Konfigurieren und Verwalten von PKCS-Zertifikaten mit IntuneConfigure and manage PKCS certificates with Intune

Gilt für: Intune in AzureApplies to: Intune on Azure
Suchen Sie nach der Dokumentation zu Intune in der klassischen Konsole?Looking for documentation about Intune in the classic console? Diese finden Sie hier.Go to here.

Dieses Thema erläutert, wie Sie Ihre Infrastruktur konfigurieren und dann PKCS-Zertifikatprofile mit Intune erstellen und zuweisen.This topic shows how to configure your infrastructure, then create and assign PKCS certificate profiles with Intune.

Für jede zertifikatbasierte Authentifizierung im Unternehmen benötigen Sie eine Unternehmenszertifizierungsstelle.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

Damit Sie PKCS-Zertifikatprofile verwenden können, benötigen Sie zusätzlich zur Unternehmenszertifizierungsstelle auch Folgendes:To use PKCS Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • einen Computer, der mit der Zertifizierungsstelle kommunizieren kann (Sie können auch den Computer der Zertifizierungsstelle selbst verwenden).A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • den Intune Zertifikatconnector, der auf dem Computer ausgeführt wird, der mit der Zertifizierungsstelle kommunizieren kann.The Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

Wichtige BegriffeImportant terms

  • Active Directory-Domäne: Alle in diesem Abschnitt aufgeführten Server (außer dem Webanwendungsproxy-Server) müssen der Active Directory-Domäne angehören.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Zertifizierungsstelle: Eine Unternehmenszertifizierungsstelle (Certification Authority; CA), die auf einer Enterprise-Edition von Windows Server 2008 R2 oder höher ausgeführt wird.Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Eine eigenständige Zertifizierungsstelle wird nicht unterstützt.A Standalone CA is not supported. Anleitungen zum Einrichten einer Zertifizierungsstelle finden Sie unter Installieren der Zertifizierungsstelle.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Wenn die Zertifizierungsstelle unter Windows Server 2008 R2 ausgeführt wird, müssen Sie den Hotfix von KB2483564 installieren.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Computer, der mit der Zertifizierungsstelle kommunizieren kann: Verwenden Sie alternativ den Computer der Zertifizierungsstelle selbst.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Microsoft Intune Certificate Connector: Sie laden das Installationsprogramm für den Certificate Connector (ndesconnectorssetup.exe) im Azure-Portal herunter.Microsoft Intune Certificate Connector: From the Azure portal, you download the Certificate Connector installer (ndesconnectorssetup.exe). Führen Sie ndesconnectorssetup.exe dann auf dem Computer aus, auf dem Sie den Zertifikatconnector installieren möchten.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. Installieren Sie für PKCS-Zertifikatprofile den Certificate Connector auf dem Computer, der mit der Zertifizierungsstelle kommuniziert.For PKCS Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Webanwendungsproxy-Server (optional): Sie können einen Server mit Windows Server 2012 R2 oder höher als Webanwendungsproxy-Server (WAP) verwenden.Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Diese Konfiguration:This configuration:

    • ermöglicht Geräten das Empfangen von Zertifikaten über eine Internetverbindung,Allows devices to receive certificates using an Internet connection.
    • ist eine Sicherheitsempfehlung, wenn Geräte eine Verbindung über das Internet herstellen, um Zertifikate zu empfangen oder zu erneuern.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Hinweis
    • Auf dem Server, der den WAP hostet, muss ein Update installiert werden, das die Unterstützung für lange URLs aktiviert, die vom Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service; NDES) verwendet werden.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service (NDES). Dieses Update ist im Updaterollup vom Dezember 2014enthalten oder kann auch einzeln von KB3011135heruntergeladen werden.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • Zudem muss der Server, der den WAP hostet, über ein SSL-Zertifikat verfügen, das mit dem Namen übereinstimmt, der für externe Clients veröffentlicht wird. Ferner muss das SSL-Zertifikat, das auf dem NDES-Server verwendet wird, vertrauenswürdig sein.Also, the server that hosts WAP must have an SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. Diese Zertifikate ermöglichen dem WAP-Server, die SSL-Verbindung von Clients zu beenden und eine neue SSL-Verbindung mit dem NDES-Server herzustellen.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. Weitere Informationen über Zertifikate für WAP finden Sie im Abschnitt Planen von Zertifikaten des Themas Installieren und Konfigurieren des Webanwendungsproxys für die Veröffentlichung interner Anwendungen.For information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. Allgemeine Informationen zu WAP-Servern finden Sie unter Verwenden des Webanwendungsproxys.|For general information about WAP servers, see Working with Web Application Proxy.|

Zertifikate und VorlagenCertificates and templates

ObjektObject DetailsDetails
ZertifikatvorlageCertificate Template Sie konfigurieren diese Vorlage auf der ausstellenden Zertifizierungsstelle.You configure this template on your issuing CA.
Zertifikat der vertrauenswürdigen StammzertifizierungsstelleTrusted Root CA certificate Sie exportieren dies als CER-Datei von der ausstellenden Zertifizierungsstelle oder von einem Gerät, das der ausstellenden Zertifizierungsstelle vertraut, und weisen es Geräten mithilfe des Zertifikatprofils der vertrauenswürdigen Zertifizierungsstelle zu.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and assign it to devices by using the Trusted CA certificate profile.

Sie verwenden für jede Betriebssystemplattform ein einzelnes Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle und ordnen es dem jeweiligen vertrauenswürdigen Stammzertifikatprofil zu, das Sie erstellen.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Sie können bei Bedarf zusätzliche vertrauenswürdige Stammzertifizierungsstellenzertifikate verwenden.You can use additional Trusted Root CA certificates when needed. Sie können dies zum Beispiel vornehmen, um einer Zertifizierungsstelle eine Vertrauensstellung zu gewähren, die die Serverauthentifizierungszertifikate für Ihre WLAN-Zugriffspunkte signiert.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Konfigurieren der InfrastrukturConfigure your infrastructure

Bevor Sie Zertifikatprofile konfigurieren können, müssen Sie die folgenden Schritte ausführen.Before you can configure certificate profiles, you must complete the following steps. Diese Schritte setzen Kenntnisse in Windows Server 2012 R2 und Active Directory-Zertifikatdiensten voraus:These steps require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • Schritt 1: Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleStep 1 - Configure certificate templates on the certification authority.
  • Schritt 2: Aktivieren, Installieren und Konfigurieren des Intune Certificate ConnectorsStep 2 - Enable, install, and configure the Intune Certificate Connector.

Schritt 1: Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleStep 1 - Configure certificate templates on the certification authority

So konfigurieren Sie die ZertifizierungsstelleTo configure the certification authority

  1. Verwenden Sie auf der ausstellenden Zertifizierungsstelle das Zertifikatvorlagen-Snap-In, um eine neue benutzerdefinierte Vorlage zu erstellen oder eine vorhandene Vorlage (z.B. die Vorlage „Benutzer“) zu kopieren und anschließend für die Verwendung mit PKCS zu bearbeiten.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with PKCS.

    Für die Vorlage müssen Sie folgende Aktionen ausführen:The template must include the following:

    • Geben Sie einen aussagekräftigen Vorlagenanzeigenamen für die Vorlage ein.Specify a friendly Template display name for the template.

    • Wählen Sie auf der Registerkarte Antragstellername die Option Informationen werden in der Anforderung angegeben.On the Subject Name tab, select Supply in the request. (Sicherheit wird durch das Intune-Richtlinienmodul für NDES erzwungen.)(Security is enforced by the Intune policy module for NDES).

