Konfigurace infrastruktury certifikátuConfigure certificate infrastructure

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Toto téma popisuje, co potřebujete k vytvoření a nasazení profilů certifikátů .PFX.This topic describes what you need in order to create and deploy .PFX certificate profiles.

Pokud chcete v rámci své organizace používat ověření na základě certifikátů, potřebujete certifikační autoritu organizace.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

Pokud chcete používat profily certifikátů .PFX, kromě certifikační autority organizace budete potřebovat ještě tyto položky:To use .PFX Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • Počítač, který může komunikovat s certifikační autoritou, nebo použijte přímo počítač certifikační autority.A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • Intune Certificate Connector běžící na počítači, který může komunikovat se službou certifikační autorityThe Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

Popis místní infrastrukturyOn-premises infrastructure description

  • Doména služby Active Directory: Všechny servery uvedené v této části (s výjimkou proxy serveru webové aplikace) musí být připojené k vaší doméně služby Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Certifikační autorita: Certifikační autorita organizace (CA), která běží na verzi Enterprise systému Windows Server 2008 R2 nebo novější.Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Samostatná certifikační autorita není podporovaná.A Standalone CA is not supported. Návod, jak nastavit certifikační autoritu, najdete v tématu Instalace certifikační autority.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Pokud certifikační autorita používá Windows Server 2008 R2, musíte instalovat opravu hotfix z KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Počítač, který může komunikovat s certifikační autoritou: Můžete taky použít přímo počítač certifikační autority.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Microsoft Intune Certificate Connector: Prostřednictvím konzoly pro správu Intune můžete stáhnout instalační program konektoru Certificate Connector (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Pak můžete soubor ndesconnectorssetup.exe spustit na počítači, kde chcete konektor Certificate Connector nainstalovat.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. V případě profilů certifikátů .PFX nainstalujte Certificate Connector v počítači, který komunikuje s certifikační autoritou.For .PFX Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Proxy server webových aplikací (volitelné): Jako proxy server služby Proxy webových aplikací (WAP) můžete použít server se systémem Windows Server 2012 R2 nebo novějším.Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Tato konfigurace:This configuration:

    • Umožňuje zařízením získat certifikáty pomocí připojení k internetu.Allows devices to receive certificates using an Internet connection.
    • Je doporučeným zabezpečením v případě, že se zařízení připojují prostřednictvím internetu za účelem příjmu a obnovení certifikátů.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Poznámka

Certifikáty a šablonyCertificates and Templates

ObjektObject PodrobnostiDetails
Šablona certifikátuCertificate Template Tuto šablonu konfigurujete na své vydávající certifikační autoritě.You configure this template on your issuing CA.
Certifikát důvěryhodné kořenové certifikační autorityTrusted Root CA certificate Ten exportujete jako soubor .cer z vydávající certifikační autority nebo jakéhokoli zařízení, které důvěřuje vydávající certifikační autoritě, a nasadíte ho do zařízení pomocí profilu certifikátu důvěryhodné certifikační autority.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and deploy it to devices by using the Trusted CA certificate profile.

Použijete jeden certifikát důvěryhodné kořenové certifikační autority na každou platformu operačního systému a přidružíte ho ke každému profilu důvěryhodného kořenového certifikátu, který vytvoříte.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Pokud potřebujete, můžete vytvořit další certifikáty důvěryhodné kořenové certifikační autority.You can use additional Trusted Root CA certificates when needed. Můžete to třeba udělat, abyste vytvořili vztah důvěryhodnosti k certifikační autoritě, která podepisuje ověřovací certifikáty serverů pro vaše přístupové body Wi-Fi.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Konfigurace infrastrukturyConfigure your infrastructure

Než budete moci konfigurovat profily certifikátů, je třeba provést následující úlohy.Before you can configure certificate profiles, you must complete the following tasks. Tyto úlohy vyžadují znalost systému Windows Server 2012 R2 a ADCS (Active Directory Certificate Services):These tasks require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • Úloha 1: Konfigurace šablon certifikátů v certifikační autoritě.Task 1 - Configure certificate templates on the certification authority.
  • Úloha 2ovolení, instalace a konfigurace Certificate Connectoru Intune.Task 2 - Enable, install, and configure the Intune Certificate Connector.

Úloha 1 – konfigurace šablon certifikátů v certifikační autoritěTask 1 - Configure certificate templates on the certification authority

V této úloze budete publikovat šablonu certifikátu.In this task, you will publish the certificate template.

Konfigurace certifikační autorityTo configure the certification authority
  1. Ve vydávající certifikační autoritě vytvořte novou vlastní šablonu pomocí modulu snap-in Šablony certifikátů, nebo zkopírujte a upravte některou z existujících šablon (například šablona Uživatel) pro použití s .PFX.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with .PFX.

    Šablona musí obsahovat následující vlastnosti:The template must include the following:

    • Zadejte popisný zobrazovaný název šablony .Specify a friendly Template display name for the template.

    • Na kartě Název subjektu vyberte možnost Dodán v žádosti.On the Subject Name tab, select Supply in the request.

    • Na kartě Rozšíření zkontrolujte, jestli Popis zásad použití obsahuje Ověření klienta.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Důležité

      V případě šablon certifikátů pro iOS a Mac OS X na kartě Rozšíření upravte Použití klíče a ujistěte se, že není vybraná možnost Podpis je důkazem původu .For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Zkontrolujte Období platnosti na kartě Obecné šablony.Review the Validity period on the General tab of the template. Ve výchozím nastavení Intune používá hodnotu nakonfigurovanou v šabloně.By default, Intune uses the value configured in the template. Máte ale možnost konfigurovat, aby certifikační autorita žadateli umožňovala určit jinou hodnotu, kterou pak můžete nastavit v konzole pro správu Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Pokud chcete vždy používat hodnotu v šabloně, zbývající část tohoto kroku přeskočte.If you want to always use the value in the template, skip the remainder of this step.

    Důležité

    Platformy iOS a Mac OS X vždycky používají hodnotu nastavenou v šabloně bez ohledu na ostatní konfigurace, které provedete.The iOS and Mac OS X platforms always uses the value set in the template, regardless of other configurations you make.

    Pokud chcete certifikační autoritu konfigurovat, aby žadateli umožňovala určit dobu platnosti, spusťte v certifikační autoritě následující příkazy:To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Ve vydávající certifikační autoritě použijte modul snap-in Certifikační autorita k publikování šablony certifikátu.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Vyberte uzel Šablony certifikátů, klikněte na Akce-> Nové > Vystavovaná šablona certifikátu a potom vyberte šablonu, kterou jste vytvořili v kroku 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Ověřte, že je šablona publikovaná, jejím zobrazením ve složce Šablony certifikátů .Validate that the template published by viewing it under the Certificate Templates folder.

  4. Na počítači certifikační autority (CA) zkontrolujte, zda počítač, který je hostitelem Certificate Connectoru Intune, má oprávnění k registraci. Tím bude mít přístup k šabloně použité při vytváření profilu .PFX.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the .PFX profile. Nastavte tato oprávnění na kartě Zabezpečení vlastností počítače certifikační autority.Set that permission on the Security tab of the CA computer properties.

Úloha 2 – Povolení, instalace a konfigurace Intune Certificate ConnectoruTask 2 - Enable, install, and configure the Intune Certificate Connector

V této úloze:In this task you will:

Stažení, instalace a konfigurace Certificate Connectoru.Download, install, and configure the Certificate Connector.

Povolení podpory pro Certificate ConnectorTo enable support for the Certificate Connector
  1. Otevřete konzolu správce Intune a zvolte Správce > Certificate Connector.Open the Intune administration console, and choose Admin > Certificate Connector.

  2. Zvolte možnost Konfigurace místního Certificate Connectoru.Choose Configure On-Premises Certificate Connector.

  3. Vyberte Zapnout Certificate Connectora potom zvolte OK.Select Enable Certificate Connector, and then choose OK.

Stažení, instalace a konfigurace Certificate ConnectoruTo download, install, and configure the Certificate Connector
  1. Otevřete konzolu správce Intune a zvolte Správce > Správa mobilních zařízení > Certificate Connector > Stáhnout Certificate Connector.Open the Intune administration console, and then choose Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Po dokončení stahování spusťte stažený instalační program (ndesconnectorssetup.exe).After the download completes, run the downloaded installer (ndesconnectorssetup.exe).

    Spusťte instalační program na počítači, který se bude moct připojit k certifikační autoritě.Run the installer on the computer that is able to connect with the Certification Authority. Zvolte distribuci .PFX a zvolte Nainstalovat.Choose the .PFX Distribution option, and then choose Install. Po dokončení instalace pokračujte vytvořením profilu certifikátu podle popisu v části Konfigurace profilů certifikátů.When the installation has completed, continue by creating a certificate profile as described in Configure certificate profiles.

  3. Pokud budete vyzváni k zadání klientského certifikátu pro Certificate Connector, zvolte Vybrata vyberte certifikát pro ověřování klientů, který jste nainstalovali v úloze 3.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed in Task 3.

    Po vybrání certifikátu pro ověřování klientů se vrátíte na plochu Klientský certifikát pro konektor Certificate Connector služby Microsoft Intune .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. I když vybraný certifikát není zobrazený, zvolte Další. Zobrazí se vlastnosti certifikátu.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Zvolte možnost Další a potom Nainstalovat.Then choose Next, and then Install.

  4. Po dokončení průvodce klikněte před jeho zavřením na Spustit uživatelské rozhraní konektoru Certificate Connector.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tip

    Pokud průvodce zavřete před spuštěním uživatelského rozhraní konektoru Certificate Connector, můžete ho znovu otevřít spuštěním následujícího příkazu:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <cesta_k_instalaci>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. V uživatelském rozhraní Certificate Connectoru :In the Certificate Connector UI:

    a.a. Vyberte možnost Přihlásit a zadejte své přihlašovací údaje správce služby Intune nebo přihlašovací údaje správce klienta s oprávněním pro globální správu.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Vyberte kartu Upřesnit a pak zadejte přihlašovací údaje pro účet, který má oprávnění vydávat a spravovat certifikáty ve vaší vydávající certifikační autoritě.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Zvolte Použít.Choose Apply.

    Teď můžete zavřít uživatelského rozhraní Certificate Connectoru.You can now close the Certificate Connector UI.

  6. Otevřete příkazový řádek a zadejte services.msc.Open a command prompt and type services.msc. Stiskněte klávesu Enter, klikněte pravým tlačítkem myši na službu konektoru Intune a zvolte Restartovat.Then press Enter, right-click the Intune Connector Service, and choose Restart.

Další krokyNext steps

Teď jste připravení nastavit profily certifikátů podle návodu v tématu Konfigurace profilů certifikátu.You are now ready to set up certificate profiles, as described in Configure certificate profiles.

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback