SCEP-tanúsítványinfrastruktúra konfigurálásaConfigure certificate infrastructure for SCEP

A következőkre vonatkozik: Intune a klasszikus konzolonApplies to: Intune in the classic console
Az Azure-on található Intune-ról keres dokumentációt?Looking for documentation about Intune on Azure? Lépjen tovább ide.Go here.

Ez a témakör a SCEP-tanúsítványprofilok létrehozáshoz és telepítéséhez szükséges infrastruktúrával kapcsolatos tudnivalókat ismerteti.This topic describes what infrastructure you need in order to create and deploy SCEP certificate profiles.

Helyszíni infrastruktúraOn-premises infrastructure

  • Active Directory-tartomány: A jelen szakaszban felsorolt összes kiszolgálónak (a webalkalmazás-proxykiszolgáló kivételével) csatlakoznia kell a szervezet Active Directory-tartományához.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Hitelesítésszolgáltató (CA): Olyan vállalati hitelesítésszolgáltató (CA), amely a Windows Server 2008 R2 vagy újabb rendszer vállalati verzióján fut.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Az önálló hitelesítésszolgáltató nem támogatott.A Standalone CA is not supported. A hitelesítésszolgáltató konfigurálásáról lásd: Hitelesítésszolgáltató telepítése.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Ha a hitelesítésszolgáltatója Windows Server 2008 R2 rendszeren fut, telepítenie kell a KB2483564 jelű gyorsjavítást.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564. II

  • NDES-kiszolgáló: a Windows Server 2012 R2 vagy újabb rendszeren futó kiszolgálón telepítenie kell a hálózati eszközök tanúsítványigénylési szolgáltatását (NDES).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Az Intune nem támogatja az NDES használatát, ha az olyan kiszolgálón fut, amely vállalati hitelesítésszolgáltatót is futtat.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Az Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához című cikkből tájékozódhat arról, hogyan kell konfigurálnia a Windows Server 2012 R2 rendszert az NDES futtatására.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Az NDES-kiszolgálónak csatlakoznia kell a tartományhoz, amely a hitelesítésszolgáltatót futtatja, de nem lehet ugyanazon a kiszolgálón, mint a hitelesítésszolgáltató.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. További információ az NDES-kiszolgáló különálló erdőben, elszigetelt hálózaton vagy belső tartományon való telepítéséről: Házirendmodul használata a Hálózati eszközök tanúsítványigénylési szolgáltatásával.More information about deploying the NDES server in a separate forest, isolated network or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Certificate Connector: Az Intune felügyeleti konzollal töltse le a Certificate Connector (Tanúsítvány-összekötő) telepítőjét (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Ezután futtassa az ndesconnectorssetup.exe fájlt azon a számítógépen, amelyre telepíteni szeretné az tanúsítvány-összekötőt.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • Webalkalmazás-proxykiszolgáló (nem kötelező): Webalkalmazás-proxykiszolgálóként (WAP) használhat olyan kiszolgálót, amelyen a Windows Server 2012 R2 vagy újabb verziójú rendszer fut.Web Application Proxy Server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Ez a konfiguráció:This configuration:

    • Lehetővé teszi, hogy az eszközök az interneten keresztül fogadjanak tanúsítványokat.Allows devices to receive certificates using an Internet connection.
    • Biztonsági ajánlás olyan környezetekben, ahol az eszközök az interneten keresztül csatlakozva kapnak és újítanak meg tanúsítványokat.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Megjegyzés

A hálózatra vonatkozó követelményekNetwork requirements

Az internet és a szegélyhálózat között engedélyezze a 443-as port használatát az összes internetes állomásról/IP-címről az NDES-kiszolgálóra irányuló forgalom számára.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

A peremhálózat és a megbízható hálózat között engedélyezze a tartomány eléréséhez szükséges összes portot és protokollt a tartományhoz csatlakozó NDES-kiszolgálón.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Az NDES-kiszolgálónak el kell tudnia érnie a tanúsítványkiszolgálót, a DNS-kiszolgálókat, a Configuration Manager-kiszolgálókat és a tartományvezérlőket.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers and domain controllers.

Az NDES-kiszolgálót egy proxyn keresztül, például az Azure AD-alkalmazásproxyn, a webalkalmazás-proxyn vagy egy külső proxyn érdemes közzétenni.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Tanúsítványok és sablonokCertificates and Templates

ObjektumObject RészletekDetails
TanúsítványsablonCertificate Template Ezt a sablont a vállalati hitelesítésszolgáltatón tudja konfigurálni.You configure this template on your issuing CA.
Ügyfél-hitelesítési tanúsítványClient authentication certificate A vállalati vagy nyilvános hitelesítésszolgáltatótól lekért tanúsítvány, melyet az NDES-kiszolgálóra kell telepítenie.Requested from your issuing CA or public CA, you install this certificate on the NDES Server.
Kiszolgálói hitelesítési tanúsítványServer authentication certificate A vállalati vagy nyilvános hitelesítésszolgáltatótól lekért tanúsítvány. Ezt az SSL-tanúsítványt az NDES-kiszolgálón futó IIS-be kell telepítenie, majd kötést kell létrehoznia.Requested from your issuing CA or public CA, you install and bind this SSL certificate in IIS on the NDES server.
Megbízható legfelső szintű hitelesítésszolgáltató tanúsítványaTrusted Root CA certificate Ezt a tanúsítványt .cer fájlként kell exportálnia a legfelső szintű hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a legfelső szintű hitelesítésszolgáltatóban, majd központilag telepítenie kell az eszközökre a megbízható hitelesítésszolgáltatói tanúsítványprofillal.You export this as a .cer file from the root CA or any device which trusts the root CA, and deploy it to devices by using the Trusted CA certificate profile.

Operációsrendszer-platformonként egy darab megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt használjon, és társítsa azt az egyes létrehozott megbízható főtanúsítvány-profilokkal.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Szükség esetén további megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványokat is használhat.You can use additional Trusted Root CA certificates when needed. Ezzel például bizalmi kapcsolatot alakíthat ki egy hitelesítésszolgáltatónak, mely aláírja a kiszolgálói hitelesítési tanúsítványokat a szervezet Wi-Fi hozzáférési pontjai számára.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

FiókokAccounts

NévName RészletekDetails
NDES szolgáltatásfiókNDES service account Meg kell adnia egy tartományfelhasználói fiókot NDES szolgáltatásfiókként.You specify a domain user account to use as the NDES Service account.

Az infrastruktúra konfigurálásaConfigure your infrastructure

A tanúsítványprofilok konfigurálása előtt végre kell hajtania az alábbi feladatokat, melyekhez a Windows Server 2012 R2 rendszerhez és az Active Directory tanúsítványszolgáltatásokhoz (ADCS) kapcsolódó ismeretek szükségesek:Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

1. feladat: NDES szolgáltatásfiók létrehozásaTask 1: Create an NDES service account

2. feladat: Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálTask 2: Configure certificate templates on the certification authority

3. feladat: Előfeltételek konfigurálása az NDES-kiszolgálónTask 3: Configure prerequisites on the NDES server

4. feladat: Az NDES Intune-nal való használatának konfigurálásaTask 4: Configure NDES for use with Intune

5. feladat: Az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaTask 5: Enable, install, and configure the Intune Certificate Connector

1. feladat – NDES szolgáltatásfiók létrehozásaTask 1 - Create an NDES service account

Hozzon létre egy tartományfelhasználói fiókot, melyet NDES szolgáltatásfiókként fog használni.Create a domain user account to use as the NDES service account. Ezt a fiókot kell megadnia a sablonok vállalati hitelesítésszolgáltatónál való konfigurálásakor, még mielőtt telepítené és konfigurálná az NDES-t.You will specify this account when you configure templates on the issuing CA before you install and configure NDES. Gondoskodjon róla, hogy a felhasználó rendelkezzen az alapértelmezett jogokkal, valamint a következő jogokkal: Helyi bejelentkezés engedélyezése, Bejelentkezés szolgáltatásként és Bejelentkezés kötegfájlfolyamatként.Make sure the user has the default rights, Logon Localy, Logon as a Service and Logon as a batch job rights. Egyes szervezeteknél olyan korlátozási szabályzatok lehetnek érvényben, amelyek letiltják ezeket a jogokat.Some organizations have hardening policies that disable those rights.

2. feladat – Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálTask 2 - Configure certificate templates on the certification authority

A feladat tartalma:In this task you will:

  • Tanúsítványsablon konfigurálása az NDES számáraConfigure a certificate template for NDES

  • Tanúsítványsablon közzététele az NDES számáraPublish the certificate template for NDES

A hitelesítésszolgáltató konfigurálásáhozTo configure the certification authority
  1. Jelentkezzen be vállalati rendszergazdaként.Log on as an enterprise administrator.

  2. A vállalati hitelesítésszolgáltatónál a Tanúsítványsablonok beépülő modullal hozzon létre egy új egyéni sablont (vagy másoljon és szerkesszen egy meglévő sablont, például a Felhasználó sablont) az NDES szolgáltatással való használatra.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    A sablonnak az alábbi beállításokkal kell rendelkeznie:The template must have the following configurations:

    • Adjon meg egy leíró nevet a sablonnak a Sablon megjelenítendő neve mezőben.Specify a friendly Template display name for the template.

    • A Tulajdonos neve lapon válassza A kérelem fogja tartalmaznilehetőséget.On the Subject Name tab, select Supply in the request. (A biztonságot az Intune NDES-házirendmodulja fogja érvényesíteni.)(Security is enforced by the Intune policy module for NDES).

    • A Kiterjesztések lapon győződjön meg róla, hogy az Alkalmazás-házirendek leírása lista tartalmazza az Ügyfél-hitelesítéselemet.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Fontos

      iOS- és Mac OS X-tanúsítványsablonok esetében a Kiterjesztések lapon szerkessze a Kulcshasználat beállítást, és győződjön meg arról, hogy Az aláírás az eredet igazolása lehetőség nincs kiválasztva.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • A Biztonság lapon adja hozzá az NDES szolgáltatásfiókot, és adjon meg hozzá Regisztrálás engedélyt a sablonhoz.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. Az SCEP-profilokat létrehozó Intune-rendszergazdáknak olvasási jogokkal kell rendelkezniük, hogy az SCEP-profilok létrehozása során megnyithassák a sablont.Intune admins who will create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Megjegyzés

    A tanúsítványok visszavonásához az NDES szolgáltatásfiók a Tanúsítványok kiállítása és kezelése nevű jogosultságot igényli a tanúsítványprofilok által használt összes tanúsítványprofilhoz.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Ellenőrizze az Érvényesség időtartama beállítást a sablon Általános lapján.Review the Validity period on the General tab of the template. Alapértelmezés szerint az Intune a sablonban konfigurált értéket használja.By default, Intune uses the value configured in the template. Lehetősége van azonban arra is, hogy a hitelesítésszolgáltató konfigurálásával engedélyezze a kérelmezőnek egy másik érték megadását, amelyet aztán az Intune felügyeleti konzoljából tud megadni.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Ha azt szeretné, hogy mindig a sablonban lévő érték legyen használva, hagyja ki ennek a lépésnek a hátralévő részét.If you want to always use the value in the template, skip the remainder of this step.

    Fontos

    Az iOS és a Mac OS X platform mindig a sablonban beállított értéket használja, minden más konfigurációs beállítástól függetlenül.The iOS and Mac OS X platforms always uses the value set in the template regardless of other configurations you make.

Az alábbiakban egy meglévő konfigurációt példaként bemutató képernyőképeket láthat.Here are screenshots of an example template configuration.

Sablon, a kérelmek kezelésére szolgáló lap

Sablon, a tulajdonos nevének megadására szolgáló lap

Sablon, a biztonsági beállításokat tartalmazó lap

Sablon, a bővítményeket tartalmazó lap

Sablon, a tanúsítvány kiállításának feltételeit tartalmazó lap

Fontos

Az Alkalmazás-házirendek beállításnál (4. képernyőkép) csak azokat az alkalmazás-házirendeket adja hozzá, amelyekre valóban szüksége van.For Application Policies (in the 4th screenshot), only add the application policies required. A kiválasztott elemekkel kapcsolatban kérje ki a biztonsági rendszergazda véleményét is.Confirm your choices with your security admins.

Ha a hitelesítésszolgáltató konfigurálásával lehetővé kívánja tenni a kérelmezőnek az érvényességi időszak megadását, futtassa az alábbi parancsokat a hitelesítésszolgáltatón:To configure the CA to allow the requester to specify the validity period, on the CA run the following commands:

  1. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
  2. net stop certsvcnet stop certsvc

  3. net start certsvcnet start certsvc

  1. Tegye közzé a Hitelesítésszolgáltató beépülő modullal a tanúsítványsablont a vállalati hitelesítésszolgáltatón.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    1. Válassza a Tanúsítványsablonok csomópontot, kattintson a Művelet-> Új > Kiállítandó tanúsítványsablon lehetőségre, majd válassza ki a 2. lépésben létrehozott sablont.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    2. Ellenőrizze a Tanúsítványsablonok mappában, hogy a sablon közzététele sikerült-e.Validate that the template published by viewing it under the Certificate Templates folder.

3. feladat – Előfeltételek konfigurálása az NDES-kiszolgálónTask 3 - Configure prerequisites on the NDES server

A feladat tartalma:In this task you will:

  • Az NDES hozzáadása egy Windows Server-kiszolgálóhoz, és az IIS konfigurálása az NDES támogatásáraAdd NDES to a Windows Server and configure IIS to support NDES

  • Az NDES szolgáltatásfiók hozzáadása a IIS_IUSR csoporthozAdd the NDES Service account to the IIS_IUSR group

  • Az NDES szolgáltatásfiók egyszerű szolgáltatásnevének beállításaSet the SPN for the NDES Service account

  1. Jelentkezzen be az NDES szolgáltatásnak helyt adó kiszolgálón Vállalati rendszergazdaként, és telepítse az NDES-t a Szerepkörök és szolgáltatások hozzáadása varázslóval :On the server that will hosts NDES, you must log on as a an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. A varázslóban válassza az Active Directory tanúsítványszolgáltatások lehetőséget az AD CS szerepkör-szolgáltatások eléréséhez.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Válassza a Hálózati eszközök tanúsítványigénylési szolgáltatásalehetőséget, törölje a jelet a Hitelesítésszolgáltatójelölőnégyzetből, és fejezze be a varázslót.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Tipp

      A varázsló Telepítési folyamat lapján ne kattintson a Bezárásgombra.On the Installation progress page of the wizard, do not click Close. Ehelyett kattintson Az Active Directory tanúsítványszolgáltatások beállítása a célkiszolgálónhivatkozásra.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Ekkor megnyílik Az Active Directory tanúsítványszolgáltatások beállítása varázsló, amelyet a következő feladathoz kell használnia.This opens the AD CS Configuration wizard that you use for the next task. Ha megnyílt Az Active Directory tanúsítványszolgáltatások beállítása varázsló, bezárhatja a Szerepkörök és szolgáltatások hozzáadása varázslót.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Az NDES kiszolgálóhoz való hozzáadásakor a varázsló az IIS-t is telepíti.When NDES is added to the server, the wizard also installs IIS. Az IIS-nek az alábbi konfigurációval kell rendelkeznie:Ensure IIS has the following configurations:

      • Webkiszolgáló > Biztonság > KérelemszűrésWeb Server > Security > Request Filtering

      • Webkiszolgáló > Alkalmazásfejlesztés > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Az ASP.NET 3.5 telepítése telepíti a .NET-keretrendszer 3.5-öt is.Installing ASP.NET 3.5 will install .NET Framework 3.5. A .NET-keretrendszer 3.5 telepítésekor a .NET-keretrendszer 3.5 alapszolgáltatásai mellett telepítse a HTTP-aktiválásszolgáltatást is.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Webkiszolgáló > Alkalmazásfejlesztés > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Az ASP.NET 4.5 telepítése a .NET-keretrendszer 4.5-ös verzióját is telepíti.Installing ASP.NET 4.5 will install .NET Framework 4.5. A .NET-keretrendszer 4.5 telepítésekor a .NET-keretrendszer 4.5 alapszolgáltatásai mellett telepítse az ASP.NET 4.5 és a WCF-szolgáltatások > HTTP-aktiválás szolgáltatását is.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Felügyeleti eszközök > Kompatibilitás az IIS 6 kezelésével > Kompatibilitás az IIS 6 metabázisávalManagement Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Felügyeleti eszközök > Kompatibilitás az IIS 6 kezelésével > Kompatibilitás az IIS 6 WMI-velManagement Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Vegye fel a kiszolgálón az NDES szolgáltatásfiókot az IIS_IUSR csoport tagjaként.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Futtassa egy emelt jogosultságszintű parancssorból az alábbi parancsot az NDES szolgáltatásfiók egyszerű szolgáltatásnevének beállításához:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Ha például az NDES kiszolgáló neve Kiszolgalo01, a tartomány Contoso.comés a szolgáltatásfiók NDESSzolgaltatas, akkor az alábbi parancsot kell használnia:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

4. feladat – Az NDES Intune-nal való használatának konfigurálásaTask 4 - Configure NDES for use with Intune

A feladat tartalma:In this task you will:

  • Az NDES konfigurálása a vállalati hitelesítésszolgáltatóval való használatraConfigure NDES for use with the issuing CA

  • SSL-tanúsítvány kötésének létrehozása az IIS-benBind the server authentication (SSL) certificate in IIS

  • Kérelemszűrés konfigurálása az IIS-benConfigure Request Filtering in IIS

Az NDES Intune-nal való használatának konfigurálásáhozTo configure NDES for use with Intune
  1. Nyissa meg az NDES-kiszolgálón Az Active Directory tanúsítványszolgáltatások beállítása varázslót, és végezze el az alábbi konfigurációs lépéseket.On the NDES Server, open the AD CS Configuration wizard and then make the following configurations.

    Tipp

    Ha az előző feladatban rákattintott a hivatkozásra, akkor ez a varázsló már meg van nyitva.If you clicked the link in the previous task, this wizard is already open. Ellenkező esetben nyissa meg a Kiszolgálókezelőt az Active Directory tanúsítványszolgáltatások telepítés utáni konfigurációjának eléréséhez.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • A Szerepkör-szolgáltatások lapon válassza a Hálózati eszközök tanúsítványigénylési szolgáltatásalehetőséget.On the Role Services Page, select the Network Device Enrollment Service.

    • A Hálózati eszközök tanúsítványigénylési szolgáltatásának szolgáltatásfiókja lapon adja meg az NDES szolgáltatásfiókot.On the Service Account for NDES page, specify the NDES Service Account.

    • A Hitelesítésszolgáltató a Hálózati eszközök tanúsítványigénylési szolgáltatásához lapon kattintson a Kijelöléslehetőségre, és válassza ki azt a vállalati hitelesítésszolgáltatót, amelyen a tanúsítványsablont konfigurálta.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • A Titkosítás a Hálózati eszközök tanúsítványigénylési szolgáltatása esetén lapon adja meg a kulcshosszt a vállalati követelményeknek megfelelően.On the Cryptography for NDES page, set the key length to meet your company requirements.

    A Megerősítés lapon kattintson a Konfigurálás lehetőségre a varázsló befejezéséhez.On the Confirmation page, click Configure to complete the wizard.

  2. Miután a varázsló befejeződött, szerkessze az NDES-kiszolgálón az alábbi beállításkulcsot:After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    A kulcs szerkesztéséhez állapítsa meg a tanúsítványsablon Kérelmek kezelése lapján, hogy mi a sablon célja, majd szerkessze a beállításjegyzék megfelelő bejegyzését úgy, hogy felülírja a meglévő adatokat a tanúsítványsablon 1. feladatban megadott nevével (tehát nem a sablon megjelenített nevével).To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. A következő táblázat a tanúsítványsablon-céloknak megfelelő beállításjegyzék-értékeket mutatja:The following table maps the certificate template purpose to the values in the registry:

    Tanúsítványsablon célja (a Kérelmek kezelése lapon)Certificate template Purpose (On the Request Handling tab) Szerkesztendő beállításazonosítóRegistry value to edit Az SCEP-profil Intune felügyeleti konzolban látható értékeValue seen in the Intune admin console for the SCEP profile
    AláírásSignature SignatureTemplateSignatureTemplate Digitális aláírásDigital Signature
    TitkosításEncryption EncryptionTemplateEncryptionTemplate KulcstitkosításKey Encipherment
    Aláírás és titkosításSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate KulcstitkosításKey Encipherment

    Digitális aláírásDigital Signature

    Ha például a tanúsítványsablon célja Titkosítás, akkor az EncryptionTemplate azonosító értékét kell a tanúsítványsablon nevére cserélnie.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Az NDES-kiszolgálóra rendkívül hosszú URL-címek (lekérdezések) fognak érkezni, amelyek esetében két beállításjegyzékbeli bejegyzést kell felvennie:The NDES server will receive very long URL’s (queries), which require that you add two registry entries:

    Tartózkodási helyLocation ÉrtékValue TípusType AdatData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (decimális)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (decimális)65534 (decimal)
  4. Az IIS-kezelőben válassza az Alapértelmezett webhely -> Kérésszűrés -> Szolgáltatás beállításainak szerkesztése lehetőséget, majd módosítsa az URL-cím maximális hossza és a Lekérdezés-karakterlánc maximális hossza beállítás értéket a következőre: 65534, ahogy az a képen is látható.In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    Maximális URL-hossz és lekérdezéshossz az IIS-ben

  5. Indítsa újra a kiszolgálót.Restart the server. A módosítások véglegesítéséhez nem elég, ha a kiszolgálón futtatja az iisreset parancsot.Running iisreset on the server will not be sufficient to finalize these changes.

  6. Keresse meg a következőt: http://FQDN/certsrv/mscep/mscep.dll.Browse to http://FQDN/certsrv/mscep/mscep.dll. Az alábbihoz hasonló NDES-oldalnak kell megjelennie:You should see an NDES page similar to this:

    NDES teszt

    Ha 503 Nem érhető el a szolgáltatás hibát kap, tekintse meg az eseménymegjelenítőt.If you get a 503 Service unavailable, check the eventviewer. Valószínű, hogy az alkalmazáskészlet azért állt le, mert az NDES-felhasználó nem rendelkezik valamelyik szükséges joggal.It's likely that the application pool is stopped due to a missing right for the NDES user. A szükséges jogokat az 1. feladat ismerteti.Those rights are described in Task 1.

A tanúsítványok NDES-kiszolgálón való telepítéséhez és kötéséhezTo Install and bind certificates on the NDES Server
  1. Kérelmezzen a belső vagy a nyilvános hitelesítésszolgáltatótól egy kiszolgálóhitelesítő tanúsítványt, és telepítse az NDES-kiszolgálón.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Ezután létre kell hoznia az SSL-tanúsítvány kötését az IIS-ben.You will then bind this SSL certificate in IIS.

    Tipp

    Miután létrehozta az SSL-tanúsítvány kötését az IIS-ben, telepítenie kell egy ügyfél-hitelesítési tanúsítványt.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Ezt a tanúsítványt bármely olyan hitelesítésszolgáltató kibocsáthatja, amelyben az NDES-kiszolgáló megbízik.This certificate can be issued by any CA that is trusted by the NDES Server. Bár ez nem ajánlott eljárás, használhatja ugyanazt a tanúsítványt a kiszolgáló és az ügyfél hitelesítéséhez mindaddig, amíg a tanúsítvány mindkét kibővített kulcshasználattal rendelkezik.Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKU’s). Ezekről a hitelesítési tanúsítványokról az alábbi lépésekből kaphat további információt.Review the following steps for information about these authentication certificates.

    1. Miután beszerezte a kiszolgálóhitelesítő tanúsítványt, nyissa meg az IIS-kezelőt, válassza az Alapértelmezett webhely lehetőséget a Kapcsolatok ablaktáblán, majd kattintson a Kötések lehetőségre a Műveletek ablaktáblán.After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Kattintson a Hozzáadáslehetőségre, adja meg a Típus beállításnál a httpsértéket, és győződjön meg róla, hogy a port 443-ravan állítva.Click Add, set Type to https, and then ensure the port is 443. (Az önálló Intune csak a 443-as portot támogatja.)(Only port 443 is supported for standalone Intune.