    • Stellen Sie sicher, dass auf der Registerkarte Erweiterungen die Beschreibung der Anwendungsrichtlinien die Clientauthentifizierungumfasst.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Wichtig

      Bearbeiten Sie für iOS- und macOS-Zertifikatvorlagen auf der Registerkarte Erweiterungen die Option Schlüsselverwendung, und stellen Sie sicher, dass die Option Signatur ist Ursprungsnachweis nicht aktiviert ist.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Prüfen Sie auf der Registerkarte Allgemein die Gültigkeitsdauer der Vorlage.Review the Validity period on the General tab of the template. In der Standardeinstellung verwendet Intune den in der Vorlage konfigurierten Wert.By default, Intune uses the value configured in the template. Sie haben jedoch die Möglichkeit, die Zertifizierungsstelle so zu konfigurieren, dass dem Antragsteller ermöglicht wird, einen anderen Wert anzugeben, den Sie dann in der Intune-Verwaltungskonsole festlegen können.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Wenn Sie immer den in der Vorlage festgelegten Wert verwenden möchten, überspringen Sie den Rest dieses Schritts.If you want to always use the value in the template, skip the remainder of this step.

    Wichtig

    iOS und macOS verwenden immer den in der Vorlage festgelegten Wert, unabhängig von anderen Konfigurationen, die Sie vornehmen.iOS and macOS always use the value set in the template, regardless of other configurations you make.

    Um die Zertifizierungsstelle so zu konfigurieren, dass der Antragsteller die Gültigkeitsdauer festlegen kann, führen Sie auf der Zertifizierungsstelle die folgenden Befehle aus:To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Verwenden Sie auf der ausstellenden Zertifizierungsstelle das Zertifizierungsstellen-Snap-In, um die Zertifikatvorlage zu veröffentlichen.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Wählen Sie den Knoten Zertifikatvorlagen aus, klicken Sie auf Aktion-> Neu > Auszustellende Zertifikatvorlage, und wählen Sie dann die Vorlage aus, die Sie in Schritt 2 erstellt haben.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Überprüfen Sie, ob die Vorlage veröffentlicht wurde, indem Sie sie im Ordner Zertifikatvorlagen anzeigen.Validate that the template published by viewing it under the Certificate Templates folder.

  4. Stellen Sie auf dem Zertifizierungsstellencomputer sicher, dass der Computer, der den Intune Certificate Connector hostet, die Berechtigung „Registrieren“ hat, damit dieser auf die Vorlage zugreifen kann, die zum Erstellen des PKCS-Zertifikatprofils verwendet wurde.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the PKCS certificate profile. Legen Sie diese Berechtigung auf der Registerkarte Sicherheit in den Eigenschaften des Computers mit der Zertifizierungsstelle fest.Set that permission on the Security tab of the CA computer properties.

Schritt 2: Aktivieren, Installieren und Konfigurieren des Intune Certificate ConnectorsStep 2 - Enable, install, and configure the Intune certificate connector

In diesem Schritt führen Sie die folgenden Aktionen aus:In this step you will:

  • Aktivieren der Unterstützung für den Certificate ConnectorEnable support for the Certificate Connector
  • Herunterladen, Installieren und Konfigurieren des Certificate ConnectorsDownload, install, and configure the Certificate Connector.

So aktivieren Sie die Unterstützung für den Certificate ConnectorTo enable support for the certificate connector

  1. Melden Sie sich beim Azure-Portal an.Sign into the Azure portal.
  2. Wählen Sie Weitere Dienste > Überwachung und Verwaltung > Intune aus.Choose More Services > Monitoring + Management > Intune.
  3. Wählen Sie auf dem Blatt Intune die Option Geräte konfigurieren aus.On the Intune blade, choose Configure devices.
  4. Wählen Sie auf dem Blatt Gerätekonfiguration die Option Setup > Zertifizierungsstelle aus.On the Device Configuration blade, choose Setup > Certificate Authority.
  5. Wählen Sie unter Schritt 1 die Option Aktivieren aus.Under Step 1, choose Enable.

