Konfigurieren und Verwenden Ihrer PKCS-Zertifikate mit IntuneConfigure and use PKCS certificates with Intune

Zertifikate werden verwendet, um den Zugriff auf Ihre Unternehmensressourcen (z.B. ein VPN- oder ein WLAN-Netzwerk) zu authentifizieren und zu sichern.Certificates are used to authenticate and secure access to your corporate resources, such as a VPN or your WiFi network. In diesem Artikel wird erläutert, wie Sie ein PKCS-Zertifikat exportieren und anschließend dieses Zertifikat zu einem Intune-Profil hinzufügen.This article shows you how to export a PKCS certificate, and then add the certificate to an Intune profile.

AnforderungenRequirements

Zur Verwendung von PKCS-Zertifikaten mit Intune müssen Sie über folgende Infrastruktur verfügen:To use PKCS certificates with Intune, be sure you have the following infrastructure:

  • Eine Active Directory-Domäne: Alle in diesem Abschnitt aufgeführten Server müssen der Active Directory-Domäne angehören.Active Directory domain: All servers listed in this section must be joined to your Active Directory domain.

    Informationen zum Installieren und Konfigurieren von Active Directory Domain Services finden Sie unter AD DS Design and Planning (AD DS-Entwurf und -Planung).For more information about installing and configuring AD DS, see AD DS Design and Planning.

  • Eine Zertifizierungsstelle (Certification Authority, CA): Eine Unternehmenszertifizierungsstelle.Certification Authority (CA): An Enterprise Certification Authority (CA)

    Weitere Informationen zum Installieren und Konfigurieren von Active Directory-Zertifikatdiensten finden Sie unter Active Directory Certificate Services Step-by-Step Guide (Ausführliche Anleitung zu den Active Directory-Zertifikatdiensten).For more information on installing and configuring Active Directory Certificate Services (AD CS), see Active Directory Certificate Services Step-by-Step Guide.

    Warnung

    Für Intune müssen AD CS mit einer Unternehmenszertifizierungsstelle, nicht mit einer eigenständigen Zertifizierungsstelle ausgeführt werden.Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Einen Client zum Herstellen einer Verbindung mit der Unternehmenszertifizierungsstelle.A client: To connect to the Enterprise CA

  • Ein Stammzertifikat: Eine exportierte Kopie Ihres Stammzertifikats aus Ihrer Unternehmenszertifizierungsstelle.Root certificate: An exported copy of your root certificate from your Enterprise CA

  • Microsoft Intune Certificate Connector: Verwenden Sie das Azure-Portal zum Herunterladen des Installationsprogramms für den Certificate Connector (NDESConnectorSetup.exe).Microsoft Intune Certificate Connector: Use the Azure portal to download the Certificate Connector installer (NDESConnectorSetup.exe).

    Der NDES-Certificate Connector unterstützt ebenfalls den FIPS-Modus (Federal Information Processing Standard).The NDES Certificate connector also supports Federal Information Processing Standard (FIPS) mode. FIPS ist nicht erforderlich, Sie können jedoch Zertifikate ausstellen und widerrufen, wenn dieser Modus aktiviert ist.FIPS is not required, but you can issue and revoke certificates when it's enabled.

  • Windows Server: Hostet den Microsoft Intune Certificate Connector (NDESConnectorSetup.exe).Windows Server: Hosts the Microsoft Intune Certificate Connector (NDESConnectorSetup.exe)

Exportieren des Stammzertifikats aus der UnternehmenszertifizierungsstelleExport the root certificate from the Enterprise CA

Sie benötigen auf jedem Gerät ein Zertifikat einer Stamm- oder Zwischenzertifizierungsstelle für die Authentifizierung über VPN, WLAN und anderen Ressourcen.To authenticate with VPN, WiFi, and other resources, a root, or intermediate CA certificate is needed on each device. Die folgenden Schritte erläutern, wie das erforderliche Zertifikat von Ihrer Unternehmenszertifizierungsstelle abgerufen wird.The following steps explain how to get the required certificate from your Enterprise CA.

  1. Melden Sie sich bei Ihrer Unternehmenszertifizierungsstelle mit einem Konto an, das über Administratorrechte verfügt.Sign in to your Enterprise CA with an account that has administrative privileges.

  2. Öffnen Sie eine Eingabeaufforderung als Administrator.Open a command prompt as an administrator.

  3. Exportieren Sie das Zertifikat der Stammzertifizierungsstelle (.cer) an einen Speicherort, an dem Sie später darauf zugreifen können.Export the Root CA Certificate (.cer) to a location where you can access it later.

