使用憑證授權單位單位建立 PFX 憑證設定檔
適用於:Configuration Manager (目前的分支)
瞭解如何建立使用憑證授權單位單位進行認證的憑證設定檔。 本文強調 PFX) 憑證設定檔 (個人資訊交換的特定資訊。 如需如何建立和設定這些設定檔的詳細資訊,請參閱 憑證設定檔。
Configuration Manager可讓您使用憑證授權單位單位所簽發的認證來建立 PFX 憑證設定檔。 您可以選擇 Microsoft 或 Entrust 作為您的憑證授權單位單位。 部署至使用者裝置時,PFX 檔案會產生使用者特定的憑證,以支援加密的資料交換。
若要從現有的憑證檔案匯入憑證認證,請參閱 匯入 PFX 憑證設定檔。
先決條件
開始建立憑證設定檔之前,請確定必要的必要條件已就緒。 如需詳細資訊,請參閱 憑證設定檔的必要條件。 例如,針對 PFX 憑證設定檔,您需要憑 證登錄點 月臺系統角色。
建立設定檔
在Configuration Manager主控台中,移至 [資產與相容性] 工作區,依序展開 [相容性設定]、[公司資源存取],然後選取 [憑證設定檔]。
在功能區的 [ 常用] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立憑證設定檔]。
在 [建立憑證設定檔精靈] 的 [一般] 頁面上,指定下列資訊:
名稱:輸入憑證設定檔的唯一名稱。 您最多可以使用 256 個字元。
描述:提供可協助在Configuration Manager主控台中識別憑證設定檔概觀的描述。 您最多可以使用 256 個字元。
選 取 [個人資訊交換 - PKCS #12 (PFX) 設定 - 建立]。 此選項會代表連線內部部署憑證授權單位單位 (CA) 的使用者要求憑證。 選擇您的憑證授權單位單位:Microsoft或Entrust。
注意事項
[ 匯入 ] 選項會從現有的憑證取得資訊,以建立憑證設定檔。 如需詳細資訊,請參閱 匯入 PFX 憑證設定檔。
在 [ 支援的平臺] 頁面上,選取此憑證設定檔支援的 OS 版本。 如需Configuration Manager版本支援的 OS 版本詳細資訊,請參閱用戶端和裝置支援的作業系統版本。
在 [ 憑證授權單位單位 ] 頁面上,選擇 CRP) (憑證註冊點來處理 PFX 憑證:
- 主要月臺:選擇包含 CA CRP 角色的伺服器。
- 憑證授權單位單位:選取相關的 CA。
如需詳細資訊,請參閱 憑證基礎結構。
[PFX 憑證] 頁面上的設定會根據 [一般] 頁面上選取的 CA 而有所不同:
設定 Microsoft CA 的PFX 憑證設定
針對 [ 憑證範本名稱],選擇憑證範本。
若要使用憑證設定檔進行 S/MIME 簽署或加密,請啟用 憑證使用方式。
當您啟用此選項時,它會將與目標使用者相關聯的所有 PFX 憑證傳遞至其所有裝置。 如果您未啟用此選項,則每個裝置都會收到唯一的憑證。
將 [主體名稱格式] 設定為 [ 一般名稱 ] 或 [ 完全辨別名稱]。 如果您不確定要使用哪一個,請連絡您的 CA 系統管理員。
針對[主體別名],視您的 CA 而定,啟用Email 位址和使用者主體名稱 (UPN) 。
更新閾值:根據到期前剩餘的時間百分比,決定憑證何時自動更新。
將 [ 憑證有效期間 ] 設定為憑證的存留期。
當憑證登錄點指定 Active Directory 認證時,請啟用 Active Directory 發佈。
如果您選取了一或多個支援的平臺Windows 10:
將 Windows 憑證存放區 設定為 [使用者]。 ([本 機電腦 ] 選項不會部署憑證,請勿選擇它。)
選取下列其中一個 金鑰儲存提供者 (KSP) :
- 如果存在,請安裝至信賴平臺模組 (TPM)
- 安裝至信賴平臺模組 (TPM) 否則會失敗
- 安裝至 Windows Hello 企業版否則會失敗
- 安裝至軟體金鑰儲存提供者
完成精靈。
設定 Entrust CA 的 PFX 憑證 設定
針對 [數位識別碼設定],選擇組態設定檔。 Entrust 系統管理員會建立數位識別碼組態選項。
若要使用憑證設定檔進行 S/MIME 簽署或加密,請啟用 憑證使用方式。
當您啟用此選項時,它會將與目標使用者相關聯的所有 PFX 憑證傳遞至其所有裝置。 如果您未啟用此選項,則每個裝置都會收到唯一的憑證。
若要將 [受信任主體名稱格式] 權杖對應至 [Configuration Manager] 欄位,請選取 [格式]。
[ 憑證名稱格式化 ] 對話方塊會列出 Entrust Digital ID 組態變數。 針對每個 Entrust 變數,選擇適當的Configuration Manager欄位。
若要將 [受信任 主體別名 ] 權杖對應至支援的 LDAP 變數,請選取 [格式]。
[ 憑證名稱格式化 ] 對話方塊會列出 Entrust Digital ID 組態變數。 針對每個 Entrust 變數,選擇適當的 LDAP 變數。
更新閾值:根據到期前剩餘的時間百分比,決定憑證何時自動更新。
將 [ 憑證有效期間 ] 設定為憑證的存留期。
當憑證登錄點指定 Active Directory 認證時,請啟用 Active Directory 發佈。
如果您選取了一或多個支援的平臺Windows 10:
將 Windows 憑證存放區 設定為 [使用者]。 ([本 機電腦 ] 選項不會部署憑證,請勿選擇它。)
選取下列其中一個 金鑰儲存提供者 (KSP) :
- 如果存在,請安裝至信賴平臺模組 (TPM)
- 安裝至信賴平臺模組 (TPM) 否則會失敗
- 安裝至 Windows Hello 企業版否則會失敗
- 安裝至軟體金鑰儲存提供者
完成精靈。
部署設定檔
建立憑證設定檔之後,它現在可在 [憑 證設定檔 ] 節點中取得。 如需如何部署它的詳細資訊,請 參閱部署資源存取設定檔。