So wird der Certificate Connector heruntergeladen, installiert und konfiguriertTo download, install, and configure the certificate connector

  1. Wählen Sie auf dem Blatt Geräte konfigurieren die Option Setup > Zertifizierungsstelle aus.On the Configure devices blade, choose Setup > Certificate Authority.
  2. Wählen Sie Certificate Connector herunterladen aus.choose Download the certificate connector.
  3. Nachdem der Download abgeschlossen ist, führen Sie das heruntergeladene Installationsprogramm (ndesconnectorssetup.exe) aus.After the download completes, run the downloaded installer (ndesconnectorssetup.exe). Führen Sie das Installationsprogramm auf dem Computer aus, der eine Verbindung mit der Zertifizierungsstelle herstellen kann.Run the installer on the computer that is able to connect with the Certification Authority. Wählen Sie die Option „PKCS/PFX-Verteilung“ aus, und klicken Sie auf Installieren.Choose the PKCS (PFX) Distribution option, and then choose Install. Fahren Sie nach Abschluss der Installation mit dem Erstellen eines Zertifikatprofils fort, wie unter Konfigurieren von Zertifikatprofilen beschrieben.When the installation has completed, continue by creating a certificate profile as described in How to configure certificate profiles.

  4. Wenn Sie zur Eingabe des Clientzertifikats für den Certificate Connector aufgefordert werden, wählen Sie Auswählen aus, und wählen Sie das Clientauthentifizierungszertifikat aus, das Sie installiert haben.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed.

    Nachdem Sie das Clientauthentifizierungszertifikat ausgewählt haben, wird erneut die Oberfläche Clientzertifikat für den Microsoft Intune-Zertifikatconnector angezeigt.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Auch wenn das ausgewählte Zertifikat nicht angezeigt wird, klicken Sie auf Weiter, um die Eigenschaften des Zertifikats anzuzeigen.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Wählen Sie Weiter, und klicken Sie anschließend Installieren.Then choose Next, and then Install.

  5. Nach Abschluss des Assistenten, jedoch vor dem Schließen des Assistenten, klicken Sie auf Zertifikatconnector-Benutzeroberfläche starten.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tipp

    Wenn Sie den Assistenten schließen, bevor Sie die Benutzeroberfläche des Zertifikatconnectors starten, können Sie sie mit dem folgenden Befehl erneut öffnen:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <Installationspfad>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  6. Gehen Sie auf der Benutzeroberfläche von Zertifikatconnector so vor:In the Certificate Connector UI:

    a.a. Klicken Sie auf Anmelden, und geben Sie die Anmeldeinformationen des Intune-Dienstadministrators oder eines Mandantenadministrators mit der globalen Administratorberechtigung ein.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Wählen Sie die Registerkarte Erweitert aus, und geben Sie anschließend die Anmeldeinformationen für ein Konto ein, das über die Berechtigung Zertifikate ausstellen und verwalten für die ausstellende Zertifizierungsstelle verfügt.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Wählen Sie Anwenden aus.Choose Apply.

    Sie können jetzt die Benutzeroberfläche des Zertifikatconnectors schließen.You can now close the Certificate Connector UI.

  7. Öffnen Sie eine Eingabeaufforderung, und geben Sie services.msc ein.Open a command prompt and type services.msc. Drücken Sie anschließend die EINGABETASTE, führen Sie einen Rechtsklick auf Intune-Connectordienst aus, und wählen Sie Neu starten aus.Then press Enter, right-click the Intune Connector Service, and choose Restart.

Um zu überprüfen, das der Dienst ausgeführt wird, öffnen Sie einen Browser, und geben Sie die folgenden URL ein. Es sollte ein 403 -Fehler zurückgegeben werden:To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

http:// <FQDN_des_NDES_Servers>/certsrv/mscep/mscep.dllhttp:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

So erstellen Sie ein PKCS-ZertifikatprofilHow to create a PKCS certificate profile

Wählen Sie im Azure-Portal die Workload Konfigurieren von Geräten aus.In the Azure Portal, select the Configure devices workload.

