Konfigurieren und Verwalten von SCEP-Zertifikaten mit IntuneConfigure and manage SCEP certificates with Intune

Gilt für: Intune in AzureApplies to: Intune on Azure
Suchen Sie nach der Dokumentation zu Intune in der klassischen Konsole?Looking for documentation about Intune in the classic console? Diese finden Sie hier.Go to here.

Dieses Thema erläutert, wie Sie Ihre Infrastruktur konfigurieren und dann SCEP-Zertifikatprofile (Simple Certificate Enrollment Protocol) mit Intune erstellen und zuweisen.This topic shows how to configure your infrastructure, then create and assign Simple Certificate Enrollment Protocol (SCEP) certificate profiles with Intune.

Konfigurieren der lokalen InfrastrukturConfigure on-premises infrastructure

  • Active Directory-Domäne: Alle in diesem Abschnitt aufgeführten Server (außer dem Webanwendungsproxy-Server) müssen der Active Directory-Domäne angehören.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Zertifizierungsstelle (Certification Authority, CA): Eine Unternehmenszertifizierungsstelle, die auf einer Enterprise-Edition von Windows Server 2008 R2 oder höher ausgeführt wird.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Eine eigenständige Zertifizierungsstelle wird nicht unterstützt.A Standalone CA is not supported. Informationen finden Sie unter Installieren der Zertifizierungsstelle.For details, see Install the Certification Authority. Wenn die Zertifizierungsstelle unter Windows Server 2008 R2 ausgeführt wird, müssen Sie den Hotfix von KB2483564 installieren.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • NDES Server: Auf einem Server mit Windows Server 2012 R2 oder höher müssen Sie den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) einrichten.NDES Server: On a server that runs Windows Server 2012 R2 or later, you must setup up the Network Device Enrollment Service (NDES). Intune unterstützt die Verwendung von NDES nicht, wenn es auf einem Server ausgeführt wird, der auch die Unternehmenszertifizierungsstelle ausführt.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Im Leitfaden für den Registrierungsdienst für Netzwerkgeräte finden Sie Anweisungen zum Konfigurieren von Windows Server 2012 R2 als Host für den Registrierungsdienst für Netzwerkgeräte (NDES).See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Der NDES-Server muss in die Domäne eingebunden werden, die die Zertifizierungsstelle hostet, er darf sich aber nicht auf dem gleichen Server befinden wie die Zertifizierungsstelle.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. Weitere Informationen zum Bereitstellen des NDES-Servers in einer separaten Gesamtstruktur, in einem isolierten Netzwerk oder in einer internen Domäne finden Sie unter Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte.More information about deploying the NDES server in a separate forest, isolated network or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Certificate Connector: Verwenden Sie das Intune-Portal zum Herunterladen des Installationsprogramms für den Certificate Connector (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: Use the Intune portal to download the Certificate Connector installer (ndesconnectorssetup.exe). Führen Sie ndesconnectorssetup.exe dann auf dem Computer aus, auf dem Sie den Zertifikatconnector installieren möchten.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • Webanwendungsproxy-Server (optional): Verwenden Sie einen Server unter Windows Server 2012 R2 oder höher als Webanwendungsproxy-Server (WAP).Web Application Proxy Server (optional): Use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Diese Konfiguration:This configuration:

    • ermöglicht Geräten das Empfangen von Zertifikaten über eine Internetverbindung,Allows devices to receive certificates using an Internet connection.
    • ist eine Sicherheitsempfehlung, wenn Geräte eine Verbindung über das Internet herstellen, um Zertifikate zu empfangen oder zu erneuern.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Hinweis
    • Auf dem Server, der den WAP hostet, muss ein Update installiert werden , das die Unterstützung für lange URLs aktiviert, die vom Registrierungsdienst für Netzwerkgeräte verwendet werden.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service. Dieses Update ist im Updaterollup vom Dezember 2014enthalten oder kann auch einzeln von KB3011135heruntergeladen werden.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • Zudem muss der Server, der WAP hostet, über ein SSL-Zertifikat verfügen, das mit dem Namen übereinstimmt, der für externe Clients veröffentlicht wird. Ferner muss der Server dem SSL-Zertifikat vertrauen, das auf dem NDES-Server verwendet wird.Also, the server that hosts WAP must have a SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. Diese Zertifikate ermöglichen dem WAP-Server, die SSL-Verbindung von Clients zu beenden und eine neue SSL-Verbindung mit dem NDES-Server herzustellen.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. Weitere Informationen über Zertifikate für WAP finden Sie im Abschnitt Planen von Zertifikaten des Themas Installieren und Konfigurieren des Webanwendungsproxys für die Veröffentlichung interner Anwendungen.For information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. Allgemeine Informationen zu WAP-Servern finden Sie unter Verwenden des Webanwendungsproxys.|For general information about WAP servers, see Working with Web Application Proxy.|

NetzwerkanforderungenNetwork requirements

Für Datenverkehr aus dem Internet zum Umkreisnetzwerk: Lassen Sie über Port 443 Datenverkehr von allen Hosts/IP-Adressen im Internet zum NDES-Server zu.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Für Datenverkehr aus dem Umkreisnetzwerk zum vertrauenswürdigen Netzwerk: Lassen Sie alle Ports und Protokolle zu, die für den Domänenzugriff auf den in die Domäne eingebundenen NDES-Server benötigt werden.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Der NDES-Server benötigt Zugriff auf die Zertifikatserver, die DNS-Server, die Configuration Manager-Server und die Domänencontroller.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers and domain controllers.

Es wird empfohlen, den NDES-Server über einen Proxy zu veröffentlichen, z. B. über den Azure AD-Anwendungsproxy, Web Access Proxy oder einen Proxy eines Drittanbieters.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Zertifikate und VorlagenCertificates and templates

ObjektObject DetailsDetails
ZertifikatvorlageCertificate Template Konfigurieren Sie diese Vorlage in der ausstellenden Zertifizierungsstelle.Configure this template on your issuing CA.
ClientauthentifizierungszertifikatClient authentication certificate Dieses Zertifikat, das von der ausstellenden oder öffentlichen Zertifizierungsstelle angefordert wurde, installieren Sie auf dem NDES-Server.Requested from your issuing CA or public CA; you install this certificate on the NDES Server.
ServerauthentifizierungszertifikatServer authentication certificate Dieses SSL-Zertifikat, das von der ausstellenden oder öffentlichen Zertifizierungsstelle angefordert wurde, installieren und binden Sie in IIS auf dem NDES-Server.Requested from your issuing CA or public CA; you install and bind this SSL certificate in IIS on the NDES server.
Zertifikat der vertrauenswürdigen StammzertifizierungsstelleTrusted Root CA certificate Sie exportieren dies als CER-Datei von der Stammzertifizierungsstelle oder von einem Gerät, das der Stammzertifizierungsstelle vertraut, und weisen es Geräten mithilfe des Zertifikatprofils der vertrauenswürdigen Zertifizierungsstelle zu.You export this as a .cer file from the root CA or any device which trusts the root CA, and assign it to devices by using the Trusted CA certificate profile.

Sie verwenden für jede Betriebssystemplattform ein einzelnes Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle und ordnen es dem jeweiligen vertrauenswürdigen Stammzertifikatprofil zu, das Sie erstellen.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Sie können bei Bedarf zusätzliche vertrauenswürdige Stammzertifizierungsstellenzertifikate verwenden.You can use additional Trusted Root CA certificates when needed. Sie können dies zum Beispiel vornehmen, um einer Zertifizierungsstelle eine Vertrauensstellung zu gewähren, die die Serverauthentifizierungszertifikate für Ihre WLAN-Zugriffspunkte signiert.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

KontenAccounts

NameName DetailsDetails
NDES-DienstkontoNDES service account Geben Sie ein Domänenbenutzerkonto an, das als NDES-Dienstkonto verwendet werden soll.Specify a domain user account to use as the NDES Service account.

Konfigurieren der InfrastrukturConfigure your infrastructure

Vor dem Konfigurieren von Zertifikatprofilen müssen Sie die folgenden Aufgaben ausführen, für die Sie Kenntnisse über Windows Server 2012 R2 und Active Directory-Zertifikatdienste (ADCS) benötigen:Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

Schritt 1: Erstellen eines NDES-DienstkontosStep 1: Create an NDES service account

Schritt 2: Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleStep 2: Configure certificate templates on the certification authority

Schritt 3: Konfigurieren der Voraussetzungen auf dem NDES-ServerStep 3: Configure prerequisites on the NDES server

Schritt 4: Konfigurieren von NDES für die Verwendung mit IntuneStep 4: Configure NDES for use with Intune

Schritt 5: Aktivieren, Installieren und Konfigurieren des Intune Certificate ConnectorsStep 5: Enable, install, and configure the Intune Certificate Connector

Hinweis

Das Herunterladen, Installieren und Konfigurieren des Certificate Connectors sollte aufgrund eines bekannten Problems mithilfe des folgenden Verfahrens erfolgen: Konfigurieren der Zertifikatinfrastruktur für SCEP -> Konfigurieren Ihrer Infrastruktur -> Aufgabe 5.Because of a known issue, download, install, and configure the certificate connector using the following procedure: Configure certificate infrastructure for SCEP -> Configure your infrastructure -> Task 5

Schritt 1: Erstellen eines NDES-DienstkontosStep 1 - Create an NDES service account

Erstellen Sie ein Domänenbenutzerkonto, das als NDES-Dienstkonto verwendet werden soll.Create a domain user account to use as the NDES service account. Sie geben dieses Konto an, wenn Sie Vorlagen auf der ausstellenden Zertifizierungsstelle konfigurieren, bevor Sie NDES installieren und konfigurieren.You will specify this account when you configure templates on the issuing CA before you install and configure NDES. Stellen Sie sicher, dass der Benutzer über die Standardrechte Lokal anmelden, Anmelden als Dienst und Anmelden als Batchauftrag verfügt.Make sure the user has the default rights, Logon Locally, Logon as a Service and Logon as a batch job rights. In einigen Organisationen werden diese Rechte durch Härtungsrichtlinien deaktiviert.Some organizations have hardening policies that disable those rights.

Schritt 2: Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleStep 2 - Configure certificate templates on the certification authority

Im Rahmen dieser Aufgabe führen Sie die folgenden Aktionen aus:In this task you will:

  • Konfigurieren einer Zertifikatvorlage für NDESConfigure a certificate template for NDES

  • Veröffentlichen der Zertifikatvorlage für NDESPublish the certificate template for NDES

So konfigurieren Sie die ZertifizierungsstelleTo configure the certification authority
  1. Melden Sie sich als Unternehmensadministrator an.Log on as an enterprise administrator.

  2. Verwenden Sie auf der ausstellenden Zertifizierungsstelle das Zertifikatsvorlagen-Snap-In, um eine neue benutzerdefinierte Vorlage zu erstellen oder eine vorhandene Vorlage zu kopieren. Bearbeiten Sie dann eine vorhandene Vorlage (z. B. die Vorlage „Benutzer“) für die Verwendung mit NDES.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    Hinweis

    Die NDES-Zertifikatvorlage muss auf einer v2-Zertifikatvorlage (mit Windows 2003-Kompatibilität) basieren.The NDES certificate template must be based off a v2 Certificate Template (with Windows 2003 compatibility).

    Die Vorlage muss wie folgt konfiguriert sein:The template must have the following configurations:

    • Geben Sie einen aussagekräftigen Vorlagenanzeigenamen für die Vorlage ein.Specify a friendly Template display name for the template.