    3. Az SSL-tanúsítványbeállításnál adja meg a kiszolgálóhitelesítő tanúsítványt.For SSL certificate, specify the server authentication certificate.

      Megjegyzés

      Ha az NDES-kiszolgáló külső és belső nevet is használ egyetlen hálózati címhez, akkor a kiszolgálóhitelesítő tanúsítvány Tulajdonos neve beállításának egy külső nyilvános kiszolgálónevet, a Tulajdonos alternatív neve beállításának pedig egy belső kiszolgálónevet kell tartalmaznia.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. Kérelmezzen a belső vagy a nyilvános hitelesítésszolgáltatótól egy ügyfél-hitelesítő tanúsítványt, és telepítse az NDES-kiszolgálón.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Ez lehet ugyanaz, mint a kiszolgálóhitelesítő tanúsítvány, ha a tanúsítvány mindkét használati módra fel van készítve.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Az ügyfél-hitelesítő tanúsítványnak az alábbi tulajdonságokkal kell rendelkeznie:The client authentication certificate must have the following properties:

    Kibővített kulcshasználat – Tartalmaznia kell az Ügyfél-hitelesítés szolgáltatást.Enhanced Key Usage - This must include Client Authentication.

    Tulajdonos neve – Meg kell egyeznie annak a kiszolgálónak a DNS-nevével, amelyen a tanúsítványt telepítette (ez az NDES-kiszolgáló).Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

A kérelmek szűrésének IIS-ben való konfigurálásáhozTo configure IIS Request Filtering
  1. Nyissa meg az NDES-kiszolgálón az IIS-kezelőt, válassza az Alapértelmezett webhely lehetőséget a Kapcsolatok ablaktáblán, és nyissa meg a Kérelmek szűrésebeállítást.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Kattintson a Szolgáltatás beállításainak szerkesztéselehetőségre, és adja meg a következőket:Click Edit Feature Settings, and then set the following:

    lekérdezés-karakterlánc hossza (bájt) = 65534query string (Bytes) = 65534

    URL-cím maximális hossza (bájt) = 65534Maximum URL length (Bytes) = 65534

  3. Tekintse át a következő beállításkulcsot:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Az alábbi értékeknek Duplaszó típusú bejegyzésként kell szerepelnie:Ensure the following values are set as DWORD entries:

    Név: MaxFieldLength, decimális 65534Name: MaxFieldLength, with a decimal value of 65534

    Név: MaxRequestBytes, decimális 65534Name: MaxRequestBytes, with a decimal value of 65534

  4. Indítsa újra az NDES-kiszolgálót.Reboot the NDES server. A kiszolgáló mostantól készen áll az tanúsítvány-összekötő támogatására.The server is now ready to support the Certificate Connector.

5. feladat – Az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaTask 5 - Enable, install, and configure the Intune Certificate Connector

A feladat tartalma:In this task you will:

Az NDES támogatásának engedélyezése az Intune-ban.Enable support for NDES in Intune.

A tanúsítvány-összekötő letöltése, telepítése és konfigurálása az NDES-kiszolgálón.Download, install, and configure the Certificate Connector on the NDES Server.

A tanúsítvány-összekötő támogatásának engedélyezéséhezTo enable support for the Certificate Connector
  1. Nyissa meg az Intune felügyeleti konzolját, és válassza a Felügyelet > Tanúsítvány-összekötő lehetőséget.Open the Intune administration console, click Admin > Certificate Connector.

  2. Kattintson a Helyszíni tanúsítvány-összekötő konfigurálása elemre.Click Configure On-Premises Certificate Connector.

  3. Válassza az Enable Certificate Connector(Certificate Connector engedélyezése) lehetőséget, és kattintson az OKgombra.Select Enable Certificate Connector, and then click OK.

