SCEP-tanúsítványok konfigurálása és kezelése az Intune-nalConfigure and manage SCEP certificates with Intune

A következőkre vonatkozik: Intune az Azure PortalonApplies to: Intune in the Azure portal
A klasszikus portálbeli Intune-ról keres dokumentációt?Looking for documentation about Intune in the classic portal? Lépjen tovább ide.Go here.

Ez a témakör bemutatja az infrastruktúra konfigurálását, majd az Egyszerű tanúsítványbeiktatási protokoll (SCEP) tanúsítványprofiljainak ezt követő létrehozását és hozzárendelését az Intune-nal.This topic shows how to configure your infrastructure, then create and assign Simple Certificate Enrollment Protocol (SCEP) certificate profiles with Intune.

A helyszíni infrastruktúra konfigurálásaConfigure on-premises infrastructure

  • Active Directory-tartomány: A jelen szakaszban felsorolt összes kiszolgálónak (a webalkalmazás-proxykiszolgáló kivételével) csatlakoznia kell a szervezet Active Directory-tartományához.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Hitelesítésszolgáltató (CA): Olyan vállalati hitelesítésszolgáltató (CA), amely a Windows Server 2008 R2 vagy újabb rendszer vállalati verzióján fut.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Az önálló hitelesítésszolgáltató nem támogatott.A Standalone CA is not supported. További útmutatás a Hitelesítésszolgáltató telepítése témakörben található.For details, see Install the Certification Authority. Ha a hitelesítésszolgáltatója Windows Server 2008 R2 rendszeren fut, telepítenie kell a KB2483564 jelű gyorsjavítást.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • NDES-kiszolgáló: a Windows Server 2012 R2 vagy újabb rendszeren futó kiszolgálón telepítenie kell a hálózati eszközök tanúsítványigénylési szolgáltatását (NDES).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must setup up the Network Device Enrollment Service (NDES). Az Intune nem támogatja az NDES használatát, ha az olyan kiszolgálón fut, amely vállalati hitelesítésszolgáltatót is futtat.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Az Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához című cikkből tájékozódhat arról, hogyan kell konfigurálnia a Windows Server 2012 R2 rendszert az NDES futtatására.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Az NDES-kiszolgálónak csatlakoznia kell a tartományhoz, amely a hitelesítésszolgáltatót futtatja, de nem lehet ugyanazon a kiszolgálón, mint a hitelesítésszolgáltató.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. További információ az NDES-kiszolgáló különálló erdőben, elszigetelt hálózaton vagy belső tartományon való telepítéséről: Házirendmodul használata a Hálózati eszközök tanúsítványigénylési szolgáltatásával.More information about deploying the NDES server in a separate forest, isolated network or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Tanúsítvány-összekötő: Az Azure Portal webhelyről töltse le a Tanúsítvány-összekötő telepítőjét (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: Use the Azure portal to download the Certificate Connector installer (ndesconnectorssetup.exe). Ezután futtassa az ndesconnectorssetup.exe fájlt azon a számítógépen, amelyre telepíteni szeretné az tanúsítvány-összekötőt.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • 1Webalkalmazás-proxykiszolgáló (nem kötelező): Webalkalmazás-proxykiszolgálóként (WAP) használjon olyan kiszolgálót, amelyen a Windows Server 2012 R2 vagy újabb verziójú rendszer fut.Web Application Proxy Server (optional): Use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Ez a konfiguráció:This configuration:

    • Lehetővé teszi, hogy az eszközök az interneten keresztül fogadjanak tanúsítványokat.Allows devices to receive certificates using an Internet connection.
    • Biztonsági ajánlás olyan környezetekben, ahol az eszközök az interneten keresztül csatlakozva kapnak és újítanak meg tanúsítványokat.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Megjegyzés

A hálózatra vonatkozó követelményekNetwork requirements

Az internet és a szegélyhálózat között engedélyezze a 443-as port használatát az összes internetes állomásról/IP-címről az NDES-kiszolgálóra irányuló forgalom számára.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

A peremhálózat és a megbízható hálózat között engedélyezze a tartomány eléréséhez szükséges összes portot és protokollt a tartományhoz csatlakozó NDES-kiszolgálón.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Az NDES-kiszolgálónak el kell tudnia érnie a tanúsítványkiszolgálót, a DNS-kiszolgálókat, a Configuration Manager-kiszolgálókat és a tartományvezérlőket.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers and domain controllers.

Az NDES-kiszolgálót egy proxyn keresztül, például az Azure AD-alkalmazásproxyn, a webalkalmazás-proxyn vagy egy külső proxyn érdemes közzétenni.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Tanúsítványok és sablonokCertificates and templates

ObjektumObject RészletekDetails
TanúsítványsablonCertificate Template Ez a sablon a vállalati hitelesítésszolgáltatón konfigurálható.Configure this template on your issuing CA.
Ügyfél-hitelesítési tanúsítványClient authentication certificate A vállalati vagy nyilvános hitelesítésszolgáltatótól lekért tanúsítvány, melyet az NDES-kiszolgálóra kell telepítenie.Requested from your issuing CA or public CA; you install this certificate on the NDES Server.
Kiszolgálói hitelesítési tanúsítványServer authentication certificate A vállalati vagy nyilvános hitelesítésszolgáltatótól lekért tanúsítvány. Ezt az SSL-tanúsítványt az NDES-kiszolgálón futó IIS-be kell telepítenie, majd kötést kell létrehoznia.Requested from your issuing CA or public CA; you install and bind this SSL certificate in IIS on the NDES server.
Megbízható legfelső szintű hitelesítésszolgáltató tanúsítványaTrusted Root CA certificate Ezt a tanúsítványt .cer fájlként kell exportálnia a legfelső szintű hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a legfelső szintű hitelesítésszolgáltatóban, majd hozzá kell rendelnie az eszközökhöz a megbízható hitelesítésszolgáltatói tanúsítványprofillal.You export this as a .cer file from the root CA or any device which trusts the root CA, and assign it to devices by using the Trusted CA certificate profile.

Operációsrendszer-platformonként egy darab megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt használjon, és társítsa azt az egyes létrehozott megbízható főtanúsítvány-profilokkal.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Szükség esetén további megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványokat is használhat.You can use additional Trusted Root CA certificates when needed. Ezzel például bizalmi kapcsolatot alakíthat ki egy hitelesítésszolgáltatónak, mely aláírja a kiszolgálói hitelesítési tanúsítványokat a szervezet Wi-Fi hozzáférési pontjai számára.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

FiókokAccounts

NévName RészletekDetails
NDES szolgáltatásfiókNDES service account Adjon meg egy tartományfelhasználói fiókot NDES szolgáltatásfiókként.Specify a domain user account to use as the NDES Service account.

Az infrastruktúra konfigurálásaConfigure your infrastructure

A tanúsítványprofilok konfigurálása előtt végre kell hajtania az alábbi feladatokat, melyekhez a Windows Server 2012 R2 rendszerhez és az Active Directory tanúsítványszolgáltatásokhoz (ADCS) kapcsolódó ismeretek szükségesek:Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

1. lépés: NDES szolgáltatásfiók létrehozásaStep 1: Create an NDES service account

2. lépés: Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálStep 2: Configure certificate templates on the certification authority

3. lépés: Előfeltételek konfigurálása az NDES-kiszolgálónStep 3: Configure prerequisites on the NDES server

4. lépés: Az NDES Intune-nal való használatának konfigurálásaStep 4: Configure NDES for use with Intune

5. lépés: Az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaStep 5: Enable, install, and configure the Intune Certificate Connector

Megjegyzés

Egy ismert probléma miatt a következő eljárást követve végezze a tanúsítvány-összekötő letöltését, telepítését és konfigurálását: SCEP-tanúsítványinfrastruktúra konfigurálása -> Az infrastruktúra konfigurálása -> 5. feladatBecause of a known issue, download, install, and configure the certificate connector using the following procedure: Configure certificate infrastructure for SCEP -> Configure your infrastructure -> Task 5

1. lépés – NDES szolgáltatásfiók létrehozásaStep 1 - Create an NDES service account

Hozzon létre egy tartományfelhasználói fiókot, melyet NDES szolgáltatásfiókként fog használni.Create a domain user account to use as the NDES service account. Ezt a fiókot kell megadnia a sablonok vállalati hitelesítésszolgáltatónál való konfigurálásakor, még mielőtt telepítené és konfigurálná az NDES-t.You will specify this account when you configure templates on the issuing CA before you install and configure NDES. Gondoskodjon arról, hogy a felhasználó rendelkezzen az alapértelmezett jogokkal, valamint a következő jogokkal: Helyi bejelentkezés engedélyezése, Bejelentkezés szolgáltatásként és Bejelentkezés kötegfájlfolyamatként.Make sure the user has the default rights, Logon Locally, Logon as a Service and Logon as a batch job rights. Egyes szervezeteknél olyan korlátozási szabályzatok lehetnek érvényben, amelyek letiltják ezeket a jogokat.Some organizations have hardening policies that disable those rights.

2. lépés – Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálStep 2 - Configure certificate templates on the certification authority

A feladat tartalma:In this task you will:

  • Tanúsítványsablon konfigurálása az NDES számáraConfigure a certificate template for NDES

  • Tanúsítványsablon közzététele az NDES számáraPublish the certificate template for NDES

A hitelesítésszolgáltató konfigurálásáhozTo configure the certification authority
  1. Jelentkezzen be vállalati rendszergazdaként.Log on as an enterprise administrator.

  2. A vállalati hitelesítésszolgáltatónál a Tanúsítványsablonok beépülő modullal hozzon létre egy új egyéni sablont (vagy másoljon és szerkesszen egy meglévő sablont, például a Felhasználó sablont) az NDES szolgáltatással való használatra.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    Megjegyzés

    Az NDES tanúsítványsablonnak v2 tanúsítványsablonon kell alapulnia (Windows 2003-kompatibilitással).The NDES certificate template must be based off a v2 Certificate Template (with Windows 2003 compatibility).

    A sablonnak az alábbi beállításokkal kell rendelkeznie:The template must have the following configurations:

    • Adjon meg egy leíró nevet a sablonnak a Sablon megjelenítendő neve mezőben.Specify a friendly Template display name for the template.

    • A Tulajdonos neve lapon válassza A kérelem fogja tartalmaznilehetőséget.On the Subject Name tab, select Supply in the request. (A biztonságot az Intune NDES-házirendmodulja fogja érvényesíteni.)(Security is enforced by the Intune policy module for NDES).

    • A Kiterjesztések lapon győződjön meg róla, hogy az Alkalmazás-házirendek leírása lista tartalmazza az Ügyfél-hitelesítéselemet.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Fontos

      iOS- és macOS-tanúsítványsablonok esetében a Kiterjesztések lapon módosítsa a Kulcshasználat beállítást, és ügyeljen rá, hogy Az aláírás az eredet igazolása jelölőnégyzet ne legyen bejelölve.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • A Biztonság lapon adja hozzá az NDES szolgáltatásfiókot, és adjon meg hozzá Regisztrálás engedélyt a sablonhoz.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. Az SCEP-profilokat létrehozó Intune-rendszergazdáknak olvasási jogokkal kell rendelkezniük, hogy az SCEP-profilok létrehozása során megnyithassák a sablont.Intune admins who will create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Megjegyzés

    A tanúsítványok visszavonásához az NDES szolgáltatásfiók a Tanúsítványok kiállítása és kezelése nevű jogosultságot igényli a tanúsítványprofilok által használt összes tanúsítványprofilhoz.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Ellenőrizze az Érvényesség időtartama beállítást a sablon Általános lapján.Review the Validity period on the General tab of the template. Alapértelmezés szerint az Intune a sablonban konfigurált értéket használja.By default, Intune uses the value configured in the template. Lehetősége van azonban arra is, hogy a hitelesítésszolgáltató konfigurálásával engedélyezze a kérelmezőnek egy másik érték megadását, amelyet aztán az Intune felügyeleti konzoljából tud megadni.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Ha azt szeretné, hogy mindig a sablonban lévő érték legyen használva, hagyja ki ennek a lépésnek a hátralévő részét.If you want to always use the value in the template, skip the remainder of this step.

    Fontos

    Az iOS és a macOS mindig a sablonban beállított értéket használja, minden más konfigurációs beállítástól függetlenül.iOS and macOS always use the value set in the template regardless of other configurations you make.

Az alábbiakban egy meglévő konfigurációt példaként bemutató képernyőképeket láthat.Here are screenshots of an example template configuration.

Sablon, a kérelmek kezelésére szolgáló lap

Sablon, a tulajdonos nevének megadására szolgáló lap

Sablon, a biztonsági beállításokat tartalmazó lap

Sablon, a bővítményeket tartalmazó lap

Sablon, a tanúsítvány kiállításának feltételeit tartalmazó lap

Fontos

Az Alkalmazás-házirendek beállításnál csak azokat az alkalmazás-házirendeket adja hozzá, amelyekre valóban szüksége van.For Application Policies, only add the application policies required. A kiválasztott elemekkel kapcsolatban kérje ki a biztonsági rendszergazda véleményét is.Confirm your choices with your security admins.

Ha a hitelesítésszolgáltató konfigurálásával lehetővé kívánja tenni a kérelmezőnek az érvényességi időszak megadását:To configure the CA to allow the requester to specify the validity period:

  1. Futtassa az alábbi parancsokat a hitelesítésszolgáltatón:On the CA run the following commands:
    • certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    • net stop certsvcnet stop certsvc
    • net start certsvcnet start certsvc
  2. Tegye közzé a Hitelesítésszolgáltató beépülő modullal a tanúsítványsablont a vállalati hitelesítésszolgáltatón.On the issuing CA, use the Certification Authority snap-in to publish the certificate template. Válassza a Tanúsítványsablonok csomópontot, kattintson a Művelet-> Új > Kiállítandó tanúsítványsablon lehetőségre, majd válassza ki a 2. lépésben létrehozott sablont.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.
  3. Ellenőrizze a Tanúsítványsablonok mappában, hogy a sablon közzététele sikerült-e.Validate that the template published by viewing it under the Certificate Templates folder.

3. lépés – Előfeltételek konfigurálása az NDES-kiszolgálónStep 3 - Configure prerequisites on the NDES server

A feladat tartalma:In this task you will:

  • Az NDES hozzáadása egy Windows Server-kiszolgálóhoz, és az IIS konfigurálása az NDES támogatásáraAdd NDES to a Windows Server and configure IIS to support NDES

  • Az NDES szolgáltatásfiók hozzáadása a IIS_IUSR csoporthozAdd the NDES Service account to the IIS_IUSR group

  • Az NDES szolgáltatásfiók egyszerű szolgáltatásnevének beállításaSet the SPN for the NDES Service account

  1. Jelentkezzen be az NDES szolgáltatásnak helyt adó kiszolgálón Vállalati rendszergazdaként, és telepítse az NDES-t a Szerepkörök és szolgáltatások hozzáadása varázslóval :On the server that will hosts NDES, you must log on as a an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. A varázslóban válassza az Active Directory tanúsítványszolgáltatások lehetőséget az AD CS szerepkör-szolgáltatások eléréséhez.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Válassza a Hálózati eszközök tanúsítványigénylési szolgáltatásalehetőséget, törölje a jelet a Hitelesítésszolgáltatójelölőnégyzetből, és fejezze be a varázslót.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Tipp

      A varázsló Telepítési folyamat lapján ne kattintson a Bezárásgombra.On the Installation progress page of the wizard, do not click Close. Ehelyett kattintson Az Active Directory tanúsítványszolgáltatások beállítása a célkiszolgálónhivatkozásra.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Ekkor megnyílik Az Active Directory tanúsítványszolgáltatások beállítása varázsló, amelyet a következő feladathoz kell használnia.This opens the AD CS Configuration wizard that you use for the next task. Ha megnyílt Az Active Directory tanúsítványszolgáltatások beállítása varázsló, bezárhatja a Szerepkörök és szolgáltatások hozzáadása varázslót.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Az NDES kiszolgálóhoz való hozzáadásakor a varázsló az IIS-t is telepíti.When NDES is added to the server, the wizard also installs IIS. Az IIS-nek az alábbi konfigurációval kell rendelkeznie:Ensure IIS has the following configurations:

      • Webkiszolgáló > Biztonság > KérelemszűrésWeb Server > Security > Request Filtering

      • Webkiszolgáló > Alkalmazásfejlesztés > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Az ASP.NET 3.5 telepítése telepíti a .NET-keretrendszer 3.5-öt is.Installing ASP.NET 3.5 will install .NET Framework 3.5. A .NET-keretrendszer 3.5 telepítésekor a .NET-keretrendszer 3.5 alapszolgáltatásai mellett telepítse a HTTP-aktiválásszolgáltatást is.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Webkiszolgáló > Alkalmazásfejlesztés > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Az ASP.NET 4.5 telepítése a .NET-keretrendszer 4.5-ös verzióját is telepíti.Installing ASP.NET 4.5 will install .NET Framework 4.5. A .NET-keretrendszer 4.5 telepítésekor a .NET-keretrendszer 4.5 alapszolgáltatásai mellett telepítse az ASP.NET 4.5 és a WCF-szolgáltatások > HTTP-aktiválás szolgáltatását is.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Felügyeleti eszközök > Kompatibilitás az IIS 6 kezelésével > Kompatibilitás az IIS 6 metabázisávalManagement Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Felügyeleti eszközök > Kompatibilitás az IIS 6 kezelésével > Kompatibilitás az IIS 6 WMI-velManagement Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Vegye fel a kiszolgálón az NDES szolgáltatásfiókot az IIS_IUSR csoport tagjaként.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Futtassa egy emelt jogosultságszintű parancssorból az alábbi parancsot az NDES szolgáltatásfiók egyszerű szolgáltatásnevének beállításához:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Ha például az NDES kiszolgáló neve Kiszolgalo01, a tartomány Contoso.comés a szolgáltatásfiók NDESSzolgaltatas, akkor az alábbi parancsot kell használnia:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

4. lépés – Az NDES Intune-nal való használatának konfigurálásaStep 4 - Configure NDES for use with Intune

A feladat tartalma:In this task you will:

  • Az NDES konfigurálása a vállalati hitelesítésszolgáltatóval való használatraConfigure NDES for use with the issuing CA

  • SSL-tanúsítvány kötésének létrehozása az IIS-benBind the server authentication (SSL) certificate in IIS

  • Kérelemszűrés konfigurálása az IIS-benConfigure Request Filtering in IIS

  1. Nyissa meg az NDES-kiszolgálón Az Active Directory tanúsítványszolgáltatások beállítása varázslót, és végezze el az alábbi konfigurációs lépéseket.On the NDES Server, open the AD CS Configuration wizard and then make the following configurations.

    Tipp

    Ha az előző feladatban rákattintott a hivatkozásra, akkor ez a varázsló már meg van nyitva.If you clicked the link in the previous task, this wizard is already open. Ellenkező esetben nyissa meg a Kiszolgálókezelőt az Active Directory tanúsítványszolgáltatások telepítés utáni konfigurációjának eléréséhez.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • A Szerepkör-szolgáltatások lapon válassza a Hálózati eszközök tanúsítványigénylési szolgáltatásalehetőséget.On the Role Services Page, select the Network Device Enrollment Service.

    • A Hálózati eszközök tanúsítványigénylési szolgáltatásának szolgáltatásfiókja lapon adja meg az NDES szolgáltatásfiókot.On the Service Account for NDES page, specify the NDES Service Account.

    • A Hitelesítésszolgáltató a Hálózati eszközök tanúsítványigénylési szolgáltatásához lapon kattintson a Kijelöléslehetőségre, és válassza ki azt a vállalati hitelesítésszolgáltatót, amelyen a tanúsítványsablont konfigurálta.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • A Titkosítás a Hálózati eszközök tanúsítványigénylési szolgáltatása esetén lapon adja meg a kulcshosszt a vállalati követelményeknek megfelelően.On the Cryptography for NDES page, set the key length to meet your company requirements.

    A Megerősítés lapon kattintson a Konfigurálás lehetőségre a varázsló befejezéséhez.On the Confirmation page, click Configure to complete the wizard.

  2. Miután a varázsló befejeződött, szerkessze az NDES-kiszolgálón az alábbi beállításkulcsot:After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    A kulcs szerkesztéséhez állapítsa meg a tanúsítványsablon Kérelmek kezelése lapján, hogy mi a sablon célja, majd szerkessze a beállításjegyzék megfelelő bejegyzését úgy, hogy felülírja a meglévő adatokat a tanúsítványsablon 1. feladatban megadott nevével (tehát nem a sablon megjelenített nevével).To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. A következő táblázat a tanúsítványsablon-céloknak megfelelő beállításjegyzék-értékeket mutatja:The following table maps the certificate template purpose to the values in the registry:

    Tanúsítványsablon célja (a Kérelmek kezelése lapon)Certificate template Purpose (On the Request Handling tab) Szerkesztendő beállításazonosítóRegistry value to edit Az SCEP-profil Intune felügyeleti konzolban látható értékeValue seen in the Intune admin console for the SCEP profile
    AláírásSignature SignatureTemplateSignatureTemplate Digitális aláírásDigital Signature
    TitkosításEncryption EncryptionTemplateEncryptionTemplate KulcstitkosításKey Encipherment
    Aláírás és titkosításSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate KulcstitkosításKey Encipherment

    Digitális aláírásDigital Signature

    Ha például a tanúsítványsablon célja Titkosítás, akkor az EncryptionTemplate azonosító értékét kell a tanúsítványsablon nevére cserélnie.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Az NDES-kiszolgálóra rendkívül hosszú URL-címek (lekérdezések) fognak érkezni, amelyek esetében két beállításjegyzékbeli bejegyzést kell felvennie:The NDES server will receive very long URL’s (queries), which require that you add two registry entries:

    Tartózkodási helyLocation ÉrtékValue TípusType AdatData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (decimális)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (decimális)65534 (decimal)
  4. Az IIS-kezelőben válassza az Alapértelmezett webhely -> Kérésszűrés -> Szolgáltatás beállításainak szerkesztése lehetőséget, majd módosítsa az URL-cím maximális hossza és a Lekérdezés-karakterlánc maximális hossza beállítás értéket a következőre: 65534, ahogy az a képen is látható.In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    Maximális URL-hossz és lekérdezéshossz az IIS-ben

  5. Indítsa újra a kiszolgálót.Restart the server. A módosítások véglegesítéséhez nem elég, ha a kiszolgálón futtatja az iisreset parancsot.Running iisreset on the server will not be sufficient to finalize these changes.

  6. Keresse meg a következőt: http://FQDN/certsrv/mscep/mscep.dll.Browse to http://FQDN/certsrv/mscep/mscep.dll. Az alábbihoz hasonló NDES-oldalnak kell megjelennie:You should see an NDES page similar to this:

    NDES teszt

    Ha 503 – A szolgáltatás nem érhető el hibát kap, tekintse meg az eseménymegjelenítőt.If you get a 503 Service unavailable, check the event viewer. Valószínű, hogy az alkalmazáskészlet azért állt le, mert az NDES-felhasználó nem rendelkezik valamelyik szükséges joggal.It's likely that the application pool is stopped due to a missing right for the NDES user. A szükséges jogokat az 1. feladat ismerteti.Those rights are described in Task 1.

A tanúsítványok NDES-kiszolgálón való telepítéséhez és kötéséhezTo Install and bind certificates on the NDES Server
  1. Kérelmezzen a belső vagy a nyilvános hitelesítésszolgáltatótól egy kiszolgálóhitelesítő tanúsítványt, és telepítse az NDES-kiszolgálón.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Ezután létre kell hoznia az SSL-tanúsítvány kötését az IIS-ben.You will then bind this SSL certificate in IIS.

    Tipp

    Miután létrehozta az SSL-tanúsítvány kötését az IIS-ben, telepítenie kell egy ügyfél-hitelesítési tanúsítványt.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Ezt a tanúsítványt bármely olyan hitelesítésszolgáltató kibocsáthatja, amelyben az NDES-kiszolgáló megbízik.This certificate can be issued by any CA that is trusted by the NDES Server. Bár ez nem ajánlott eljárás, használhatja ugyanazt a tanúsítványt a kiszolgáló és az ügyfél hitelesítéséhez mindaddig, amíg a tanúsítvány mindkét kibővített kulcshasználattal rendelkezik.Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKU’s). Ezekről a hitelesítési tanúsítványokról az alábbi lépésekből kaphat további információt.Review the following steps for information about these authentication certificates.

    1. Miután beszerezte a kiszolgálóhitelesítő tanúsítványt, nyissa meg az IIS-kezelőt, válassza az Alapértelmezett webhely lehetőséget a Kapcsolatok ablaktáblán, majd kattintson a Kötések lehetőségre a Műveletek ablaktáblán.After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Kattintson a Hozzáadáslehetőségre, adja meg a Típus beállításnál a httpsértéket, és győződjön meg róla, hogy a port 443-ravan állítva.Click Add, set Type to https, and then ensure the port is 443. (Az önálló Intune csak a 443-as portot támogatja.)(Only port 443 is supported for standalone Intune.

    3. Az SSL-tanúsítványbeállításnál adja meg a kiszolgálóhitelesítő tanúsítványt.For SSL certificate, specify the server authentication certificate.

      Megjegyzés

      Ha az NDES-kiszolgáló külső és belső nevet is használ egyetlen hálózati címhez, akkor a kiszolgálóhitelesítő tanúsítvány Tulajdonos neve beállításának egy külső nyilvános kiszolgálónevet, a Tulajdonos alternatív neve beállításának pedig egy belső kiszolgálónevet kell tartalmaznia.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. Kérelmezzen a belső vagy a nyilvános hitelesítésszolgáltatótól egy ügyfél-hitelesítő tanúsítványt, és telepítse az NDES-kiszolgálón.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Ez lehet ugyanaz, mint a kiszolgálóhitelesítő tanúsítvány, ha a tanúsítvány mindkét használati módra fel van készítve.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Az ügyfél-hitelesítő tanúsítványnak az alábbi tulajdonságokkal kell rendelkeznie:The client authentication certificate must have the following properties:

    Kibővített kulcshasználat – Tartalmaznia kell az Ügyfél-hitelesítés szolgáltatást.Enhanced Key Usage - This must include Client Authentication.

    Tulajdonos neve – Meg kell egyeznie annak a kiszolgálónak a DNS-nevével, amelyen a tanúsítványt telepítette (ez az NDES-kiszolgáló).Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

Kérelmek szűrésének konfigurálása az IIS-benTo configure IIS request filtering
  1. Nyissa meg az NDES-kiszolgálón az IIS-kezelőt, válassza az Alapértelmezett webhely lehetőséget a Kapcsolatok ablaktáblán, és nyissa meg a Kérelmek szűrésebeállítást.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Kattintson a Szolgáltatás beállításainak szerkesztéselehetőségre, és adja meg a következőket:Click Edit Feature Settings, and then set the following:

    lekérdezés-karakterlánc hossza (bájt) = 65534query string (Bytes) = 65534

    URL-cím maximális hossza (bájt) = 65534Maximum URL length (Bytes) = 65534

  3. Tekintse át a következő beállításkulcsot:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Az alábbi értékeknek Duplaszó típusú bejegyzésként kell szerepelnie:Ensure the following values are set as DWORD entries:

    Név: MaxFieldLength, decimális 65534Name: MaxFieldLength, with a decimal value of 65534

    Név: MaxRequestBytes, decimális 65534Name: MaxRequestBytes, with a decimal value of 65534

  4. Indítsa újra az NDES-kiszolgálót.Reboot the NDES server. A kiszolgáló mostantól készen áll az tanúsítvány-összekötő támogatására.The server is now ready to support the Certificate Connector.

5. lépés – Az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaStep 5 - Enable, install, and configure the Intune certificate connector

A feladat tartalma:In this task you will:

Az NDES támogatásának engedélyezése az Intune-ban.Enable support for NDES in Intune.

A tanúsítvány-összekötő letöltése, telepítése és konfigurálása az NDES-kiszolgálón.Download, install, and configure the Certificate Connector on the NDES Server.

A tanúsítvány-összekötő támogatásának engedélyezéseTo enable support for the certificate connector
  1. Jelentkezzen be az Azure Portalra.Sign into the Azure portal.
  2. Válassza a További szolgáltatások > Figyelés + felügyelet > Intune lehetőséget.Choose More Services > Monitoring + Management > Intune.
  3. Az Intune panelen válassza az Eszközkonfiguráció lehetőséget.On the Intune blade, choose Configure devices.
  4. Válassza az Eszközök konfigurálása panel Hitelesítésszolgáltató elemét.On the Device Configuration blade, choose Certification Authority.
  5. Válassza az Tanúsítvány-összekötő engedélyezése lehetőséget.Select Enable Certificate Connector.
A tanúsítvány-összekötő letöltése, telepítése és konfigurálásaTo download, install and configure the certificate connector
Megjegyzés

Egy ismert probléma miatt a következő eljárást követve végezze a tanúsítvány-összekötő letöltését, telepítését és konfigurálását: SCEP-tanúsítványinfrastruktúra konfigurálása -> Az infrastruktúra konfigurálása -> 5. feladatBecause of a known issue, download, install, and configure the certificate connector using the following procedure: Configure certificate infrastructure for SCEP -> Configure your infrastructure -> Task 5

  1. Jelentkezzen be az Azure Portalra.Sign into the Azure portal.
  2. Válassza a További szolgáltatások > Figyelés + felügyelet > Intune lehetőséget.Choose More Services > Monitoring + Management > Intune.
  3. Az Intune panelen válassza az Eszközkonfiguráció lehetőséget.On the Intune blade, choose Configure devices.
  4. Válassza az Eszközök konfigurálása panel Hitelesítésszolgáltató elemét.On the Device Configuration blade, choose Certification Authority.
  5. Válassza A tanúsítvány-összekötő letöltése lehetőséget.Choose Download Certificate Connector.
  6. A letöltés befejezése után futtassa a letöltött telepítőt (ndesconnectorssetup.exe) egy Windows Server 2012 R2-kiszolgálón.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. A telepítés során az NDES házirendmodulja és a CRP (tanúsítványregisztrációs pont) webszolgáltatás is települ.The installer also installs the policy module for NDES and the CRP Web Service. (A CRP webszolgáltatás, melynek neve CertificateRegistrationSvc, alkalmazásként fut az IIS-ben.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Megjegyzés

    Ha önálló Intune-hoz telepíti az NDES-t, akkor a CRP szolgáltatás automatikusan települ a tanúsítvány-összekötővel együtt.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Az Intune szolgáltatásnak a Configuration Managerrel való használatakor a tanúsítványregisztrációs pontot különálló helyrendszerszerepkörként telepíti.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  7. Ha a rendszer kéri az ügyféltanúsítványt a tanúsítvány-összekötőhöz, válassza a Kijelölés lehetőséget, majd válassza ki az ügyfél-hitelesítő tanúsítványt, amelyet a 3. feladatban telepített az NDES-kiszolgálóra.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Miután kiválasztotta az ügyfél-hitelesítési tanúsítványt, a rendszer visszairányítja az Client Certificate for Microsoft Intune Certificate Connector (Ügyféltanúsítvány a Microsoft Intune Certificate Connectorhoz) felületre.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Bár a választott tanúsítvány nem látható, kattintson a Tovább gombra a tanúsítvány tulajdonságainak megtekintéséhez.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Ezután kattintson ismét a Továbbgombra, majd a Telepítésgombra.Then click Next, and then click Install.

  8. Ha a varázsló befejeződött, még mielőtt bezárná, kattintson Launch the Certificate Connector UI(Certificate Connector felhasználói felületének indítása) lehetőségre.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Tipp

    Ha bezárná a varázslót a tanúsítvány-összekötő felhasználói felületének megnyitása előtt, akkor az alábbi parancs futtatásával nyithatja meg:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <telepítési_útvonal>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  9. A Certificate Connector (Tanúsítvány-összekötő) felhasználói felületén:In the Certificate Connector UI:

    Kattintson a Bejelentkezés gombra, és írja be az Intune szolgáltatás rendszergazdai hitelesítő adatait, vagy egy bérlői rendszergazda globális felügyeleti engedéllyel rendelkező hitelesítő adatait.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Ha a szervezet proxykiszolgálót használ, és proxy szükséges ahhoz, hogy az NDES-kiszolgáló el tudja érni az internetet, kattintson a Proxykiszolgáló használata lehetőségre, és adja meg a proxykiszolgáló nevét és portját, illetve a csatlakozáshoz szükséges fiókadatokat.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Váltson a Speciális lapra, adja meg egy olyan fiók hitelesítő adatait, amely rendelkezik Tanúsítványok kiállítása és kezelése engedéllyel a vállalati hitelesítésszolgáltatónál, majd kattintson az Alkalmazgombra.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Bezárhatja a tanúsítvány-összekötő felhasználói felületét.You can now close the Certificate Connector UI.