  1. Wählen Sie auf dem Blatt Gerätekonfiguration die Option Verwalten > Profile aus.On the Device configuration blade, choose Manage > Profiles.
  2. Klicken Sie auf dem Blatt „Profile“ auf Profil erstellen.On the profiles blade, click Create Profile.
  3. Geben Sie auf dem Blatt Profil erstellen einen Namen und eine Beschreibung für das PKCS-Zertifikatprofil ein.On the Create Profile blade, enter a Name and Description for the PKCS certificate profile.
  4. Wählen Sie in der Dropdownliste Plattform die Geräteplattform für dieses PKCS-Zertifikat aus:From the Platform drop-down list, select the device platform for this PKCS certificate from:
    • AndroidAndroid
    • Android for WorkAndroid for Work
    • iOSiOS
    • Windows 10 und höherWindows 10 and later
  5. Wählen Sie in der Dropdownliste Profiltyp die Option PKCS-Zertifikat aus.From the Profile type drop-down list, choose PKCS certificate.
  6. Konfigurieren Sie auf dem Blatt PKCS-Zertifikat die folgenden Einstellungen:On the PKCS Certificate blade, configure the following settings:
    • Erneuerungsschwellenwert (%): Geben Sie den Prozentsatz der Zertifikatgültigkeitsdauer an, die verbleibt, bevor das Gerät eine Erneuerung des Zertifikats anfordert.Renewal threshold (%) - Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
    • Gültigkeitsdauer des Zertifikats: Wenn Sie den Befehl certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE für die ausstellende Zertifizierungsstelle ausgeführt haben, die eine benutzerdefinierte Gültigkeitsdauer ermöglicht, können Sie die verbleibende Dauer bis zum Ablauf des Zertifikats angeben.Certificate validity period - If you have run the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can specify the amount of remaining time before the certificate expires.
      Sie können einen niedrigeren Wert als den für die Gültigkeitsdauer in der angegebenen Zertifikatvorlage angeben, aber keinen höheren.You can specify a value that is lower than the validity period in the specified certificate template, but not higher. Beispiel: Wenn die Gültigkeitsdauer des Zertifikats in der Zertifikatvorlage zwei Jahre beträgt, können Sie als Wert ein Jahr angeben, aber nicht fünf Jahre.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year but not a value of five years. Zudem muss der Wert niedriger als die verbleibende Gültigkeitsdauer des Zertifikats der ausstellenden Zertifizierungsstelle sein.The value must also be lower than the remaining validity period of the issuing CA's certificate.
    • Schlüsselspeicheranbieter (Windows 10): Geben Sie an, wo der Schlüssel für das Zertifikat gespeichert wird.Key storage provider (KSP) (Windows 10) - Specify where the key to the certificate will be stored. Wählen Sie einen der folgenden Werte aus:Choose from one of the following values:
      • Bei TPM-KSP (Trusted Platform Module) registrieren, falls vorhanden, andernfalls Software-KSPEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Bei TPM-KSP (Trusted Platform Module) registrieren, andernfalls FehlerEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Bei Passport registrieren, andernfalls Fehler (Windows 10 und höher)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Bei Software-KSP registrierenEnroll to Software KSP
    • Zertifizierungsstelle: Eine Unternehmenszertifizierungsstelle (Certification Authority; CA), die auf einer Enterprise-Edition von Windows Server 2008 R2 oder höher ausgeführt wird.Certification authority - An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Eine eigenständige Zertifizierungsstelle wird nicht unterstützt.A Standalone CA is not supported. Anleitungen zum Einrichten einer Zertifizierungsstelle finden Sie unter Installieren der Zertifizierungsstelle.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Wenn die Zertifizierungsstelle unter Windows Server 2008 R2 ausgeführt wird, müssen Sie den Hotfix von KB2483564 installieren.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.
    • Name der Zertifizierungsstelle: Geben Sie den Namen Ihrer Zertifizierungsstelle ein.Certification authority name - Enter the name of your certification authority.
    • Name der Zertifikatvorlage: Geben Sie den Namen der Zertifikatvorlage ein, der im Registrierungsdienst für Netzwerkgeräte konfiguriert ist und der einer ausstellenden Zertifizierungsstelle hinzugefügt wurde.Certificate template name - Enter the name of a certificate template that the Network Device Enrollment Service is configured to use and that has been added to an issuing CA. Stellen Sie sicher, dass der Name genau mit einer der in der Registrierung des Servers mit dem Registrierungsdienst für Netzwerkgeräte aufgeführten Zertifikatvorlagen übereinstimmt.Make sure that the name exactly matches one of the certificate templates that are listed in the registry of the server that is running the Network Device Enrollment Service. Achten Sie darauf, dass Sie den Namen der Zertifikatvorlage und nicht den Anzeigenamen der Zertifikatvorlage angeben.Make sure that you specify the name of the certificate template and not the display name of the certificate template. Navigieren Sie zu dem Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP“, um die Namen von Zertifikatvorlagen zu suchen.To find the names of certificate templates, browse to the following key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Die Zertifikatvorlagen werden als Werte für EncryptionTemplate, GeneralPurposeTemplateund SignatureTemplateaufgeführt.You will see the certificate templates listed as the values for EncryptionTemplate, GeneralPurposeTemplate, and SignatureTemplate. Standardmäßig ist der Wert für die drei Zertifikatvorlagen IPSECIntermediateOffline. Dieser Wert entspricht dem Anzeigenamen IPSec (Offlineanforderung).By default, the value for all three certificate templates is IPSECIntermediateOffline, which maps to the template display name of IPSec (Offline request).
    • Format des Antragstellernamens: Wählen Sie in der Liste aus, wie Intune den Antragstellernamen in der Zertifikatanforderung automatisch erstellt.Subject name format - From the list, select how Intune automatically creates the subject name in the certificate request. Wenn das Zertifikat für einen Benutzer bestimmt ist, können Sie auch die E-Mail-Adresse des Benutzers im Antragstellernamen einschließen.If the certificate is for a user, you can also include the user's email address in the subject name. Wählen Sie aus:Choose from:
      • Nicht konfiguriertNot configured
      • Allgemeiner NameCommon name
      • Allgemeiner Name einschließlich E-Mail-AdresseCommon name including email
      • Allgemeiner Name als E-Mail-AdresseCommon name as email
    • Alternativer Antragstellername: Geben Sie an, wie die Werte für den alternativen Antragstellernamen (Subject Alternative Name, SAN) in der Zertifikatanforderung von Intune automatisch erstellt werden sollen.Subject alternative name - Specify how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Beispiel: Wenn Sie einen Benutzerzertifikattyp ausgewählt haben, könnten Sie in den alternativen Antragstellernamen den Benutzerprinzipalnamen (User Principal Name, UPN) aufnehmen.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Wenn das Clientzertifikat für die Authentifizierung bei einem Netzwerkrichtlinienserver verwendet wird, legen Sie den alternativen Antragstellernamen auf den Benutzerprinzipalnamen fest.If the client certificate is used to authenticate to a Network Policy Server, set the subject alternative name to the UPN. Sie können auch Benutzerdefiniertes Azure AD-Attribut auswählen.You can also select Custom Azure AD attribute. Wenn Sie diese Option auswählen, wird ein weiteres Dropdownfeld angezeigt.When you select this option, another drop-down field is displayed. Im Dropdownfeld Benutzerdefiniertes Azure AD-Attribut finden Sie die Option Abteilung.From the Custom Azure AD attribute drop-down field, there is one option: Department. Wenn Sie diese Option auswählen und die Abteilung in Azure AD nicht identifiziert wurde, wird das Zertifikat nicht ausgestellt.When you select this option, if the department is not identified in Azure AD, the certificate is not issued. Um dieses Problem zu lösen, identifizieren Sie die Abteilung, und speichern Sie die Änderungen.To resolve this issue, identify the department and save the changes. Beim nächsten Einchecken des Geräts ist das Problem gelöst, und das Zertifikat wird ausgestellt.At the next device checkin, the problem is resolved and certificate is issued. Die Notation für dieses Feld ist ASN.1.ASN.1 is the notation used for this field.
    • Erweiterte Schlüsselverwendung: (Android) Wählen Sie Hinzufügen aus, um Werte für den beabsichtigten Zweck des Zertifikats hinzuzufügen.Extended key usage (Android) - Choose Add to add values for the certificate's intended purpose. In den meisten Fällen erfordert das Zertifikat Clientauthentifizierung , damit der Benutzer bzw. das Gerät auf einem Server authentifiziert werden kann.In most cases, the certificate will require Client Authentication so that the user or device can authenticate to a server. Sie können jedoch nach Bedarf weitere Schlüsselverwendungen hinzufügen.However, you can add any other key usages as required.
    • Stammzertifikat: (Android) Wählen Sie ein Profil für ein Stamm-Zertifizierungsstellenzertifikat aus, das Sie zuvor konfiguriert und dem Benutzer oder Gerät zugewiesen haben.Root Certificate (Android) - Choose a root CA certificate profile that you have previously configured and assigned to the user or device. Dieses Zertifizierungsstellenzertifikat muss das Stammzertifikat für die Zertifizierungsstelle sein, die das Zertifikat ausstellt, das Sie in diesem Zertifikatprofil konfigurieren.This CA certificate must be the root certificate for the CA that will issue the certificate that you are configuring in this certificate profile. Dies ist das vertrauenswürdige Zertifikatprofil, das Sie zuvor erstellt haben.This is the trusted certificate profile that you created previously.
  7. Navigieren Sie anschließend zurück zum Blatt Profil erstellen, und klicken Sie auf Erstellen.When you're done, go back to the Create Profile blade, and click Create.

