Konfigurace infrastruktury certifikátů pro SCEPConfigure certificate infrastructure for SCEP

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Toto téma popisuje, jakou infrastrukturu potřebujete k vytvoření a nasazení profilů certifikátů SCEP.This topic describes what infrastructure you need in order to create and deploy SCEP certificate profiles.

Místní infrastrukturaOn-premises infrastructure

  • Doména služby Active Directory: Všechny servery uvedené v této části (s výjimkou proxy serveru webové aplikace) musí být připojené k vaší doméně služby Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Certifikační autorita (CA): Označuje se jako vydávající certifikační autorita. Musíte mít certifikační autoritu organizace, která běží na verzi Enterprise systému Windows Server 2008 R2 nebo novějšího.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Samostatná certifikační autorita není podporovaná.A Standalone CA is not supported. Návod, jak nastavit certifikační autoritu, najdete v tématu Instalace certifikační autority.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Pokud certifikační autorita používá Windows Server 2008 R2, musíte instalovat opravu hotfix z KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564. II

  • Server NDES: Na serveru, na kterém běží Windows Server 2012 R2 nebo novější, musíte nastavit službu zápisu síťových zařízení (NDES).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Intune nepodporuje používání služby zápisu síťových zařízení, pokud běží na serveru, na kterém běží taky certifikační autorita organizace.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Pokyny k tomu, jak konfigurovat Windows Server 2012 R2 k hostování služby zápisu síťových zařízení, najdete v tématu Doprovodné materiály ke službě zápisu síťových zařízení.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Server NDES musí být připojený k doméně, která je hostitelem certifikační autority, a nesmí být na stejném serveru jako tato autorita.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. Další informace o nasazení serveru NDES v samostatné doménové struktuře, izolované síti nebo interní doméně najdete v tématu věnovaném použití modulu zásad se službou zápisu síťových zařízení.More information about deploying the NDES server in a separate forest, isolated network or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Certificate Connector: Prostřednictvím konzoly pro správu Intune můžete stáhnout instalační program konektoru Certificate Connector (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Pak můžete soubor ndesconnectorssetup.exe spustit na počítači, kde chcete konektor Certificate Connector nainstalovat.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • Proxy server webových aplikací (volitelné): Jako server služby Proxy webových aplikací (WAP) můžete použít server se systémem Windows Server 2012 R2 nebo novějším.Web Application Proxy Server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Tato konfigurace:This configuration:

    • Umožňuje zařízením získat certifikáty pomocí připojení k internetu.Allows devices to receive certificates using an Internet connection.
    • Je doporučeným zabezpečením v případě, že se zařízení připojují prostřednictvím internetu za účelem příjmu a obnovení certifikátů.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Poznámka

Požadavky sítěNetwork requirements

Z internetu do hraniční sítě povolte port 443 ze všech hostitelů nebo IP adres na internetu k serveru NDES.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Z hraniční sítě do důvěryhodné sítě povolte všechny porty a protokoly nutné pro doménový přístup k serveru NDES připojenému k doméně.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Server NDES potřebuje přístup k serverům certifikátů, serverům DNS, serverům nástroje Configuration Manager a řadičům domény.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers and domain controllers.

Doporučujeme publikování serveru NDES prostřednictvím proxy serveru, jako je například Azure AD Application Proxy, Web Access Proxy nebo proxy server jiného výrobce.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Certifikáty a šablonyCertificates and Templates

ObjektObject PodrobnostiDetails
Šablona certifikátuCertificate Template Tuto šablonu konfigurujete na své vydávající certifikační autoritě.You configure this template on your issuing CA.
Certifikát pro ověřování klientůClient authentication certificate Tento certifikát vyžádaný z vaší vydávající certifikační autority nebo veřejné certifikační autority nainstalujte na server NDES.Requested from your issuing CA or public CA, you install this certificate on the NDES Server.
Ověřovací certifikát serverůServer authentication certificate Tento certifikát SSL vyžádaný z vaší vydávající certifikační autority nebo veřejné certifikační autority nainstalujte a připojte ve službě IIS na serveru NDES.Requested from your issuing CA or public CA, you install and bind this SSL certificate in IIS on the NDES server.
Certifikát důvěryhodné kořenové certifikační autorityTrusted Root CA certificate Ten exportujete jako soubor .cer z kořenové certifikační autority nebo jakéhokoli zařízení, které důvěřuje kořenové certifikační autoritě, a nasadíte ho do zařízení pomocí profilu certifikátu důvěryhodné certifikační autority.You export this as a .cer file from the root CA or any device which trusts the root CA, and deploy it to devices by using the Trusted CA certificate profile.

Použijete jeden certifikát důvěryhodné kořenové certifikační autority na každou platformu operačního systému a přidružíte ho ke každému profilu důvěryhodného kořenového certifikátu, který vytvoříte.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Pokud potřebujete, můžete vytvořit další certifikáty důvěryhodné kořenové certifikační autority.You can use additional Trusted Root CA certificates when needed. Můžete to třeba udělat, abyste vytvořili vztah důvěryhodnosti k certifikační autoritě, která podepisuje ověřovací certifikáty serverů pro vaše přístupové body Wi-Fi.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

ÚčtyAccounts

NázevName PodrobnostiDetails
Účet služby NDESNDES service account Zadáte účet uživatele domény, který chcete použít jako účet služby NDES.You specify a domain user account to use as the NDES Service account.

Konfigurace infrastrukturyConfigure your infrastructure

Před konfigurací profilů certifikátů musíte provést následující úlohy, které vyžadují znalosti systému Windows Server 2012 R2 a služby AD CD (Active Directory Certificate Services):Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

Úloha 1: Vytvoření účtu služby NDESTask 1: Create an NDES service account

Úloha 2: Konfigurace šablon certifikátů v certifikační autoritěTask 2: Configure certificate templates on the certification authority

Úloha 3: Konfigurace požadavků na serveru NDESTask 3: Configure prerequisites on the NDES server

Úloha 4: Konfigurace NDES pro použití se službou IntuneTask 4: Configure NDES for use with Intune

Úloha 5: Povolení, instalace a konfigurace Intune Certificate ConnectoruTask 5: Enable, install, and configure the Intune Certificate Connector

Úloha 1: Vytvoření účtu služby NDESTask 1 - Create an NDES service account

Vytvořte účet uživatele domény, který chcete použít jako účet služby NDES.Create a domain user account to use as the NDES service account. Tento účet zadáte při konfiguraci šablon ve vydávající certifikační autoritě před instalací a konfigurací NDES.You will specify this account when you configure templates on the issuing CA before you install and configure NDES. Ověřte, že uživatel má výchozí práva Povolit místní přihlášení, Přihlásit jako službu a Přihlásit jako dávkovou úlohu.Make sure the user has the default rights, Logon Localy, Logon as a Service and Logon as a batch job rights. Některé organizace mají zásady posílení zabezpečení, které tato práva zakazují.Some organizations have hardening policies that disable those rights.

Úloha 2: Konfigurace šablon certifikátů v certifikační autoritěTask 2 - Configure certificate templates on the certification authority

V této úloze:In this task you will:

  • Konfigurujete šablonu certifikátu pro NDESConfigure a certificate template for NDES

  • Publikujete šablonu certifikátu pro NDESPublish the certificate template for NDES

Konfigurace certifikační autorityTo configure the certification authority
  1. Přihlaste se jako správce podnikové sítě.Log on as an enterprise administrator.

  2. Ve vydávající certifikační autoritě použijte modul snap-in Šablony certifikátů k vytvoření nové vlastní šablony nebo zkopírování existující šablony a následnému upravení existující šablony (jako je šablona Uživatel) pro použití s NDES.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    Šablona musí obsahovat následující konfigurace:The template must have the following configurations:

    • Zadejte popisný zobrazovaný název šablony .Specify a friendly Template display name for the template.

    • Na kartě Název subjektu vyberte možnost Dodán v žádosti.On the Subject Name tab, select Supply in the request. (Zabezpečení je vynucené modulem zásad Intune pro NDES).(Security is enforced by the Intune policy module for NDES).

    • Na kartě Rozšíření zkontrolujte, jestli Popis zásad použití obsahuje Ověření klienta.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Důležité

      V případě šablon certifikátů pro iOS a Mac OS X na kartě Rozšíření upravte Použití klíče a ujistěte se, že není vybraná možnost Podpis je důkazem původu .For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • Na kartě Zabezpečení přidejte účet služby NDES a poskytněte šabloně oprávnění k zápisu.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. Správci služby Intune, kteří vytvoří profily SCEP, vyžaduje práva pro čtení, aby při vytváření profilů SCEP mohli procházet šablony.Intune admins who will create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Poznámka

    K odvolání certifikátů vyžaduje účet služby NDES oprávnění Vydávat a spravovat certifikáty ke každé šabloně certifikátu používané profilem certifikátu.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Zkontrolujte Období platnosti na kartě Obecné šablony.Review the Validity period on the General tab of the template. Ve výchozím nastavení Intune používá hodnotu nakonfigurovanou v šabloně.By default, Intune uses the value configured in the template. Máte ale možnost konfigurovat, aby certifikační autorita žadateli umožňovala určit jinou hodnotu, kterou pak můžete nastavit v konzole pro správu Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Pokud chcete vždy používat hodnotu v šabloně, zbývající část tohoto kroku přeskočte.If you want to always use the value in the template, skip the remainder of this step.

    Důležité

    Platformy iOS a Mac OS X vždycky používají hodnotu nastavenou v šabloně bez ohledu na ostatní konfigurace, které provedete.The iOS and Mac OS X platforms always uses the value set in the template regardless of other configurations you make.

Tady jsou snímky obrazovky ukázkové konfigurace šablony.Here are screenshots of an example template configuration.

Šablona, karta Vyřízení žádosti

Šablona, karta Název subjektu

Šablona, karta Zabezpečení

Šablona, karta Rozšíření

Šablona, karta Požadavky na vystavování

Důležité

Do pole Zásady použití (na 4. snímku obrazovky) zadejte jenom požadované zásady použití.For Application Policies (in the 4th screenshot), only add the application policies required. Správnost zadaných voleb zkontrolujte se správci zabezpečení.Confirm your choices with your security admins.

Pokud chcete certifikační autoritu konfigurovat, aby žadateli umožňovala určit dobu platnosti, spusťte v certifikační autoritě následující příkazy:To configure the CA to allow the requester to specify the validity period, on the CA run the following commands:

  1. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
  2. net stop certsvcnet stop certsvc

  3. net start certsvcnet start certsvc

  1. Ve vydávající certifikační autoritě použijte modul snap-in Certifikační autorita k publikování šablony certifikátu.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    1. Vyberte uzel Šablony certifikátů, klikněte na Akce-> Nové > Vystavovaná šablona certifikátu a potom vyberte šablonu, kterou jste vytvořili v kroku 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    2. Ověřte, že je šablona publikovaná, jejím zobrazením ve složce Šablony certifikátů .Validate that the template published by viewing it under the Certificate Templates folder.

Úloha 3: Konfigurace požadavků na serveru NDESTask 3 - Configure prerequisites on the NDES server

V této úloze:In this task you will:

  • Přidáte NDES do Windows Serveru a konfigurujete službu IIS pro podporu NDESAdd NDES to a Windows Server and configure IIS to support NDES

  • Přidáte účet služby NDES do skupiny IIS_IUSRAdd the NDES Service account to the IIS_IUSR group

  • Nastavíte hlavní název služby (SPN) pro účet služby NDESSet the SPN for the NDES Service account

  1. Na serveru, který bude hostitelem NDES, se musíte přihlásit jako Správce podnikové sítěa potom pomocí Průvodce přidáním rolí a funkcí instalovat NDES:On the server that will hosts NDES, you must log on as a an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. V průvodci vyberte možnost Služba AD CS (Active Directory Certificate Services) , abyste získali přístup ke službám rolí ve službě AD CS.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Vyberte Službu zápisu síťových zařízení, zrušte zaškrtnutí políčka Certifikační autoritaa pak dokončete průvodce.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Tip

      Na stránce průvodce Průběh instalace neklikejte na Zavřít.On the Installation progress page of the wizard, do not click Close. Místo toho klikněte na odkaz Konfigurovat službu AD CS (Active Directory Certificate Services) na cílovém serveru.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Tím se otevře průvodce Konfigurace služby AD CS , který použijete pro další krok.This opens the AD CS Configuration wizard that you use for the next task. Po otevření Konfigurace služby AD CS můžete zavřít Průvodce přidáním rolí a funkcí.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Když se na server přidá NDES, průvodce nainstaluje taky službu IIS.When NDES is added to the server, the wizard also installs IIS. Ujistěte se, že má služba IIS následující konfigurace:Ensure IIS has the following configurations:

      • Webový server > Zabezpečení > Filtrování požadavkůWeb Server > Security > Request Filtering

      • Webový server > Vývoj aplikací > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Instalace technologie ASP.NET 3.5 nainstaluje rozhraní .NET Framework 3.5.Installing ASP.NET 3.5 will install .NET Framework 3.5. Při instalaci rozhraní .NET Framework 3.5 nainstalujte základní rozhraní .NET Framework 3.5 i Aktivaci protokolem HTTP.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Webový server > Vývoj aplikací > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Instalace technologie ASP.NET 4.5 nainstaluje rozhraní .NET Framework 4.5.Installing ASP.NET 4.5 will install .NET Framework 4.5. Při instalaci .NET Framework 4.5 nainstalujte základní rozhraní .NET Framework 4.5, ASP.NET 4.5 a funkci Služby WCF > Aktivace protokolem HTTP.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Nástroje pro správu > Kompatibilita správy služby IIS 6 > Kompatibilita metabáze služby IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Nástroje pro správu > Kompatibilita správy služby IIS 6 > Kompatibilita metabáze služby IIS 6 WMIManagement Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Na serveru přidejte účet služby NDES jako člena skupiny IIS_IUSR.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Na příkazovém řádku se zvýšenými oprávněními spusťte následující příkaz pro nastavení hlavního názvu služby (SPN) účtu služby NDES:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Například pokud je název serveru NDES Server01, vaše doména je Contoso.coma účet služby je NDESService, použijte:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

Úloha 4: Konfigurace NDES pro použití se službou IntuneTask 4 - Configure NDES for use with Intune

V této úloze:In this task you will:

  • Nakonfigurujete NDES pro použití s vydávající certifikační autoritouConfigure NDES for use with the issuing CA

  • Vytvoříte vazbu certifikátu serveru ověřování (SSL) ve službě IISBind the server authentication (SSL) certificate in IIS

  • Konfigurujete filtrování požadavků ve službě IISConfigure Request Filtering in IIS

Konfigurace NDES pro použití se službou IntuneTo configure NDES for use with Intune
  1. Na serveru NDES otevřete průvodce Konfigurace služby AD CS a pak proveďte následující konfigurace.On the NDES Server, open the AD CS Configuration wizard and then make the following configurations.

    Tip

    Pokud jste klikli na odkaz v předchozí úloze, je už tento průvodce otevřený.If you clicked the link in the previous task, this wizard is already open. Jinak spusťte Správce serveru, abyste získali přístup ke konfiguraci po nasazení pro službu AD CS (Active Directory Certificate Services).Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • Na stránce Služby rolí vyberte Služba zápisu síťových zařízení.On the Role Services Page, select the Network Device Enrollment Service.

