Vytvoření a přiřazení profilů certifikátů SCEP v Intune

Po konfiguraci infrastruktury tak, aby podporovala certifikáty protokolu SCEP (Simple Certificate Enrollment Protocol), můžete vytvořit a přiřadit profily certifikátů SCEP uživatelům a zařízením v Intune.

Aby zařízení používala profil certifikátu SCEP, musí důvěřovat vaší důvěryhodné kořenové certifikační autoritě (CA). Důvěryhodnost kořenové certifikační autority se nejlépe navazuje nasazením profilu důvěryhodného certifikátu do stejné skupiny, která obdrží profil certifikátu SCEP. Profily důvěryhodných certifikátů zřídí certifikát důvěryhodné kořenové certifikační autority.

Zařízení s Androidem Enterprise můžou vyžadovat PIN kód, aby je SCEP mohl zřídit certifikátem. Další informace najdete v tématu Požadavek na PIN kód pro Android Enterprise.

Poznámka

Počínaje Androidem 11 už profily důvěryhodných certifikátů nemůžou na zařízení zaregistrovaná jako správce zařízení s Androidem instalovat důvěryhodný kořenový certifikát. Toto omezení se nevztahuje na Samsung Knox.

Další informace o tomto omezení najdete v tématu Profily důvěryhodných certifikátů pro správce zařízení s Androidem.

Tip

Profily certifikátů SCEP se podporují pro Windows Enterprise vzdálené plochy s více relacemi.

Vytvoření profilu certifikátu SCEP

  1. Přihlaste se k Centru pro správu Microsoft Endpoint Manageru.

  2. Vyberte a přejděte do profilu > DevicesConfigurationCreate > .

  3. Zadejte tyto vlastnosti:

    • Platforma: Zvolte platformu vašich zařízení.

    • Profil: Vyberte certifikát SCEP. Nebo vyberte certifikát TemplatesSCEP > .

      Pro android Enterprise je typ profilu rozdělený do dvou kategorií: plně spravovaný, vyhrazený a Corporate-Owned pracovní profil a pracovní profil v osobním vlastnictví. Nezapomeňte vybrat správný profil certifikátu SCEP pro zařízení, která spravujete.

      Profily certifikátů SCEP pro plně spravovaný, vyhrazený a Corporate-Owned profil pracovního profilu mají následující omezení:

      1. V části Monitorování není vytváření sestav certifikátů k dispozici pro profily certifikátů SCEP vlastníka zařízení.

      2. Nemůžete použít Intune k odvolání certifikátů, které byly zřízeny profily certifikátů SCEP pro vlastníky zařízení. Odvolání můžete spravovat prostřednictvím externího procesu nebo přímo u certifikační autority.

      3. Pro zařízení s Androidem Enterprise vyhrazená jsou profily certifikátů SCEP podporované pro Wi-Fi konfiguraci sítě, VPN a ověřování. Profily certifikátů SCEP v Androidu Enterprise vyhrazených zařízeních se nepodporují pro ověřování aplikací.

  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Dobrým názvem profilu je například profil SCEP pro celou společnost.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
  6. Vyberte Další.

  7. V nastavení konfigurace proveďte následující konfigurace:

    • Typ certifikátu:

      (Platí pro: Android, Android Enterprise, iOS/iPadOS, macOS, Windows 8.1 a Windows 10/11)

      Vyberte typ v závislosti na tom, jak budete profil certifikátu používat:

      • Uživatel: Uživatelské certifikáty mohou obsahovat atributy uživatele i zařízení v předmětu i v síti SAN certifikátu.

      • Zařízení: Certifikáty zařízení můžou obsahovat pouze atributy zařízení v předmětu a v síti SAN certifikátu.

        Zařízení můžete použít ve scénářích, jako jsou zařízení bez uživatele, jako jsou veřejné terminály nebo pro Windows zařízení. Na Windows zařízení se certifikát umístí do úložiště certifikátů místního počítače.

      Poznámka

      Storage certifikátů zřízených SCEP:

      • macOS – Certifikáty, které zřídíte pomocí SCEP, se vždy umístí do systémového řetězce klíčů (systémového úložiště) zařízení.

      • Android – Zařízení mají úložiště certifikátů VPN i aplikací a úložiště certifikátů WIFI . Intune vždy ukládá certifikáty SCEP v úložišti VPN a aplikací na zařízení. Použití úložiště VPN a aplikací zpřístupňuje certifikát pro použití jakoukoli jinou aplikací.

        Pokud je však certifikát SCEP přidružený také k profilu Wi-Fi, Intune nainstaluje certifikát také do úložiště Wi-Fi.

        Při konfiguraci pro aplikace VPN se uživateli zobrazí výzva k výběru správného certifikátu. Bezobslužné schvalování certifikátů pro plně spravované (nebo byod scénáře) se nepodporuje. Pokud je všechno správně nastavené, měl by už být v dialogovém okně předem vybraný správný certifikát.

    • Formát názvu subjektu:

      Zadejte text, který Intune, jak automaticky vytvořit název subjektu v žádosti o certifikát. Možnosti pro formát názvu subjektu závisí na typu certifikátu, který vyberete– uživatel nebo zařízení.

      Tip

      Pokud je délka názvu subjektu delší než 64 znaků, možná budete muset u interní certifikační autority zakázat vynucení délky názvu. Další informace naleznete v tématu Zakázání vynucení délky rozlišování.

      Poznámka

      Existuje známý problém s používáním SCEP k získání certifikátů, pokud název subjektu ve výsledné žádosti o podepsání certifikátu (CSR) obsahuje jeden z následujících znaků jako řídicí znak (následovaný zpětným lomítkem \):

      • +
      • ;
      • ,
      • =

      Poznámka

      Počínaje Androidem 12 už Android nepodporuje použití následujících hardwarových identifikátorů pro zařízení s pracovním profilem v osobním vlastnictví :

      • Sériové číslo
      • IMEI
      • MEID

      Intune profily certifikátů pro zařízení s osobním pracovním profilem, která se spoléhají na tyto proměnné v názvu subjektu nebo v síti SAN, nezřídí certifikát na zařízeních s Androidem 12 nebo novějším v době, kdy je zařízení zaregistrované v Intune. Zařízení zaregistrovaná před upgradem na Android 12 mohou stále přijímat certifikáty, pokud Intune dříve získaly hardwarové identifikátory zařízení.

      Další informace o této a dalších změnách, které byly představeny v Androidu 12, najdete v blogové příspěvku android day zero support pro Microsoft Endpoint Manager.

      • Typ uživatelského certifikátu

        Pomocí textového pole zadejte vlastní formát názvu subjektu, včetně statického textu a proměnných. Two variable options are supported: Common Name (CN) and Email (E).

        E-mail (E) se obvykle nastaví pomocí proměnné {{EmailAddress}}. Příklad: E={{EmailAddress}}

        Běžný název (CN) lze nastavit na některou z následujících proměnných:

        • CN={{UserName}}: Uživatelské jméno uživatele, například janedoe.

        • CN={{UserPrincipalName}}: Hlavní název uživatele uživatele, například janedoe@contoso.com.

        • CN={{AAD_Device_ID}}: ID přiřazené při registraci zařízení v Azure Active Directory (AD). Toto ID se obvykle používá k ověřování pomocí Azure AD.

        • CN={{DeviceId}}: ID přiřazené při registraci zařízení do Intune. (nepodporuje se v android Enterprise pro plně spravovaný, vyhrazený a Corporate-Owned pracovní profil)

        • CN={{SERIALNUMBER}}: Jedinečné sériové číslo (SN), které výrobce obvykle používá k identifikaci zařízení.

        • CN={{IMEINumber}}: Jedinečné číslo IMEI (International Mobile Equipment Identity) použité k identifikaci mobilního telefonu.

