Configurer Intune Certificate Connector pour la plateforme DigiCert PKISet up Intune Certificate Connector for DigiCert PKI Platform

Utilisez Intune Certificate Connector de façon à émettre des certificats PKCS sur des appareils gérés par Intune, à partir de la plateforme PKI DigiCert.Use Intune Certificate Connector to issue PKCS certificates from DigiCert PKI Platform to Intune-managed devices. Vous pouvez utiliser le connecteur avec une autorité de certification (AC) DigiCert uniquement, ou avec une AC DigiCert et une AC Microsoft.You can use the connector with only a DigiCert certification authority (CA), or with both a DigiCert CA and a Microsoft CA.

Conseil

DigiCert a acquis les solutions de sécurité web de Symantec et les solutions PKI associées.DigiCert acquired Symantec's Website Security and related PKI Solutions business. Pour plus d’informations sur cette modification, consultez l’article du support technique Symantec.For more information about this change, see the Symantec technical support article.

Si vous utilisez déjà Intune Certificate Connector pour émettre des certificats à partir d’une autorité de certification Microsoft à l’aide de PKCS ou de Simple Certificate Enrollment Protocol (SCEP), vous pouvez utiliser ce même connecteur pour configurer et émettre des certificats PKCS à partir d’une autorité de certification DigiCert.If you already use the Intune Certificate Connector to issue certificates from a Microsoft CA by using PKCS or Simple Certificate Enrollment Protocol (SCEP), you can use that same connector to configure and issue PKCS certificates from a DigiCert CA. Une fois la configuration de la prise en charge de l’autorité de certification DigiCert terminée, Intune Certificate Connector peut émettre les certificats suivants :After you complete the configuration to support the DigiCert CA, Intune Certificate Connector can issue the following certificates:

  • Certificats PKCS à partir d’une AC MicrosoftPKCS certificates from a Microsoft CA
  • Certificats PKCS d’une AC DigiCertPKCS certificates from a DigiCert CA
  • Certificats Endpoint Protection d’une AC MicrosoftEndpoint Protection certificates from a Microsoft CA

Si le connecteur n’est pas installé mais que vous envisagez de l’utiliser à la fois pour une AC Microsoft et une AC DigiCert, effectuez d’abord la configuration du connecteur pour l’AC Microsoft.If you don't have the connector installed but plan to use it for both a Microsoft CA and a DigiCert CA, complete the connector configuration for the Microsoft CA first. Ensuite, revenez à cet article pour le configurer pour qu’il prenne également en charge DigiCert.Then, return to this article to configure it to also support DigiCert. Pour plus d’informations sur les profils de certificat et le connecteur, consultez Configurer un profil de certificat pour vos appareils dans Microsoft Intune.For more information about certificate profiles and the connector, see Configure a certificate profile for your devices in Microsoft Intune.

Si vous utilisez le connecteur uniquement avec l’AC DigiCert, vous pouvez suivre les instructions de cet article pour installer et configurer le connecteur.If you'll use the connector with only the DigiCert CA, you can use the instructions in this article to install and then configure the connector.

PrérequisPrerequisites

  • Un abonnement actif auprès de l’AC DigiCert : L’abonnement est nécessaire pour obtenir un certificat d’autorité d’inscription auprès de l’AC DigiCert.An active subscription at the DigiCert CA: The subscription is required to get a registration authority (RA) certificate from the DigiCert CA.
  • Le Microsoft Intune Certificate Connector impose la même configuration réseau requise que les appareils gérés.The Microsoft Intune Certificate Connector has the same network requirements as managed devices.

Installer le certificat d’autorité d’inscription DigiCertInstall the DigiCert RA certificate

  1. Enregistrez l’extrait de code suivant tel quel dans un fichier nommé certreq.ini et adaptez-le à vos besoins (par exemple : Nom de l’objet au format CN).Save the following code snippet as in a file named certreq.ini and update it as required (for example: Subject name in CN format).

    [Version] 
    Signature="$Windows NT$" 
    
    [NewRequest] 
    ;Change to your,country code, company name and common name 
    Subject = "Subject Name in CN format"
    
    KeySpec = 1 
    KeyLength = 2048 
    Exportable = TRUE 
    MachineKeySet = TRUE 
    SMIME = False 
    PrivateKeyArchive = FALSE 
    UserProtected = FALSE 
    UseExistingKeySet = FALSE 
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
    ProviderType = 12 
    RequestType = PKCS10 
    KeyUsage = 0xa0 
    
    [EnhancedKeyUsageExtension] 
    OID=1.3.6.1.5.5.7.3.2 ; Client Authentication  // Uncomment if you need a mutual TLS authentication
    
    ;----------------------------------------------- 
    
  2. Ouvrez une invite de commandes avec élévation de privilèges et générez une demande de signature de certificat (CSR) à l’aide de la commande suivante :Open an elevated command prompt and generate a certificate signing request (CSR) by using the following command:

    Certreq.exe -new certreq.ini request.csr

  3. Ouvrez le fichier request.csr dans le Bloc-notes et copiez le contenu CSR, qui est au format suivant :Open the request.csr file in Notepad and copy the CSR content that's in the following format:

    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIID8TCCAtkCAQAwbTEMMAoGA1UEBhMDVVNBMQswCQYDVQQIDAJXQTEQMA4GA1UE
    …
    …
    fzpeAWo=
    -----END NEW CERTIFICATE REQUEST-----
    
  4. Connectez-vous à l’autorité de certification DigiCert et accédez à Obtenir un certificat RA à partir des tâches.Sign in to the DigiCert CA and browse to Get an RA Cert from the tasks.

    a.a. Dans la zone de texte, fournissez le contenu CSR de l’étape 3.In the text box, provide the CSR content from step 3.

    b.b. Fournissez un nom convivial pour le certificat.Provide a friendly name for the certificate.

    c.c. Sélectionnez Continuer.Select Continue.

    d.d. Utilisez le lien fourni pour télécharger le certificat d’autorité d’inscription sur votre ordinateur local.Use the provided link to download the RA certificate to your local computer.

  5. Importez le certificat d’autorité d’inscription dans le magasin de certificats Windows :Import the RA certificate into the Windows Certificate store:

    a.a. Ouvrez une console MMC.Open an MMC console.

    b.b. Sélectionnez Fichier > Ajouter ou supprimer des composants logiciels enfichables > Certificat > Ajouter.Select File > Add or Remove Snap-ins > Certificate > Add.

    c.c. Sélectionnez Compte de l’ordinateur > Suivant.Select Computer Account > Next.

    d.d. Sélectionnez Ordinateur local > Terminer.Select Local Computer > Finish.

    e.e. Sélectionnez OK dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables.Select OK in the Add or Remove Snap-ins window. Développez Certificats (Ordinateur local) > Personnel > Certificats.Expand Certificates (Local Computer) > Personal > Certificates.

    f.f. Cliquez avec le bouton droit sur le nœud Certificats, et sélectionnez Toutes les tâches > Importer.Right-click the Certificates node and select All Tasks > Import.

    g.g. Sélectionnez l’emplacement du certificat d’autorité d’inscription que vous avez téléchargé à partir de l’AC DigiCert, puis sélectionnez Suivant.Select the location of the RA certificate that you downloaded from the DigiCert CA, and then select Next.

    h.h. Sélectionnez Magasin de certificats personel > Suivant.Select Personal Certificate Store > Next.

    i.i. Sélectionnez Terminer pour importer le certificat RA et sa clé privée dans le magasin Ordinateur local-Personnel.Select Finish to import the RA certificate and its private key into the Local Machine-Personal store.

  6. Exportez et importez le certificat de clé privée :Export and import the private key certificate:

    a.a. Développez Certificats (Ordinateur local) > Personnel > Certificats.Expand Certificates (Local Machine) > Personal > Certificates.

    b.b. Sélectionnez le certificat qui a été importé à l’étape précédente.Select the certificate that was imported in the previous step.

    c.c. Cliquez avec le bouton droit sur le certificat et sélectionnez Toutes les tâches > Exporter.Right-click the certificate and select All Tasks > Export.

    d.d. Sélectionnez Suivant, puis entrez le mot de passe.Select Next, and then enter the password.

    e.e. Sélectionnez l’emplacement d’exportation et sélectionnez Terminer.Select the location to export to, and then select Finish.

    f.f. Utilisez la même procédure qu’à l’étape 5 pour importer le certificat de clé privée dans le magasin Ordinateur local-Personnel.Use the procedure from step 5 to import the private key certificate into the Local Computer-Personal store.

    g.g. Enregistrez une copie de l’empreinte du certificat d’autorité d’inscription sans les espaces.Record a copy the RA certificate thumbprint without any spaces. Voici un exemple d’empreinte :The following is an example of the thumbprint:

    RA Cert Thumbprint: "EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"

    Notes

    Pour obtenir de l’aide pour récupérer le certificat RA auprès de l’autorité de certification DigiCert, contactez le support client DigiCert.For assistance in getting the RA certificate from the DigiCert CA, contact DigiCert customer support.

Préparer l’installation d’Intune Certificate ConnectorPrepare to install Intune Certificate Connector

Conseil

Cette section s’applique si vous utilisez Intune Certificate Connector avec une seule autorité de certification (AC) DigiCert.This section applies if you'll use Intune Certificate Connector with only a DigiCert CA. Si vous utilisez Intune Certificate Connector avec une autorité de certification Microsoft et souhaitez ajouter la prise en charge de l’autorité de certification DigiCert, passez directement à Configurer le connecteur pour prendre en charge DigiCert.If you use Intune Certificate Connector with a Microsoft CA and want to add DigiCert CA support, skip ahead to Configure the connector to support DigiCert.

  1. Choisissez l’une des versions du système d’exploitation Windows de la liste suivante et installez-la sur un ordinateur :Choose one of the Windows operating system versions from the following list and install it on a computer:

    • Windows Server 2012 R2 DatacenterWindows Server 2012 R2 Datacenter
    • Windows Server 2012 R2 StandardWindows Server 2012 R2 Standard
    • Windows Server 2016 DatacenterWindows Server 2016 Datacenter
    • Windows Server 2016 StandardWindows Server 2016 Standard
  2. Créez un utilisateur avec des privilèges administratifs et utilisez-le pour suivre les étapes ci-dessous.Create a user with administrative privileges and use it to complete the following steps.

  3. Vérifiez les dernières mises à jour Windows disponibles et installez-les.Check for the latest Windows updates and install them if available. Après avoir installé les mises à jour Windows, redémarrez l’ordinateur.After you install Windows updates, restart the computer.

  4. Installez .NET Framework 3.5 :Install .NET Framework 3.5:

    a.a. Ouvrez Panneau de configuration > Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.Open Control Panel > Programs and Features > Turn Windows features on or off.

    b.b. Sélectionnez .NET Framework 3.5 et installez-le.Select .NET Framework 3.5 and install it.

Installer Intune Certificate Connector pour une utilisation avec DigiCertInstall Intune Certificate Connector for use with DigiCert

Conseil

Si vous utilisez Intune Certificate Connector avec une AC Microsoft et souhaitez ajouter la prise en charge de l’AC DigiCert, passez directement à Configurer le connecteur pour prendre en charge DigiCert.If you use the Intune Certificate Connector with a Microsoft CA and want to add DigiCert CA support, skip ahead to Configure the connector to support DigiCert.

Téléchargez la dernière version d’Intune Certificate Connector sur le portail d’administration Intune et suivez ces instructions.Download the latest Intune Certificate Connector version from the Intune administration portal and follow these instructions.

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez Administration client > Connecteurs et jetons > Connecteurs de certificat > + Ajouter.Select Tenant administration > Connectors and tokens > Certificate connectors > + Add.

  3. Cliquez sur Téléchargez le logiciel du connecteur de certificat pour le connecteur de PKCS #12, puis enregistrez le fichier à un emplacement accessible à partir du serveur où vous installerez le connecteur.Click Download the certificate connector software for the connector for PKCS #12, and save the file to a location you can access from the server where you're going to install the connector.

    Télécharger le logiciel Connecteur

  4. Sur le serveur où vous souhaitez installer le connecteur, exécutez NDESConnectorSetup.exe avec des privilèges élevés.On the server where you want to install the connector, run NDESConnectorSetup.exe with elevated privileges.

  5. Sur la page Options d'installation, sélectionnez Distribution PFX.On the Installation Options page, select PFX Distribution.

    Sélectionner la distribution PFX

    Important

    Si vous utilisez Intune Certificate Connector de façon à ce qu’il émette des certificats à partir d’une AC Microsoft et d’une AC DigiCert, sélectionnez Distribution de profils SCEP et PFX.If you'll use the Intune Certificate Connector to issue certificates from a Microsoft CA and a DigiCert CA, select SCEP and PFX Profile Distribution.

  6. Utilisez les sélections par défaut pour terminer la configuration du connecteur.Use the default selections to finish setting up the connector.

Configurer le connecteur pour prendre en charge DigiCertConfigure the connector to support DigiCert

Par défaut, Intune Certificate Connector est installé dans %ProgramFiles%\Microsoft Intune\NDESConnectorSvc.By default, Intune Certificate Connector is installed in %ProgramFiles%\Microsoft Intune\NDESConnectorSvc.

  1. Dans le dossier NDESConnectorSvc, ouvrez le fichier NDESConnector.exe.config dans le Bloc-notes.In the NDESConnectorSvc folder, open the NDESConnector.exe.config file in Notepad.

    a.a. Remplacez la valeur de clé RACertThumbprint par celle de l’empreinte du certificat que vous avez copiée dans la section précédente.Update the RACertThumbprint key value with the certificate thumbprint value that you copied in the previous section. Par exemple :For example:

    <add key="RACertThumbprint"
    value="EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"/>
    

    b.b. Enregistrez et fermez le fichier.Save and close the file.

  2. Ouvrez services.msc :Open services.msc:

    a.a. Sélectionnez Service Intune Connector.Select Intune Connector Service.

    b.b. Arrêtez, puis démarrez le service.Stop the service and then start the service.

    c.c. Fermez la fenêtre du service.Close the service's window.

Configurer le compte d’administrateur IntuneSet up the Intune administrator account

Conseil

Si vous utilisez Intune Certificate Connector avec une autorité de certification Microsoft et souhaitez ajouter la prise en charge de l’autorité de certification DigiCert, passez directement à Créer un profil de certificat approuvé.If you use Intune Certificate Connector with a Microsoft CA and want to add DigiCert CA support, skip ahead to Create a trusted certificate profile.

  1. Ouvrez l’interface utilisateur du connecteur NDES depuis %ProgramFiles%\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.Open the NDES Connector user interface from %ProgramFiles%\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.

  2. Sous l’onglet Inscription, sélectionnez Se connecter.On the Enrollment tab, select Sign In.

  3. Saisissez vos informations d’identification d’administration de locataire Intune.Provide your Intune tenant admin credentials.

  4. Sélectionnez Se connecter, puis OK pour confirmer une inscription réussie.Select Sign In, and then select OK to confirm a successful enrollment. Vous pouvez alors fermer l’interface utilisateur NDES Connector.You can then close the NDES Connector user interface.

    L’interface du connecteur NDES avec le message d’inscription réussie

Créer un profil de certificat approuvéCreate a trusted certificate profile

Les certificats PKCS déployés pour les appareils gérés par Intune doivent être enchaînés avec un certificat racine approuvé.The PKCS certificates you'll deploy for Intune managed devices must be chained with a trusted root certificate. Pour établir cette chaîne, créez un profil de certificat approuvé Intune avec le certificat racine de l’autorité de certification DigiCert et déployez le profil de certificat approuvé et le profil de certificat PKCS sur les mêmes groupes.To establish this chain, create an Intune trusted certificate profile with the root certificate from the DigiCert CA, and deploy both the trusted certificate profile and the PKCS certificate profile to the same groups.

