Tanúsítványinfrastruktúra konfigurálásaConfigure certificate infrastructure

A következőkre vonatkozik: Intune a klasszikus konzolonApplies to: Intune in the classic console
Az Azure-on található Intune-ról keres dokumentációt?Looking for documentation about Intune on Azure? Lépjen tovább ide.Go here.

Ez a témakör a PFX-tanúsítványprofilok létrehozásával és telepítésével kapcsolatos tudnivalókat ismerteti.This topic describes what you need in order to create and deploy .PFX certificate profiles.

Ha bármilyen tanúsítványalapú hitelesítést szeretne végrehajtani a szervezetben, szüksége lesz egy vállalati hitelesítésszolgáltatóra.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

A PFX-tanúsítványprofilok használatához a vállalati hitelesítésszolgáltatón kívül a következőkre is szüksége lesz:To use .PFX Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • Egy számítógép, amely képes kommunikálni a hitelesítésszolgáltatóval. Alternatív megoldásként használhatja magát a hitelesítésszolgáltató számítógépet is.A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • A hitelesítésszolgáltatóval kommunikálni képes számítógépen futó Intune Certificate Connector.The Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

A helyszíni infrastruktúra leírásaOn-premises infrastructure description

  • Active Directory-tartomány: A jelen szakaszban felsorolt összes kiszolgálónak (a webalkalmazás-proxykiszolgáló kivételével) csatlakoznia kell a szervezet Active Directory-tartományához.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Hitelesítésszolgáltató: Olyan vállalati hitelesítésszolgáltató (CA), amelyen a Windows Server 2008 R2 vagy újabb rendszer Enterprise Edition verziója fut.Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Az önálló hitelesítésszolgáltató nem támogatott.A Standalone CA is not supported. A hitelesítésszolgáltató konfigurálásáról lásd: Hitelesítésszolgáltató telepítése.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Ha a hitelesítésszolgáltatója Windows Server 2008 R2 rendszeren fut, telepítenie kell a KB2483564 jelű gyorsjavítást.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Egy számítógép, amely képes kommunikálni a hitelesítésszolgáltatóval: Másik megoldásként használhatja magát a hitelesítésszolgáltató számítógépet is.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Microsoft Intune Certificate Connector: Az Intune felügyeleti konzollal töltse le a Certificate Connector (Tanúsítvány-összekötő) telepítőjét (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Ezután futtassa az ndesconnectorssetup.exe fájlt azon a számítógépen, amelyre telepíteni szeretné az tanúsítvány-összekötőt.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. A . PFX-tanúsítványprofilok esetében a hitelesítésszolgáltatóval kommunikáló számítógépre telepítse a tanúsítvány-összekötőt.For .PFX Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Webalkalmazás-proxykiszolgáló (nem kötelező): Webalkalmazás-proxykiszolgálóként (WAP) olyan kiszolgálót használhat, amelyen Windows Server 2012 R2 vagy újabb verziójú rendszer fut.Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Ez a konfiguráció:This configuration:

    • Lehetővé teszi, hogy az eszközök az interneten keresztül fogadjanak tanúsítványokat.Allows devices to receive certificates using an Internet connection.
    • Biztonsági ajánlás olyan környezetekben, ahol az eszközök az interneten keresztül csatlakozva kapnak és újítanak meg tanúsítványokat.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Megjegyzés
    • A WAP-ot futtató kiszolgálón telepíteni kell egy frissítést ahhoz, hogy az támogassa a Hitelesítésszolgáltató hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) által használt hosszú URL-címeket.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service (NDES). Ez a frissítés megtalálható a 2014. decemberi kumulatív frissítésben, illetve önállóan a KB3011135-as jelű frissítésként.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • Ezenkívül a WAP-ot futtató kiszolgálónak rendelkeznie kell egy SSL-tanúsítvánnyal, amely a külső ügyfeleknek közzétett nevet egyezteti, valamint meg kell bíznia az NDES-kiszolgálón használt SSL-tanúsítványban.Also, the server that hosts WAP must have an SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. E tanúsítványok segítségével a WAP-kiszolgáló képes megszakítani az ügyfelek SSL-kapcsolatát, illetve új SSL-kapcsolatot létrehozni az NDES-kiszolgálóval.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. A WAP-hoz szükséges tanúsítványokkal kapcsolatos további tudnivalókért olvassa el a Tanúsítványok megtervezése című szakaszt a Felkészülés az alkalmazások webalkalmazás-proxyval való közzétételére című cikkben.For information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. A WAP-kiszolgálókkal kapcsolatos általános információkért tekintse meg A webalkalmazás-proxy használata című témakört.|For general information about WAP servers, see Working with Web Application Proxy.|

Tanúsítványok és sablonokCertificates and Templates

ObjektumObject RészletekDetails
TanúsítványsablonCertificate Template Ezt a sablont a vállalati hitelesítésszolgáltatón tudja konfigurálni.You configure this template on your issuing CA.
Megbízható legfelső szintű hitelesítésszolgáltató tanúsítványaTrusted Root CA certificate Ezt a tanúsítványt .cer fájlként kell exportálnia a vállalati hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a vállalati hitelesítésszolgáltatóban, majd központilag telepítenie kell az eszközökre a megbízható hitelesítésszolgáltatói tanúsítványprofillal.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and deploy it to devices by using the Trusted CA certificate profile.