        • CN={{OnPrem_Distinguished_Name}}: Posloupnost relativních rozlišujících názvů oddělených čárkou, například CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

          Použití proměnné {{OnPrem_Distinguished_Name}} :

          • Nezapomeňte synchronizovat atribut uživatele onpremisesdistinguishedname pomocí Azure AD Připojení do Azure AD.
          • Pokud hodnota CN obsahuje čárku, musí být formát názvu subjektu v uvozovkách. Příklad: CN="{{OnPrem_Distinguished_Name}}"
        • CN={{OnPremisesSamAccountName}}: Správci můžou synchronizovat atribut samAccountName ze služby Active Directory do Azure AD pomocí Azure AD připojit se k atributu s názvem onPremisesSamAccountName. Intune může tuto proměnnou nahradit v rámci žádosti o vystavení certifikátu v předmětu certifikátu. Atribut samAccountName je přihlašovací jméno uživatele, které slouží k podpoře klientů a serverů z předchozí verze Windows (před Windows 2000). Formát přihlašovacího jména uživatele je : DomainName\testUser nebo pouze testUser.

          Pokud chcete použít proměnnou {{OnPremisesSamAccountName}}, nezapomeňte synchronizovat atribut uživatele OnPremisesSamAccountName pomocí Azure AD Připojení do Azure AD.

        Všechny proměnné zařízení uvedené v následující části Typu certifikátu zařízení se dají použít také v názvech subjektů uživatelských certifikátů.

        Pomocí kombinace jedné nebo několika z těchto proměnných a statických textových řetězců můžete vytvořit vlastní formát názvu subjektu, například : CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

        Tento příklad obsahuje formát názvu subjektu, který používá proměnné CN a E, a řetězce pro hodnoty organizační jednotky, organizace, umístění, státu a země. Funkce CertStrToName popisuje tuto funkci a její podporované řetězce.

        Atributy uživatele nejsou podporované pro zařízení, která nemají přidružení uživatelů, jako jsou zařízení zaregistrovaná jako Android Enterprise vyhrazená. Například profil, který používá CN={{UserPrincipalName}} v předmětu nebo síti SAN, nebude moct získat hlavní název uživatele, pokud v zařízení není žádný uživatel.

      • Typ certifikátu zařízení

        Možnosti formátování pro formát názvu subjektu zahrnují následující proměnné:

        • {{AAD_Device_ID}} nebo {{AzureADDeviceId}} – Obě proměnné lze použít k identifikaci zařízení podle id Azure AD.
        • {{DeviceId}} – ID Intune zařízení (nepodporuje se v Androidu Enterprise pro plně spravovaný, vyhrazený a Corporate-Owned pracovní profil).
        • {{Device_Serial}}
        • {{Device_IMEI}}
        • {{SerialNumber}}
        • {{IMEINumber}}
        • {{WiFiMacAddress}}
        • {{IMEI}}
        • {{DeviceName}}
        • {{FullyQualifiedDomainName}} (platí pouze pro Windows a zařízení připojená k doméně)
        • {{MEID}}

        Tyto proměnné a statický text můžete zadat do textového pole. Běžný název zařízení s názvem Zařízení1 lze například přidat jako CN={{DeviceName}}Device1.

        Důležité

        • Pokud zadáte proměnnou, uzavřete název proměnné do dvojitých složených závorek {{ }}, jak je vidět v příkladu, abyste se vyhnuli chybě.
        • Vlastnosti zařízení používané v předmětu nebo síti SAN certifikátu zařízení, jako jsou IMEI, SerialNumber a FullyQualifiedDomainName, jsou vlastnosti, které může osoba s přístupem k zařízení zfalšovat.
        • Zařízení musí podporovat všechny proměnné zadané v profilu certifikátu, aby se tento profil na toto zařízení nainstaloval. Pokud se například {{IMEI}} používá v názvu subjektu profilu SCEP a je přiřazen k zařízení, které nemá číslo IMEI, profil se nepodaří nainstalovat.
    • Alternativní název subjektu:
      Vyberte, jak Intune automaticky vytvoří alternativní název subjektu (SAN) v žádosti o certifikát. Můžete zadat více alternativních názvů subjektu. Pro každý z nich můžete vybrat ze čtyř atributů sítě SAN a zadat textovou hodnotu pro tento atribut. Textová hodnota může obsahovat proměnné a statický text atributu.

      Vyberte z dostupných atributů sítě SAN:

      • E-mailová adresa
      • Hlavní název uživatele (UPN)
      • DNS
      • Identifikátor URI (Uniform Resource Identifier)

      Proměnné dostupné pro hodnotu SÍTĚ SAN závisí na typu certifikátu, který jste vybrali. uživatel nebo zařízení.

      Poznámka

      Počínaje Androidem 12 už Android nepodporuje použití následujících hardwarových identifikátorů pro zařízení s pracovním profilem v osobním vlastnictví :

      • Sériové číslo
      • IMEI
      • MEID

      Intune profily certifikátů pro zařízení s osobním pracovním profilem, která se spoléhají na tyto proměnné v názvu subjektu nebo v síti SAN, nezřídí certifikát na zařízeních s Androidem 12 nebo novějším v době, kdy je zařízení zaregistrované v Intune. Zařízení zaregistrovaná před upgradem na Android 12 mohou stále přijímat certifikáty, pokud Intune dříve získaly hardwarové identifikátory zařízení.

      Další informace o této a dalších změnách, které byly představeny v Androidu 12, najdete v blogové příspěvku android day zero support pro Microsoft Endpoint Manager.

      • Typ uživatelského certifikátu

        S typem uživatelského certifikátu můžete použít libovolnou z proměnných certifikátu uživatele nebo zařízení popsaných výše v části Název subjektu.

        Například typy uživatelských certifikátů můžou v alternativním názvu subjektu obsahovat hlavní název uživatele (UPN). Pokud se klientský certifikát používá k ověření na serveru NPS ( Network Policy Server), nastavte alternativní název subjektu na hlavní název uživatele (UPN).

      • Typ certifikátu zařízení

        U typu certifikátu zařízení můžete pro název subjektu použít libovolnou z proměnných popsaných v části Typ certifikátu zařízení .

        Pokud chcete zadat hodnotu atributu, zahrňte název proměnné do složených závorek a text pro danou proměnnou. Můžete například přidat hodnotu atributu DNS {{AzureADDeviceId}}.domain.com kde .domain.com je text. Pro uživatele s názvem User1 se e-mailová adresa může zobrazit jako {{FullyQualifiedDomainName}}User1@Contoso.com.

      Pomocí kombinace jedné nebo několika z těchto proměnných a statických textových řetězců můžete vytvořit vlastní formát alternativního názvu předmětu, například:

      • {{UserName}}-Home

        Důležité

        • Při použití proměnné certifikátu zařízení uzavřete název proměnné do dvojitých složených závorek {{ }}.
        • Nepoužívejte v textu, který následuje za proměnnou, složené závorky { }, symboly | svislé čáry a středníky ;.
        • Vlastnosti zařízení používané v předmětu nebo síti SAN certifikátu zařízení, jako jsou IMEI, SerialNumber a FullyQualifiedDomainName, jsou vlastnosti, které může osoba s přístupem k zařízení zfalšovat.
        • Zařízení musí podporovat všechny proměnné zadané v profilu certifikátu, aby se tento profil na toto zařízení nainstaloval. Pokud se například {{IMEI}} používá v síti SAN profilu SCEP a je přiřazen k zařízení, které nemá číslo IMEI, profil se nepodaří nainstalovat.
    • Doba platnosti certifikátu:

      Můžete zadat hodnotu, která je nižší než doba platnosti v šabloně certifikátu, ale ne vyšší. Pokud jste nakonfigurovali šablonu certifikátu tak, aby podporovala vlastní hodnotu, kterou je možné nastavit v konzole Intune, použijte toto nastavení k určení zbývající doby před vypršením platnosti certifikátu.

      Intune podporuje dobu platnosti až 24 měsíců.

      Pokud je například doba platnosti certifikátu v šabloně certifikátu dva roky, můžete zadat hodnotu jednoho roku, ale ne hodnotu pěti let. Hodnota musí být také nižší než zbývající doba platnosti certifikátu vydávající certifikační autority.

      Naplánujte použití doby platnosti pět nebo více dnů. Pokud je doba platnosti kratší než pět dní, je vysoká pravděpodobnost, že certifikát přejde do stavu blížícího se vypršení platnosti nebo vypršení platnosti, což může způsobit, že agent MDM na zařízeních certifikát před instalací odmítne.

    • Zprostředkovatel úložiště klíčů (KSP):

      (Platí pro: Windows 8.1 a Windows 10/11)

      Určete, kde je klíč k certifikátu uložen. Vyberte si z následujících hodnot:

      • Registrace do KSP čipu TPM (Trusted Platform Module), pokud je k dispozici, jinak software KSP
      • Registrace do KSP čipu TPM (Trusted Platform Module), jinak selže
      • Zaregistrujte se do Windows Hello pro firmy, jinak selže (Windows 10 a novější).
      • Registrace do softwarového ZPROSTŘEDKOVATELE
    • Použití klíče:

      Vyberte možnosti použití klíče pro certifikát:

      • Digitální podpis: Umožňuje výměnu klíčů pouze v případě, že digitální podpis pomáhá klíč chránit.
      • Šifrování klíče: Umožňuje výměnu klíčů jenom v případě, že je klíč zašifrovaný.
    • Velikost klíče (bity):

      Vyberte počet bitů obsažených v klíči:

      • Nenakonfigurováno
      • 1024
      • 2048
      • 4096 (podporováno s iOS/iPadOS 14 a novějším a macOS 11 a novějším)
    • Hashovací algoritmus:

      (Platí pro Android, Android Enterprise, Windows 8.1 a Windows 10/11)

      Vyberte jeden z dostupných typů hashovacích algoritmů, které chcete s tímto certifikátem použít. Vyberte nejsilnější úroveň zabezpečení, kterou připojující zařízení podporují.

    • Kořenový certifikát:

      Vyberte profil důvěryhodného certifikátu , který jste dříve nakonfigurovali a přiřadili příslušným uživatelům a zařízením pro tento profil certifikátu SCEP. Profil důvěryhodného certifikátu se používá ke zřízení uživatelů a zařízení pomocí certifikátu důvěryhodné kořenové certifikační autority. Informace o profilu důvěryhodného certifikátu najdete v tématu Export certifikátu důvěryhodné kořenové certifikační autority a Vytvoření profilů důvěryhodných certifikátů v části Použití certifikátů pro ověřování v Intune.

      Poznámka

      Pokud máte infrastrukturu infrastruktury veřejných klíčů na více úrovních, například kořenovou certifikační autoritu a vydávající certifikační autoritu, vyberte profil důvěryhodného kořenového certifikátu nejvyšší úrovně, který ověřuje vydávající certifikační autoritu.

    • Rozšířené použití klíče:

      Přidejte hodnoty pro zamýšlený účel certifikátu. Ve většině případů certifikát vyžaduje ověření klienta , aby se uživatel nebo zařízení mohl ověřit na serveru. Podle potřeby můžete přidat další použití klíčů.

    • Prahová hodnota obnovení (%):

      Zadejte procento životnosti certifikátu, které zbývá před tím, než zařízení požádá o obnovení certifikátu. Pokud zadáte například 20, pokusí se o obnovení certifikátu, když vyprší platnost certifikátu 80 %. Pokusy o obnovení budou pokračovat, dokud nebude obnovení úspěšné. Obnovení vygeneruje nový certifikát, jehož výsledkem je nový pár veřejného a privátního klíče.