    • Wählen Sie auf der Registerkarte Antragstellername die Option Informationen werden in der Anforderung angegeben.On the Subject Name tab, select Supply in the request. (Sicherheit wird durch das Intune-Richtlinienmodul für NDES erzwungen.)(Security is enforced by the Intune policy module for NDES).

    • Stellen Sie sicher, dass auf der Registerkarte Erweiterungen die Beschreibung der Anwendungsrichtlinien die Clientauthentifizierungumfasst.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Wichtig

      Bearbeiten Sie für iOS- und macOS-Zertifikatvorlagen auf der Registerkarte Erweiterungen die Option Schlüsselverwendung , und stellen Sie sicher, dass die Option Signatur ist Ursprungsnachweis nicht aktiviert ist.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • Fügen Sie auf der Registerkarte Sicherheit das Dienstkonto für NDES hinzu, und weisen Sie ihm Berechtigungen zum Registrieren der Vorlage zu.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. Intune-Administratoren, die SCEP-Profile erstellen, benötigen die Berechtigung Lesen, damit sie beim Erstellen von SCEP-Profilen zu der Vorlage navigieren können.Intune admins who will create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Hinweis

    Zum Widerrufen von Zertifikaten benötigt das NDES-Dienstkonto die Berechtigung Zertifikate ausstellen und verwalten für jede Zertifikatvorlage, die von einem Zertifikatprofil verwendet wird.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Prüfen Sie auf der Registerkarte Allgemein die Gültigkeitsdauer der Vorlage.Review the Validity period on the General tab of the template. In der Standardeinstellung verwendet Intune den in der Vorlage konfigurierten Wert.By default, Intune uses the value configured in the template. Sie haben jedoch die Möglichkeit, die Zertifizierungsstelle so zu konfigurieren, dass dem Antragsteller ermöglicht wird, einen anderen Wert anzugeben, den Sie dann in der Intune-Verwaltungskonsole festlegen können.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Wenn Sie immer den in der Vorlage festgelegten Wert verwenden möchten, überspringen Sie den Rest dieses Schritts.If you want to always use the value in the template, skip the remainder of this step.

    Wichtig

    iOS und macOS verwenden immer den in der Vorlage festgelegten Wert, unabhängig von anderen Konfigurationen, die Sie vornehmen.iOS and macOS always use the value set in the template regardless of other configurations you make.

Hier sehen Sie einige Screenshots für eine Beispielkonfiguration:Here are screenshots of an example template configuration.

Vorlage, Registerkarte „Anforderungsverarbeitung“

Vorlage, Registerkarte „Antragstellername“

Vorlage, Registerkarte „Sicherheit“

Vorlage, Registerkarte „Erweiterungen“

Vorlage, Registerkarte „Ausstellungsvoraussetzungen“

Wichtig

Fügen Sie unter „Anwendungsrichtlinien“ nur die erforderlichen Anwendungsrichtlinien hinzu.For Application Policies, only add the application policies required. Sprechen Sie die auszuwählenden Optionen mit Ihren Sicherheitsadministratoren ab.Confirm your choices with your security admins.

Um die Zertifizierungsstelle so zu konfigurieren, dass der Antragsteller die Gültigkeitsdauer festlegen kann, gehen Sie folgendermaßen vor:To configure the CA to allow the requester to specify the validity period:

  1. Führen Sie in der Zertifizierungsstelle die folgenden Befehle aus:On the CA run the following commands:
    • certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    • net stop certsvcnet stop certsvc
    • net start certsvcnet start certsvc
  2. Verwenden Sie auf der ausstellenden Zertifizierungsstelle das Zertifizierungsstellen-Snap-In, um die Zertifikatvorlage zu veröffentlichen.On the issuing CA, use the Certification Authority snap-in to publish the certificate template. Wählen Sie den Knoten Zertifikatvorlagen aus, klicken Sie auf Aktion-> Neu > Auszustellende Zertifikatvorlage, und wählen Sie dann die Vorlage aus, die Sie in Schritt 2 erstellt haben.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.
  3. Überprüfen Sie, ob die Vorlage veröffentlicht wurde, indem Sie sie im Ordner Zertifikatvorlagen anzeigen.Validate that the template published by viewing it under the Certificate Templates folder.

Schritt 3: Konfigurieren der Voraussetzungen auf dem NDES-ServerStep 3 - Configure prerequisites on the NDES server

Im Rahmen dieser Aufgabe führen Sie die folgenden Aktionen aus:In this task you will:

  • Hinzufügen von NDES zu einem Windows-Server und Konfigurieren von IIS zur Unterstützung von NDESAdd NDES to a Windows Server and configure IIS to support NDES

  • Hinzufügen des NDES-Dienstkontos zur Gruppe „IIS_IUSR“Add the NDES Service account to the IIS_IUSR group

  • Festlegen des SPN für das NDES-DienstkontoSet the SPN for the NDES Service account

  1. Auf dem Server, der NDES hosten soll, müssen Sie sich als Unternehmensadministratoranmelden und dann den Assistenten zum Hinzufügen von Rollen und Features zum Installieren von NDES verwenden:On the server that will hosts NDES, you must log on as a an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. Wählen Sie im Assistenten die Option Active Directory-Zertifikatdienste , um Zugriff auf die Rollendienste der AD-Zertifikatdienste zu erhalten.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Wählen Sie die Option Registrierungsdienst für Netzwerkgeräte, deaktivieren Sie die Option Zertifizierungsstelle, und schließen Sie den Assistenten dann ab.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Tipp

      Klicken Sie auf der Seite Installationsvorgang des Assistenten nicht auf Schließen.On the Installation progress page of the wizard, do not click Close. Klicken Sie stattdessen auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Daraufhin wird der Assistent zur AD CS-Konfiguration geöffnet, den Sie für die nächste Aufgabe verwenden.This opens the AD CS Configuration wizard that you use for the next task. Nachdem der Assistent für die AD CS-Konfiguration geöffnet wurde, können Sie den Assistenten zum Hinzufügen von Rollen und Features schließen.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Wenn NDES zum Server hinzugefügt wird, installiert der Assistent ebenfalls IIS.When NDES is added to the server, the wizard also installs IIS. Stellen Sie sicher, dass IIS wie folgt konfiguriert ist:Ensure IIS has the following configurations:

