PKCS-tanúsítványok konfigurálása és kezelése az Intune-nalConfigure and manage PKCS certificates with Intune

Csak az Azure-beli Intune-ra vonatkozikApplies to: Intune on Azure
A klasszikus Intune-konzolról keres dokumentációt?Looking for documentation about Intune in the classic console? Látogasson el ide.Go to here.

Ez a témakör az infrastruktúra konfigurálását és az SCEP-tanúsítványprofilok ezt követő, az Intune-nal végzett létrehozását és eszközökhöz rendelését ismerteti.This topic shows how to configure your infrastructure, then create and assign PKCS certificate profiles with Intune.

Ha bármilyen tanúsítványalapú hitelesítést szeretne végrehajtani a szervezetben, szüksége lesz egy vállalati hitelesítésszolgáltatóra.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

A PKCS-tanúsítványprofilok használatához a vállalati hitelesítésszolgáltatón kívül a következőkre is szüksége lesz:To use PKCS Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • Egy számítógép, amely képes kommunikálni a hitelesítésszolgáltatóval. Alternatív megoldásként használhatja magát a hitelesítésszolgáltató számítógépet is.A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • A hitelesítésszolgáltatóval kommunikálni képes számítógépen futó Intune Certificate Connector.The Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

Fontos szakkifejezésekImportant terms

  • Active Directory-tartomány: A jelen szakaszban felsorolt összes kiszolgálónak (a webalkalmazás-proxykiszolgáló kivételével) csatlakoznia kell a szervezet Active Directory-tartományához.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Hitelesítésszolgáltató: Olyan vállalati hitelesítésszolgáltató (CA), amelyen a Windows Server 2008 R2 vagy újabb rendszer Enterprise Edition verziója fut.Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Az önálló hitelesítésszolgáltató nem támogatott.A Standalone CA is not supported. A hitelesítésszolgáltató konfigurálásáról lásd: Hitelesítésszolgáltató telepítése.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Ha a hitelesítésszolgáltatója Windows Server 2008 R2 rendszeren fut, telepítenie kell a KB2483564 jelű gyorsjavítást.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Egy számítógép, amely képes kommunikálni a hitelesítésszolgáltatóval: Másik megoldásként használhatja magát a hitelesítésszolgáltató számítógépet is.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Microsoft Intune Tanúsítvány-összekötő: Töltse le a Tanúsítvány-összekötő telepítőjét (ndesconnectorssetup.exe) az Azure Portalról.Microsoft Intune Certificate Connector: From the Azure portal, you download the Certificate Connector installer (ndesconnectorssetup.exe). Ezután futtassa az ndesconnectorssetup.exe fájlt azon a számítógépen, amelyre telepíteni szeretné az tanúsítvány-összekötőt.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. A PKCS-tanúsítványprofilok esetében a hitelesítésszolgáltatóval kommunikáló számítógépre telepítse a Tanúsítvány-összekötőt.For PKCS Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Webalkalmazás-proxykiszolgáló (nem kötelező): Webalkalmazás-proxykiszolgálóként (WAP) olyan kiszolgálót használhat, amelyen Windows Server 2012 R2 vagy újabb verziójú rendszer fut.Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Ez a konfiguráció:This configuration:

    • Lehetővé teszi, hogy az eszközök az interneten keresztül fogadjanak tanúsítványokat.Allows devices to receive certificates using an Internet connection.
    • Biztonsági ajánlás olyan környezetekben, ahol az eszközök az interneten keresztül csatlakozva kapnak és újítanak meg tanúsítványokat.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Megjegyzés
    • A WAP-ot futtató kiszolgálón telepíteni kell egy frissítést ahhoz, hogy az támogassa a Hitelesítésszolgáltató hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) által használt hosszú URL-címeket.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service (NDES). Ez a frissítés megtalálható a 2014. decemberi kumulatív frissítésben, illetve önállóan a KB3011135-as jelű frissítésként.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • Ezenkívül a WAP-ot futtató kiszolgálónak rendelkeznie kell egy SSL-tanúsítvánnyal, amely a külső ügyfeleknek közzétett nevet egyezteti, valamint meg kell bíznia az NDES-kiszolgálón használt SSL-tanúsítványban.Also, the server that hosts WAP must have an SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. E tanúsítványok segítségével a WAP-kiszolgáló képes megszakítani az ügyfelek SSL-kapcsolatát, illetve új SSL-kapcsolatot létrehozni az NDES-kiszolgálóval.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. A WAP-hoz szükséges tanúsítványokkal kapcsolatos további tudnivalókért olvassa el a Tanúsítványok megtervezése című szakaszt a Felkészülés az alkalmazások webalkalmazás-proxyval való közzétételére című cikkben.For information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. A WAP-kiszolgálókkal kapcsolatos általános információkért tekintse meg A webalkalmazás-proxy használata című témakört.|For general information about WAP servers, see Working with Web Application Proxy.|