  1. Récupérez un certificat racine approuvé auprès de l’AC DigiCert :Get a trusted root certificate from the DigiCert CA:

    a.a. Connectez-vous au portail d’administration de l’AC DigiCert.Sign in to the DigiCert CA admin portal.

    b.b. Sélectionnez Gérer les AC dans Tâches.Select Manage CAs from Tasks.

    c.c. Sélectionnez l’AC correspondante dans la liste.Select the appropriate CA from the list.

    d.d. Sélectionnez Télécharger le certificat racine pour télécharger le certificat racine approuvé.Select Download root certificate to download the trusted root certificate.

  2. Créez un profil de certificat approuvé dans le portail Intune :Create a trusted certificate profile in the Intune portal:

    a.a. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

    b.b. Sélectionnez Appareils > Profils de configuration > Créer un profil.Select Devices > Configuration profiles > Create profile.

    c.c. Entrez les propriétés suivantes :Enter the following properties:

    • le Nom du profil ;Name for the profile
    • une Description (facultatif) ;Optionally set a Description
    • la Plateforme sur laquelle le profil sera déployé ;Platform to deploy the profile to
    • Type de profil : Certificat approuvé.Set Profile type to Trusted certificate

    d.d. Sélectionnez Paramètres, puis accédez au fichier .cer du certificat d’autorité de certification racine de confiance que vous avez exporté pour l’utiliser avec ce profil de certificat et sélectionnez OK.Select Settings, and then browse to the trusted root CA certificate .cer file you exported for use with this certificate profile, and then select OK.

    e.e. Pour les appareils Windows 8.1 et Windows 10 uniquement, sélectionnez le Magasin de destination pour le certificat approuvé à partir de :For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Boutique de certificats de l’ordinateur - RacineComputer certificate store - Root
    • Boutique de certificats de l’ordinateur - IntermédiaireComputer certificate store - Intermediate
    • Boutique de certificats de l’utilisateur - IntermédiaireUser certificate store - Intermediate

    f.f. Lorsque vous avez terminé, sélectionnez OK, revenez au volet Créer un profil et sélectionnez Créer.When you're done, select OK, go back to the Create profile pane, and select Create.

Le profil apparaît dans la liste des profils dans le volet Configuration de l’appareil – Profils, avec le type de profil Certificat approuvé.The profile appears in the list of profiles in the Device configuration – Profiles pane, with a profile type of Trusted certificate. Veillez à attribuer ce profil aux appareils qui recevront les certificats.Be sure to assign this profile to devices that will receive certificates. Pour attribuer ce profil à des groupes, consultez Attribuer des profils d’appareil.To assign the profile to groups, see Assign device profiles.

Récupérer l’OID du profil de certificatGet the certificate profile OID

L’OID du profil de certificat est associé à un modèle de profil de certificat dans l’AC DigiCert.The certificate profile OID is associated with a certificate profile template in the DigiCert CA. Pour créer un profil de certificat PKCS sur Intune, le nom du modèle de certificat doit être sous la forme d’un OID de profil de certificat associé à un modèle de certificat dans l’AC DigiCert.To create a PKCS certificate profile in Intune, the certificate template name must be in the form of a certificate profile OID that is associated with a certificate template in the DigiCert CA.

  1. Connectez-vous au portail d’administration de l’AC DigiCert.Sign in to the DigiCert CA admin portal.

  2. Sélectionnez Gérer les profils de certificats.Select Manage Certificate Profiles.

  3. Sélectionnez le profil de certificat que vous voulez utiliser.Select the certificate profile that you want to use.

  4. Copiez l’OID du profil de certificat.Copy the certificate profile OID. Il se présente sous la forme suivante :It looks similar to the following example:

    Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109

Notes

Si vous avez besoin d’aide pour obtenir l’OID du profil de certificat, contactez le support client DigiCert.If you need help to get the certificate profile OID, contact DigiCert customer support.

Créer un profil de certificat PKCSCreate a PKCS certificate profile

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez Appareils > Profils de configuration > Créer un profil.Select Devices > Configuration profiles > Create profile.

  3. Entrez les propriétés suivantes :Enter the following properties:

    • le Nom du profil ;Name for the profile
    • une Description (facultatif) ;Optionally set a Description
    • la Plateforme sur laquelle le profil sera déployé ;Platform to deploy the profile to
    • Définissez Type de profil sur Certificat PKCS.Set Profile type to PKCS certificate
  4. Dans le volet Certificat PKCS, configurez les paramètres avec les valeurs du tableau suivant.In the PKCS Certificate pane, configure parameters with the values from the following table. Ces valeurs sont requises pour émettre des certificats PKCS à partir d’une autorité de certification DigiCert via Intune Certificate Connector.These values are required to issue PKCS certificates from a DigiCert CA, through Intune Certificate Connector.

    Paramètre du certificat PKCSPKCS certificate parameter ValeurValue DescriptionDescription
    Autorité de certificationCertificate authority pki-ws.symauth.compki-ws.symauth.com Cette valeur doit être le nom de domaine complet du service de base de l’AC DigiCert, sans les barres obliques de fin.This value must be the DigiCert CA base service FQDN without trailing slashes. Si vous n’avez pas la certitude qu’il s’agisse du bon nom de domaine complet du service de base pour votre abonnement à l’AC DigiCert, contactez le service clientèle de DigiCert.If you aren't sure whether this is the correct base service FQDN for your DigiCert CA subscription, contact DigiCert customer support.

    Avec le passage de Symantec à DigiCert, cette URL reste inchangée.With the change from Symantec to DigiCert, this URL remains unchanged.

    Si ce nom de domaine complet est incorrect, Intune Certificate Connector n’émet pas de certificats PKCS à partir de l’AC DigiCert.If this FQDN is incorrect, Intune Certificate Connector won't issue PKCS certificates from the DigiCert CA.
    Nom de l’autorité de certificationCertificate authority name SymantecSymantec Cette valeur doit être la chaîne Symantec.This value must be the string Symantec.

    Si elle est modifiée, Intune Certificate Connector n’émettra pas de certificats PKCS à partir de l’AC DigiCert.If there's any change to this value, Intune Certificate Connector won't issue PKCS certificates from the DigiCert CA.
    Nom du modèle de certificatCertificate template name OID de profil de certificat de l’AC DigiCert.Certificate profile OID from the DigiCert CA. Par exemple : 2.16.840.1.113733.1.16.1.2.3.1.1.61904612For example: 2.16.840.1.113733.1.16.1.2.3.1.1.61904612 Cette valeur doit être un OID de profil de certificat obtenu dans la section précédente à partir du modèle de profil de certificat de l’AC DigiCert.This value must be a certificate profile OID obtained in the previous section from the DigiCert CA certificate profile template.

    Si Intune Certificate Connector ne trouve pas de modèle de certificat associé à cet OID de profil de certificat dans l’AC DigiCert, il n’émettra pas de certificats PKCS à partir de l’AC DigiCert.If Intune Certificate Connector can't find a certificate template associated with this certificate profile OID in the DigiCert CA, it won't issue PKCS certificates from the DigiCert CA.

    Sélections pour l’AC et le modèle de certificat

    Notes

    Il n’est pas nécessaire d’associer les profils de certificats PKCS des plateformes Windows à un profil de certificat approuvé.The PKCS certificate profile for Windows platforms doesn't need to associate with a trusted certificate profile. Cette opération est toutefois requise pour les profils de plateformes autres que Windows, comme Android.But it is required for non-Windows platform profiles such as Android.

  5. Effectuez la configuration du profil de façon à répondre aux besoins de votre entreprise, puis sélectionnez Créer pour l’enregistrer.Complete the configuration of the profile to meet your business needs, and then select Create to save the profile.

  6. Sur la page Vue d’ensemble du nouveau profil, sélectionnez Affectations et configurez un groupe adapté qui recevra ce profil.On the Overview page of the new profile, select Assignments and configure an appropriate group that will receive this profile. Au moins un utilisateur ou un appareil doit faire partie du groupe affecté.At least one user or device must be part of the assigned group.

À l’issue des étapes précédentes, Intune Certificate Connector émettra des certificats PKCS à partir de l’AC DigiCert, sur les appareils gérés par Intune du groupe affecté.After you complete the previous steps, Intune Certificate Connector will issue PKCS certificates from the DigiCert CA to Intune-managed devices in the assigned group. Ces certificats seront disponibles dans le magasin Personnel du magasin de certificats Utilisateur actuel de l’appareil géré par Intune.These certificates will be available in the Personal store of the Current User certificate store on the Intune-managed device.

Attributs pris en charge par les profils de certificats PKCSSupported attributes for the PKCS certificate profile

AttributAttribute Formats pris en charge par IntuneIntune supported formats Formats pris en charge par l’AC DigiCert CloudDigiCert Cloud CA supported formats resultresult
Nom d'objetSubject name Intune prend en charge le nom de l’objet aux formats suivants uniquement :Intune supports the subject name in following three formats only:

1. Nom commun1. Common name
2. Nom commun, adresse e-mail incluse2. Common name that includes email
3. Nom commun comme adresse e-mail3. Common name as email

Par exemple :For example:

CN = IWUser0 <br><br> E = IWUser0@samplendes.onmicrosoft.com
L’AC DigiCert prend en charge davantage d’attributs.The DigiCert CA supports more attributes. Si vous souhaitez sélectionner d’autres attributs, ils doivent avoir des valeurs fixes dans le modèle de profil de certificat DigiCert.If you want to select more attributes, they must be defined with fixed values in the DigiCert certificate profile template. Nous utilisons le Nom commun ou l’adresse e-mail de la demande de certificat PKCS.We use common name or email from the PKCS certificate request.

La moindre différence de sélection d’attributs entre le profil de certificat Intune et le modèle de profil de certificat DigiCert empêche l’émission de certificats par l’AC DigiCert.Any mismatch in attribute selection between the Intune certificate profile and the DigiCert certificate profile template results in no certificates issued from the DigiCert CA.
SANSAN Intune prend en charge uniquement les valeurs de champs SAN suivantes :Intune supports only the following SAN field values:

AltNameTypeEmailAltNameTypeEmail
AltNameTypeUpnAltNameTypeUpn
AltNameTypeOtherName (valeur encodée)AltNameTypeOtherName (encoded value)
L’AC DigiCert Cloud prend également en charge ces paramètres.The DigiCert Cloud CA also supports these parameters. Si vous souhaitez sélectionner d’autres attributs, ils doivent avoir des valeurs fixes dans le modèle de profil de certificat DigiCert.If you want to select more attributes, they must be defined with fixed values in the DigiCert certificate profile template.

AltNameTypeEmail : Si ce type est introuvable dans le champ SAN, Intune Certificate Connector utilise la valeur de AltNameTypeUpn.AltNameTypeEmail: If this type isn't found in the SAN, Intune Certificate Connector uses the value from AltNameTypeUpn. Si AltNameTypeUpn est également introuvable dans le champ SAN, Intune Certificate Connector utilise la valeur Nom de l’objet, à condition que celle-ci soit au format adresse e-mail.If AltNameTypeUpn is also not found in the SAN, then Intune Certificate Connector uses the value from the subject name if it's in email format. Si le type reste introuvable, Intune Certificate Connector ne parvient pas à émettre les certificats.If the type is still not found, Intune Certificate Connector fails to issue the certificates.

Exemple : RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.comExample: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeUpn : Si ce type est introuvable dans le champ SAN, Intune Certificate Connector utilise la valeur de AltNameTypeEmail.AltNameTypeUpn: If this type is not found in the SAN, Intune Certificate Connector uses the value from AltNameTypeEmail. Si AltNameTypeEmail est également introuvable dans le champ SAN, Intune Certificate Connector utilise la valeur Nom de l’objet, à condition que celle-ci soit au format adresse e-mail.If AltNameTypeEmail is also not found in the SAN, then Intune Certificate Connector uses the value from subject name if it's in email format. Si le type reste introuvable, Intune Certificate Connector ne parvient pas à émettre les certificats.If the type is still not found, Intune Certificate Connector fails to issue the certificates.

Exemple : Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.comExample: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeOtherName : Si ce type est introuvable dans le champ SAN, Intune Certificate Connector ne parvient pas à émettre les certificats.AltNameTypeOtherName: If this type isn't found in the SAN, Intune Certificate Connector fails to issue the certificates.

Exemple : Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2cExample: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2c

La valeur de ce champ n’est prise en charge par l’AC DigiCert que dans un format encodé (valeur hexadécimale).The value of this field is supported only in encoded format (hexadecimal value) by the DigiCert CA. Quelle qu’elle soit, Intune Certificate Connector la convertit au codage base 64 avant d’envoyer la demande de certificat.For any value in this field, Intune Certificate Connector converts it to base64 encoding before it submits the certificate request. Intune Certificate Connector ne vérifie pas si cette valeur est déjà encodée.Intune Certificate Connector doesn't validate whether this value is already encoded or not.
AucuneNone

Résolution des problèmesTroubleshooting

Les journaux du service Intune Certificate Connector sont disponibles dans %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs sur l’ordinateur du connecteur NDES.Intune Certificate Connector service logs are available in %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs on the NDES Connector machine. Ouvrez-les dans SvcTraceViewer et recherchez les messages d’erreur et d’exception.Open the logs in SvcTraceViewer and search for exceptions or error messages.

Problème/message d’erreurIssue/error message Étapes de résolutionResolution steps
Impossible de se connecter avec un compte Administrateur client Intune sur l’interface utilisateur NDES Connector.Unable to sign in with the Intune tenant admin account on NDES Connector UI. Cela peut se produire quand le connecteur de certificat local n’est pas activé dans le Centre d’administration Microsoft Endpoint Manager.This can happen when the on-premises certificate connector isn't enabled in the Microsoft Endpoint Manager admin center. Pour résoudre ce problème :To resolve this issue:

1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.1. Sign in to the Microsoft Endpoint Manager admin center.
2. Sélectionnez Administration client > Connecteurs et jetons > Connecteurs de certificat.2. Select Tenant administration > Connectors and tokens > Certificate connectors.
3. Localisez le connecteur de certificat et vérifiez qu’il est activé.3. Locate the certificate connector and ensure it's enabled.

Après avoir suivi les étapes précédentes, essayez de vous connecter avec le même compte Administrateur client Intune sur l’interface utilisateur de NDES Connector.After you complete the previous steps, try to sign in with the same Intune tenant admin account in the NDES Connector UI.
Certificat NDES Connector introuvable.NDES Connector certificate could not be found.

System.ArgumentNullException : La valeur ne peut pas être null.System.ArgumentNullException: Value can't be null.
Intune Certificate Connector affiche cette erreur si le compte Administrateur client Intune n’a jamais été connecté à l’interface utilisateur NDES Connector.Intune Certificate Connector shows this error if the Intune tenant administrator account has never signed in to the NDES Connector UI.

Si cette erreur persiste, redémarrez Intune Service Connector.If this error persists, restart Intune Service Connector.

1. Ouvrez services.msc.1. Open services.msc.
2. Sélectionnez Service Intune Connector.2. Select Intune Connector Service.
3. Cliquez avec le bouton droit et sélectionnez Redémarrer.3. Right-click and select Restart.
NDES Connector - IssuePfx - Exception générique :NDES Connector - IssuePfx -Generic Exception:
System.NullReferenceException : La référence d’objet n’a pas pour valeur une instance d’un objet.System.NullReferenceException: Object reference not set to an instance of an object.
Cette erreur est temporaire.This error is transient. Redémarrez Intune Service Connector.Restart Intune Service Connector.

1. Ouvrez services.msc.1. Open services.msc.
2. Sélectionnez Service Intune Connector.2. Select Intune Connector Service.
3. Cliquez avec le bouton droit et sélectionnez Redémarrer.3. Right-click and select Restart.
Fournisseur DigiCert - Impossible d’obtenir la stratégie DigiCert.DigiCert Provider - Failed to get DigiCert policy.