      Poznámka

      Chování při obnovování v systémech iOS/iPadOS a macOS: Certifikáty je možné obnovit pouze během fáze prahové hodnoty obnovení. Kromě toho musí být zařízení při synchronizaci s Intune odemknuté. Pokud obnovení nebylo úspěšné, certifikát, jehož platnost vypršela, zůstane na zařízení a Intune už neaktivuje prodloužení platnosti. Intune také nenabízí možnost opětovného nasazení certifikátů s vypršenou platností. Ovlivněná zařízení musí být dočasně vyloučena z profilu SCEP, aby se certifikát, jehož platnost vypršela, odebrala a požádala o nový.

    • Adresy URL serveru SCEP:

      Zadejte jednu nebo více adres URL pro servery NDES, které vystavují certifikáty prostřednictvím SCEP. Zadejte například něco jako https://ndes.contoso.com/certsrv/mscep/mscep.dll.

      Adresa URL může být HTTP nebo HTTPS. Aby však adresa URL serveru SCEP podporovala následující zařízení, musí používat protokol HTTPS:

      • Správce zařízení s Androidem
      • Vlastník zařízení s Androidem Enterprise
      • Android Enterprise pracovní profil vlastněný společností
      • Android Enterprise pracovní profil v osobním vlastnictví

      Podle potřeby můžete přidat další adresy URL SCEP pro vyrovnávání zatížení. Zařízení provádí tři samostatná volání serveru NDES. První možností je získat možnosti serverů, pak získat veřejný klíč a pak odeslat žádost o podepsání. Pokud použijete více adres URL, je možné, že vyrovnávání zatížení může mít za následek použití jiné adresy URL pro následná volání serveru NDES. Pokud je během stejného požadavku kontaktován jiný server pro další volání, požadavek selže.

      Chování při správě adresy URL serveru NDES je specifické pro každou platformu zařízení:

      • Android: Zařízení randomizuje seznam adres URL přijatých v zásadách SCEP a pak pracuje v seznamu, dokud se nenajde přístupný server NDES. Zařízení pak bude nadále používat stejnou adresu URL a server po celý proces. Pokud zařízení nemá přístup k žádnému serveru NDES, proces selže.
      • iOS/iPadOS: Intune randomizuje adresy URL a poskytuje jednu adresu URL zařízení. Pokud zařízení nemá přístup k serveru NDES, požadavek SCEP selže.
      • Windows: Seznam adres URL NDES je náhodně nahodilý a pak se předá Windows zařízení, které je pak zkusí v přijatém pořadí, dokud nenajde dostupnou adresu. Pokud zařízení nemá přístup k žádnému serveru NDES, proces selže.

      Pokud se zařízení během některého ze tří volání serveru NDES nepodaří úspěšně spojit se stejným serverem NDES, požadavek SCEP selže. K tomu může například dojít v případě, že řešení vyrovnávání zatížení poskytuje jinou adresu URL pro druhé nebo třetí volání serveru NDES nebo poskytuje jiný skutečný server NDES založený na virtualizované adrese URL pro NDES. Po neúspěšném požadavku se zařízení pokusí proces zopakovat v dalším cyklu zásad, počínaje náhodným seznamem adres URL NDES (nebo jedinou adresou URL pro iOS/iPadOS).

  8. Vyberte Další.

  9. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  10. (Platí jenom pro Windows 10/11) V pravidlech použitelnosti zadejte pravidla použitelnosti, která upřesní přiřazení tohoto profilu. Profil můžete přiřadit nebo nepřiřazovat na základě edice nebo verze operačního systému zařízení.

Další informace najdete v tématu Pravidla použitelnosti v tématu Vytvoření profilu zařízení v Microsoft Intune.

  1. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Vyhněte se požadavkům na podepisování certifikátů pomocí speciálních znaků s řídicími znaky.

Existuje známý problém u žádostí o certifikát SCEP a PKCS, které obsahují název subjektu (CN) s jedním nebo několika následujícími speciálními znaky jako řídicí znak. Názvy subjektů, které obsahují jeden ze speciálních znaků jako řídicí znak, mají za následek csR s nesprávným názvem subjektu. Výsledkem nesprávného názvu subjektu je neúspěšné ověření výzvy SCEP Intune a nevystavil se žádný certifikát.

Speciální znaky jsou:

  • +
  • ,
  • ;
  • =

Pokud název předmětu obsahuje jeden ze speciálních znaků, můžete toto omezení obejít pomocí jedné z následujících možností:

  • Zapouzdřte hodnotu CN, která obsahuje speciální znak s uvozovkami.
  • Odeberte speciální znak z hodnoty CN.

Máte například název subjektu, který se zobrazí jako testovací uživatel (TestCompany, LLC). CsR, který obsahuje CN, který má čárku mezi TestCompany a LLC představuje problém. Problému se můžete vyhnout umístěním uvozovek kolem celé CN nebo odebráním čárky mezi TestCompany a LLC:

  • Přidání uvozovek: CN="Testovací uživatel (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • Odeberte čárku: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Pokusy o únik čárky pomocí znaku zpětného lomítka však selžou s chybou v protokolech CRP:

  • Čárka s řídicím kódem: CN=Test User (TestCompany\, LLC), OU=UserAccounts,DC=corp,DC=contoso,DC=com

Chyba se podobá následující chybě:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Přiřazení profilu certifikátu

Přiřaďte profily certifikátů SCEP stejným způsobem, jakým nasazujete profily zařízení pro jiné účely.

Důležité

Pokud chcete použít profil certifikátu SCEP, musí zařízení také přijmout profil důvěryhodného certifikátu, který ho zřídí certifikátem důvěryhodné kořenové certifikační autority. Do stejných skupin doporučujeme nasadit profil důvěryhodného kořenového certifikátu i profil certifikátu SCEP.

Než budete pokračovat, zvažte následující:

  • Když ke skupinám přiřadíte profily certifikátů SCEP, nainstaluje se na zařízení soubor certifikátu důvěryhodné kořenové certifikační autority (jak je uvedený v profilu důvěryhodného certifikátu). Zařízení používá profil certifikátu SCEP k vytvoření žádosti o certifikát pro tento certifikát důvěryhodné kořenové certifikační autority.

  • Profil certifikátu SCEP se nainstaluje jenom na zařízení, na kterých běží platforma, kterou jste zadali při vytváření profilu certifikátu.

  • Profily certifikátů můžete přiřadit kolekcím uživatelů nebo kolekcím zařízení.

  • Pokud chcete rychle publikovat certifikát na zařízení po registraci zařízení, přiřaďte profil certifikátu skupině uživatelů, nikoli skupině zařízení. Pokud přiřadíte skupině zařízení, vyžaduje se úplná registrace zařízení, než zařízení obdrží zásady.

  • Pokud pro Intune a Configuration Manager používáte spolusprávu, nastavte v Configuration Manager posuvník úloh pro zásady přístupu k prostředkům na Intune nebo pilotní Intune. Toto nastavení umožňuje klientům Windows 10/11 zahájit proces vyžádání certifikátu.

Poznámka

  • Pokud je profil certifikátu SCEP nebo profil certifikátu PKCS přidružený k dalšímu profilu, jako je profil Wi-Fi nebo VPN, zařízení na zařízení na zařízeních s iOSem nebo iPadOS obdrží certifikát pro každý z těchto dalších profilů. Výsledkem je, že zařízení s iOS/iPadOS má více certifikátů dodaných žádostí o certifikát SCEP nebo PKCS.

    Certifikáty doručené SCEP jsou jedinečné. Certifikáty doručované službou PKCS jsou stejný certifikát, ale zobrazují se jinak, protože každá instance profilu je reprezentována samostatným řádkem v profilu správy.

  • V iOSu 13 a macOS 10.15 existují některé další požadavky na zabezpečení, které Apple zdokumentuje , aby je zohlednil.

Další kroky

Přiřazení profilů

Řešení potíží s nasazením profilů certifikátů SCEP