PKCS-tanúsítványok konfigurálása és használata az Intune-nalConfigure and use PKCS certificates with Intune

A tanúsítványok az olyan céges forrásokhoz történő hozzáférés hitelesítését és biztonságossá tételét szolgálják, mint a VPN és a saját WiFi hálózat.Certificates are used to authenticate and secure access to your corporate resources, such as a VPN or your WiFi network. Ez a cikk a PKCS-tanúsítványok exportálását, majd Intune-profilhoz történő hozzáadását ismerteti.This article shows you how to export a PKCS certificate, and then add the certificate to an Intune profile.

KövetelményekRequirements

A PKCS-tanúsítványok Intune-beli használata előtt ellenőrizze, hogy rendelkezik-e az alábbi infrastruktúrával:To use PKCS certificates with Intune, be sure you have the following infrastructure:

  • Active Directory-tartomány: A jelen szakaszban felsorolt összes kiszolgálónak csatlakoznia kell az Active Directory-tartományához.Active Directory domain: All servers listed in this section must be joined to your Active Directory domain.

    Az AD DS telepítéséről és konfigurálásáról Az AD DS tervezése és előkészítése című témakörben talál további információt.For more information about installing and configuring AD DS, see AD DS Design and Planning.

  • Hitelesítésszolgáltató (CA): vállalati hitelesítésszolgáltató (CA)Certification Authority (CA): An Enterprise Certification Authority (CA)

    Az Active Directory tanúsítványszolgáltatások (AD CS) telepítéséről és konfigurálásáról a Lépésenkénti útmutató az Active Directory tanúsítványszolgáltatásokhoz című témakörben talál további információt.For more information on installing and configuring Active Directory Certificate Services (AD CS), see Active Directory Certificate Services Step-by-Step Guide.

    Figyelmeztetés

    Az Intune követelményei szerint az AD CS-t vállalati hitelesítésszolgáltatóval, és nem önálló hitelesítésszolgáltatóval kell futtatni.Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Egy ügyfél: a vállalati hitelesítésszolgáltatóhoz való csatlakozáshozA client: To connect to the Enterprise CA

  • Főtanúsítvány: a vállalati hitelesítésszolgáltatótól származó főtanúsítvány exportált másolataRoot certificate: An exported copy of your root certificate from your Enterprise CA

  • Microsoft Intune Tanúsítvány-összekötő: Az Azure Portal webhelyről töltse le a Tanúsítvány-összekötő telepítőjét (NDESConnectorSetup.exe).Microsoft Intune Certificate Connector: Use the Azure portal to download the Certificate Connector installer (NDESConnectorSetup.exe).

    Az NDES tanúsítvány-összekötő a Federal Information Processing Standard (FIPS) módot is támogatja.The NDES Certificate connector also supports Federal Information Processing Standard (FIPS) mode. A FIPS nem kötelező, de lehet tanúsítványokat kibocsátani és visszavonni, ha engedélyezve van.FIPS is not required, but you can issue and revoke certificates when it's enabled.

  • Windows Server: a Microsoft Intune Tanúsítvány-összekötőt üzemelteti (NDESConnectorSetup.exe)Windows Server: Hosts the Microsoft Intune Certificate Connector (NDESConnectorSetup.exe)

Főtanúsítvány exportálása a vállalati hitelesítésszolgáltatótólExport the root certificate from the Enterprise CA

VPN-, WiFi- és egyéb erőforrással történő hitelesítéshez minden eszköz esetében fő vagy köztes hitelesítésszolgáltatói tanúsítványra van szükség.To authenticate with VPN, WiFi, and other resources, a root, or intermediate CA certificate is needed on each device. Az alábbi lépések ismertetik a szükséges tanúsítvány beszerzését a vállalati hitelesítésszolgáltatótól.The following steps explain how to get the required certificate from your Enterprise CA.

  1. Jelentkezzen be a vállalati hitelesítésszolgáltatóhoz egy rendszergazdai jogosultságokkal rendelkező fiókkal.Sign in to your Enterprise CA with an account that has administrative privileges.

  2. Nyisson meg rendszergazdaként egy parancssort.Open a command prompt as an administrator.

  3. Exportálja a hitelesítésszolgáltatói főtanúsítványt (.cer) egy olyan helyre, ahol később hozzáférhet.Export the Root CA Certificate (.cer) to a location where you can access it later.

    Például:For example:

  4. Ha a varázsló befejeződött, még mielőtt bezárná, kattintson Launch the Certificate Connector UI(Certificate Connector felhasználói felületének indítása) lehetőségre.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    certutil -ca.cert certnew.cer

    További információkárt lásd: Certutil-feladatok a tanúsítványok kezeléséhez.For more information, see Certutil tasks for managing certificates.

Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálConfigure certificate templates on the certification authority

  1. Jelentkezzen be a vállalati hitelesítésszolgáltatóhoz egy rendszergazdai jogosultságokkal rendelkező fiókkal.Sign in to your Enterprise CA with an account that has administrative privileges.
  2. Nyissa meg a Hitelesítésszolgáltató konzolt, majd kattintson a jobb gombbal a Tanúsítványsablonok elemre, és válassza a Kezelés lehetőséget.Open the Certification Authority console, right-click Certificate Templates, and select Manage.
  3. Keresse meg a Felhasználói tanúsítványsablont, kattintson rá a jobb gombbal, majd válassza a Sablon duplikálása elemet.Locate the User certificate template, right-click it, and choose Duplicate Template. Ekkor megnyílik az Új sablon tulajdonságai terület.Properties of New Template opens.
  4. A Kompatibilitás lapon:On the Compatibility tab:
  • Állítsa a Hitelesítésszolgáltató beállítást Windows Server 2008 R2 értékre.Set Certification Authority to Windows Server 2008 R2
  • Állítsa a Tanúsítvány kezdeményezettje beállítást Windows 7 / Server 2008 R2 értékre.Set Certificate recipient to Windows 7 / Server 2008 R2
  1. Állítsa be az Általános lapon a Sablon megjelenítendő neve beállítást egy aktuális névre.On the General tab, set Template display name to something meaningful to you.

    Figyelmeztetés

    A Sablon neve alapértelmezés szerint ugyanaz, mint a Sablon megjelenítendő neve, szóköz nélkül.Template name by default is the same as Template display name with no spaces. Jegyezze fel a sablon nevét, mert később szüksége lesz rá.Note the template name, you need it later.

  2. A Kérelmek kezelése lapon válassza A titkos kulcs exportálható beállítást.In Request Handling, select Allow private key to be exported.

  3. A Titkosítás lapon ellenőrizze, hogy a Minimális kulcshossz értéke 2048.In Cryptography, confirm that the Minimum key size is set to 2048.

  4. A Tulajdonos neve lapon válassza a Kérelemben megadva lehetőséget.In Subject Name, choose Supply in the request.

  5. A Bővítmények lapon ellenőrizze, hogy az Alkalmazásszabályzatok területen láthatók-e a következő elemek: Titkosított fájlrendszer, Biztonságos e-mail, Ügyfél-hitelesítés.In Extensions, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Fontos

    iOS-tanúsítványsablonok esetén a Kiterjesztések lapon frissítse a Kulcshasználat beállítást, és ügyeljen rá, hogy Az aláírás igazolja az eredetet jelölőnégyzet ne legyen bejelölve.For iOS certificate templates, go to the Extensions tab, update Key Usage, and confirm that Signature is proof of origin isn't selected.

  6. A Biztonság lapon vegye fel annak a kiszolgálónak a fiókját, amelyen telepíti a Microsoft Intune Tanúsítvány-összekötőt.In Security, add the Computer Account for the server where you install the Microsoft Intune Certificate Connector. Adja meg a fiók számára az Olvasás és Beléptetés engedélyeket.Allow this account Read and Enroll permissions.

  7. A tanúsítvány mentéséhez kattintson az Alkalmaz, majd az OK elemre.Select Apply, then OK to save the certificate template.

  8. Zárja be a Tanúsítvány-sablonok konzolt.Close the Certificate Templates Console.

  9. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok, az Új, majd a Kiállítandó tanúsítványsablon elemekre.From the Certification Authority console, right-click Certificate Templates, New, Certificate Template to Issue. Válassza ki az iménti lépésekben létrehozott sablont, majd kattintson az OK gombra.Choose the template that you created in the previous steps, and select OK.

  10. Ahhoz, hogy a kiszolgáló az Intune-ban regisztrált eszközök és felhasználók nevében kezelhesse a tanúsítványokat, kövesse az alábbi lépéseket:For the server to manage certificates on behalf of Intune enrolled devices and users, follow these steps:

    1. Kattintson a jobb gombbal a hitelesítésszolgáltatóra, majd kattintson a Tulajdonságok elemre.Right-click the Certification Authority, choose Properties.
    2. A biztonság lapon vegye fel annak a kiszolgálónak a fiókját, amelyen futtatja a Microsoft Intune Tanúsítvány-összekötőt.On the security tab, add the Computer account of the server where you run the Microsoft Intune Certificate Connector. A fiók számára adja meg a Tanúsítványok kiadása és kezelése és a Tanúsítványkérés engedélyeket.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  11. Jelentkezzen ki a vállalati hitelesítésszolgáltatóból.Sign out of the Enterprise CA.

A tanúsítvány-összekötő letöltése, telepítése és konfigurálásaDownload, install, and configure the certificate connector

ConnectorDownloadConnectorDownload

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.

  2. Kattintson az Összes szolgáltatás lehetőségre, szűrjön az Intune-ra, és válassza ki a Microsoft Intune elemet.Select All services, filter on Intune, and select Microsoft Intune.

  3. Válassza az Eszközök konfigurálása, majd a Hitelesítésszolgáltató lehetőséget.Select Device configuration, and then select Certification Authority.

  4. Válassza a Hozzáadás, majd az Összekötőfájl letöltése lehetőséget.Select Add, and Download the Connector file. Mentse a letöltést egy olyan helyre, amelyhez hozzá tud férni a telepítéshez használt kiszolgálón.Save the download to a location where you can access it from the server where you're going to install it.

  5. A letöltés befejezése után jelentkezzen be a kiszolgálóra.After the download completes, sign in to the server. Ha ez megvan:Then:

    1. Győződjön meg róla, hogy telepítve van-e a .NET 4.5-keretrendszer, mivel arra szüksége van az NDES tanúsítvány-összekötőjének.Be sure .NET 4.5 Framework is installed, as it's required by the NDES Certificate connector. A .NET 4.5-keretrendszer automatikusan részen a Windows Server 2012 R2 és újabb verzióknak..NET 4.5 Framework is automatically included with Windows Server 2012 R2 and newer versions.
    2. Futtassa a telepítőprogramot (NDESConnectorSetup.exe), és fogadja el az alapértelmezett helyet.Run the installer (NDESConnectorSetup.exe), and accept the default location. A telepítő az összekötőt a \Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe helyen telepíti.It installs the connector to \Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe. A Telepítőbeállítás oldalon válassza a PFX terjesztése, lehetőséget.In Installer Options, select PFX Distribution. Folytassa és fejezze be a telepítést.Continue and complete the installation.
  6. A Hálózati eszközök tanúsítványigénylési szolgáltatásának összekötője megnyitja a Beléptetés lapot. Az Intune-hoz való kapcsolódás engedélyezéséhez válassza a Bejelentkezés lehetőséget, és adjon meg egy globális rendszergazdai engedélyekkel rendelkező fiókot.The NDES Connector opens the Enrollment tab. To enable the connection to Intune, Sign In, and enter an account with global administrative permissions.

  7. A Speciális lapon kijelölve hagyhatja a Use this computer's SYSTEM account (default) (A számítógép SYSTEM fiókjának használata (alapértelmezett)) feliratú választógombot.On the Advanced tab, leave Use this computer's SYSTEM account (default) selected.

  8. Kattintson az Alkalmaz, majd a Bezárás gombra.Apply, and then Close.

  9. Lépjen vissza az Azure Portalra (Intune > Eszközkonfiguráció > Hitelesítésszolgáltató).Go back to the Azure portal (Intune > Device Configuration > Certification Authority). Néhány pillanat múlva egy zöld pipajel jelenik meg, és a Kapcsolat állapota Aktív lesz.After a few moments, a green check mark displays, and the Connection status is Active. Az összekötő kiszolgáló mostantól kapcsolatba tud lépni az Intune-nal.Your connector server can now communicate with Intune.

Megjegyzés

Az NDES tanúsítvány-összekötő tartalmazza a TLS 1.2 támogatását.TLS 1.2 support is included with the NDES Certificate connector. Ha tehát a kiszolgáló, amelyen az NDES tanúsítvány-összekötő telepítve van, támogatja a TLS 1.2-t, akkor a TLS 1.2 lesz használva.So if the server with NDES Certificate connector installed supports TLS 1.2, then TLS 1.2 is used. Amennyiben a kiszolgáló nem támogatja a TLS 1.2 verziót, a TLS 1.1 lesz használva.If the server doesn't support TLS 1.2, then TLS 1.1 is used. Az eszközök és a kiszolgáló közötti hitelesítéshez jelenleg a TLS 1.1 van használatban.Currently, TLS 1.1 is used for authentication between the devices and server.

Eszközkonfigurációs profil létrehozásaCreate a device configuration profile

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.

  2. Válassza az Intune > Eszközkonfiguráció > Profilok > Profil létrehozása lehetőséget.Go to Intune > Device configuration > Profiles > Create profile.

    NavigateIntuneNavigateIntune

  3. Adja meg a következő tulajdonságokat:Enter the following properties:

  • Név a profil számáraName for the profile
  • Igény szerint hozzáadhat egy leírástOptionally set a description
  • Platform, amelyen telepíteni kell a profiltPlatform to deploy the profile to
  • A Profiltípust állítsa Megbízható tanúsítványraSet Profile type to Trusted certificate
  1. Nyissa meg a Beállítások lapot, és adja meg a korábban exportált hitelesítésszolgáltatói főtanúsítvány .cer fájlját.Go to Settings, and enter the .cer file Root CA Certificate you previously exported.

    Megjegyzés

    A 3. lépésben választott platformtól függően lehetősége lehet Céltárolót választani a tanúsítvány számára.Depending on the platform you chose in Step 3, you may or may not have an option to choose the Destination store for the certificate.

    ProfileSettingsProfileSettings

  2. A profil mentéséhez kattintson az OK, majd a Létrehozás elemre.Select OK, and then Create to save your profile.

  3. Az új profil egy vagy több eszközhöz történő hozzárendeléséhez lásd: Microsoft Intune-eszközprofilok hozzárendelése.To assign the new profile to one or more devices, see assign Microsoft Intune device profiles.

PKCS-tanúsítványprofil létrehozásaCreate a PKCS Certificate profile

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.
  2. Válassza az Intune > Eszközkonfiguráció > Profilok > Profil létrehozása lehetőséget.Go to Intune > Device configuration > Profiles > Create profile.
  3. Adja meg a következő tulajdonságokat:Enter the following properties:
  • Név a profil számáraName for the profile
  • Igény szerint hozzáadhat egy leírástOptionally set a description
  • Platform, amelyen telepíteni kell a profiltPlatform to deploy the profile to
  • A Profiltípust állítsa PKCS-tanúsítványraSet Profile type to PKCS Certificate
  1. Nyissa meg a Beállítások lapot, és adja meg a következő tulajdonságokat:Go to Settings, and enter the following properties:
  • Megújítási küszöb (%) – Az ajánlott érték 20%.Renewal threshold (%) - Recommended is 20%.
  • Tanúsítvány érvényességi időtartama – Ha nem módosította a tanúsítványsablont, akkor a megadott beállítás valószínűleg egy év.Certificate validity period - If you didn't change the certificate template, this option may be set to one year.
  • Hitelesítésszolgáltató – A vállalati hitelesítésszolgáltató belső teljes tartományneve (FQDN).Certification authority - Displays the internal fully qualified domain name (FQDN) of your Enterprise CA.
  • Hitelesítésszolgáltató neve – A vállalati hitelesítésszolgáltató neve, ami nem feltétlenül azonos az előző elemmel.Certification authority name - Lists the name of your Enterprise CA, and it may be different than the previous item.
  • Tanúsítványsablon neve – A korábban létrehozott sablon neve.Certificate template name - The name of the template created earlier. Emlékeztető: a Sablon neve alapértelmezés szerint ugyanaz, mint a Sablon megjelenítendő neve, szóköz nélkül.Remember Template name by default is the same as Template display name with no spaces.
  • Tulajdonos nevének formátuma – Ennél a beállításnál, ha nincs eltérő követelmény, a Köznapi nevet adja meg.Subject name format - Set this option to Common name unless otherwise required.
  • Tulajdonos alternatív neve – Ennél a beállításnál, ha nincs eltérő követelmény, az Egyszerű felhasználónevet (UPN) adja meg.Subject alternative name - Set this option to User principal name (UPN) unless otherwise required.
  • Kibővített kulcshasználat – Ha a jelen cikk Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónál szakaszának 10. lépésében ismertetett alapértelmezett beállításokat használta, adja meg a következő Előre meghatározott értékeket a kijelölt területről:Extended key usage - As long as you used the default settings in Step 10 in the Configure certificate templates on the certification authority section (in this article), add the following Predefined values from the selection:
    • Általános felhasználásAny Purpose
    • Ügyfél-hitelesítésClient Authentication
    • Biztonságos e-mailSecure Email
  • Főtanúsítvány – (Androidos profilokhoz) A jelen cikk Főtanúsítvány exportálása a vállalati hitelesítésszolgáltatótól szakaszának 3. lépésében exportált .cer fájl.Root Certificate - (For Android Profiles) Lists the .cer file exported in Step 3 in the Export the root certificate from the Enterprise CA section (in this article).
  1. A profil mentéséhez kattintson az OK, majd a Létrehozás elemre.Select OK, then Create to save your profile.
  2. Az új profil egy vagy több eszközhöz történő hozzárendeléséhez lásd: Microsoft Intune-eszközprofilok hozzárendelése.To assign the new profile to one or more devices, see assign Microsoft Intune device profiles.

További lépésekNext steps

SCEP-tanúsítványok használata, vagy PKCS-tanúsítványok kibocsátása egy Symantec PKI-kezelő webszolgáltatásból.Use SCEP certificates, or issue PKCS certificates from a Symantec PKI manager web wervice.