Tanúsítványok és sablonokCertificates and templates

ObjektumObject RészletekDetails
TanúsítványsablonCertificate Template Ezt a sablont a vállalati hitelesítésszolgáltatón tudja konfigurálni.You configure this template on your issuing CA.
Megbízható legfelső szintű hitelesítésszolgáltató tanúsítványaTrusted Root CA certificate Ezt a tanúsítványt .cer fájlként kell exportálnia a vállalati hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a vállalati hitelesítésszolgáltatóban, majd a megbízható hitelesítésszolgáltatói tanúsítványprofillal ki kell osztania az eszközöknek.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and assign it to devices by using the Trusted CA certificate profile.

Operációsrendszer-platformonként egy darab megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt használjon, és társítsa azt az egyes létrehozott megbízható főtanúsítvány-profilokkal.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Szükség esetén további megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványokat is használhat.You can use additional Trusted Root CA certificates when needed. Ezzel például bizalmi kapcsolatot alakíthat ki egy hitelesítésszolgáltatónak, mely aláírja a kiszolgálói hitelesítési tanúsítványokat a szervezet Wi-Fi hozzáférési pontjai számára.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Az infrastruktúra konfigurálásaConfigure your infrastructure

A tanúsítványprofilok konfigurálása előtt végre kell hajtania a következő lépéseket.Before you can configure certificate profiles, you must complete the following steps. Ezekhez szükség van a Windows Server 2012 R2 és az Active Directory tanúsítványszolgáltatások (ADCS) ismeretére:These steps require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • 1. lépés: tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálStep 1 - Configure certificate templates on the certification authority.
  • 2. lépés: az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaStep 2 - Enable, install, and configure the Intune Certificate Connector.

1. lépés: tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálStep 1 - Configure certificate templates on the certification authority

A hitelesítésszolgáltató konfigurálásáhozTo configure the certification authority

  1. Hozzon létre egy új egyéni sablont a vállalati hitelesítésszolgáltatón a Tanúsítványsablonok beépülő modullal, vagy másoljon és szerkesszen egy meglévő sablont (például a Felhasználó sablont) a PKCS szolgáltatással való használatra.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with PKCS.

    A sablonnak legalább az alábbiakat kell tartalmaznia:The template must include the following:

    • Adjon meg egy leíró nevet a sablonnak a Sablon megjelenítendő neve mezőben.Specify a friendly Template display name for the template.

    • A Tulajdonos neve lapon válassza A kérelem fogja tartalmaznilehetőséget.On the Subject Name tab, select Supply in the request. (A biztonságot az Intune NDES-házirendmodulja fogja érvényesíteni.)(Security is enforced by the Intune policy module for NDES).

    • A Kiterjesztések lapon győződjön meg róla, hogy az Alkalmazás-házirendek leírása lista tartalmazza az Ügyfél-hitelesítéselemet.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Fontos

      iOS- és macOS-tanúsítványsablonok esetében a Kiterjesztések lapon módosítsa a Kulcshasználat beállítást, és ügyeljen rá, hogy Az aláírás igazolja az eredetet jelölőnégyzet ne legyen bejelölve.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Ellenőrizze az Érvényesség időtartama beállítást a sablon Általános lapján.Review the Validity period on the General tab of the template. Alapértelmezés szerint az Intune a sablonban konfigurált értéket használja.By default, Intune uses the value configured in the template. Lehetősége van azonban arra is, hogy a hitelesítésszolgáltató konfigurálásával engedélyezze a kérelmezőnek egy másik érték megadását, amelyet aztán az Intune felügyeleti konzoljából tud megadni.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Ha azt szeretné, hogy mindig a sablonban lévő érték legyen használva, hagyja ki ennek a lépésnek a hátralévő részét.If you want to always use the value in the template, skip the remainder of this step.

    Fontos

    Az iOS és a macOS mindig a sablonban beállított értéket használja, minden más konfigurációs beállítástól függetlenül.iOS and macOS always use the value set in the template, regardless of other configurations you make.

    Ha a hitelesítésszolgáltató konfigurálásával lehetővé kívánja tenni a kérelmezőnek az érvényességi időszak megadását, futtassa az alábbi parancsokat a hitelesítésszolgáltatón:To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Tegye közzé a Hitelesítésszolgáltató beépülő modullal a tanúsítványsablont a vállalati hitelesítésszolgáltatón.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Válassza a Tanúsítványsablonok csomópontot, kattintson a Művelet-> Új >Kiállítandó tanúsítványsablon lehetőségre, majd válassza ki a 2. lépésben létrehozott sablont.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Ellenőrizze a Tanúsítványsablonok mappában, hogy a sablon közzététele sikerült-e.Validate that the template published by viewing it under the Certificate Templates folder.

  4. A hitelesítésszolgáltató számítógépen győződjön meg róla, hogy az Intune Tanúsítvány-összekötőt futtató számítógépnek van regisztrálási engedélye, és így hozzáférhet a PKCS-tanúsítványprofil létrehozásakor használt sablonhoz.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the PKCS certificate profile. Állítsa be az engedélyt a hitelesítésszolgáltató számítógép tulajdonságainak Biztonság lapján.Set that permission on the Security tab of the CA computer properties.

2. lépés: az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaStep 2 - Enable, install, and configure the Intune certificate connector

Ebben a lépésben:In this step you will:

  • A tanúsítvány-összekötő támogatásának engedélyezéseEnable support for the Certificate Connector
  • A tanúsítvány-összekötő letöltése, telepítése és konfigurálása.Download, install, and configure the Certificate Connector.

A tanúsítvány-összekötő támogatásának engedélyezéséhezTo enable support for the certificate connector

  1. Jelentkezzen be az Azure Portalra.Sign into the Azure portal.
  2. Válassza a További szolgáltatások > Figyelés + felügyelet > Intune lehetőséget.Choose More Services > Monitoring + Management > Intune.
  3. Az Intune panelen válassza az Eszközkonfiguráció lehetőséget.On the Intune blade, choose Configure devices.
  4. Válassza az Eszközök konfigurálása panel Beállítás > Hitelesítésszolgáltató elemét.On the Device Configuration blade, choose Setup > Certificate Authority.
  5. A 1. lépésnél válassza az Engedélyezés lehetőséget.Under Step 1, choose Enable.

A tanúsítvány-összekötő letöltéséhez, telepítéséhez és konfigurálásáhozTo download, install, and configure the certificate connector

  1. Válassza az Eszközök konfigurálása panel Beállítás > Hitelesítésszolgáltató elemét.On the Configure devices blade, choose Setup > Certificate Authority.
  2. Válassza A tanúsítvány-összekötő letöltése lehetőséget.choose Download the certificate connector.
  3. A letöltés befejezése után futtassa a letöltött telepítőprogramot (ndesconnectorssetup.exe).After the download completes, run the downloaded installer (ndesconnectorssetup.exe). Futtassa a telepítőt azon a számítógépen, amely kapcsolódni tud a hitelesítésszolgáltatóhoz.Run the installer on the computer that is able to connect with the Certification Authority. Válassza a PKCS (PFX) Distribution (PKCS (PFX) terjesztése lehetőséget, majd az Install (Telepítés) elemet.Choose the PKCS (PFX) Distribution option, and then choose Install. A telepítés befejeződése után folytassa egy tanúsítványprofil létrehozásával. Ezt a tanúsítványprofilok konfigurálását bemutató cikk ismerteti.When the installation has completed, continue by creating a certificate profile as described in How to configure certificate profiles.

  4. Ha a rendszer kéri az ügyféltanúsítványt a Tanúsítvány-összekötőhöz, válassza a Kijelölés lehetőséget, és válassza ki a telepített ügyfél-hitelesítő tanúsítványt.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed.

    Miután kiválasztotta az ügyfél-hitelesítési tanúsítványt, a rendszer visszairányítja az Client Certificate for Microsoft Intune Certificate Connector (Ügyféltanúsítvány a Microsoft Intune Certificate Connectorhoz) felületre.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Bár a választott tanúsítvány nem látható, kattintson a Tovább gombra a tanúsítvány tulajdonságainak megtekintéséhez.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Ezután válassza a Tovább, majd a Telepítés lehetőséget.Then choose Next, and then Install.

  5. Ha a varázsló befejeződött, még mielőtt bezárná, kattintson Launch the Certificate Connector UI(Certificate Connector felhasználói felületének indítása) lehetőségre.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tipp

    Ha bezárná a varázslót a tanúsítvány-összekötő felhasználói felületének megnyitása előtt, akkor az alábbi parancs futtatásával nyithatja meg:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <telepítési_útvonal>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  6. A Certificate Connector (Tanúsítvány-összekötő) felhasználói felületén:In the Certificate Connector UI:

    a.a. Válassza a Bejelentkezés lehetőséget, és írja be az Intune szolgáltatás rendszergazdai hitelesítő adatait, vagy egy globális felügyeleti engedéllyel rendelkező bérlői rendszergazda hitelesítő adatait.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Váltson a Speciális lapra, majd adja meg egy olyan fiók hitelesítő adatait, amely rendelkezik Tanúsítványok kiállítása és kezelése engedéllyel a vállalati hitelesítésszolgáltatónál.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Válassza az Alkalmaz lehetőséget.Choose Apply.

    Bezárhatja a tanúsítvány-összekötő felhasználói felületét.You can now close the Certificate Connector UI.

  7. Nyisson meg egy parancssort, és írja be a következőt: services.msc.Open a command prompt and type services.msc. Ezután nyomja meg az Enter billentyűt, a jobb egérgombbal kattintson az Intune-összekötő szolgáltatás elemre, majd válassza az Újraindítás lehetőséget.Then press Enter, right-click the Intune Connector Service, and choose Restart.

A szolgáltatás futásának ellenőrzéséhez nyisson meg egy böngészőt, és írja be az alábbi URL-t, melynek egy 403-as hibát kell visszaadnia:To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

http:// <NDES-kiszolgáló_teljes_tartományneve>/certsrv/mscep/mscep.dllhttp:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

PKCS-tanúsítványprofil létrehozásaHow to create a PKCS certificate profile

Az Azure Portalon válassza az Eszközök konfigurálása elemet.In the Azure Portal, select the Configure devices workload.

  1. Az Eszközök konfigurálása panelen válassza a Kezelés > Profilok lehetőséget.On the Device configuration blade, choose Manage > Profiles.
  2. A profilok panelen kattintson a Profil létrehozása lehetőségre.On the profiles blade, click Create Profile.
  3. A Profil létrehozása panelen adja meg a PKCS-tanúsítványprofil nevét és leírását a Név és a Leírás mezőben.On the Create Profile blade, enter a Name and Description for the PKCS certificate profile.
  4. Válassza ki a PKCS-tanúsítvány eszközplatformját a Platform legördülő lista következő elemei közül:From the Platform drop-down list, select the device platform for this PKCS certificate from:
    • AndroidAndroid
    • Android for WorkAndroid for Work
    • iOSiOS
    • Windows 10 és újabbWindows 10 and later
  5. A Profil típusa legördülő listában válassza a PKCS-tanúsítvány lehetőséget.From the Profile type drop-down list, choose PKCS certificate.
  6. A PKCS-tanúsítvány panelen konfigurálja a következő beállításokat:On the PKCS Certificate blade, configure the following settings:
    • Megújítási küszöb (%) – Adja meg, hogy az eszköz a tanúsítvány élettartamának hány százalékos hátralévő idejénél igényelje a tanúsítvány megújítását.Renewal threshold (%) - Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
    • Tanúsítvány érvényességi időtartama – Ha a kiállító hitelesítésszolgáltatón a certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE parancs futtatásával engedélyezte az egyéni érvényességi időtartamot, akkor meghatározhatja a tanúsítvány lejáratáig hátralévő időt.Certificate validity period - If you have run the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can specify the amount of remaining time before the certificate expires.
      A megadott tanúsítványsablonban meghatározott érvényességi időszaknál rövidebb értéket is beállíthat, hosszabbat azonban nem.You can specify a value that is lower than the validity period in the specified certificate template, but not higher. Ha például a tanúsítványsablonban két év van meghatározva a tanúsítvány érvényességi idejeként, akkor egy évet beállíthat értékként, öt évet azonban nem.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year but not a value of five years. Az értéknek emellett a kiállító hitelesítésszolgáltató tanúsítványának hátralévő érvényességi időszakánál is kevesebbnek kell lennie.The value must also be lower than the remaining validity period of the issuing CA's certificate.
    • Kulcstároló-szolgáltató (Windows 10): Itt adhatja meg, hogy a rendszer hol tárolja a tanúsítvány kulcsát.Key storage provider (KSP) (Windows 10) - Specify where the key to the certificate will be stored. Az alábbi értékek közül választhat:Choose from one of the following values:
      • Regisztrálás a platformmegbízhatósági modul kulcstároló-szolgáltatójába (ha van ilyen), máskülönben regisztrálás a szoftverkulcstároló-szolgáltatóbaEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Regisztrálás a platformmegbízhatósági modul kulcstároló-szolgáltatójába, máskülönben a művelet sikertelenEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Regisztrálás a Passportba, máskülönben a művelet sikertelen (Windows 10 és újabb verzió)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Regisztrálás szoftverkulcstároló-szolgáltatóbaEnroll to Software KSP
    • Hitelesítésszolgáltató: Olyan vállalati hitelesítésszolgáltató (CA), amelyen a Windows Server 2008 R2 vagy újabb rendszer Enterprise kiadása fut.Certification authority - An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Az önálló hitelesítésszolgáltató nem támogatott.A Standalone CA is not supported. A hitelesítésszolgáltató konfigurálásáról lásd: Hitelesítésszolgáltató telepítése.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Ha a hitelesítésszolgáltatója Windows Server 2008 R2 rendszeren fut, telepítenie kell a KB2483564 jelű gyorsjavítást.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.
    • Hitelesítésszolgáltató neve – Adja meg a hitelesítésszolgáltatója nevét.Certification authority name - Enter the name of your certification authority.
    • Tanúsítványsablon neve – Válassza ki annak a tanúsítványsablonnak a nevét, amelynek használatára a Hálózati eszközök tanúsítványigénylési szolgáltatása be van állítva, és amely hozzá van adva egy kiállító hitelesítésszolgáltatóhoz.Certificate template name - Enter the name of a certificate template that the Network Device Enrollment Service is configured to use and that has been added to an issuing CA. Ügyeljen rá, hogy a név pontosan azonos legyen a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló beállításjegyzékében szereplő névvel.Make sure that the name exactly matches one of the certificate templates that are listed in the registry of the server that is running the Network Device Enrollment Service. A tanúsítványsablon valódi nevét adja meg, ne pedig a tanúsítványsablon megjelenített nevét.Make sure that you specify the name of the certificate template and not the display name of the certificate template. Keresse meg a tanúsítványsablonok nevét. Ehhez nyissa meg a következő kulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.To find the names of certificate templates, browse to the following key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Az EncryptionTemplate, a GeneralPurposeTemplateés a SignatureTemplatebeállítások értékei a tanúsítványsablonokat jelölik.You will see the certificate templates listed as the values for EncryptionTemplate, GeneralPurposeTemplate, and SignatureTemplate. Alapértelmezés szerint mindhárom tanúsítványsablon értéke IPSECIntermediateOffline, amely az IPSec (offline kérelem) megjelenített sablonnévhez tartozik.By default, the value for all three certificate templates is IPSECIntermediateOffline, which maps to the template display name of IPSec (Offline request).
    • Tulajdonos nevének formátuma – Válassza ki a listáról, hogy az Intune hogyan hozza létre automatikusan a tulajdonos nevét a tanúsítványkérelemben.Subject name format - From the list, select how Intune automatically creates the subject name in the certificate request. Ha a tanúsítvány felhasználóhoz tartozik, a felhasználó e-mail címét is feltüntetheti a tulajdonos nevében.If the certificate is for a user, you can also include the user's email address in the subject name. A következő lehetőségek közül választhat:Choose from:
      • Nincs konfigurálvaNot configured
      • Köznapi névCommon name
      • Köznapi név (e-mail is)Common name including email
      • Köznapi név mint e-mail címCommon name as email
    • Tulajdonos alternatív neve – Határozza meg, hogy az Intune hogyan hozza létre automatikusan a tulajdonos alternatív nevének értékeit a tanúsítványkérelemben.Subject alternative name - Specify how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Ha felhasználói tanúsítványtípust választott ki, akkor például az egyszerű felhasználónevet (UPN) is használhatja a tulajdonos alternatív neveként.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Ha az ügyféltanúsítványt egy hálózati házirend-kiszolgáló felé történő hitelesítésre használja, a tulajdonos alternatív neveként az egyszerű felhasználónevet (UPN) állítsa be.If the client certificate is used to authenticate to a Network Policy Server, set the subject alternative name to the UPN. Választhatja az Egyéni Azure AD-attribútum lehetőséget is.You can also select Custom Azure AD attribute. Ha erre a lehetőségre kattint, egy újabb legördülő mező jelenik meg.When you select this option, another drop-down field is displayed. Az Egyéni Azure AD-attribútum legördülő menüs mezőjében csak a Részleg lehetőséget választhatja.From the Custom Azure AD attribute drop-down field, there is one option: Department. Ha ezt választja, és a részleg azonosítása nem történt meg az Azure AD-ben, a rendszer nem állítja ki a tanúsítványt.When you select this option, if the department is not identified in Azure AD, the certificate is not issued. A probléma megoldásához azonosítsa a részleget, és mentse a módosításokat.To resolve this issue, identify the department and save the changes. A legközelebbi eszközbejelentkezésnél megoldódik a probléma, és a tanúsítvány elkészül.At the next device checkin, the problem is resolved and certificate is issued. Ehhez a mezőhöz az ASN.1 jelölést kell használni.ASN.1 is the notation used for this field.
    • Kibővített kulcshasználat (Android) – Válassza a Hozzáadás gombot, és vegye fel a kívánt értékeket a tanúsítvány felhasználási céljai közé.Extended key usage (Android) - Choose Add to add values for the certificate's intended purpose. A legtöbb esetben a tanúsítványnál szükséges az Ügyfél-hitelesítés , hogy a felhasználó vagy az eszköz hitelesíthető legyen egy kiszolgálóval.In most cases, the certificate will require Client Authentication so that the user or device can authenticate to a server. Szükség szerint azonban tetszőleges más kulcshasználatot is felvehet.However, you can add any other key usages as required.
    • Főtanúsítvány (Android) – Válasszon ki egy olyan legfelső szintű hitelesítésszolgáltatói tanúsítványprofilt, amelyet korábban konfigurált és hozzárendelt a felhasználóhoz vagy az eszközhöz.Root Certificate (Android) - Choose a root CA certificate profile that you have previously configured and assigned to the user or device. Ennek a hitelesítésszolgáltatói tanúsítványnak a legfelső szintű tanúsítványnak kell lennie az adott tanúsítványprofilban konfigurált tanúsítványt kiállító hitelesítésszolgáltatónál.This CA certificate must be the root certificate for the CA that will issue the certificate that you are configuring in this certificate profile. Ez a korábban létrehozott megbízható tanúsítványprofil.This is the trusted certificate profile that you created previously.
  7. Miután elkészült, lépjen vissza a Profil létrehozása panelre, és kattintson a Létrehozás elemre.When you're done, go back to the Create Profile blade, and click Create.

Ekkor a profil létrejön, és megjelenik a profilok listáját tartalmazó panelen.The profile is created and is displayed on the profiles list blade.

A tanúsítványprofil hozzárendeléseHow to assign the certificate profile

Mielőtt csoportokhoz rendeli a tanúsítványprofilokat, vegye figyelembe a következőket:Consider the following before you assign certificate profiles to groups:

  • Amikor csoportokhoz rendeli a tanúsítványprofilokat, a megbízható hitelesítésszolgáltatói tanúsítványprofilból származó tanúsítványfájl települ az eszközre.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Az eszköz a PKCS-tanúsítványprofilt használja tanúsítványkérelem létrehozására.The device uses the PKCS certificate profile to create a certificate request by the device.
  • A tanúsítványprofilok csak a profil létrehozásakor használt platformot futtató eszközökre települnek.Certificate profiles install only on devices running the platform you use when you created the profile.
  • Tanúsítványprofilokat rendelhet felhasználógyűjteményekhez és eszközgyűjteményekhez is.You can assign certificate profiles to user collections or to device collections.
  • Ha azt szeretné, hogy a tanúsítványok gyorsan megjelenjenek az eszközökön a regisztráció után, a tanúsítványprofilt felhasználócsoporthoz és ne eszközcsoporthoz rendelje hozzá.To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Ha eszközcsoporthoz rendeli, akkor teljes eszközregisztráció szükséges, mielőtt az eszköz megkaphatná a szabályzatokat.If you assign to a device group, a full device registration is required before the device receives policies.
  • Jóllehet az egyes profilokat külön-külön rendeli hozzá, a legfelső szintű hitelesítésszolgáltató és a PKCS-profil hozzárendelésére is szükség van.Although you assign each profile separately, you also need to assign the Trusted Root CA and the PKCS profile. Ellenkező esetben a PKCS-tanúsítványszabályzat hibát fog jelezni.Otherwise, the PKCS certificate policy will fail.

A profilok hozzárendeléséről az Eszközprofilok hozzárendelése című cikk nyújt általános tájékoztatást.For information about how to assign profiles, see How to assign device profiles.

A termékről a következő oldalon küldhet visszajelzést Intune Feedback