    Beispiel:For example:

  4. Nach Abschluss des Assistenten, jedoch vor dem Schließen des Assistenten, klicken Sie auf Zertifikatconnector-Benutzeroberfläche starten.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    certutil -ca.cert certnew.cer

    Weitere Informationen finden Sie unter Certutil-Tasks zum Verwalten von Zertifikaten.For more information, see Certutil tasks for managing certificates.

Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleConfigure certificate templates on the certification authority

  1. Melden Sie sich bei Ihrer Unternehmenszertifizierungsstelle mit einem Konto an, das über Administratorrechte verfügt.Sign in to your Enterprise CA with an account that has administrative privileges.
  2. Öffnen Sie die Konsole Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.Open the Certification Authority console, right-click Certificate Templates, and select Manage.
  3. Suchen Sie die Zertifikatvorlage Benutzer, klicken Sie mit der rechten Maustaste darauf, und klicken Sie auf Vorlage duplizieren.Locate the User certificate template, right-click it, and choose Duplicate Template. Dann werden die Eigenschaften der neuen Vorlage geöffnet.Properties of New Template opens.
  4. Gehen Sie auf der Registerkarte Konformität wie folgt vor:On the Compatibility tab:
  • Legen Sie Zertifizierungsstelle auf Windows Server 2008 R2 fest.Set Certification Authority to Windows Server 2008 R2
  • Legen Sie Zertifizierungsstelle auf Windows 7/Server 2008 R2 fest.Set Certificate recipient to Windows 7 / Server 2008 R2
  1. Legen Sie auf der Registerkarte Allgemein für Vorlagenanzeigename einen für Sie aussagekräftigen Namen fest.On the General tab, set Template display name to something meaningful to you.

    Warnung

    Vorlagenname entspricht standardmäßig dem Vorlagenanzeigenamen ohne Leerzeichen.Template name by default is the same as Template display name with no spaces. Notieren Sie sich den Namen der Vorlage, da Sie diesen später brauchen werden.Note the template name, you need it later.

  2. Klicken Sie unter Anforderungsverarbeitung auf Exportieren von privatem Schlüssel zulassen.In Request Handling, select Allow private key to be exported.

  3. Bestätigen Sie unter Kryptografie, dass die Minimale Schlüsselgröße auf 2048 festgelegt ist.In Cryptography, confirm that the Minimum key size is set to 2048.

  4. Klicken Sie unter Antragstellername auf Supply in the request (Informationen werden in der Anforderung angegeben).In Subject Name, choose Supply in the request.

  5. Überprüfen Sie unter Erweiterungen, ob „Verschlüsselndes Dateisystem“, „Sichere E-Mail“ und „Clientauthentifizierung“ unter Anwendungsrichtlinien angezeigt werden.In Extensions, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Wichtig

    Wechseln Sie für iOS-Zertifikatvorlagen auf die Registerkarte Erweiterungen, aktualisieren Sie die Option Schlüsselverwendung, und stellen Sie sicher, dass die Option Signatur ist Ursprungsnachweis nicht aktiviert ist.For iOS certificate templates, go to the Extensions tab, update Key Usage, and confirm that Signature is proof of origin isn't selected.

  6. Fügen Sie unter Sicherheit das Computerkonto für den Server hinzu, auf dem Sie den Microsoft Intune Certificate Connector installieren.In Security, add the Computer Account for the server where you install the Microsoft Intune Certificate Connector. Weisen Sie diesem Konto die Berechtigungen Lesen und Registrieren zu.Allow this account Read and Enroll permissions.

  7. Klicken Sie zuerst auf Anwenden und dann auf OK, um die Zertifikatvorlage zu speichern.Select Apply, then OK to save the certificate template.

  8. Schließen Sie die Zertifikatvorlagenkonsole.Close the Certificate Templates Console.

  9. Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Neu und auf Auszustellende Zertifikatvorlage.From the Certification Authority console, right-click Certificate Templates, New, Certificate Template to Issue. Klicken Sie auf die Vorlage, die Sie in den vorherigen Schritten erstellt haben, und klicken Sie anschließend auf OK.Choose the template that you created in the previous steps, and select OK.

  10. Gehen Sie folgendermaßen vor, damit der Server Zertifikate im Namen von bei Intune registrierten Geräten und Benutzern verwaltet:For the server to manage certificates on behalf of Intune enrolled devices and users, follow these steps:

    1. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und wählen Sie Eigenschaften.Right-click the Certification Authority, choose Properties.
    2. Fügen Sie auf der Registerkarte „Sicherheit“ das Computerkonto des Servers hinzu, auf dem Sie den Microsoft Intune Certificate Connector ausführen.On the security tab, add the Computer account of the server where you run the Microsoft Intune Certificate Connector. Erteilen Sie dem Computerkonto die Zulassungsberechtigungen Zertifikate ausstellen und verwalten und Zertifikate anfordern.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  11. Melden Sie sich von der Unternehmenszertifizierungsstelle ab.Sign out of the Enterprise CA.

Herunterladen, Installieren und Konfigurieren von Certificate ConnectorDownload, install, and configure the certificate connector

ConnectorDownloadConnectorDownload

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Klicken Sie auf Alle Dienste, filtern Sie nach Intune, und klicken Sie dann auf Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.

  3. Klicken Sie auf Gerätekonfiguration und dann auf Zertifizierungsstelle.Select Device configuration, and then select Certification Authority.

  4. Klicken Sie auf Hinzufügen und dann auf Connectordatei herunterladen.Select Add, and Download the Connector file. Speichern Sie den Download an einem Speicherort, auf den Sie auf dem Server zugreifen können, auf dem der Connector installiert wird.Save the download to a location where you can access it from the server where you're going to install it.

  5. Melden Sie sich beim Server an, sobald der Download abgeschlossen ist.After the download completes, sign in to the server. Führen Sie anschließend Folgendes durch:Then:

    1. Stellen Sie sicher, dass .NET Framework 4.5 installiert ist (dies ist für den NDES-Certificate Connector erforderlich).Be sure .NET 4.5 Framework is installed, as it's required by the NDES Certificate connector. .NET Framework 4.5 ist automatisch in Windows Server 2012 R2 und höheren Versionen enthalten..NET 4.5 Framework is automatically included with Windows Server 2012 R2 and newer versions.
    2. Führen Sie das Installationsprogramm (NDESConnectorSetup.exe) aus, und übernehmen Sie den Standardspeicherort.Run the installer (NDESConnectorSetup.exe), and accept the default location. Dadurch wird der Connector unter \Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe installiert.It installs the connector to \Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe. Klicken Sie unter den Optionen des Installationsprogramms auf PFX Distribution (PFX-Verteilung).In Installer Options, select PFX Distribution. Setzen Sie die Installation fort, und schließen Sie sie ab.Continue and complete the installation.
  6. Der NDES-Connector öffnet die Registerkarte Registrierung. Klicken Sie zum Aktivieren der Verbindung mit Intune auf Anmelden, und geben Sie ein Konto mit globalen Administratorberechtigungen an.The NDES Connector opens the Enrollment tab. To enable the connection to Intune, Sign In, and enter an account with global administrative permissions.

  7. Lassen Sie auf der Registerkarte Erweitert Optionsfeld Use this computer's SYSTEM account (default) (Konto SYSTEM dieses Computers verwenden (Standard)) aktiviert.On the Advanced tab, leave Use this computer's SYSTEM account (default) selected.

  8. Klicken Sie zuerst auf Anwenden und dann auf Schließen.Apply, and then Close.

  9. Wechseln Sie zurück zum Azure-Portal (Intune > Gerätekonfiguration > Zertifizierungsstelle).Go back to the Azure portal (Intune > Device Configuration > Certification Authority). Nach einigen Momenten wird ein grünes Häkchen angezeigt, und der Verbindungsstatus ist Aktiv.After a few moments, a green check mark displays, and the Connection status is Active. Ihr Connectorserver kann jetzt mit Intune kommunizieren.Your connector server can now communicate with Intune.

Hinweis

Die Unterstützung für TLS 1.2 ist im NDES-Certificate Connector enthalten.TLS 1.2 support is included with the NDES Certificate connector. Wenn der Server, auf dem NDES-Certificate Connector installiert ist, TLS 1.2 unterstützt, wird TLS 1.2 verwendet.So if the server with NDES Certificate connector installed supports TLS 1.2, then TLS 1.2 is used. Wenn der Server TLS 1.2 nicht unterstützt, wird TLS 1.1 verwendet.If the server doesn't support TLS 1.2, then TLS 1.1 is used. Derzeit wird TLS 1.1 für die Authentifizierung zwischen den Geräten und dem Server verwendet.Currently, TLS 1.1 is used for authentication between the devices and server.

Erstellen eines GerätekonfigurationsprofilsCreate a device configuration profile

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Navigieren Sie zu Intune > Gerätekonfiguration > Profile > Profil erstellen.Go to Intune > Device configuration > Profiles > Create profile.

    NavigateIntuneNavigateIntune

  3. Geben Sie die folgenden Eigenschaften ein:Enter the following properties:

  • Name für das ProfilName for the profile
  • Optional eine BeschreibungOptionally set a description
  • Plattform, auf der das Profil bereitgestellt werden sollPlatform to deploy the profile to
  • Für Profiltyp die Option Vertrauenswürdiges ZertifikatSet Profile type to Trusted certificate
  1. Gehen Sie zu Einstellungen, und geben Sie die zuvor exportierte CER-Datei mit dem Zertifikat der Stammzertifizierungsstelle an.Go to Settings, and enter the .cer file Root CA Certificate you previously exported.

    Hinweis

    Abhängig von der in Schritt 3 ausgewählten Plattform besitzen Sie möglicherweise die Option zum Auswählen des Zielspeichers für das Zertifikat.Depending on the platform you chose in Step 3, you may or may not have an option to choose the Destination store for the certificate.

    ProfileSettingsProfileSettings

  2. Klicken Sie auf OK und dann auf Erstellen, um Ihr Profil zu speichern.Select OK, and then Create to save your profile.

  3. Informationen zum Zuweisen des neuen Profils zu einem oder mehreren Geräten finden Sie unter Zuweisen von Microsoft Intune-Geräteprofilen.To assign the new profile to one or more devices, see assign Microsoft Intune device profiles.

Erstellen eines PKCS-ZertifikatprofilsCreate a PKCS Certificate profile

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Navigieren Sie zu Intune > Gerätekonfiguration > Profile > Profil erstellen.Go to Intune > Device configuration > Profiles > Create profile.
  3. Geben Sie die folgenden Eigenschaften ein:Enter the following properties:
  • Name für das ProfilName for the profile
  • Optional eine BeschreibungOptionally set a description
  • Plattform, auf der das Profil bereitgestellt werden sollPlatform to deploy the profile to
  • Für Profiltyp die Option PKCS-ZertifikatSet Profile type to PKCS Certificate
  1. Gehen Sie zu Einstellungen, und geben Sie die folgenden Eigenschaften ein:Go to Settings, and enter the following properties:
  • Erneuerungsschwellenwert (%): Empfohlen wird ein Wert von 20 %.Renewal threshold (%) - Recommended is 20%.
  • Gültigkeitsdauer des Zertifikats: Wenn Sie die Zertifikatvorlage nicht geändert haben, ist diese Option auf ein Jahr festgelegt.Certificate validity period - If you didn't change the certificate template, this option may be set to one year.
  • Zertifizierungsstelle: Zeigt den internen vollqualifizierten Domänennamen (FQDN) Ihrer Unternehmenszertifizierungsstelle an.Certification authority - Displays the internal fully qualified domain name (FQDN) of your Enterprise CA.
  • Name der Zertifizierungsstelle: Gibt den Namen Ihrer Unternehmenszertifizierungsstelle an, der sich ggf. vom vorherigen Element unterscheidet.Certification authority name - Lists the name of your Enterprise CA, and it may be different than the previous item.
  • Name der Zertifikatvorlage: Der Name der zuvor erstellten Vorlage.Certificate template name - The name of the template created earlier. Beachten Sie, dass der Vorlagenname standardmäßig dem Vorlagenanzeigenamen ohne Leerzeichen entspricht.Remember Template name by default is the same as Template display name with no spaces.
  • Format des Antragstellernamens: Legen Sie diese Option auf Allgemeiner Name fest, sofern kein anderes Format erforderlich ist.Subject name format - Set this option to Common name unless otherwise required.
  • Alternativer Antragstellername: Legen Sie diese Option auf Benutzerprinzipalname (UPN) fest, sofern nichts anderes erforderlich ist.Subject alternative name - Set this option to User principal name (UPN) unless otherwise required.
  • Erweiterte Schlüsselverwendung: Sofern Sie im vorherigen Abschnitt Konfigurieren von Zertifikatvorlagen für die Zertifizierungsstelle für Schritt 10 die Standardeinstellungen verwendet haben, fügen Sie aus dem Auswahlfeld die folgenden vordefinierten Werte hinzu:Extended key usage - As long as you used the default settings in Step 10 in the Configure certificate templates on the certification authority section (in this article), add the following Predefined values from the selection:
    • Verwendung für beliebigen ZweckAny Purpose
    • ClientauthentifizierungClient Authentication
    • Sichere E-MailSecure Email
  • Stammzertifikat (für Android-Profile): Gibt die CER-Datei an, die in Schritt 3 im Abschnitt Exportieren des Stammzertifikats aus der Unternehmenszertifizierungsstelle exportiert wurde.Root Certificate - (For Android Profiles) Lists the .cer file exported in Step 3 in the Export the root certificate from the Enterprise CA section (in this article).
  1. Klicken Sie zuerst auf OK und dann auf Erstellen, um Ihr Profil zu speichern.Select OK, then Create to save your profile.
  2. Informationen zum Zuweisen des neuen Profils zu einem oder mehreren Geräten finden Sie unter Zuweisen von Microsoft Intune-Geräteprofilen.To assign the new profile to one or more devices, see assign Microsoft Intune device profiles.

Nächste SchritteNext steps

Verwenden Sie SCEP-Zertifikate oder stellen Sie PKCS-Zertifikate über einen Symantec-PKI-Verwaltungswebservice aus.Use SCEP certificates, or issue PKCS certificates from a Symantec PKI manager web wervice.