Operációsrendszer-platformonként egy darab megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt használjon, és társítsa azt az egyes létrehozott megbízható főtanúsítvány-profilokkal.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Szükség esetén további megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványokat is használhat.You can use additional Trusted Root CA certificates when needed. Ezzel például bizalmi kapcsolatot alakíthat ki egy hitelesítésszolgáltatónak, mely aláírja a kiszolgálói hitelesítési tanúsítványokat a szervezet Wi-Fi hozzáférési pontjai számára.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Az infrastruktúra konfigurálásaConfigure your infrastructure

A tanúsítványprofilok konfigurálása előtt végre kell hajtania a következő feladatokat.Before you can configure certificate profiles, you must complete the following tasks. E feladatokhoz szükség van a Windows Server 2012 R2 és az Active Directory tanúsítványszolgáltatások (ADCS) ismeretére:These tasks require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • 1. feladat – Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónál.Task 1 - Configure certificate templates on the certification authority.
  • 2. feladat – Az Intune Certificate Connector engedélyezése, telepítése és konfigurálása.Task 2 - Enable, install, and configure the Intune Certificate Connector.

1. feladat – Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálTask 1 - Configure certificate templates on the certification authority

Ebben a feladatban teszi közzé a tanúsítványsablont.In this task, you will publish the certificate template.

A hitelesítésszolgáltató konfigurálásáhozTo configure the certification authority
  1. A vállalati hitelesítésszolgáltatónál a Tanúsítványsablonok beépülő modullal hozzon létre egy új egyéni sablont vagy másoljon és szerkesszen egy meglévő sablont (például a Felhasználó sablont) a .PFX szolgáltatással való használatra.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with .PFX.

    A sablonnak legalább az alábbiakat kell tartalmaznia:The template must include the following:

    • Adjon meg egy leíró nevet a sablonnak a Sablon megjelenítendő neve mezőben.Specify a friendly Template display name for the template.

    • A Tulajdonos neve lapon válassza A kérelem fogja tartalmaznilehetőséget.On the Subject Name tab, select Supply in the request.

    • A Kiterjesztések lapon győződjön meg róla, hogy az Alkalmazás-házirendek leírása lista tartalmazza az Ügyfél-hitelesítéselemet.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Fontos

      iOS- és Mac OS X-tanúsítványsablonok esetében a Kiterjesztések lapon szerkessze a Kulcshasználat beállítást, és győződjön meg arról, hogy Az aláírás igazolja az eredetet lehetőség nincs kiválasztva.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Ellenőrizze az Érvényesség időtartama beállítást a sablon Általános lapján.Review the Validity period on the General tab of the template. Alapértelmezés szerint az Intune a sablonban konfigurált értéket használja.By default, Intune uses the value configured in the template. Lehetősége van azonban arra is, hogy a hitelesítésszolgáltató konfigurálásával engedélyezze a kérelmezőnek egy másik érték megadását, amelyet aztán az Intune felügyeleti konzoljából tud megadni.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Ha azt szeretné, hogy mindig a sablonban lévő érték legyen használva, hagyja ki ennek a lépésnek a hátralévő részét.If you want to always use the value in the template, skip the remainder of this step.

    Fontos

    Az iOS és a Mac OS X platform mindig a sablonban beállított értéket használja, minden más konfigurációs beállítástól függetlenül.The iOS and Mac OS X platforms always uses the value set in the template, regardless of other configurations you make.

    Ha a hitelesítésszolgáltató konfigurálásával lehetővé kívánja tenni a kérelmezőnek az érvényességi időszak megadását, futtassa az alábbi parancsokat a hitelesítésszolgáltatón:To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Tegye közzé a Hitelesítésszolgáltató beépülő modullal a tanúsítványsablont a vállalati hitelesítésszolgáltatón.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Válassza a Tanúsítványsablonok csomópontot, kattintson a Művelet-> Új >Kiállítandó tanúsítványsablon lehetőségre, majd válassza ki a 2. lépésben létrehozott sablont.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Ellenőrizze a Tanúsítványsablonok mappában, hogy a sablon közzététele sikerült-e.Validate that the template published by viewing it under the Certificate Templates folder.

  4. A hitelesítésszolgáltató számítógépen győződjön meg róla, hogy az Intune Certificate Connector gazdagépe rendelkezik regisztrálási engedéllyel, hogy hozzáférhessen a .PFX-profil létrehozásakor használt sablonhoz.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the .PFX profile. Állítsa be az engedélyt a hitelesítésszolgáltató számítógép tulajdonságainak Biztonság lapján.Set that permission on the Security tab of the CA computer properties.