    • Na stránce Účet Služby zápisu síťových zařízení zadejte účet služby NDES.On the Service Account for NDES page, specify the NDES Service Account.

    • Na stránce Certifikační autorita pro Službu zápisu síťových zařízení klikněte na Vybrata pak vyberte vydávající certifikační autoritu, kam jste nakonfigurovali šablonu certifikátu.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • Na stránce Kryptografie pro Službu zápisu síťových zařízení nastavte délku klíče podle požadavků vaší společnosti.On the Cryptography for NDES page, set the key length to meet your company requirements.

    Na stránce Potvrzení klikněte na Konfigurovat a dokončete průvodce.On the Confirmation page, click Configure to complete the wizard.

  2. Po dokončení průvodce upravte následující klíč registru na serveru NDES:After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Pokud tento klíč chcete upravit, identifikujte Účel šablony certifikátu, jak je uvedený na kartě Vyřízení žádosti, a potom upravte odpovídající položku v registru nahrazením stávajících dat názvem šablony certifikátu (ne zobrazovaným názvem šablony), který jste zadali v úloze 1.To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. Následující tabulka mapuje účel šablony certifikátu na hodnoty v registru:The following table maps the certificate template purpose to the values in the registry:

    Účel šablony certifikátu (na kartě Vyřízení žádosti)Certificate template Purpose (On the Request Handling tab) Upravovaná hodnota registruRegistry value to edit Hodnota zobrazená v konzole pro správu Intune pro profil SCEPValue seen in the Intune admin console for the SCEP profile
    PodpisSignature SignatureTemplateSignatureTemplate Digitální podpisDigital Signature
    ŠifrováníEncryption EncryptionTemplateEncryptionTemplate Šifrování klíčeKey Encipherment
    Podpis a šifrováníSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate Šifrování klíčeKey Encipherment

    Digitální podpisDigital Signature

    Pokud je třeba účelem šablony certifikátu Šifrování, pak upravte hodnotu EncryptionTemplate , aby byla názvem vaší šablony certifikátu.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Server NDES obdrží dvě velmi dlouhé adresy URL (dotazy), které vyžadují, abyste přidali dvě položky registru:The NDES server will receive very long URL’s (queries), which require that you add two registry entries:

    UmístěníLocation HodnotaValue TypType DataData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (desítkově)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (desítkově)65534 (decimal)
  4. Ve modulu Správce služby IIS manager zvolte Výchozí web -> Filtrování požadavků -> Upravit nastavení funkcí a změňte Maximální délka adresy URL a Maximální délka řetězce dotazu na 65534 (viz obrázek).In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    Maximální délka dotazu a adresy URL ve službě IIS

  5. Restartujte server.Restart the server. Spuštění iisreset na serveru k dokončení těchto změn nestačí.Running iisreset on the server will not be sufficient to finalize these changes.

  6. Přejděte k souboru http://plně_kvalifikovaný_název_domény/certsrv/mscep/mscep.dll.Browse to http://FQDN/certsrv/mscep/mscep.dll. Měla by se zobrazit stránka NDES podobná následující stránce:You should see an NDES page similar to this:

    Test NDES

    Pokud se zobrazí 503 Služba nedostupná, zkontrolujte eventviewer.If you get a 503 Service unavailable, check the eventviewer. Je pravděpodobné, že se fond aplikací zastavil kvůli chybějícímu oprávnění pro uživatele NDES.It's likely that the application pool is stopped due to a missing right for the NDES user. Tato práva jsou popsaná v úloze 1.Those rights are described in Task 1.

Instalace a vytvoření vazby certifikátů na serveru NDESTo Install and bind certificates on the NDES Server
  1. Na serveru NDES vyžádejte a nainstalujte ověřovací certifikát serveru z vaší interní nebo veřejné certifikační autority.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Pro tento certifikát SSL pak vytvoříte vazbu ve službě IIS.You will then bind this SSL certificate in IIS.

    Tip

    Po vytvoření vazby certifikátu SSL ve službě IIS nainstalujete taky certifikát pro ověřování klientů.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Tento certifikát může být vydaný certifikační autoritou, která je důvěryhodná pro server NDES.This certificate can be issued by any CA that is trusted by the NDES Server. I když se nejedná o osvědčený postup, můžete použít stejný certifikát pro ověřování serverů i klientů, pokud má obě rozšířená použití klíče (EKU).Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKU’s). Informace o těchto ověřovacích certifikátech najdete v následujících krocích.Review the following steps for information about these authentication certificates.

    1. Po obdržení ověřovacího certifikátu serverů otevřete Správce služby IIS, vyberte Výchozí webový server v podokně Připojení a pak klikněte na Vazby v podokně Akce .After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Klikněte na Přidat, nastavte Typ na httpsa pak se ujistěte, že port je 443.Click Add, set Type to https, and then ensure the port is 443. (Pro samostatnou službu Intune je podporovaný jenom port 443.(Only port 443 is supported for standalone Intune.

    3. Jako Certifikát SSLzadejte ověřovací certifikát serverů.For SSL certificate, specify the server authentication certificate.

      Poznámka

      Pokud server NDES používá externí i interní název pro jednu síťovou adresu, musí mít ověřovací certifikát serverů Název subjektu s názvem externího veřejného serveru a Alternativní název subjektu , který obsahuje název interního serveru.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. Na serveru NDES vyžádejte a nainstalujte certifikát pro ověřování klientů z vaší interní certifikační autority nebo z veřejné certifikační autority.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Může to být stejný certifikát jako ověřovací certifikát serverů, pokud má tento certifikát obě schopnosti.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Certifikát pro ověřování klientů musí mít následující vlastnosti:The client authentication certificate must have the following properties:

    Rozšířené použití klíče – musí zahrnovat Ověření klienta.Enhanced Key Usage - This must include Client Authentication.

    Název subjektu – musí být stejný jako název DNS serveru, na který instalujete certifikát (server NDES).Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

Konfigurace filtrování požadavků služby IISTo configure IIS Request Filtering
  1. Na serveru NDES otevřete Správce služby IIS, vyberte Výchozí webový server v podokně Připojení a pak otevřete Filtrování požadavků.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Klikněte na Upravit nastavení funkcea pak nastavte tohle:Click Edit Feature Settings, and then set the following:

    řetězec dotazu (bajty) = 65534query string (Bytes) = 65534

    Maximální délka adresy URL (bajty) = 65534Maximum URL length (Bytes) = 65534

  3. Zkontrolujte následující klíč registru:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Ujistěte se, že následující hodnoty jsou nastavené jako položky DWORD:Ensure the following values are set as DWORD entries:

    Název: MaxFieldLength, s desetinnou hodnotou 65534Name: MaxFieldLength, with a decimal value of 65534

    Název: MaxRequestBytes, s desetinnou hodnotou 65534Name: MaxRequestBytes, with a decimal value of 65534

  4. Restartujte server NDES.Reboot the NDES server. Server je teď připravený na podporu konektoru Certificate Connector.The server is now ready to support the Certificate Connector.

Úloha 5: Povolení, instalace a konfigurace Intune Certificate ConnectoruTask 5 - Enable, install, and configure the Intune Certificate Connector

V této úloze:In this task you will:

Povolíte podporu NDES ve službě Intune.Enable support for NDES in Intune.

Stáhnete, nainstalujete a nakonfigurujete Certificate Connector na serveru NDES.Download, install, and configure the Certificate Connector on the NDES Server.

Povolení podpory pro Certificate ConnectorTo enable support for the Certificate Connector
  1. Otevřete konzolu správce Intune a klikněte na Správce > Certificate Connector.Open the Intune administration console, click Admin > Certificate Connector.

  2. Klikněte na Konfigurace místního Certificate Connectoru.Click Configure On-Premises Certificate Connector.

  3. Vyberte Zapnout Certificate Connectora potom klikněte na OK.Select Enable Certificate Connector, and then click OK.

Stažení, instalace a konfigurace konektoru Certificate ConnectorTo download, install and configure the Certificate Connector
  1. Otevřete konzolu správce Intune a potom klikněte na Správce > Správa mobilních zařízení > Certificate Connector > Stáhnout Certificate Connector.Open the Intune administration console, and then click Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Po dokončení stahování spusťte stažený instalační program (ndesconnectorssetup.exe) na serveru se systémem Windows Server 2012 R2.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. Tento instalační program nainstaluje taky modul zásad pro NDES a webovou službu CRP.The installer also installs the policy module for NDES and the CRP Web Service. (Webová služba CRP, CertificateRegistrationSvc, běží ve službě ve službě IIS jako aplikace).(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Poznámka

    Při instalaci NDES pro samostatnou službu Intune se s konektorem Certificate Connector automaticky nainstaluje služba CRP.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Při použití služby Intune se Správcem konfigurace nainstalujete bod registrace certifikátu (CRP) jako samostatnou roli serveru.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  3. Pokud budete vyzváni k zadání klientského certifikátu pro konektor Certificate Connector, klikněte na Vybrata vyberte certifikát pro ověřování klientů , který jste nainstalovali na server NDES v úloze 3.When prompted for the client certificate for the Certificate Connector, click Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Po vybrání certifikátu pro ověřování klientů se vrátíte na plochu Klientský certifikát pro konektor Certificate Connector služby Microsoft Intune .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. I když vybraný certifikát není zobrazený, kliknutím na Další zobrazte vlastnosti certifikátu.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Pak klikněte na Dalšía pak klikněte na Nainstalovat.Then click Next, and then click Install.

  4. Po dokončení průvodce klikněte před jeho zavřením na Spustit uživatelské rozhraní konektoru Certificate Connector.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tip

    Pokud průvodce zavřete před spuštěním uživatelského rozhraní konektoru Certificate Connector, můžete ho znovu otevřít spuštěním následujícího příkazu:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <cesta_k_instalaci>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. V uživatelském rozhraní Certificate Connectoru :In the Certificate Connector UI:

    Klikněte na Přihlásit a zadejte své přihlašovací údaje správce služby Intune nebo přihlašovací údaje správce klienta s oprávněním pro globální správu.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Pokud vaše organizace používá proxy server a ten je vyžadovaný pro přístup serveru NDES k internetu, klikněte na Použít proxy server a potom zadejte název proxy serveru, port a přihlašovací údaje účtu pro připojení.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Vyberte kartu Upřesnit a pak zadejte přihlašovací údaje pro účet, který má oprávnění Vydávat a spravovat certifikáty ve vaší vydávající certifikační autoritě, a pak klikněte na Použít.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Teď můžete zavřít uživatelského rozhraní Certificate Connectoru.You can now close the Certificate Connector UI.

  6. Otevřete příkazový řádek, zadejte services.msc a potom stiskněte Enter, klikněte pravým tlačítkem na Intune Certificate Connector a nakonec klikněte na Restartovat.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

Pokud chcete ověřit, jestli je služba spuštěná, spusťte prohlížeč a zadejte následující adresu URL, která by měla vrátit chybu 403 :To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

https:// <plně_kvalifikovaný_název_domény_serveru_NDES>/certsrv/mscep/mscep.dllhttps:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Další krokyNext steps

Teď jste připravení konfigurovat profily certifikátů podle návodu v tématu Konfigurace profilů certifikátů.You are now ready to configure certificate profiles, as described in Configure certificate profiles.

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback