匯入 PFX 憑證設定檔

適用於：Configuration Manager (目前的分支)

瞭解如何從外部憑證匯入認證來建立憑證配置檔。 本文強調 PFX) 憑證配置檔 (個人資訊交換的特定資訊。 如需如何建立和設定這些配置檔的詳細資訊，請參閱 憑證配置檔。

Configuration Manager 支援不同裝置和作系統版本的不同類型證書存儲。 例如，Windows 10和 Windows 10 行動裝置版。 如需詳細資訊，請參閱 憑證配置檔必要條件。

使用 Configuration Manager 匯入憑證認證，然後將 PFX 檔案布建到裝置。 您可以使用這些檔案來產生使用者特定的憑證，以支援加密的數據交換。

提示

如需此程式的逐步解說，請參閱部落格文章 How to Create and Deploy PFX Certificate Profiles in Configuration Manager。

建立設定檔

1. 在 Configuration Manager 控制台中，移至 [資產與兼容性] 工作區，依序展開 [相容性設定]、[公司資源存取]，然後選取 [憑證配置檔]。

2. 在功能區的 [ 常用] 索引標籤上，選取 [ 建立 ] 群組中的 [ 建立憑證配置檔]。

3. 在 [建立憑證配置檔精靈] 的 [一般] 頁面上，指定下列資訊：

   • 名稱：輸入憑證配置檔的唯一名稱。 您最多可以使用 256 個字元。

   • 描述：提供可協助在 Configuration Manager 控制台中識別憑證配置檔概觀的描述。 您最多可以使用 256 個字元。

4. 選取 [個人信息交換 - PKCS #12 (PFX) 設定 - 匯入]。 此選項會從現有的憑證匯入資訊，以建立憑證配置檔。

   注意事項

   [ 建立] 選項會代表連線內部部署證書頒發機構單位 (CA) 的使用者要求憑證。 此程式接著會安全地將憑證以 PFX 檔案的方式傳遞給用戶端。 如需詳細資訊，請 參閱使用證書頒發機構單位建立 PFX 憑證配置檔。

5. 在 [建立憑證配置檔精靈] 的 [PFX 憑證] 頁面上，指定裝置密鑰儲存提供者 (KSP) ：

   • 如果存在，請安裝至信賴平臺模組 (TPM)
   • 安裝至信賴平臺模組 (TPM) 否則會失敗
   • 安裝至 Windows Hello 企業版 否則會失敗
   • 安裝至軟體金鑰儲存提供者

6. 在 [ 支援的平臺] 頁面上，選擇支援的裝置平臺。

7. 完成精靈。

部署配置檔

建立並布建憑證配置檔之後，現在可以在 [ 憑證配置檔 ] 節點中取得。 如需如何部署它的詳細資訊，請 參閱部署資源存取配置檔。

指派主要使用者

在需要安裝 PFX 憑證的 Windows 10 裝置上，將目標使用者指派為主要使用者。 如需詳細資訊，請參閱 使用者裝置親和性。

布建建立 PFX 腳本

若要匯入 PFX 憑證，請使用下列 Configuration Manager PowerShell Cmdlet 來布建建立 PFX 腳本：

• Get-CMClientCertificatePfx
• Import-CMClientCertificatePfx
• Remove-CMClientCertificatePfx

範例腳本

若要將 PFX 檔案佈建到使用者的憑證配置檔，請使用 Configuration Manager 主控台在電腦上開啟 PowerShell。 使用來自您環境的值來變更變數。

# The display name of your PFX Import certificate profile
$PfxProfileDisplayName = "ImportPFX"

# The password you used to protect/encrypt the external PFX file that was created/exported from your certificate storage provider
# If you omit this password, PowerShell will securely prompt you for it. You can specify it as a parameter for process automation.
$password = ""

# The username of the user who will receive this PFX certificate on their device
$user = "Melissa"

# The full path to the PFX file you exported from the certificate store
$pfxfile = "c:\p1.pfx"

# If the target user isn't in the same domain as the user running this script, specify a different domain
Import-CMClientCertificatePfx -UserName "$env:USERDOMAIN\$user" -Password (ConvertTo-SecureString -String $password -AsPlainText -Force) -CertificateProfilePfx (Get-CMCertificateProfilePfx -Fast -Name $PfxProfileDisplayName) -Path $pfxfile

另請參閱

建立新的憑證配置檔

使用證書頒發機構單位建立 PFX 憑證配置檔

部署 Wi-Fi、VPN、電子郵件和憑證設定檔