      • Webserver > Sicherheit > AnforderungsfilterungWeb Server > Security > Request Filtering

      • Webserver > Anwendungsentwicklung > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Bei der Installation von ASP.NET 3,5 wird .NET Framework 3,5 installiert.Installing ASP.NET 3.5 will install .NET Framework 3.5. Installieren Sie bei Installation von .NET Framework 3.5 sowohl das Feature .NET Framework 3.5 als auch die HTTP-Aktivierung.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Webserver > Anwendungsentwicklung > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Bei der Installation von ASP.NET 4.5 wird .NET Framework 4.5 installiert.Installing ASP.NET 4.5 will install .NET Framework 4.5. Installieren Sie bei der Installation von .NET Framework 4.5 das Kernfeature .NET Framework 4.5, das Feature ASP.NET 4.5 und das Feature WCF-Dienste > HTTP-Aktivierung.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Verwaltungstools > IIS 6-Verwaltungskompatibilität > IIS 6-MetabasiskompatibilitätManagement Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Verwaltungstools > IIS 6-Verwaltungskompatibilität > IIS 6-WMI-KompatibilitätManagement Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Fügen Sie auf dem Server das NDES-Dienstkonto als Mitglied der Gruppe IIS_IUSR hinzu.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Führen Sie in einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus, um den SPN (Service Principal Name, Dienstprinzipalname) des NDES-Dienstkontos festzulegen:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Wenn der NDES-Server zum Beispiel den Namen Server01hat, die Domäne Contoso.comist und das Dienstkonto NDESServicelautet, verwenden Sie Folgendes:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

Schritt 4: Konfigurieren von NDES für die Verwendung mit IntuneStep 4 - Configure NDES for use with Intune

Im Rahmen dieser Aufgabe führen Sie die folgenden Aktionen aus:In this task you will:

  • Konfigurieren von NDES für die Verwendung mit der ausstellenden ZertifizierungsstelleConfigure NDES for use with the issuing CA

  • Binden des Serverauthentifizierungszertifikats (SSL) in IISBind the server authentication (SSL) certificate in IIS

  • Konfigurieren der Anforderungsfilterung in IISConfigure Request Filtering in IIS

  1. Öffnen Sie auf dem NDES-Server den AD CS-Konfigurations-Assistenten, und nehmen Sie dann die folgenden Konfigurationen vor.On the NDES Server, open the AD CS Configuration wizard and then make the following configurations.

    Tipp

    Dieser Assistent ist bereits geöffnet, wenn Sie in der vorherigen Aufgabe auf den Link geklickt haben.If you clicked the link in the previous task, this wizard is already open. Andernfalls öffnen Sie den Server-Manager, um auf die Konfiguration nach der Bereitstellung der Active Directory-Zertifikatdienste zuzugreifen.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • Wählen Sie auf der Seite Rollendienste die Option Registrierungsdienst für Netzwerkgeräte.On the Role Services Page, select the Network Device Enrollment Service.

    • Geben Sie auf der Seite Dienstkonto für NDES das NDES-Dienstkonto an.On the Service Account for NDES page, specify the NDES Service Account.

    • Klicken Sie auf der Seite ZS für NDES auf Auswählen, und wählen Sie dann die ausstellende Zertifizierungsstelle aus, auf der Sie die Zertifikatvorlage konfiguriert haben.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • Legen Sie auf der Seite Kryptografie für NDES die Schlüssellänge entsprechend den Anforderungen Ihres Unternehmens fest.On the Cryptography for NDES page, set the key length to meet your company requirements.

    Klicken Sie auf der Seite Bestätigung auf Konfigurieren , um den Assistenten zu beenden.On the Confirmation page, click Configure to complete the wizard.

  2. Bearbeiten Sie nach Beendigung des Assistenten den folgenden Registrierungsschlüssel auf dem NDES-Server:After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Um diesen Schlüssel zu bearbeiten, ermitteln Sie den Zweck der Zertifikatvorlage, wie auf der entsprechenden Registerkarte Anforderungsverarbeitung aufgeführt, und bearbeiten Sie dann den zugehörigen Eintrag in der Registrierung. Ersetzen Sie hierzu die vorhandenen Daten durch den Namen der Zertifikatvorlage (nicht den Anzeigenamen der Vorlage), den Sie in Aufgabe 1 festgelegt haben.To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. In der folgenden Tabelle ist der Zertifikatvorlagenzweck den Werten in der Registrierung zugeordnet:The following table maps the certificate template purpose to the values in the registry:

    Zertifikatvorlagenzweck (auf der Registerkarte „Anforderungsverarbeitung“)Certificate template Purpose (On the Request Handling tab) Zu bearbeitender RegistrierungswertRegistry value to edit In der Intune-Verwaltungskonsole für das SCEP-Profil angezeigter WertValue seen in the Intune admin console for the SCEP profile
    SignaturSignature SignatureTemplateSignatureTemplate Digitale SignaturDigital Signature
    VerschlüsselungEncryption EncryptionTemplateEncryptionTemplate SchlüsselverschlüsselungKey Encipherment
    Signatur und VerschlüsselungSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate SchlüsselverschlüsselungKey Encipherment

    Digitale SignaturDigital Signature

    Wenn der Zweck der Zertifizierungsvorlage zum Beispiel Verschlüsselungist, bearbeiten Sie den Wert EncryptionTemplate so, dass er dem Namen der Zertifikatvorlage entspricht.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Der NDES-Server empfängt sehr lange URLs (Anfragen). Deshalb müssen Sie zwei Registrierungseinträge hinzufügen:The NDES server will receive very long URL’s (queries), which require that you add two registry entries:

    StandortLocation WertValue TypType DatenData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (Dezimal)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (Dezimal)65534 (decimal)
  4. Wählen Sie im IIS-Manager Standardwebsite -> Anforderungsfilterung -> Featureeinstellungen bearbeiten aus, und ändern Sie die Maximale URL-Länge und die Maximale Länge einer Abfragezeichenfolge in 65534, wie abgebildet.In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    Maximale Länge für URL und Abfragezeichenfolge in IIS

  5. Starten Sie den Server neu.Restart the server. Das Ausführen von iisreset auf dem Server reicht nicht aus, um diese Änderungen zu finalisieren.Running iisreset on the server will not be sufficient to finalize these changes.

  6. Navigieren Sie zu http://FQDN/certsrv/mscep/mscep.dll.Browse to http://FQDN/certsrv/mscep/mscep.dll. Eine NDES-Seite wird angezeigt, die der Folgenden ähnelt:You should see an NDES page similar to this:

    Testen von NDES

    Wenn Sie die Meldung 503 – Dienst nicht verfügbar erhalten, überprüfen Sie die Ereignisanzeige.If you get a 503 Service unavailable, check the event viewer. Wahrscheinlich wurde der Anwendungspool beendet, weil eine notwendige Berechtigung für den NDES-Benutzer fehlt.It's likely that the application pool is stopped due to a missing right for the NDES user. Die entsprechenden Berechtigungen sind in Aufgabe 1 beschrieben.Those rights are described in Task 1.

So installieren und binden Sie Zertifikate auf dem NDES-ServerTo Install and bind certificates on the NDES Server
  1. Fordern Sie auf dem NDES-Server ein Serverauthentifizierungszertifikat von der internen oder einer öffentlichen Zertifizierungsstelle an, und installieren Sie es.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Sie binden dieses SSL-Zertifikat anschließend in IIS.You will then bind this SSL certificate in IIS.

    Tipp

    Nachdem Sie das SSL-Zertifikat in IIS gebunden haben, installieren Sie auch ein Clientauthentifizierungszertifikat.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Dieses Zertifikat kann von jeder Zertifizierungsstelle ausgestellt werden, die vom NDES-Server als vertrauenswürdig eingestuft wird.This certificate can be issued by any CA that is trusted by the NDES Server. Obwohl es sich nicht um die bewährte Methode handelt, können Sie das gleiche Zertifikat für die Server und die Clientauthentifizierung verwenden, solange das Zertifikat über beide erweiterten Schlüsselverwendungen (EKUs) verfügt.Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKU’s). In den folgenden Schritten finden Sie Informationen zu diesen Authentifizierungszertifikaten.Review the following steps for information about these authentication certificates.

    1. Nachdem Sie das Serverauthentifizierungszertifikat erhalten haben, öffnen Sie den IIS-Manager, wählen im Fenster Verbindungen die Option Standardwebsite , und klicken dann im Fenster Aktionen auf Bindungen .After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Klicken Sie auf Hinzufügen, legen Sie als Typ die Option httpsfest, und stellen Sie sicher, dass der Port 443ist.Click Add, set Type to https, and then ensure the port is 443. (Für eigenständiges Intune wird nur Port 443 unterstützt.)(Only port 443 is supported for standalone Intune.

    3. Geben Sie unter SSL-Zertifikatdas Serverauthentifizierungszertifikat an.For SSL certificate, specify the server authentication certificate.

      Hinweis

      Wenn der NDES-Server sowohl einen externen als auch einen internen Namen für eine einzelne Netzwerkadresse verwendet, muss das Serverauthentifizierungszertifikat über einen Antragstellernamen mit einem externen öffentlichen Servernamen sowie einen alternativen Antragstellernamen verfügen, der den Namen des internen Servers enthält.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. Fordern Sie auf dem NDES-Server ein Clientauthentifizierungszertifikat von der internen oder einer öffentlichen Zertifizierungsstelle an, und installieren Sie es.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Dies kann dasselbe Zertifikat wie das Serverauthentifizierungszertifikat sein, wenn dieses Zertifikat über beide Funktionen verfügt.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Das Clientauthentifizierungszertifikat muss die folgenden Eigenschaften aufweisen:The client authentication certificate must have the following properties:

    Erweiterte Schlüsselverwendung: Dies muss die Clientauthentifizierung umfassen.Enhanced Key Usage - This must include Client Authentication.

    Antragstellername: Dies muss mit dem DNS-Namen des Servers identisch sein, auf dem das Zertifikat installiert wird (d. h. dem NDES-Server).Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

So konfigurieren Sie die IIS-AnforderungsfilterungTo configure IIS request filtering
  1. Öffnen Sie auf dem NDES-Server den IIS-Manager, wählen Sie im Fenster Verbindungen die Option Standardwebsite , und öffnen Sie dann die Anforderungsfilterung.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Klicken Sie auf Featureeinstellungen bearbeiten, und legen Sie dann Folgendes fest:Click Edit Feature Settings, and then set the following:

    Abfragezeichenfolge (Bytes) = 65534query string (Bytes) = 65534

    Maximale URL-Länge (Bytes) = 65534Maximum URL length (Bytes) = 65534

  3. Überprüfen Sie den folgenden Registrierungsschlüssel:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Stellen Sie sicher, dass die folgenden Werte als DWORD-Einträge festgelegt sind:Ensure the following values are set as DWORD entries:

    Name: MaxFieldLengthmit einem Dezimalwert von 65534Name: MaxFieldLength, with a decimal value of 65534

    Name: MaxRequestBytesmit einem Dezimalwert von 65534Name: MaxRequestBytes, with a decimal value of 65534

  4. Starten Sie den NDES-Server neu.Reboot the NDES server. Der Server ist jetzt bereit zur Unterstützung des Zertifikatconnectors.The server is now ready to support the Certificate Connector.

Schritt 5: Aktivieren, Installieren und Konfigurieren des Intune Certificate ConnectorsStep 5 - Enable, install, and configure the Intune certificate connector

Im Rahmen dieser Aufgabe führen Sie die folgenden Aktionen aus:In this task you will:

Aktivieren der Unterstützung für NDES in IntuneEnable support for NDES in Intune.

Herunterladen, Installieren und Konfigurieren des Certificate Connectors auf dem NDES-ServerDownload, install, and configure the Certificate Connector on the NDES Server.

So aktivieren Sie die Unterstützung für den Certificate ConnectorTo enable support for the certificate connector
  1. Melden Sie sich beim Azure-Portal an.Sign into the Azure portal.
  2. Wählen Sie Weitere Dienste > Überwachung und Verwaltung > Intune aus.Choose More Services > Monitoring + Management > Intune.
  3. Wählen Sie auf dem Blatt Intune die Option Geräte konfigurieren aus.On the Intune blade, choose Configure devices.
  4. Wählen Sie auf dem Blatt Gerätekonfiguration die Option Zertifizierungsstelle aus.On the Device Configuration blade, choose Certification Authority.
  5. Wählen Sie Certificate Connector aktivierenaus.Select Enable Certificate Connector.
So wird der Certificate Connector heruntergeladen, installiert und konfiguriertTo download, install and configure the certificate connector
Hinweis

Das Herunterladen, Installieren und Konfigurieren des Certificate Connectors sollte aufgrund eines bekannten Problems mithilfe des folgenden Verfahrens erfolgen: Konfigurieren der Zertifikatinfrastruktur für SCEP -> Konfigurieren Ihrer Infrastruktur -> Aufgabe 5.Because of a known issue, download, install, and configure the certificate connector using the following procedure: Configure certificate infrastructure for SCEP -> Configure your infrastructure -> Task 5

  1. Melden Sie sich beim Azure-Portal an.Sign into the Azure portal.
  2. Wählen Sie Weitere Dienste > Überwachung und Verwaltung > Intune aus.Choose More Services > Monitoring + Management > Intune.
  3. Wählen Sie auf dem Blatt Intune die Option Geräte konfigurieren aus.On the Intune blade, choose Configure devices.
  4. Wählen Sie auf dem Blatt Gerätekonfiguration die Option Zertifizierungsstelle aus.On the Device Configuration blade, choose Certification Authority.
  5. Wählen Sie Certificate Connector herunterladen aus.Choose Download Certificate Connector.
  6. Nachdem der Download abgeschlossen ist, führen Sie das heruntergeladene Installationsprogramm (ndesconnectorssetup.exe) auf einem Server mit Windows Server 2012 R2 aus.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. Das Installationsprogramm installiert auch das Richtlinienmodul für NDES und den CRP-Webdienst.The installer also installs the policy module for NDES and the CRP Web Service. (Der CRP-Webdienst „CertificateRegistrationSvc“ wird als Anwendung in IIS ausgeführt.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Hinweis

    Bei der Installation von NDES für eigenständiges Intune wird der CRP-Dienst automatisch mit dem Zertifikatconnector installiert.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Bei Verwendung von Intune mit dem Konfigurations-Manager installieren Sie den Zertifikatregistrierungspunkt als eine separate Standortsystemrolle.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  7. Wenn Sie zur Eingabe des Clientzertifikats für den Certificate Connector aufgefordert werden, wählen Sie Auswählen aus, und wählen Sie das Clientauthentifizierungszertifikat aus, das Sie in Aufgabe 3 auf dem NDES-Server installiert haben.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Nachdem Sie das Clientauthentifizierungszertifikat ausgewählt haben, wird erneut die Oberfläche Clientzertifikat für den Microsoft Intune-Zertifikatconnector angezeigt.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Auch wenn das ausgewählte Zertifikat nicht angezeigt wird, klicken Sie auf Weiter , um die Eigenschaften des Zertifikats anzuzeigen.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Klicken Sie dann auf Weiter, und klicken Sie anschließend auf installieren.Then click Next, and then click Install.

  8. Nach Abschluss des Assistenten, jedoch vor dem Schließen des Assistenten, klicken Sie auf Zertifikatconnector-Benutzeroberfläche starten.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tipp

    Wenn Sie den Assistenten schließen, bevor Sie die Benutzeroberfläche des Zertifikatconnectors starten, können Sie sie mit dem folgenden Befehl erneut öffnen:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <Installationspfad>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  9. Gehen Sie auf der Benutzeroberfläche von Zertifikatconnector so vor:In the Certificate Connector UI:

    Klicken Sie auf Anmelden, und geben Sie die Anmeldeinformationen des Intune-Dienstadministrators oder für einen Mandantenadministrator mit der globalen Administratorberechtigung ein.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Wenn Ihr Unternehmen einen Proxyserver verwendet und der Proxy erforderlich ist, damit der NDES-Server auf das Internet zugreifen kann, klicken Sie auf Proxyserver verwenden, und geben Sie dann den Proxyservernamen, Port und die Kontoanmeldedaten für die Verbindung an.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Wählen Sie die Registerkarte Erweitert aus, und geben Sie dann die Anmeldeinformationen für ein Konto ein, das über die Berechtigung Zertifikate ausgeben und verwalten für die ausstellende Zertifizierungsstelle verfügt, und klicken Sie dann auf Anwenden.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Sie können jetzt die Benutzeroberfläche des Zertifikatconnectors schließen.You can now close the Certificate Connector UI.

  10. Öffnen Sie eine Eingabeaufforderung, und geben Sie services.msc ein. Drücken Sie dann die EINGABETASTE, klicken Sie mit der rechten Maustaste auf Intune-Connectordienst, und klicken Sie dann auf Neu starten.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

Um zu überprüfen, das der Dienst ausgeführt wird, öffnen Sie einen Browser, und geben Sie die folgenden URL ein. Es sollte ein 403 -Fehler zurückgegeben werden:To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

http:// <FQDN_des_NDES_Servers>/certsrv/mscep/mscep.dllhttp:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

So erstellen Sie ein SCEP-ZertifikatprofilHow to create a SCEP certificate profile

  1. Wählen Sie im Azure-Portal die Workload Konfigurieren von Geräten aus.In the Azure Portal, select the Configure devices workload.
  2. Wählen Sie auf dem Blatt Gerätekonfiguration die Option Verwalten > Profile aus.On the Device Configuration blade, choose Manage > Profiles.
  3. Wählen Sie auf dem Blatt „Profile“ die Option Profil erstellen aus.On the profiles blade, choose Create Profile.
  4. Geben Sie auf dem Blatt Profil erstellen einen Namen und eine Beschreibung für das SCEP-Zertifikatprofil ein.On the Create Profile blade, enter a Name and Description for the SCEP certificate profile.
  5. Wählen Sie in der Dropdownliste Plattform die Geräteplattform für dieses SCEP-Zertifikat aus.From the Platform drop-down list, select the device platform for this SCEP certificate. Derzeit können Sie eine der folgenden Plattformen für die Einstellungen für Geräteeinschränkungen auswählen:Currently, you can choose one of the following platforms for device restriction settings:
    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows 10 und höherWindows 10 and later
  6. Wählen Sie in der Dropdownliste Profiltyp die Option SCEP-Zertifikat aus.From the Profile type drop-down list, choose SCEP certificate.
  7. Konfigurieren Sie auf dem Blatt SCEP-Zertifikat die folgenden Einstellungen:On the SCEP Certificate blade, configure the following settings:

    • Gültigkeitsdauer des Zertifikats: Wenn Sie den Befehl certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE für die ausstellende Zertifizierungsstelle ausgeführt haben, die eine benutzerdefinierte Gültigkeitsdauer ermöglicht, können Sie die verbleibende Dauer bis zum Ablauf des Zertifikats angeben.Certificate validity period - If you have run the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can specify the amount of remaining time before the certificate expires.
      Sie können einen niedrigeren Wert als den für die Gültigkeitsdauer in der angegebenen Zertifikatvorlage angeben, aber keinen höheren.You can specify a value that is lower than the validity period in the specified certificate template, but not higher. Beispiel: Wenn die Gültigkeitsdauer des Zertifikats in der Zertifikatvorlage zwei Jahre beträgt, können Sie als Wert ein Jahr angeben, aber nicht fünf Jahre.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year but not a value of five years. Zudem muss der Wert niedriger als die verbleibende Gültigkeitsdauer des Zertifikats der ausstellenden Zertifizierungsstelle sein.The value must also be lower than the remaining validity period of the issuing CA's certificate.
    • Schlüsselspeicheranbieter (KSP): (Windows Phone 8.1, Windows 8.1, Windows 10) Geben Sie an, wo der Schlüssel für das Zertifikat gespeichert wird.Key storage provider (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10) - Specify where the key to the certificate will be stored. Wählen Sie einen der folgenden Werte aus:Choose from one of the following values:
      • Bei TPM-KSP (Trusted Platform Module) registrieren, falls vorhanden, andernfalls Software-KSPEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Bei TPM-KSP (Trusted Platform Module) registrieren, andernfalls FehlerEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Bei Passport registrieren, andernfalls Fehler (Windows 10 und höher)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Bei Software-KSP registrierenEnroll to Software KSP
    • Format des Antragstellernamens: Wählen Sie in der Liste aus, wie Intune den Antragstellernamen in der Zertifikatanforderung automatisch erstellt.Subject name format - From the list, select how Intune automatically creates the subject name in the certificate request. Wenn das Zertifikat für einen Benutzer bestimmt ist, können Sie auch die E-Mail-Adresse des Benutzers im Antragstellernamen einschließen.If the certificate is for a user, you can also include the user's email address in the subject name. Wählen Sie aus:Choose from:

      • Nicht konfiguriertNot configured
      • Allgemeiner NameCommon name
      • Allgemeiner Name einschließlich E-Mail-AdresseCommon name including email
      • Allgemeiner Name als E-Mail-AdresseCommon name as email
      • Benutzerdefiniert: Wenn Sie diese Option auswählen, wird ein weiteres Dropdownfeld angezeigt.Custom - When you select this option, another drop-down field is displayed. In diesem Feld können Sie ein benutzerdefiniertes Format für den Antragstellernamen eingeben.You use this field to enter a custom subject name format. Die beiden für das benutzerdefinierte Format unterstützten Variablen sind Allgemeiner Name (CN) und E-Mail (E).The two variables supported for the custom format are Common Name (CN) and Email (E). Durch Kombination einer oder mehrerer dieser Variablen mit statischen Zeichenfolgen können Sie ein benutzerdefiniertes Format wie dieses für den Antragstellernamen erstellen: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US In diesem Beispiel haben Sie ein Format für den Antragstellernamen erstellt, das neben den Variablen „CN“ und „E“ noch Zeichenfolgen für die Organisationseinheit, den Standort, den Bundesstaat und das Land verwendet.By using a combination of one or many of these variables and static strings, you can create a custom subject name format, like this one: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US In this example, you created a subject name format that, in addition to the CN and E variables, uses strings for Organizational Unit, Organization, Location, State, and Country values. In diesem Thema werden die CertStrToName-Funktion und die unterstützten Zeichenfolgen gezeigt.This topic shows the CertStrToName function and its supported strings.
    • Alternativer Antragstellername: Geben Sie an, wie die Werte für den alternativen Antragstellernamen (Subject Alternative Name, SAN) in der Zertifikatanforderung von Intune automatisch erstellt werden sollen.Subject alternative name - Specify how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Beispiel: Wenn Sie einen Benutzerzertifikattyp ausgewählt haben, könnten Sie in den alternativen Antragstellernamen den Benutzerprinzipalnamen (User Principal Name, UPN) aufnehmen.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Wenn das Clientzertifikat für die Authentifizierung bei einem Netzwerkrichtlinienserver verwendet werden soll, müssen Sie den alternativen Antragstellernamen auf den Benutzerprinzipalnamen festlegen.If the client certificate will be used to authenticate to a Network Policy Server, you must set the subject alternative name to the UPN.

