of het apparaat bij een server kan worden geverifieerd. U kunt echter zo nodig andere sleutelgebruiken toevoegen. <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div> - **Hash-algoritme**: Selecteer een van de beschikbare typen hash-algoritme om met dit certificaat te gebruiken. Selecteer het sterkste beveiligingsniveau dat door de verbindende apparaten wordt ondersteund. <div class="alert"> > [!NOTE] > <P><STRONG>SHA-1</STRONG> ondersteunt alleen SHA-1.<STRONG>SHA-2</STRONG> ondersteunt SHA-256, SHA-384 en SHA-512.<STRONG>SHA-3</STRONG> ondersteunt alleen SHA-3.</P> </div> - **Basis-CA-certificaat**: Klik op **Selecteren** om een profiel voor een basis-CA-certificaat profiel te kiezen dat u eerder hebt geconfigureerd en voor de gebruiker of het apparaat hebt geïmplementeerd. Dit CA-certificaat moet het basiscertificaat zijn voor de CA die het certificaat verleent dat u in dit certificaatprofiel gaat configureren. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Mt131422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Belangrijk</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Als u een basiscertificaat opgeeft dat niet is geïmplementeerd voor de gebruiker of het apparaat, wordt de certificaataanvraag die u via dit certificaatprofiel configureert door Configuration Manager niet geïnitieerd.</p></td> </tr> </tbody> </table> </div> <div class="alert"> > [!NOTE] > <P>Als u deze waarde wijzigt nadat het certificaat is geïmplementeerd, wordt het oude certificaat verwijderd en wordt er een nieuw certificaat aangevraagd.</P> </div>
Stap 4: Ondersteunde platforms voor het certificaatprofiel configureren
Gebruik de volgende procedure om de besturingssystemen op te geven waarvoor u het certificaatprofiel wilt installeren.
Ondersteunde platforms voor het certificaatprofiel opgeven
-
Selecteer op de pagina Ondersteunde platforms van de wizard Certificaatprofiel maken de besturingssystemen waarvoor u het certificaatprofiel wilt installeren of klik op Alles selecteren als u het certificaatprofiel wilt installeren voor alle beschikbare besturingssystemen.
Stap 5: De wizard voltooien
Controleer welke acties moeten worden ondernomen op de pagina Overzicht van de wizard en voltooi de wizard. Het nieuwe certificaatprofiel wordt weergegeven in het knooppunt Certificaatprofielen in de werkruimte Activa en naleving en kan worden geïmplementeerd voor gebruikers en apparaten. Zie Certificaatprofielen implementeren in Configuration Manager voor meer informatie.