Das Profil wird erstellt und auf dem Blatt mit der Profilliste angezeigt.The profile is created and is displayed on the profiles list blade.

Zuweisen des ZertifikatprofilsHow to assign the certificate profile

Beachten Sie Folgendes, bevor Sie Gruppen Zertifikatprofile zuweisen:Consider the following before you assign certificate profiles to groups:

  • Wenn Sie Gruppen Zertifikatprofile zuweisen, wird die Zertifikatsdatei aus dem Profil des vertrauenswürdigen Zertifizierungsstellenzertifikats auf dem Gerät installiert.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Das Gerät verwendet das PKCS-Zertifikatprofil, um eine Zertifikatanforderung zu erstellen.The device uses the PKCS certificate profile to create a certificate request by the device.
  • Zertifikatprofile werden nur auf den Geräten installiert, auf denen die beim Erstellen des Profils verwendete Plattform ausgeführt wird.Certificate profiles install only on devices running the platform you use when you created the profile.
  • Sie können Zertifikatprofile zu Benutzer- oder Gerätesammlungen zuweisen.You can assign certificate profiles to user collections or to device collections.
  • Damit Zertifikate möglichst schnell nach der Geräteregistrierung auf Geräten veröffentlicht werden können, weisen Sie das Zertifikatprofil besser einer Benutzergruppe zu (nicht einer Gerätegruppe).To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Wenn Sie es einer Gerätegruppe zuweisen, muss eine vollständige Geräteregistrierung stattfinden, bevor das Gerät Richtlinien empfängt.If you assign to a device group, a full device registration is required before the device receives policies.
  • Obwohl Sie jedes Profil separat zuweisen, müssen Sie auch die vertrauenswürdige Stammzertifizierungsstelle und das PKCS-Profil zuweisen.Although you assign each profile separately, you also need to assign the Trusted Root CA and the PKCS profile. Andernfalls tritt bei der PKCS-Zertifikatrichtlinie ein Fehler auf.Otherwise, the PKCS certificate policy will fail.

Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Geräteprofilen.For information about how to assign profiles, see How to assign device profiles.

Um Feedback zu einem Produkt zu geben, besuchen Sie folgende Seite Intune Feedback