« L’opération a expiré. »"The operation has timed out."
Intune Certificate Connector a reçu une erreur d’expiration du délai d’attente de l’opération lors de la communication avec l’AC DigiCert.Intune Certificate Connector received an operation time-out error while communicating with the DigiCert CA. Si cette erreur persiste, augmentez la valeur du délai de connexion, puis réessayez.If this error continues to occur, increase the connection time-out value and try again.

Pour augmenter le délai de connexion :To increase the connection time-out:
1. Accédez à l’ordinateur NDES Connector.1. Go to the NDES Connector computer.
2. Ouvrez le fichier %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\NDESConnector.exe.config dans le Bloc-notes.2. Open the %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\NDESConnector.exe.config file in Notepad.
3. Augmentez la valeur du délai d’attente pour le paramètre suivant :3. Increase the time-out value for the following parameter:

CloudCAConnTimeoutInMilliseconds

4. Redémarrez le service Intune Certificate Connector.4. Restart the Intune Certificate Connector service.

Si le problème persiste, contactez le service clientèle de DigiCert.If the issue persists, contact DigiCert customer support.
Fournisseur DigiCert - Impossible de récupérer le certificat client.DigiCert Provider - Failed to get client certificate. Intune Certificate Connector n’est pas parvenu à récupérer le certificat d’autorisation d’accès aux ressources dans le magasin de certificats Ordinateur local-Personnel.Intune Certificate Connector failed to retrieve the resource authorization certificate from the Local Machine-Personal certificate store. Pour résoudre ce problème, installez le certificat d’autorisation d’accès aux ressources dans le magasin de certificats Ordinateur local-Personnel avec sa clé privée.To resolve this issue, install the resource authorization certificate in the Local Machine-Personal certificate store along with its private key.

Le certificat d’autorisation d’accès aux ressources s’obtient auprès de l’AC DigiCert.The resource authorization certificate must be obtained from the DigiCert CA. Pour plus d’informations, contactez le service clientèle de DigiCert.For more details, contact DigiCert customer support.
Fournisseur DigiCert - Impossible d’obtenir la stratégie DigiCert.DigiCert Provider - Failed to get DigiCert policy.

« La demande a été abandonnée : Impossible de créer un canal sécurisé SSL/TLS. »"The request was aborted: Could not create SSL/TLS secure channel."
Cette erreur se produit dans les scénarios suivants :This error occurs under the following scenarios:

1. Le service Intune Certificate Connector ne dispose des autorisations pour lire le certificat d’autorisation d’accès aux ressources ainsi que sa clé privée dans le magasin de certificats Ordinateur local-Personnel.1. The Intune Certificate Connector service doesn't have permissions to read the resource authorization certificate along with its private key from the Local Machine-Personal certificate store. Pour résoudre ce problème, vérifiez le contexte d’exécution du service Connector dans services.msc.To resolve this issue, check the connector service's running context account in services.msc. Le service doit s’exécuter sous le contexte NT AUTHORITY\SYSTEM.The connector service must run under the NT AUTHORITY\SYSTEM context.

2. Le profil de certificat PKCS dans le portail d’administration Intune est peut-être configuré avec un nom de domaine complet non valide pour le service de base de l’AC DigiCert.2. The PKCS certificate profile in the Intune admin portal might be configured with an invalid base service FQDN for the DigiCert CA. Le nom de domaine complet est semblable à pki-ws.symauth.com.The FQDN is similar to pki-ws.symauth.com. Pour résoudre ce problème, vérifiez auprès du service clientèle de DigiCert que l’URL est correcte pour votre abonnement.To resolve this issue, check with DigiCert customer support whether the URL is correct for your subscription.

3. Intune Certificate Connector ne parvient pas à s’authentifier auprès de l’AC DigiCert via le certificat d’autorisation d’accès aux ressources, car il n’est pas en mesure de récupérer sa clé privée.3. Intune Certificate Connector fails to authenticate with the DigiCert CA through the resource authorization certificate because it can't retrieve the private key. Pour résoudre ce problème, veillez à installer le certificat d’autorisation d’accès aux ressources ainsi que sa clé privée dans le magasin de certificats Ordinateur local-Personnel.To resolve this issue, install the resource authorization certificate along with its private key in the Local Machine-Personal certificate store.

Si le problème persiste, contactez le service clientèle de DigiCert.If the issue persists, contact DigiCert customer support.
Fournisseur DigiCert - Impossible d’obtenir la stratégie DigiCert.DigiCert Provider - Failed to get DigiCert policy.

« Un élément de requête n’est pas compris. »"A request element is not understood."
Intune Certificate Connector n’est pas parvenu à récupérer le modèle de profil de certificat DigiCert, car l’OID du profil client ne correspond pas au profil de certificat Intune.Intune Certificate Connector failed to get the DigiCert certificate profile template, because the client profile OID doesn't match the Intune certificate profile. Dans un autre cas de figure, Intune Certificate Connector ne parvient pas à trouver le modèle de profil de certificat associé à l’OID du profil client donné dans l’AC DigiCert.In another case, Intune Certificate Connector can't find the certificate profile template that's associated with the client profile OID in the DigiCert CA.

