Tanúsítvány-összekötő Microsoft Intune
Ha Microsoft Intune szeretne tanúsítványokat használni a hitelesítéshez, valamint az e-mailek S/MIME-vel történő aláírásához és titkosításához, használhatja a tanúsítvány-összekötőt a Microsoft Intune. A tanúsítvány-összekötő egy helyszíni kiszolgálóra telepített szoftver, amely segít a Intune által felügyelt eszközök tanúsítványainak kézbesítésében és kezelésében.
Ez a cikk bemutatja az Microsoft Intune tanúsítvány-összekötőjét, életciklusát és naprakészen tartását.
Tipp
2021. július 29-től a Microsoft Intune tanúsítvány-összekötője felváltja a PFX tanúsítvány-összekötő használatát Microsoft Intune és Microsoft Intune-összekötőhöz. Az új összekötő mindkét korábbi összekötő funkcióit tartalmazza. A Microsoft tanúsítvány-összekötőjének 6.2109.51.0-s verziójával a korábbi összekötők már nem támogatottak.
Összekötő áttekintése
A tanúsítvány-összekötő használatához először le kell töltenie a szoftvert a Microsoft Intune Felügyeleti központból, amelyet aztán telepíteni fog egy Windows Serverre.
A telepítés során egy vagy több összekötő-funkciót is telepíthet, beleértve a következőket:
- Privát és nyilvános kulcspár (PKCS) tanúsítványai
- PKCS importált tanúsítványok
- Simple Certificate Enrollment Protocol (SCEP)
- Tanúsítvány visszavonása
Egy szolgáltatásfiókot is hozzárendel az összekötő futtatásához. Ez a fiók a hitelesítésszolgáltatóval folytatott összes interakcióhoz, valamint a tanúsítványok kiállításához, visszavonásához és megújításához használatos. A szolgáltatásfiók támogatott lehetőségei közé tartozik az összekötő-kiszolgálók SYSTEM-fiókja vagy egy tartományi fiók.
Az összekötő telepítése után bármikor újra futtathatja az összekötő konfigurációját a frissítéséhez vagy a telepített funkciók módosításához. A telepítés és a konfigurálás után az összekötő automatikusan telepítheti a jövőbeli frissítéseket, hogy az összekötők naprakészek maradjanak a legújabb kiadásig.
Intune támogatja az összekötő több példányának telepítését egy bérlőben, és mindegyik példány különböző funkciókat támogat. Ha több összekötőt használ, amelyek különböző funkciókat támogatnak, a tanúsítványkérelmek mindig egy megfelelő összekötőhöz lesznek irányítva. Ha például két olyan összekötőt telepít, amelyek támogatják a PKCS-t, és további két olyan összekötőt telepít, amelyek támogatják a PKCS-t és az SCEP-t is, a PKCS tanúsítványfeladatait a négy összekötő bármelyike felügyelheti, az SCEP-feladatok azonban csak az SCEP-t támogató két összekötőre lesznek irányítva.
A tanúsítvány-összekötő minden példánya ugyanazokat a hálózati követelményeket támasztja, mint a Intune által felügyelt eszközök. További információ: Hálózati végpontok Microsoft Intune, valamint Intune hálózati konfigurációs követelmények és sávszélesség.
A tanúsítvány-összekötő képességei
Az Microsoft Intune tanúsítvány-összekötője a következőket támogatja:
PKCS #12 tanúsítványkérelmek.
PKCS importált tanúsítványok (PFX-fájl) egy adott felhasználó S/MIME e-mail titkosításához.
SCEP-tanúsítványok kiállítása. Ha Active Directory tanúsítványszolgáltatás-hitelesítésszolgáltatót (CA) használ, más néven Microsoft hitelesítésszolgáltatót, konfigurálnia kell a Hálózati eszközök tanúsítványigénylési szolgáltatását (NDES) is az összekötőt üzemeltető kiszolgálón.
Az SCEP külső hitelesítésszolgáltatóval való használata nem igényli a tanúsítvány-összekötő használatát a Microsoft Intune.
Tanúsítvány visszavonása.
Automatikus frissítések az új verziókhoz. Amikor a tanúsítvány-összekötőt futtató kiszolgálók hozzáférhetnek az internethez, automatikusan új frissítéseket telepítenek, hogy naprakészek maradjanak. Ha egy összekötő nem frissül automatikusan, manuálisan frissítheti az összekötőt.
Az összekötő legfeljebb 100 példányának telepítése Intune bérlőnként, mindegyik példány külön Windows Serveren. Ha több összekötőt használ:
Az összekötő minden példányának hozzáféréssel kell rendelkeznie az egyes feltöltött PFX-fájlok jelszavának titkosításához használt titkos kulcshoz.
Az összekötő minden példányának azonos verziójúnak kell lennie. Mivel az összekötő támogatja a legújabb verzió automatikus frissítéseit, a frissítéseket a Intune kezelheti.
Az infrastruktúra támogatja a redundanciát és a terheléselosztást, mivel minden olyan elérhető összekötőpéldány, amely ugyanazokat az összekötő-funkciókat támogatja, feldolgozhatja a tanúsítványkérelmeket.
Konfigurálhat proxyt, hogy az összekötő kommunikálhasson Intune.
Megjegyzés:
A PKCS-t támogató összekötő bármely példánya használható a függőben lévő PKCS-kérések lekérésére a Intune szolgáltatás várólistájáról, az importált tanúsítványok feldolgozására és a visszavonási kérelmek kezelésére. Nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket. Ezért minden olyan összekötőnek, amely támogatja a PKCS-t, ugyanazokkal az engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.
Életciklus
A rendszer rendszeresen frissíti a tanúsítvány-összekötőt. Az új összekötő-frissítésekről szóló közlemények, beleértve az egyes frissítések verzióját és kiadási dátumát, a jelen cikk Újdonságok a tanúsítvány-összekötőhöz című szakaszában jelennek meg.
Minden új összekötő kiadása:
Az új verzió megjelenése után hat hónapig támogatott. Ebben az időszakban az automatikus frissítések újabb összekötőverziót telepíthetnek. Az összekötők frissített verziói tartalmazhatnak hibajavításokat, valamint teljesítmény- és funkciófejlesztéseket, de nem korlátozódnak rá.
Ha egy nem támogatott összekötő meghibásodik, frissítenie kell a legújabb támogatott verzióra.
Ha letiltja az összekötő automatikus frissítését, tervezze meg az összekötő manuális frissítését hat hónapon belül, mielőtt véget ér a telepített verzió támogatása. A támogatás megszűnése után frissítenie kell az összekötőt egy olyan verzióra, amely továbbra is támogatott az összekötővel kapcsolatos problémák támogatásához.
A támogatáson kívüli összekötők az új verzió megjelenése után akár 18 hónapig is működni fognak. 18 hónap elteltével előfordulhat, hogy az összekötők működése szolgáltatásszint-fejlesztések, frissítések vagy a jövőbeli gyakori biztonsági rések kezelése miatt hiúsul meg.
Ha például az összekötő 6.2203.12.0-s verziója 2022. május 4-én jelent meg, az összekötő korábbi, 6.2202.38.0-s verziója 2022. november 4-én megszűnik a támogatásból. Az összekötő előző verziójának továbbra is működnie kell (bár nem támogatott) 2023 novemberéig. 2023 novembere után előfordulhat, hogy az összekötő előző verziója nem kommunikál Intune.
Automatikus frissítés
Intune röviddel az összekötő verziójának kiadása után automatikusan frissítheti az összekötőt a legújabb verzióra.
Az automatikus frissítéshez az összekötőt futtató kiszolgálónak hozzá kell férnie az Azure update szolgáltatáshoz:
- Port: 443
- Végpont: autoupdate.msappproxy.net
Ha a tűzfalak, az infrastruktúra vagy a hálózati konfigurációk korlátozzák az automatikus frissítéshez való hozzáférést, oldja meg a blokkolási problémákat, vagy frissítse manuálisan az összekötőt az új verzióra.
Manuális frissítés
A tanúsítvány-összekötő manuális frissítésének folyamata megegyezik az összekötő újratelepítésével.
A tanúsítvány-összekötők akkor is frissíthetők manuálisan, ha az támogatja az automatikus frissítéseket. Például manuálisan frissítheti az összekötőt, ha a hálózati konfiguráció letilt egy automatikus frissítést.
Tanúsítvány-összekötő újratelepítése
Az összekötőt futtató Windows Serveren futtassa az összekötő telepítőprogramját az összekötő eltávolításához.
Az új verzió telepítéséhez használja az eljárást az összekötő új verziójának telepítéséhez. Az összekötő újabb verziójának telepítésekor mindenképpen ellenőrizze, hogy vannak-e új vagy frissített előfeltételek .
Összekötő állapota
A Microsoft Intune Felügyeleti központban kiválaszthat egy tanúsítvány-összekötőt az állapotával kapcsolatos információk megtekintéséhez:
Bejelentkezés a Microsoft Intune Felügyeleti központba
Lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Tanúsítvány-összekötők elemre.
Válasszon ki egy összekötőt az állapotának megtekintéséhez.
Az összekötő állapotának megtekintésekor:
- Az elavult összekötők figyelmeztetést jelennek meg. A hat hónapos türelmi időszak után a figyelmeztetés hibára változik.
- A türelmi időszakon túli összekötők hibát jeleznek. Ezek az összekötők már nem támogatottak, és bármikor leállhatnak.
Naplózási
A Microsoft Intune tanúsítvány-összekötőjének naplói eseménynaplókként érhetők el azon a kiszolgálón, amelyen az összekötő telepítve van:
- > Eseménynapló Alkalmazás- és szolgáltatásnaplók>Microsoft>Intune>Tanúsítvány-összekötők
Az alábbi naplók érhetők el, alapértelmezett értéke 50 MB, és engedélyezve van az automatikus archiválás:
- Rendszergazda Napló – Ez a napló az összekötőnek küldött kérésenként egy naplóeseményt tartalmaz. Az események magukban foglalják a kéréssel kapcsolatos információk sikerességét , vagy a kéréssel és a hibával kapcsolatos információkat tartalmazó hibát .
- Működési napló – Ez a napló a Rendszergazda naplóban található további információkat jeleníti meg, és hibakeresési problémákhoz használható. Ez a napló a folyamatban lévő műveleteket is megjeleníti egyetlen esemény helyett.
Az alapértelmezett naplózási szint mellett az egyes naplók hibakeresési naplózását is engedélyezheti, hogy további részletekhez jusson.
Eseményazonosítók
Minden esemény a következő azonosítók egyikével rendelkezik:
- 0001-0999 – Nincs társítva egyetlen konkrét forgatókönyvhöz sem
- 1000-1999 - PKCS
- 2000–2999 – PKCS-importálás
- 3000-3999 - Visszavonás
- 4000-4999 - SCEP
- 5000–5999 – Összekötő állapota
Tevékenységkategóriák
A rendszer minden eseményt tevékenységkategóriával címkéz, hogy segítse a szűrést. A tevékenységkategóriák tartalmazzák, de nem korlátozódnak a következő listára:
PKCS
Rendszergazda
Eseményazonosító: 1000 - PkcsRequestSuccess
Sikeresen feltöltött egy PKCS-kérelmet a Intune.Eseményazonosító: 1001 - PkcsRequestFailure
Nem sikerült teljesíteni vagy feltölteni egy PKCS-kérést a Intune.Eseményazonosító: 1200 - PkcsRecryptRequestSuccess
A PKCS újrafejtési kérésének feldolgozása sikerült.Eseményazonosító: 1201 - PkcsRecryptRequestFailure
Nem sikerült feldolgozni a PKCS reencrypt kérését.
Működési
Eseményazonosító: 1002 - PkcsDownloadSuccess
Sikerült letölteni a PKCS-kérelmeket a Intune.Eseményazonosító: 1003 - PkcsDownloadFailure
Nem sikerült letölteni a PKCS-kérelmeket Intune.Eseményazonosító: 1020 - PkcsDownloadedRequest
Sikerült letölteni a PKCS-kérést a IntuneEseményazonosító: 1032 - PkcsDigiCertRequest
Sikeresen letöltött egy PKCS-kérelmet a DigiCert hitelesítésszolgáltatóhoz a Intune.Eseményazonosító: 1050 - PkcsIssuedSuccess
Sikeresen kibocsátott egy PKCS-tanúsítványt.Eseményazonosító: 1051 - PkcsIssuedFailedAttempt
Nem sikerült kibocsátani egy PKCS-tanúsítványt. A program újrapróbálkozott.Eseményazonosító: 1052 - PkcsIssuedFailure
Nem sikerült kibocsátani egy PKCS-tanúsítványt.Eseményazonosító: 1100 - PkcsUploadSuccess
A PKCS-kérelmek eredményei sikeresen feltöltődtek a Intune.Eseményazonosító: 1101 - PkcsUploadFailure
Nem sikerült feltölteni a PKCS-kérelmek eredményeit a Intune.Eseményazonosító: 1102 - PkcsUploadedRequest
Sikerült feltölteni a PKCS-kérelmet a Intune.Eseményazonosító: 1202 - PkcsRecryptDownloadSuccess
Sikerült letölteni a PKCS-hez a visszafejtési kérelmeket.Eseményazonosító: 1203 - PkcsRecryptDownloadFailure
Nem sikerült letölteni a PKCS újratitkosítási kéréseit.Eseményazonosító: 1220 - PkcsRecryptDownloadedRequest
Sikeresen letöltött egy PKCS-visszafejtési kérést.Eseményazonosító: 1250 - PkcsRecryptReencryptSuccess
A PKCS-tanúsítvány hasznos adatainak újbóli titkosítása sikerült.Eseményazonosító: 1251 - PkcsRecryptDecryptSuccess
A PKCS-tanúsítvány hasznos adatainak visszafejtése sikerült.Eseményazonosító: 1252 - PkcsRecryptDecryptFailure
Nem sikerült visszafejteni a PKCS-tanúsítvány hasznos adatait.Eseményazonosító: 1253 - PkcsRecryptReencryptFailure
Nem sikerült újratitkosítani a PKCS-tanúsítvány hasznos adatait.Eseményazonosító: 1300 - PkcsRecryptUploadSuccess
A PKCS sikeresen feltöltötte a kérések eredményeinek újbóli titkosítását a Intune.Eseményazonosító: 1301 - PkcsRecryptUploadFailure
Nem sikerült feltölteni a PKCS reencrypt kérésének eredményeit a Intune.Eseményazonosító: 1302 - PkcsRecryptUploadedRequest
Sikeresen feltöltött egy PKCS-visszafejtési kérést a Intune.
PKCS-importálás
Rendszergazda
Eseményazonosító: 2000 - PkcsImportRequestSuccess
A PKCS importálási kérelmei sikeresen letöltődnek Intune.Eseményazonosító: 2001 - PkcsImportRequestFailure
Nem sikerült feldolgozni a PKCS importálási kérését Intune.
Működési
Eseményazonosító: 2202 - PkcsImportDownloadSuccess
A PKCS importálási kérelmei sikeresen letöltődnek Intune.Eseményazonosító: 2203 - PkcsImportDownloadFailure
Nem sikerült letölteni a PKCS importálási kéréseit Intune.Eseményazonosító: 2020 - PkcsImportDownloadedRequest
Sikerült letölteni a PKCS importálási kérését Intune.Eseményazonosító: 2050 - PkcsImportReencryptSuccess
A PKCS importálási tanúsítványának ismételt titkosítása sikerült.Eseményazonosító: 2051 - PkcsImportReencryptFailedAttempt
Nem sikerült újratitkosítani a PKCS importálási tanúsítványát. A program újrapróbálkozott.Eseményazonosító: 2052 - PkcsImportReencryptFailure
Nem sikerült újratitkosítani egy importált tanúsítványt.Eseményazonosító: 2100 - PkcsImportUploadSuccess
Sikerült feltölteni a PKCS importálási kérésének eredményeit a Intune.Eseményazonosító: 2101 - PkcsImportUploadFailure
Nem sikerült feltölteni a PKCS-kérelmek eredményeit a Intune.Eseményazonosító: 2102 - PkcsImportUploadedRequest
Sikerült feltölteni a PKCS importálási kérését a Intune.
Visszavonási
Rendszergazda
Eseményazonosító: 3000 - RevokeRequestSuccess
Sikerült letölteni a visszavonási kérelmeket a Intune.Eseményazonosító: 3001 - RevokeRequestFailure
Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor.
Működési
Eseményazonosító: 3002 - RevokeDownloadSuccess
Sikerült letölteni a visszavonási kérelmeket a Intune.Eseményazonosító: 3003 - RevokeDownloadFailure
Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor.Eseményazonosító: 3020 - RevokeDownloadedRequest
A Intune egyetlen letöltött kérésének részleteiEseményazonosító: 3032 - RevokeDigicertRequest
A kérelem visszavonási kérése Intune és a Digicertnek való továbbítása a kérés teljesítése céljából.Eseményazonosító: 3050 - RevokeSuccess
A tanúsítvány visszavonása sikerült.Eseményazonosító: 3051 - RevokeFailure
Hiba történt egy tanúsítvány visszavonása közben.Eseményazonosító: 3052 - RevokeFailedAttempt
Nem sikerült visszavonni a tanúsítványt. A program újrapróbálkozott.Eseményazonosító: 3100 - RevokeUploadSuccess
Sikerült feltölteni a visszavonási kérelem eredményeit a Intune.Eseményazonosító: 3101 - RevokeUploadFailure
Nem sikerült feltölteni a visszavonási kérelem eredményeit a Intune.Eseményazonosító: 3102 - RevokeUploadedRequest
Sikerült feltölteni a visszavonási kérelmet a Intune.
SCEP
Rendszergazda
Eseményazonosító: 4000 - ScrepRequestSuccess
Sikerült feldolgozni egy SCEP-kérést, és értesítettük Intune.Eseményazonosító: 4001 - ScepRequestIssuedFailure
Nem sikerült feldolgozni egy SCEP-kérést, és értesítettük Intune.Eseményazonosító: 4002 - ScepRequestUploadFailure
Sikerült feldolgozni az SCEP-kérést, de nem sikerült értesíteni Intune.
Működési
Eseményazonosító: 4003 - ScepRequestReceived
Sikerült SCEP-kérést fogadni egy eszközről.Eseményazonosító: 4004 - ScepVerifySuccess
Sikerült ellenőrizni egy SCEP-kérést a Intune.Eseményazonosító: 4005 - ScepVerifyFailure
Nem sikerült ellenőrizni egy SCEP-kérést a Intune.Eseményazonosító: 4006 - ScepIssuedSuccess
Az SCEP-kéréshez sikeresen kibocsátott tanúsítvány.Eseményazonosító: 4007 - ScepIssuedFailure
Nem sikerült tanúsítványt kibocsátani az SCEP-kérelemhez.Eseményazonosító: 4008 - ScepNotifySuccess
Az SCEP-kérés eredményéről Intune sikerült értesíteni.Eseményazonosító: 4009 - ScepNotifyAttemptFailed
Nem sikerült értesíteni Intune az SCEP-kérés eredményéről, újrapróbálkozhat.Eseményazonosító: 4010 - ScepNotifySaveToDiskFailed
Nem sikerült az értesítés írása a lemezre, és nem tudja értesíteni Intune a kérés állapotáról.
Összekötő állapota
Működési
Eseményazonosító: 5000 - HealthMessageUploadSuccess Az állapotüzenetek sikeresen feltöltődtek a Intune.
Eseményazonosító: 5001 - HealthMessageUploadFailedAttempt Nem sikerült az állapotüzenetek feltöltése a Intune, újrapróbálkozhat.
Eseményazonosító: 5002 - HealthMessageUploadFailure Nem sikerült feltölteni az állapotüzeneteket a Intune.
A tanúsítvány-összekötő újdonságai
Frissítések Microsoft Intune tanúsítvány-összekötője rendszeres időközönként megjelenik, majd hat hónapig támogatott. Amikor frissítjük az összekötőt, itt olvashat a változásokról.
Az összekötő új frissítései egy vagy több hetet is igénybe vehetnek, hogy elérhetővé váljanak az egyes bérlők számára.
Fontos
2022 áprilisától a 6.2101.13.0-s verziónál korábbi tanúsítvány-összekötők elavultak lesznek, és Hiba állapotot fognak mutatni. 2022 augusztusától ezek az összekötőverziók nem fogják tudni visszavonni a tanúsítványokat. 2022 szeptemberétől ezek az összekötőverziók nem fognak tudni tanúsítványokat kiadni. Ez magában foglalja az Microsoft Intune PFX tanúsítvány-összekötőt és a Microsoft Intune-összekötőt is, amelyet 2021. július 29-én a Microsoft Intune tanúsítvány-összekötője váltott fel (a jelen cikkben leírtak szerint).
2023. február 15.
6.2301.1.0-s verzió – Változások ebben a kiadásban:
- Naplózási információk a Intune Szolgáltatásnaplókkal való korrelációhoz
- A PFX-tanúsítványok kiállítási folyamatának naplózási fejlesztései
2022. szeptember 21., kedd
6.2206.122.0-s verzió – Változások ebben a kiadásban:
- Továbbfejlesztett telemetria a hibajavítások és a teljesítmény javítása mellett
2022. június 30., csütörtök
6.2205.201.0-s verzió – Változások ebben a kiadásban:
- Frissítettük a telemetriai csatornát Intune, hogy Intune rendszergazda adatokat gyűjtsön a portálon
2022. május 4.
6.2203.12.0-s verzió – Változások ebben a kiadásban:
- CNG-szolgáltatók támogatása ügyfél-hitelesítési tanúsítványokhoz
- Továbbfejlesztett támogatás az ügyfél-hitelesítési tanúsítványok automatikus megújításához
2022. március 10.
6.2202.38.0-s verzió. Ez a frissítés a következőket tartalmazza:
- A TLS 1.2 támogatásának változásai az automatikus frissítéshez
Következő lépések
Tekintse át az Microsoft Intune tanúsítvány-összekötőjének előfeltételeit
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: