使用证书颁发机构创建 PFX 证书配置文件
适用于: Configuration Manager(current branch)
了解如何创建使用证书颁发机构作为凭据的证书配置文件。 本文重点介绍有关 PFX) 证书配置文件 (个人信息交换的特定信息。 有关如何创建和配置这些配置文件的详细信息,请参阅 证书配置文件。
Configuration Manager允许使用证书颁发机构颁发的凭据创建 PFX 证书配置文件。 可以选择“Microsoft”或“委托”作为证书颁发机构。 部署到用户设备时,PFX 文件会生成特定于用户的证书以支持加密数据交换。
若要从现有证书文件导入证书凭据,请参阅 导入 PFX 证书配置文件。
先决条件
在开始创建证书配置文件之前,请确保已准备好必要的先决条件。 有关详细信息,请参阅 证书配置文件的先决条件。 例如,对于 PFX 证书配置文件,需要 证书注册点 站点系统角色。
创建配置文件
在Configuration Manager控制台中,转到“资产和符合性”工作区,依次展开“符合性设置”、“公司资源访问”,然后选择“证书配置文件”。
在功能区的“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建证书配置文件”。
在“创建证书配置文件向导”的“常规”页上,指定以下信息:
名称:输入证书配置文件的唯一名称。 最多可以使用 256 个字符。
说明:提供一个说明,概述有助于在 Configuration Manager 控制台中标识证书配置文件。 最多可以使用 256 个字符。
选择个人信息 交换 - PKCS #12 (PFX) 设置 - 创建。 此选项代表用户从连接的本地证书颁发机构请求证书, (CA) 。 选择证书颁发机构:Microsoft或委托。
注意
“导入”选项从现有证书获取信息以创建证书配置文件。 有关详细信息,请参阅 导入 PFX 证书配置文件。
在 “支持的平台 ”页上,选择此证书配置文件支持的 OS 版本。 有关Configuration Manager版本支持的操作系统版本的详细信息,请参阅客户端和设备支持的 OS 版本。
在“ 证书颁发机构 ”页上,选择证书注册点 (CRP) 来处理 PFX 证书:
- 主站点:选择包含 CA 的 CRP 角色的服务器。
- 证书颁发机构:选择相关的 CA。
有关详细信息,请参阅 证书基础结构。
“PFX 证书”页上的设置因“常规”页上的所选 CA 而异:
为 Microsoft CA 配置 PFX 证书设置
对于 “证书模板名称”,请选择证书模板。
若要使用证书配置文件进行 S/MIME 签名或加密,请启用 证书用法。
启用此选项时,它会将与目标用户关联的所有 PFX 证书传递到其所有设备。 如果未启用此选项,则每个设备都会收到唯一的证书。
将 “使用者名称格式 ”设置为 “公用名 ”或 “完全可分辨名称”。 如果不确定要使用哪一个,请与 CA 管理员联系。
对于“使用者”可选名称,请根据 CA (UPN) 启用Email地址和用户主体名称。
续订阈值:根据过期前剩余时间的百分比确定证书自动续订的时间。
将 证书有效期 设置为证书的生存期。
当证书注册点指定 Active Directory 凭据时,启用 Active Directory 发布。
如果选择了一个或多个Windows 10支持的平台:
将 Windows 证书存储 设置为 “用户”。 (“本地计算机” 选项不部署证书,请不要选择它。)
(KSP) 选择以下密钥存储提供程序之一:
- 安装到受信任的平台模块 (TPM) (如果存在)
- 安装到受信任的平台模块 (TPM) 否则失败
- 安装到 Windows Hello 企业版否则失败
- 安装到软件密钥存储提供程序
完成该向导。
为 Entrust CA 配置 PFX 证书 设置
对于 “数字 ID 配置”,请选择配置文件。 委托管理员创建数字 ID 配置选项。
若要使用证书配置文件进行 S/MIME 签名或加密,请启用 证书用法。
启用此选项时,它会将与目标用户关联的所有 PFX 证书传递到其所有设备。 如果未启用此选项,则每个设备都会收到唯一的证书。
若要将“委托使用者名称格式标记”映射到Configuration Manager字段,请选择“格式”。
“ 证书名称格式” 对话框列出了“委托数字 ID”配置变量。 对于每个 Entrust 变量,请选择相应的Configuration Manager字段。
若要将“委托 主体可选名称令牌 ”映射到支持的 LDAP 变量,请选择“ 格式”。
“ 证书名称格式” 对话框列出了“委托数字 ID”配置变量。 对于每个 Entrust 变量,请选择相应的 LDAP 变量。
续订阈值:根据过期前剩余时间的百分比确定证书自动续订的时间。
将 证书有效期 设置为证书的生存期。
当证书注册点指定 Active Directory 凭据时,启用 Active Directory 发布。
如果选择了一个或多个Windows 10支持的平台:
将 Windows 证书存储 设置为 “用户”。 (“本地计算机” 选项不部署证书,请不要选择它。)
(KSP) 选择以下密钥存储提供程序之一:
- 安装到受信任的平台模块 (TPM) (如果存在)
- 安装到受信任的平台模块 (TPM) 否则失败
- 安装到 Windows Hello 企业版否则失败
- 安装到软件密钥存储提供程序
完成该向导。
部署配置文件
创建证书配置文件后,它现在可在“ 证书配置文件” 节点中使用。 有关如何部署它的详细信息,请参阅 部署资源访问配置文件。