Pour résoudre ce problème, récupérez le bon OID de profil client à partir du modèle de certificat DigiCert dans l’AC DigiCert.To resolve this issue, obtain the correct Client Profile OID from the DigiCert Certificate template in the DigiCert CA. Ensuite, mettez à jour le profil de certificat PKCS dans le portail d’administration Intune.Then update the PKCS certificate profile in the Intune admin portal.

Obtenez l’OID du profil client auprès de l’AC DigiCert :Obtain the client profile OID from the DigiCert CA:
1. Connectez-vous au portail d’administration de l’AC DigiCert.1. Sign in to the DigiCert CA admin portal.
2. Sélectionnez Gérer les profils de certificats.2. Select Manage Certificate Profiles.
3. Sélectionnez le profil de certificat que vous voulez utiliser.3. Select the certificate profile that you want to use.
4. Récupérez l’OID du profil de certificat.4. Get the certificate profile OID. Il se présente sous la forme suivante :It looks similar to the following example:
Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109

Mettez à jour le profil de certificat PKCS avec l’OID du profil de certificat correspondant :Update the PKCS certificate profile with the correct certificate Profile OID:
1. Connectez-vous au portail d’administration Intune.1. Sign in to the Intune admin portal.
2. Accédez au profil de certificat PKCS et sélectionnez Modifier.2. Go to the PKCS certificate profile and select Edit.
3. Mettez à jour l’OID du profil de certificat dans le champ du nom du modèle de certificat.3. Update the certificate profile OID in the field for the certificate template name.
4. Enregistrez le profil de certificat PKCS.4. Save the PKCS certificate profile.
Fournisseur DigiCert - Échec de la vérification de la stratégie.DigiCert Provider - Policy verification failed.

L’attribut ne fait pas partie de la liste d’attributs de modèle de certificat pris en charge par DigiCert.The attribute doesn't fall under the DigiCert supported certificate template attributes list.
L’AC DigiCert affiche ce message en cas de différence entre le modèle de profil de certificat DigiCert et le profil de certificat Intune.The DigiCert CA shows this message when there's a discrepancy between the DigiCert certificate profile template and the Intune certificate profile. Ce problème est probablement dû à une incompatibilité d’attribut dans SubjectName ou SubjectAltName.This issue likely happened due to attribute mismatch in SubjectName or SubjectAltName.

Pour résoudre ce problème, sélectionnez des attributs pris en charge par Intune pour SubjectName et SubjectAltName dans le modèle de profil de certificat DigiCert.To resolve this issue, select Intune supported attributes for SubjectName and SubjectAltName in the DigiCert certificate profile template. Pour plus d’informations, consultez les attributs pris en charge par Intune dans la section Paramètres des certificats.For more information, see the Intune supported attributes in the Certificate Parameters section.
Certains appareils Utilisateur ne reçoivent pas de certificats PKCS de la part de l’AC DigiCert.Some user devices are not receiving PKCS certificates from the DigiCert CA. Ce problème se produit lorsque l’UPN utilisateur contient des caractères spéciaux comme des traits de soulignement (exemple : global_admin@intune.onmicrosoft.com).This issue happens when the user UPN contains special characters like an underscore (example: global_admin@intune.onmicrosoft.com).

L’AC DigiCert ne prend pas en charge les caractères spéciaux dans mail_firstname et mail_lastname.The DigiCert CA doesn't support special characters in mail_firstname and mail_lastname.

Pour résoudre ce problème, suivez les étapes ci-dessous :The following steps help resolve this issue:

1. Connectez-vous au portail d’administration de l’AC DigiCert.1. Sign in to the DigiCert CA admin portal.
2. Accédez à Gérer les profils de certificats.2. Go to Manage Certificate Profiles.
3. Sélectionnez le profil de certificat utilisé pour Intune.3. Select the certificate profile used for Intune.
4. Sélectionnez le lien Options de personnalisation.4. Select the Customize options link.
5. Sélectionnez le bouton Options avancées.5. Select the Advanced options button.
6. Sous les champs Certificat – Nom de domaine de l’objet, ajoutez le champ Nom commun (CN) et supprimez le champ Nom commun (CN) existant.6. Under Certificate fields – Subject DN, add a Common Name (CN) field and delete the existing Common Name (CN) field. Les opérations d’ajout et de suppression doivent être réalisées simultanément.Add and delete operations must be performed together.
7. Sélectionnez Enregistrer.7. Select Save.

Avec la modification précédente, le profil de certificat DigiCert demande « CN=» au lieu de mail_firstname et mail_lastname.With the preceding change, the DigiCert certificate profile requests "CN=" instead of mail_firstname and mail_lastname.
L’utilisateur a supprimé manuellement de l’appareil un certificat déjà déployé.User manually deleted already deployed certificate from the device. Intune redéploie le même certificat pendant l’archivage suivant ou l’application des stratégies suivante.Intune redeploys the same certificate during the next check-in or policy enforcement. Dans ce cas, NDES Connector ne reçoit pas de demande de certificat PKCS.In this case, NDES Connector doesn't receive a PKCS certificate request.

Étapes suivantesNext steps

Utilisez les informations de cet article et celles de la page Qu’est-ce qu’un profil d’appareil Microsoft Intune ? pour gérer les appareils de votre organisation et les certificats dont ils disposent.Use the information in this article in addition to the information in What are Microsoft Intune device profiles? to manage your organization's devices and the certificates on them.