Tworzenie profilów certyfikatów PFX przy użyciu urzędu certyfikacji
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Dowiedz się, jak utworzyć profil certyfikatu, który używa urzędu certyfikacji na potrzeby poświadczeń. W tym artykule przedstawiono konkretne informacje dotyczące profilów certyfikatów wymiany danych osobowych (PFX). Aby uzyskać więcej informacji o sposobie tworzenia i konfigurowania tych profilów, zobacz Profile certyfikatów.
Configuration Manager umożliwia utworzenie profilu certyfikatu PFX przy użyciu poświadczeń wystawionych przez urząd certyfikacji. Możesz wybrać Microsoft lub Entrust jako urząd certyfikacji. Po wdrożeniu na urządzeniach użytkowników pliki PFX generują certyfikaty specyficzne dla użytkownika w celu obsługi zaszyfrowanej wymiany danych.
Aby zaimportować poświadczenia certyfikatu z istniejących plików certyfikatów, zobacz Importowanie profilów certyfikatów PFX.
Wymagania wstępne
Przed rozpoczęciem tworzenia profilu certyfikatu upewnij się, że wymagane wymagania wstępne są gotowe. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące profilów certyfikatów. Na przykład w przypadku profilów certyfikatów PFX potrzebna jest rola systemu lokacji punktu rejestracji certyfikatu .
Tworzenie profilu
W konsoli Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność, rozwiń węzeł Ustawienia zgodności, rozwiń węzeł Dostęp do zasobów firmy, a następnie wybierz pozycję Profile certyfikatów.
Na karcie Narzędzia główne na wstążce w grupie Tworzenie wybierz pozycję Utwórz profil certyfikatu.
Na stronie OgólneKreatora tworzenia profilu certyfikatu podaj następujące informacje:
Nazwa: wprowadź unikatową nazwę profilu certyfikatu. Można użyć maksymalnie 256 znaków.
Opis: podaj opis, który zawiera omówienie profilu certyfikatu, który pomaga zidentyfikować go w konsoli Configuration Manager. Można użyć maksymalnie 256 znaków.
Wybierz pozycję Wymiana informacji osobistych — ustawienia PKCS #12 (PFX) — Utwórz. Ta opcja żąda certyfikatu w imieniu użytkownika od połączonego lokalnego urzędu certyfikacji. Wybierz urząd certyfikacji: Microsoft lub Entrust.
Uwaga
Opcja Import pobiera informacje z istniejącego certyfikatu w celu utworzenia profilu certyfikatu. Aby uzyskać więcej informacji, zobacz Importowanie profilów certyfikatów PFX.
Na stronie Obsługiwane platformy wybierz wersje systemu operacyjnego obsługiwane przez ten profil certyfikatu. Aby uzyskać więcej informacji na temat obsługiwanych wersji systemu operacyjnego dla twojej wersji Configuration Manager, zobacz Obsługiwane wersje systemu operacyjnego dla klientów i urządzeń.
Na stronie Urzędy certyfikacji wybierz punkt rejestracji certyfikatu (CRP), aby przetworzyć certyfikaty PFX:
- Lokacja główna: wybierz serwer zawierający rolę CRP dla urzędu certyfikacji.
- Urzędy certyfikacji: wybierz odpowiedni urząd certyfikacji.
Aby uzyskać więcej informacji, zobacz Infrastruktura certyfikatów.
Ustawienia na stronie Certyfikat PFX różnią się w zależności od wybranego urzędu certyfikacji na stronie Ogólne :
Konfigurowanie ustawień certyfikatu PFX dla urzędu certyfikacji Microsoft
W polu Nazwa szablonu certyfikatu wybierz szablon certyfikatu.
Aby użyć profilu certyfikatu do podpisywania lub szyfrowania S/MIME, włącz użycie certyfikatu.
Po włączeniu tej opcji dostarcza ona wszystkie certyfikaty PFX skojarzone z użytkownikiem docelowym do wszystkich jego urządzeń. Jeśli ta opcja nie zostanie włączona, każde urządzenie otrzyma unikatowy certyfikat.
Ustaw format nazwy podmiotu na nazwę pospolitą lub w pełni wyróżniającą się nazwę. Jeśli nie masz pewności, którego z nich użyć, skontaktuj się z administratorem urzędu certyfikacji.
W przypadku alternatywnej nazwy podmiotu włącz adres Email i nazwę zasady użytkownika (UPN) odpowiednio do urzędu certyfikacji.
Próg odnowienia: określa, kiedy certyfikaty są automatycznie odnawiane, na podstawie procentu czasu pozostałego przed wygaśnięciem.
Ustaw okres ważności certyfikatu na okres istnienia certyfikatu.
Gdy punkt rejestracji certyfikatu określa poświadczenia usługi Active Directory, włącz publikowanie w usłudze Active Directory.
Jeśli wybrano co najmniej jedną Windows 10 obsługiwanych platform:
Ustaw magazyn certyfikatów systemu Windows na wartość Użytkownik. (Opcja Komputer lokalny nie wdraża certyfikatów, nie wybieraj go).
Wybierz jednego z następujących dostawców magazynu kluczy:
- Zainstaluj w module TPM (Trusted Platform Module), jeśli jest obecny
- Instalacja modułu TPM (Trusted Platform Module) w przeciwnym razie kończy się niepowodzeniem
- Instalacja Windows Hello dla firm w przeciwnym razie kończy się niepowodzeniem
- Instalowanie u dostawcy magazynu kluczy oprogramowania
Zakończ pracę kreatora.
Konfigurowanie ustawieńcertyfikategoa
W obszarze Konfiguracja identyfikatora cyfrowego wybierz profil konfiguracji. Administrator aplikacji Entrust tworzy opcje konfiguracji identyfikatora cyfrowego.
Aby użyć profilu certyfikatu do podpisywania lub szyfrowania S/MIME, włącz użycie certyfikatu.
Po włączeniu tej opcji dostarcza ona wszystkie certyfikaty PFX skojarzone z użytkownikiem docelowym do wszystkich jego urządzeń. Jeśli ta opcja nie zostanie włączona, każde urządzenie otrzyma unikatowy certyfikat.
Aby zamapować tokeny formatu nazwy podmiotu na pola Configuration Manager, wybierz pozycję Formatuj.
Okno dialogowe Formatowanie nazwy certyfikatu zawiera listę zmiennych konfiguracji Entrust Digital ID. Dla każdej zmiennej Entrust wybierz odpowiednie pola Configuration Manager.
Aby zamapować tokeny Nazwy alternatywnej podmiotu na obsługiwane zmienne LDAP, wybierz pozycję Format.
Okno dialogowe Formatowanie nazwy certyfikatu zawiera listę zmiennych konfiguracji Entrust Digital ID. Dla każdej zmiennej Entrust wybierz odpowiednią zmienną LDAP.
Próg odnowienia: określa, kiedy certyfikaty są automatycznie odnawiane, na podstawie procentu czasu pozostałego przed wygaśnięciem.
Ustaw okres ważności certyfikatu na okres istnienia certyfikatu.
Gdy punkt rejestracji certyfikatu określa poświadczenia usługi Active Directory, włącz publikowanie w usłudze Active Directory.
Jeśli wybrano co najmniej jedną Windows 10 obsługiwanych platform:
Ustaw magazyn certyfikatów systemu Windows na wartość Użytkownik. (Opcja Komputer lokalny nie wdraża certyfikatów, nie wybieraj go).
Wybierz jednego z następujących dostawców magazynu kluczy:
- Zainstaluj w module TPM (Trusted Platform Module), jeśli jest obecny
- Instalacja modułu TPM (Trusted Platform Module) w przeciwnym razie kończy się niepowodzeniem
- Instalacja Windows Hello dla firm w przeciwnym razie kończy się niepowodzeniem
- Instalowanie u dostawcy magazynu kluczy oprogramowania
Zakończ pracę kreatora.
Wdrażanie profilu
Po utworzeniu profilu certyfikatu jest on teraz dostępny w węźle Profile certyfikatów . Aby uzyskać więcej informacji na temat sposobu jej wdrażania, zobacz Wdrażanie profilów dostępu do zasobów.
Zobacz też
Tworzenie nowego profilu certyfikatu
Importowanie profilów certyfikatów PFX
Wdrażanie profilów sieci Wi-Fi, sieci VPN, poczty e-mail i certyfikatów