A tanúsítvány-összekötő letöltéséhez, telepítéséhez és konfigurálásáhozTo download, install and configure the Certificate Connector
  1. Nyissa meg az Intune felügyeleti konzolját, és kattintson a Felügyelet > Mobileszköz-kezelés > Tanúsítvány-összekötő > Tanúsítvány-összekötő letöltése lehetőségre.Open the Intune administration console, and then click Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. A letöltés befejezése után futtassa a letöltött telepítőt (ndesconnectorssetup.exe) egy Windows Server 2012 R2-kiszolgálón.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. A telepítés során az NDES házirendmodulja és a CRP (tanúsítványregisztrációs pont) webszolgáltatás is települ.The installer also installs the policy module for NDES and the CRP Web Service. (A CRP webszolgáltatás, melynek neve CertificateRegistrationSvc, alkalmazásként fut az IIS-ben.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Megjegyzés

    Ha önálló Intune-hoz telepíti az NDES-t, akkor a CRP szolgáltatás automatikusan települ a tanúsítvány-összekötővel együtt.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Az Intune szolgáltatásnak a Configuration Managerrel való használatakor a tanúsítványregisztrációs pontot különálló helyrendszerszerepkörként telepíti.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  3. Ha a rendszer kéri az ügyféltanúsítványt a tanúsítvány-összekötőhöz, válassza a Kijelöléslehetőséget, és válassza ki az ügyfél-hitelesítő tanúsítványt, amelyet a 3. feladatban telepített az NDES-kiszolgálóra.When prompted for the client certificate for the Certificate Connector, click Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Miután kiválasztotta az ügyfél-hitelesítési tanúsítványt, a rendszer visszairányítja az Client Certificate for Microsoft Intune Certificate Connector (Ügyféltanúsítvány a Microsoft Intune Certificate Connectorhoz) felületre.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Bár a választott tanúsítvány nem látható, kattintson a Tovább gombra a tanúsítvány tulajdonságainak megtekintéséhez.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Ezután kattintson ismét a Továbbgombra, majd a Telepítésgombra.Then click Next, and then click Install.

  4. Ha a varázsló befejeződött, még mielőtt bezárná, kattintson Launch the Certificate Connector UI(Certificate Connector felhasználói felületének indítása) lehetőségre.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tipp

    Ha bezárná a varázslót a tanúsítvány-összekötő felhasználói felületének megnyitása előtt, akkor az alábbi parancs futtatásával nyithatja meg:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <telepítési_útvonal>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. A Certificate Connector (Tanúsítvány-összekötő) felhasználói felületén:In the Certificate Connector UI:

    Kattintson a Bejelentkezés gombra, és írja be az Intune szolgáltatás rendszergazdai hitelesítő adatait, vagy egy bérlői rendszergazda globális felügyeleti engedéllyel rendelkező hitelesítő adatait.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Ha a szervezet proxykiszolgálót használ, és proxy szükséges ahhoz, hogy az NDES-kiszolgáló el tudja érni az internetet, kattintson a Proxykiszolgáló használata lehetőségre, és adja meg a proxykiszolgáló nevét és portját, illetve a csatlakozáshoz szükséges fiókadatokat.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Váltson a Speciális lapra, adja meg egy olyan fiók hitelesítő adatait, amely rendelkezik Tanúsítványok kiállítása és kezelése engedéllyel a vállalati hitelesítésszolgáltatónál, majd kattintson az Alkalmazgombra.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Bezárhatja a tanúsítvány-összekötő felhasználói felületét.You can now close the Certificate Connector UI.

  6. Nyisson meg egy parancssort, írja be a services.msc fájlnevet, nyomja meg az Enter billentyűt, kattintson a jobb gombbal az Intune-összekötő szolgáltatás elemre, és válassza az Újraindítás parancsot.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

A szolgáltatás futásának ellenőrzéséhez nyisson meg egy böngészőt, és írja be az alábbi URL-t, melynek egy 403-as hibát kell visszaadnia:To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

http:// <NDES-kiszolgáló_teljes_tartományneve>/certsrv/mscep/mscep.dllhttps:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

További lépésekNext steps

Ezzel készen áll a tanúsítványprofilok konfigurálására, amelyről a következő témakörben olvashat: Tanúsítványprofilok konfigurálása.You are now ready to configure certificate profiles, as described in Configure certificate profiles.

A termékről a következő oldalon küldhet visszajelzést Intune Feedback