Dela via

Skapa PFX-certifikatprofiler med hjälp av en certifikatutfärdare

  • Artikel

Gäller för: Konfigurationshanteraren (current branch)

Lär dig hur du skapar en certifikatprofil som använder en certifikatutfärdare för autentiseringsuppgifter. Den här artikeln beskriver specifik information om PFX-certifikatprofiler (Personal Information Exchange). Mer information om hur du skapar och konfigurerar dessa profiler finns i Certifikatprofiler.

Configuration Manager kan du skapa en PFX-certifikatprofil med autentiseringsuppgifter som utfärdats av en certifikatutfärdare. Du kan välja Microsoft eller Entrust som certifikatutfärdare. När PFX-filer distribueras till användarenheter genererar de användarspecifika certifikat för att stödja krypterat datautbyte.

Information om hur du importerar certifikatautentiseringsuppgifter från befintliga certifikatfiler finns i Importera PFX-certifikatprofiler.

Förhandskrav

Innan du börjar skapa en certifikatprofil kontrollerar du att de nödvändiga förutsättningarna är klara. Mer information finns i Krav för certifikatprofiler. För PFX-certifikatprofiler behöver du till exempel en platssystemroll för certifikatregistreringsplatser .

Skapa en profil

  1. I Configuration Manager-konsolen går du till arbetsytan Tillgångar och efterlevnad, expanderar Kompatibilitetsinställningar, expanderar Åtkomst till företagsresurser och väljer sedan Certifikatprofiler.

  2. På fliken Start i menyfliksområdet går du till gruppen Skapa och väljer Skapa certifikatprofil.

  3. På sidan Allmänt i guiden Skapa certifikatprofil anger du följande information:

    • Namn: Ange ett unikt namn för certifikatprofilen. Du kan använda högst 256 tecken.

    • Beskrivning: Ange en beskrivning som ger en översikt över certifikatprofilen som hjälper dig att identifiera den i Configuration Manager-konsolen. Du kan använda högst 256 tecken.

  4. Välj Personal Information Exchange – PKCS #12-inställningar (PFX) – Skapa. Det här alternativet begär ett certifikat åt en användare från en ansluten lokal certifikatutfärdare (CA). Välj certifikatutfärdare: Microsoft eller Entrust.

    Obs!

    Alternativet Importera hämtar information från ett befintligt certifikat för att skapa en certifikatprofil. Mer information finns i Importera PFX-certifikatprofiler.

  5. På sidan Plattformar som stöds väljer du de OS-versioner som den här certifikatprofilen stöder. Mer information om operativsystemversioner som stöds för din version av Configuration Manager finns i Os-versioner som stöds för klienter och enheter.

  6. På sidan Certifikatutfärdare väljer du certifikatregistreringsplatsen (CRP) för att bearbeta PFX-certifikaten:

    1. Primär plats: Välj den server som innehåller CRP-rollen för ca:en.
    2. Certifikatutfärdare: Välj relevant certifikatutfärdare.

    Mer information finns i Certifikatinfrastruktur.

Inställningarna på sidan PFX-certifikat varierar beroende på den valda certifikatutfärdare på sidan Allmänt :

Konfigurera PFX-certifikatinställningar för Microsoft CA

  1. För Certifikatmallens namn väljer du certifikatmallen.

  2. Aktivera certifikatanvändning om du vill använda certifikatprofilen för S/MIME-signering eller -kryptering.

    När du aktiverar det här alternativet levereras alla PFX-certifikat som är associerade med målanvändaren till alla deras enheter. Om du inte aktiverar det här alternativet får varje enhet ett unikt certifikat.

  3. Ange format för ämnesnamn till antingen Eget namn eller Fullständigt unikt namn. Om du är osäker på vilken som ska användas kontaktar du ca-administratören.

  4. För alternativt namn på certifikatmottagare aktiverar du Email adress och användarprincipnamn (UPN) efter behov för din certifikatmottagare.

  5. Tröskelvärde för förnyelse: Avgör när certifikat förnyas automatiskt, baserat på hur många procent av tiden som återstår innan förfallodatumet.

  6. Ange certifikatets giltighetsperiod till certifikatets livslängd.

  7. När certifikatregistreringsplatsen anger Active Directory-autentiseringsuppgifter aktiverar du Active Directory-publicering.

  8. Om du har valt en eller flera Windows 10 plattformar som stöds:

    1. Ange Windows-certifikatarkivet till Användare. (Alternativet Lokal dator distribuerar inte certifikat, välj det inte.)

    2. Välj en av följande nyckellagringsprovider (KSP):

      • Installera till TPM (Trusted Platform Module) om det finns
      • Installera till TPM (Trusted Platform Module) misslyckas annars
      • Installera för att Windows Hello för företag annars misslyckas
      • Installera på programvarunyckellagringsprovidern

  9. Slutför guiden.

Konfigurera PFX-certifikatinställningar för Entrust CA

  1. För Digital ID-konfiguration väljer du konfigurationsprofilen. Entrust-administratören skapar konfigurationsalternativen för digitalt ID.

  2. Aktivera certifikatanvändning om du vill använda certifikatprofilen för S/MIME-signering eller -kryptering.

    När du aktiverar det här alternativet levereras alla PFX-certifikat som är associerade med målanvändaren till alla deras enheter. Om du inte aktiverar det här alternativet får varje enhet ett unikt certifikat.

  3. Om du vill mappa entrust Subject name format tokens till Configuration Manager fält väljer du Format.

    I dialogrutan Formatering av certifikatnamn visas konfigurationsvariablerna för Etttrust Digital ID. För varje Entrust-variabel väljer du lämpliga Configuration Manager fält.

  4. Om du vill mappa token för alternativt namn på certifikatmottagare till LDAP-variabler som stöds väljer du Format.

    I dialogrutan Formatering av certifikatnamn visas konfigurationsvariablerna för Etttrust Digital ID. För varje Entrust-variabel väljer du lämplig LDAP-variabel.

  5. Tröskelvärde för förnyelse: Avgör när certifikat förnyas automatiskt, baserat på hur många procent av tiden som återstår innan förfallodatumet.

  6. Ange certifikatets giltighetsperiod till certifikatets livslängd.

  7. När certifikatregistreringsplatsen anger Active Directory-autentiseringsuppgifter aktiverar du Active Directory-publicering.

  8. Om du har valt en eller flera Windows 10 plattformar som stöds:

    1. Ange Windows-certifikatarkivet till Användare. (Alternativet Lokal dator distribuerar inte certifikat, välj det inte.)

    2. Välj en av följande nyckellagringsprovider (KSP):

      • Installera till TPM (Trusted Platform Module) om det finns
      • Installera till TPM (Trusted Platform Module) misslyckas annars
      • Installera för att Windows Hello för företag annars misslyckas
      • Installera på programvarunyckellagringsprovidern

  9. Slutför guiden.

Distribuera profilen

När du har skapat en certifikatprofil är den nu tillgänglig i noden Certifikatprofiler . Mer information om hur du distribuerar den finns i Distribuera resursåtkomstprofiler.

Se även

Skapa en ny certifikatprofil

Importera PFX-certifikatprofiler

Distribuera Wi-Fi-, VPN-, e-post- och certifikatprofiler