CM2012_TN

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager SP2

Nástroj Configuration Manager 2012 SP2 umožňuje zřídit soubory ve formátu .pfx (Personal Information Exchange) v zařízeních uživatele. Soubory PFX můžete použít k vygenerování certifikátů uživatele pro podporu výměny šifrovaných dat. Certifikáty PFX lze vytvořit v Configuration Manageru nebo importovat. S Configuration Managerem 2012 SP2 můžou být nové nebo importované certifikáty PFX nasazené do zařízení iOS, Android a Windows 10. Tyto soubory jde potom nasadit do více zařízení pro podporu uživatelské komunikace PKI.

Tip

Podrobný postup popisující tento proces je také dostupný v části Vytvoření a nasazení profilů certifikátu PFX v Configuration Manageru.

Vytvoření a nasazení profilů certifikátu PFX (Personal Information Exchange)

Vytvoření a nasazení profilu certifikátu PFX (Personal Information Exchange)

  1. V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.

  2. V pracovním prostoru Prostředky a kompatibilita postupně rozbalte uzly Nastavení dodržování předpisů a Přístup k prostředkům společnosti a klikněte na Profily certifikátů.

  3. Na kartě Domů ve skupině Vytvořit klikněte na možnost Vytvořit profil certifikátu. Spustí se Průvodce vytvořením profilu certifikátů.

  4. Na stránce Obecné v Průvodci vytvořením profilu certifikátu zadejte následující informace:

    • Název: Zadejte jedinečný název profilu certifikátu. Opět můžete použít maximálně 256 znaků.

    • Popis: Zadejte popis, který bude stručně charakterizovat profil certifikátu, a další relevantní informace pro jeho rozpoznání v konzole Configuration Manager. Opět můžete použít maximálně 256 znaků.

    • Zadejte typ profilu certifikátu, který chcete vytvořit: Zvolte jeden z těchto typů profilů certifikátu:

      • Důvěryhodný certifikát CA: Tento typ profilu certifikátu zvolte v případě, že chcete nasadit certifikát důvěryhodné kořenové certifikační autority (CA) nebo zprostředkující certifikační autority a vytvořit důvěryhodný řetěz certifikátů, kdy musí uživatel nebo zařízení ověřit jiné zařízení. Takovým zařízením může být třeba server RADIUS (Remote Authentication Dial-In User Service) nebo server VPN (virtuální privátní síť). Profil certifikátu důvěryhodné CA je potřeba nakonfigurovat taky před tím, než vytvoříte profil certifikátu SCEP. V tomto případě musí být certifikát důvěryhodné CA důvěryhodným kořenovým certifikátem pro CA, která vydá certifikát uživateli nebo zařízení.

      • Nastavení protokolu SCEP (Simple Certificate Enrollment Protocol): Tento typ profilu certifikátu zvolte v případě, že chcete vyžádat certifikát pro uživatele nebo zařízení pomocí protokolu SCEP (Simple Certificate Enrollment Protocol) a služby role Služba zápisu síťových zařízení.

      • Nastavení Personal Information Exchange – PKCS #12 (PFX) – import: Tuto volbu vyberte, když chcete importovat certifikát PFX.

  5. V okně Vlastnosti certifikátu průvodce vytvořením profilu certifikátu určete, kde bude certifikát PFX uložený na cílovém zařízení.

    • Instalovat do čipu Trusted Platform Module (TPM), pokud existuje

    • Instalovat do čipu Trusted Platform Module (TPM), jinak selhání

    • Instalovat do zprostředkovatele úložiště klíčů pro software

    Klikněte na Další.

  6. V okně Podporované platformyPrůvodce vytvořením profilu certifikátu zadejte operační systémy nebo platformy, které můžou přijmout importovaný soubor PFX.

    • Windows 10

    • iPhone

    • iPad

    • Android

  7. Klikněte na Další, zkontrolujte stránku Souhrn a poté průvodce zavřete.

  8. Profil certifikátu obsahující soubor PFX je nyní dostupná v pracovním prostoru Profily certifikátů. V pracovním prostoru Prostředky a kompatibilita přejděte na Nastavení dodržování předpisů > Přístup k podnikovým prostředkům > Profily certifikátů a kliknutím pravým tlačítkem nasaďte nový certifikát do kolekcí uživatelů.

  9. S použitím sady SDK pro Windows 8.1 dostupné ve službě Stažení softwaru (https://go.microsoft.com/fwlink/?LinkId=613525) nasaďte funkci Vytvořit skript PFX. Funkce Vytvořit skript PFX Script přidaný c Configuration Manageru 2012 SP2 přidává třídu SMS_ClientPfxCertificate do sady SDK. Tato třída zahrnuje následující metody:

    • ImportForUser

    • DeleteForUser

    Ukázkový skript:

    $EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)

    Proměnné následujícího skriptu musíte pro váš skript upravit:

    • <blob> = objekt blob PFX šifrovaný kódováním base64

    • $Password = heslo souboru PFX

    • $ProfileName = název profilu PFX

    • ComputerName = název hostitelského počítače

Viz také

Profily certifikátů v nástroji Configuration Manager