导入 PFX 证书配置文件
适用于: Configuration Manager(current branch)
了解如何通过从外部证书导入凭据来创建证书配置文件。 本文重点介绍有关 PFX) 证书配置文件 (个人信息交换的特定信息。 有关如何创建和配置这些配置文件的详细信息,请参阅 证书配置文件。
Configuration Manager支持不同设备和 OS 版本的不同类型的证书存储。 例如,Windows 10 和 Windows 10 移动版。 有关详细信息,请参阅 证书配置文件先决条件。
使用 Configuration Manager 导入证书凭据,然后将 PFX 文件预配到设备。 可以使用这些文件生成特定于用户的证书,以支持加密数据交换。
提示
有关此过程的分步演练,请参阅博客文章如何在 Configuration Manager 中创建和部署 PFX 证书配置文件。
创建配置文件
在Configuration Manager控制台中,转到“资产和符合性”工作区,依次展开“符合性设置”、“公司资源访问”,然后选择“证书配置文件”。
在功能区的“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建证书配置文件”。
在“创建证书配置文件向导”的“常规”页上,指定以下信息:
名称:输入证书配置文件的唯一名称。 最多可以使用 256 个字符。
说明:提供一个说明,概述有助于在 Configuration Manager 控制台中标识证书配置文件。 最多可以使用 256 个字符。
选择 “个人信息交换 - PKCS #12 (PFX) 设置 - 导入”。 此选项从现有证书导入信息以创建证书配置文件。
注意
“创建”选项代表用户从连接的本地证书颁发机构请求证书, (CA) 。 然后,此过程会将证书作为 PFX 文件安全地传递到客户端。 有关详细信息,请参阅 使用证书颁发机构创建 PFX 证书配置文件。
在“创建证书配置文件向导”的“PFX 证书”页上, (KSP) 指定设备密钥存储提供程序:
- 安装到受信任的平台模块 (TPM) (如果存在)
- 安装到受信任的平台模块 (TPM) 否则失败
- 安装到 Windows Hello 企业版否则失败
- 安装到软件密钥存储提供程序
在 “支持的平台 ”页上,选择受支持的设备平台。
完成该向导。
部署配置文件
创建并预配证书配置文件后,它现在可在“ 证书配置文件” 节点中使用。 有关如何部署它的详细信息,请参阅 部署资源访问配置文件。
分配主要用户
将目标用户分配为需要安装 PFX 证书的 Windows 10 设备上的主要用户。 有关详细信息,请参阅 用户设备相关性。
预配创建 PFX 脚本
若要导入 PFX 证书,请使用以下Configuration Manager PowerShell cmdlet 预配创建 PFX 脚本:
示例脚本
若要将 PFX 文件预配到用户的证书配置文件,请使用 Configuration Manager 控制台在计算机上打开 PowerShell。 使用环境中的值更改变量。
# The display name of your PFX Import certificate profile
$PfxProfileDisplayName = "ImportPFX"
# The password you used to protect/encrypt the external PFX file that was created/exported from your certificate storage provider
# If you omit this password, PowerShell will securely prompt you for it. You can specify it as a parameter for process automation.
$password = ""
# The username of the user who will receive this PFX certificate on their device
$user = "Melissa"
# The full path to the PFX file you exported from the certificate store
$pfxfile = "c:\p1.pfx"
# If the target user isn't in the same domain as the user running this script, specify a different domain
Import-CMClientCertificatePfx -UserName "$env:USERDOMAIN\$user" -Password (ConvertTo-SecureString -String $password -AsPlainText -Force) -CertificateProfilePfx (Get-CMCertificateProfilePfx -Fast -Name $PfxProfileDisplayName) -Path $pfxfile