2. feladat – Az Intune tanúsítvány-összekötő engedélyezése, telepítése és konfigurálásaTask 2 - Enable, install, and configure the Intune Certificate Connector

A feladat tartalma:In this task you will:

A tanúsítvány-összekötő letöltése, telepítése és konfigurálása.Download, install, and configure the Certificate Connector.

A tanúsítvány-összekötő támogatásának engedélyezéséhezTo enable support for the Certificate Connector
  1. Nyissa meg az Intune felügyeleti konzolját, és válassza a Felügyelet > Tanúsítvány-összekötő lehetőséget.Open the Intune administration console, and choose Admin > Certificate Connector.

  2. Válassza ki a Helyszíni tanúsítvány-összekötő konfigurálása elemet.Choose Configure On-Premises Certificate Connector.

  3. Válassza a Tanúsítvány-összekötő engedélyezése lehetőséget, és kattintson az OKgombra.Select Enable Certificate Connector, and then choose OK.

A tanúsítvány-összekötő letöltéséhez, telepítéséhez és konfigurálásaTo download, install, and configure the Certificate Connector
  1. Nyissa meg az Intune felügyeleti konzolját, és válassza a Felügyelet > Mobileszköz-kezelés > Tanúsítvány-összekötő > Tanúsítvány-összekötő letöltése lehetőséget.Open the Intune administration console, and then choose Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. A letöltés befejezése után futtassa a letöltött telepítőprogramot (ndesconnectorssetup.exe).After the download completes, run the downloaded installer (ndesconnectorssetup.exe).

    Futtassa a telepítőt azon a számítógépen, amely kapcsolódni tud a hitelesítésszolgáltatóhoz.Run the installer on the computer that is able to connect with the Certification Authority. Válassza a .PFX-terjesztési beállítást, és kattintson a Telepítés elemre.Choose the .PFX Distribution option, and then choose Install. A telepítés befejezése után következő lépésként hozzon létre egy tanúsítványprofilt a Tanúsítványprofilok konfigurálása témakörben leírtaknak megfelelően.When the installation has completed, continue by creating a certificate profile as described in Configure certificate profiles.

  3. Ha a rendszer kéri az ügyféltanúsítványt a tanúsítvány-összekötőhöz, válassza a Kijelölés lehetőséget, és válassza ki a 3. feladatban telepített ügyfél-hitelesítő tanúsítványt.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed in Task 3.

    Miután kiválasztotta az ügyfél-hitelesítési tanúsítványt, a rendszer visszairányítja az Client Certificate for Microsoft Intune Certificate Connector (Ügyféltanúsítvány a Microsoft Intune Certificate Connectorhoz) felületre.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Bár a választott tanúsítvány nem látható, kattintson a Tovább gombra a tanúsítvány tulajdonságainak megtekintéséhez.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Ezután válassza a Tovább, majd a Telepítés lehetőséget.Then choose Next, and then Install.

  4. Ha a varázsló befejeződött, még mielőtt bezárná, kattintson Launch the Certificate Connector UI(Certificate Connector felhasználói felületének indítása) lehetőségre.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tipp

    Ha bezárná a varázslót a tanúsítvány-összekötő felhasználói felületének megnyitása előtt, akkor az alábbi parancs futtatásával nyithatja meg:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <telepítési_útvonal>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. A Certificate Connector (Tanúsítvány-összekötő) felhasználói felületén:In the Certificate Connector UI:

    a.a. Válassza a Bejelentkezés lehetőséget, és írja be az Intune szolgáltatás rendszergazdai hitelesítő adatait, vagy egy globális felügyeleti engedéllyel rendelkező bérlői rendszergazda hitelesítő adatait.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Váltson a Speciális lapra, majd adja meg egy olyan fiók hitelesítő adatait, amely rendelkezik Tanúsítványok kiállítása és kezelése engedéllyel a vállalati hitelesítésszolgáltatónál.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Válassza az Alkalmaz lehetőséget.Choose Apply.

    Bezárhatja a tanúsítvány-összekötő felhasználói felületét.You can now close the Certificate Connector UI.

  6. Nyisson meg egy parancssort, és írja be a következőt: services.msc.Open a command prompt and type services.msc. Ezután nyomja meg az Enter billentyűt, a jobb egérgombbal kattintson az Intune-összekötő szolgáltatás elemre, majd válassza az Újraindítás lehetőséget.Then press Enter, right-click the Intune Connector Service, and choose Restart.

További lépésekNext steps

Ezzel készen áll a tanúsítványprofilok létrehozására; erről a következő témakörben olvashat: Tanúsítványprofilok konfigurálása.You are now ready to set up certificate profiles, as described in Configure certificate profiles.

A termékről a következő oldalon küldhet visszajelzést Intune Feedback