    • Schlüsselverwendung: Geben Sie Schlüsselverwendungsoptionen für das Zertifikat an.Key usage - Specify key usage options for the certificate. Sie können unter folgenden Optionen wählen:You can choose from the following options:
      • Schlüsselverschlüsselung: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel verschlüsselt ist.Key encipherment: Allow key exchange only when the key is encrypted.
      • Digitale Signatur: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel durch eine digitale Signatur geschützt ist.Digital signature: Allow key exchange only when a digital signature helps protect the key.
    • Schlüsselgröße (Bits): Wählen Sie die Anzahl der Bits aus, die im Schlüssel enthalten sein sollen.Key size (bits) - Select the number of bits that will be contained in the key.
    • Hashalgorithmus: (Android, Windows Phone 8.1, Windows 8.1, Windows 10) Wählen Sie einen der verfügbaren Hashalgorithmustypen aus, der für dieses Zertifikat verwendet werden soll.Hash algorithm (Android, Windows Phone 8.1, Windows 8.1, Windows 10) - Select one of the available hash algorithm types to use with this certificate. Wählen Sie die höchste Sicherheitsebene aus, die die verbundenen Geräten unterstützen.Select the strongest level of security that the connecting devices support.
    • Stammzertifikat: Wählen Sie ein Profil für ein Stamm-Zertifizierungsstellenzertifikat aus, das Sie zuvor konfiguriert und dem Benutzer oder Gerät zugewiesen haben.Root Certificate - Choose a root CA certificate profile that you have previously configured and assigned to the user or device. Dieses Zertifizierungsstellenzertifikat muss das Stammzertifikat für die Zertifizierungsstelle sein, die das Zertifikat ausstellt, das Sie in diesem Zertifikatprofil konfigurieren.This CA certificate must be the root certificate for the CA that will issue the certificate that you are configuring in this certificate profile.
    • Erweiterte Schlüsselverwendung: Wählen Sie Hinzufügen aus, um Werte für den beabsichtigten Zweck des Zertifikats hinzuzufügen.Extended key usage - Choose Add to add values for the certificate's intended purpose. In den meisten Fällen erfordert das Zertifikat Clientauthentifizierung , damit der Benutzer bzw. das Gerät auf einem Server authentifiziert werden kann.In most cases, the certificate will require Client Authentication so that the user or device can authenticate to a server. Sie können jedoch nach Bedarf weitere Schlüsselverwendungen hinzufügen.However, you can add any other key usages as required.
    • RegistrierungseinstellungenEnrollment Settings
      • Erneuerungsschwellenwert (%): Geben Sie den Prozentsatz der Zertifikatgültigkeitsdauer an, die verbleibt, bevor das Gerät eine Erneuerung des Zertifikats anfordert.Renewal threshold (%) - Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
      • SCEP-Server-URLs: Geben Sie eine oder mehrere URLs für die NDES-Server an, die Zertifikate über SCEP ausstellen.SCEP Server URLs - Specify one or more URLs for the NDES Servers that will issue certificates via SCEP.
  8. Navigieren Sie anschließend zurück zum Blatt Profil erstellen, und klicken Sie auf Erstellen.When you're done, go back to the Create Profile blade, and hit Create.

Das Profil wird erstellt und auf dem Blatt mit der Profilliste angezeigt.The profile will be created and appears on the profiles list blade.

Zuweisen des ZertifikatprofilsHow to assign the certificate profile

Beachten Sie Folgendes, bevor Sie Gruppen Zertifikatprofile zuweisen:Consider the following before you assign certificate profiles to groups:

  • Wenn Sie Gruppen Zertifikatprofile zuweisen, wird die Zertifikatsdatei aus dem Profil des vertrauenswürdigen Zertifizierungsstellenzertifikats auf dem Gerät installiert.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Das Gerät verwendet das SCEP-Zertifikatprofil, um eine Zertifikatanforderung für das Gerät zu erstellen.The device uses the SCEP certificate profile to create a certificate request by the device.
  • Zertifikatprofile werden nur auf den Geräten installiert, auf denen die beim Erstellen des Profils verwendete Plattform ausgeführt wird.Certificate profiles install only on devices running the platform you use when you created the profile.
  • Sie können Zertifikatprofile zu Benutzer- oder Gerätesammlungen zuweisen.You can assign certificate profiles to user collections or to device collections.
  • Damit Zertifikate möglichst schnell nach der Geräteregistrierung auf Geräten veröffentlicht werden können, weisen Sie das Zertifikatprofil besser einer Benutzergruppe zu (nicht einer Gerätegruppe).To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Wenn Sie es einer Gerätegruppe zuweisen, muss eine vollständige Geräteregistrierung stattfinden, bevor das Gerät Richtlinien empfängt.If you assign to a device group, a full device registration is required before the device receives policies.
  • Obwohl Sie jedes Profil separat zuweisen, müssen Sie auch die vertrauenswürdige Stammzertifizierungsstelle und das SCEP- oder PKCS-Profil zuweisen.Although you assign each profile separately, you also need to assign the Trusted Root CA and the SCEP or PKCS profile. Andernfalls schlägt die SCEP- oder PKCS-Zertifikatrichtlinie fehl.Otherwise, the SCEP or PKCS certificate policy will fail.

Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Geräteprofilen.For information about how to assign profiles, see How to assign device profiles.

Um Feedback zu einem Produkt zu geben, besuchen Sie folgende Seite Intune Feedback