导入 PFX 证书配置文件

适用于: Configuration Manager(current branch)

了解如何通过从外部证书导入凭据来创建证书配置文件。 本文重点介绍有关 PFX) 证书配置文件 (个人信息交换的特定信息。 有关如何创建和配置这些配置文件的详细信息，请参阅 证书配置文件。

Configuration Manager支持不同设备和 OS 版本的不同类型的证书存储。 例如，Windows 10 和 Windows 10 移动版。 有关详细信息，请参阅 证书配置文件先决条件。

使用 Configuration Manager 导入证书凭据，然后将 PFX 文件预配到设备。 可以使用这些文件生成特定于用户的证书，以支持加密数据交换。

提示

有关此过程的分步演练，请参阅博客文章如何在 Configuration Manager 中创建和部署 PFX 证书配置文件。

创建配置文件

1. 在Configuration Manager控制台中，转到“资产和符合性”工作区，依次展开“符合性设置”、“公司资源访问”，然后选择“证书配置文件”。

2. 在功能区的“ 开始 ”选项卡上的“ 创建 ”组中，选择“ 创建证书配置文件”。

3. 在“创建证书配置文件向导”的“常规”页上，指定以下信息：

   • 名称：输入证书配置文件的唯一名称。 最多可以使用 256 个字符。

   • 说明：提供一个说明，概述有助于在 Configuration Manager 控制台中标识证书配置文件。 最多可以使用 256 个字符。

4. 选择 “个人信息交换 - PKCS #12 (PFX) 设置 - 导入”。 此选项从现有证书导入信息以创建证书配置文件。

   注意

   “创建”选项代表用户从连接的本地证书颁发机构请求证书， (CA) 。 然后，此过程会将证书作为 PFX 文件安全地传递到客户端。 有关详细信息，请参阅 使用证书颁发机构创建 PFX 证书配置文件。

5. 在“创建证书配置文件向导”的“PFX 证书”页上， (KSP) 指定设备密钥存储提供程序：

   • 安装到受信任的平台模块 (TPM) （如果存在）
   • 安装到受信任的平台模块 (TPM) 否则失败
   • 安装到 Windows Hello 企业版否则失败
   • 安装到软件密钥存储提供程序

6. 在 “支持的平台 ”页上，选择受支持的设备平台。

7. 完成该向导。

部署配置文件

创建并预配证书配置文件后，它现在可在“ 证书配置文件” 节点中使用。 有关如何部署它的详细信息，请参阅 部署资源访问配置文件。

分配主要用户

将目标用户分配为需要安装 PFX 证书的 Windows 10 设备上的主要用户。 有关详细信息，请参阅 用户设备相关性。

预配创建 PFX 脚本

若要导入 PFX 证书，请使用以下Configuration Manager PowerShell cmdlet 预配创建 PFX 脚本：

• Get-CMClientCertificatePfx
• Import-CMClientCertificatePfx
• Remove-CMClientCertificatePfx

示例脚本

若要将 PFX 文件预配到用户的证书配置文件，请使用 Configuration Manager 控制台在计算机上打开 PowerShell。 使用环境中的值更改变量。

# The display name of your PFX Import certificate profile
$PfxProfileDisplayName = "ImportPFX"

# The password you used to protect/encrypt the external PFX file that was created/exported from your certificate storage provider
# If you omit this password, PowerShell will securely prompt you for it. You can specify it as a parameter for process automation.
$password = ""

# The username of the user who will receive this PFX certificate on their device
$user = "Melissa"

# The full path to the PFX file you exported from the certificate store
$pfxfile = "c:\p1.pfx"

# If the target user isn't in the same domain as the user running this script, specify a different domain
Import-CMClientCertificatePfx -UserName "$env:USERDOMAIN\$user" -Password (ConvertTo-SecureString -String $password -AsPlainText -Force) -CertificateProfilePfx (Get-CMCertificateProfilePfx -Fast -Name $PfxProfileDisplayName) -Path $pfxfile

另请参阅

创建新的证书配置文件

使用证书颁发机构创建 PFX 证书配置文件

部署 Wi-Fi、VPN、电子邮件和证书配置文件