  10. Nyisson meg egy parancssort, írja be a services.msc fájlnevet, nyomja meg az Enter billentyűt, kattintson a jobb gombbal az Intune-összekötő szolgáltatás elemre, és válassza az Újraindítás parancsot.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

A szolgáltatás futásának ellenőrzéséhez nyisson meg egy böngészőt, és írja be az alábbi URL-t, melynek egy 403-as hibát kell visszaadnia:To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

http:// <NDES-kiszolgáló_teljes_tartományneve>/certsrv/mscep/mscep.dllhttp:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

SCEP-tanúsítványprofil létrehozásaHow to create a SCEP certificate profile

  1. Az Azure Portalon válassza az Eszközök konfigurálása elemet.In the Azure Portal, select the Configure devices workload.
  2. Az Eszközök konfigurálása panelen válassza a Kezelés > Profilok lehetőséget.On the Device Configuration blade, choose Manage > Profiles.
  3. A profilok paneljén válassza a Profil létrehozása lehetőséget.On the profiles blade, choose Create Profile.
  4. A Profil létrehozása panelen adja meg az SCEP-tanúsítványprofil nevét és leírását a Név és a Leírás mezőben.On the Create Profile blade, enter a Name and Description for the SCEP certificate profile.
  5. Válassza ki az SCEP-tanúsítvány eszközplatformját a Platform legördülő listából.From the Platform drop-down list, select the device platform for this SCEP certificate. Jelenleg az alábbi platformokra vonatkozóan lehet eszközkorlátozási beállításokat megadni:Currently, you can choose one of the following platforms for device restriction settings:
    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 és újabbWindows 8.1 and later
    • Windows 10 és újabbWindows 10 and later
  6. A Profil típusa legördülő listában válassza az SCEP-tanúsítvány lehetőséget.From the Profile type drop-down list, choose SCEP certificate.
  7. Az SCEP-tanúsítvány panelen konfigurálja a következő beállításokat:On the SCEP Certificate blade, configure the following settings:

    • Tanúsítvány érvényességi időtartama – Ha a kiállító hitelesítésszolgáltatón a certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE parancs futtatásával engedélyezte az egyéni érvényességi időtartamot, akkor meghatározhatja a tanúsítvány lejáratáig hátralévő időt.Certificate validity period - If you have run the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can specify the amount of remaining time before the certificate expires.
      A megadott tanúsítványsablonban meghatározott érvényességi időszaknál rövidebb értéket is beállíthat, hosszabbat azonban nem.You can specify a value that is lower than the validity period in the specified certificate template, but not higher. Ha például a tanúsítványsablonban két év van meghatározva a tanúsítvány érvényességi idejeként, akkor egy évet beállíthat értékként, öt évet azonban nem.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year but not a value of five years. Az értéknek emellett a kiállító hitelesítésszolgáltató tanúsítványának hátralévő érvényességi időszakánál is kevesebbnek kell lennie.The value must also be lower than the remaining validity period of the issuing CA's certificate.
    • Kulcstároló-szolgáltató (Windows Phone 8.1, Windows 8.1, Windows 10) – Adja meg, hogy a rendszer hol tárolja a tanúsítvány kulcsát.Key storage provider (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10) - Specify where the key to the certificate will be stored. Az alábbi értékek közül választhat:Choose from one of the following values:
      • Regisztrálás a platformmegbízhatósági modul kulcstároló-szolgáltatójába (ha van ilyen), máskülönben regisztrálás a szoftverkulcstároló-szolgáltatóbaEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Regisztrálás a platformmegbízhatósági modul kulcstároló-szolgáltatójába, máskülönben a művelet sikertelenEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Regisztrálás a Passportba, máskülönben a művelet sikertelen (Windows 10 és újabb verzió)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Regisztrálás szoftverkulcstároló-szolgáltatóbaEnroll to Software KSP
    • Tulajdonos nevének formátuma – Válassza ki a listáról, hogy az Intune hogyan hozza létre automatikusan a tulajdonos nevét a tanúsítványkérelemben.Subject name format - From the list, select how Intune automatically creates the subject name in the certificate request. Ha a tanúsítvány felhasználóhoz tartozik, a felhasználó e-mail címét is feltüntetheti a tulajdonos nevében.If the certificate is for a user, you can also include the user's email address in the subject name. A következő lehetőségek közül választhat:Choose from:

      • Nincs konfigurálvaNot configured
      • Köznapi névCommon name
      • Köznapi név (e-mail is)Common name including email
      • Köznapi név mint e-mail címCommon name as email
      • Egyéni – Ha erre a lehetőségre kattint, egy újabb legördülő mező jelenik meg.Custom - When you select this option, another drop-down field is displayed. Ezt a mezőt egyéni tulajdonosnév-formátumok megadásához használhatja.You use this field to enter a custom subject name format. Az egyéni formátum két változót támogat: Egyszerű név (CN) és E-mail (E).The two variables supported for the custom format are Common Name (CN) and Email (E). Egy vagy több változó és statikus sztring együttes használatával a következőhöz hasonló egyéni tulajdonosnév-formátumot hozhat létre: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US Ebben a példában egy olyan egyéni névformátumot hozott létre, amely a CN és az E változón kívül sztringeket használ a szervezeti egység (OU), a szervezet (O), a hely (L), az állam (ST) és az ország (C) értékeként.By using a combination of one or many of these variables and static strings, you can create a custom subject name format, like this one: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US In this example, you created a subject name format that, in addition to the CN and E variables, uses strings for Organizational Unit, Organization, Location, State, and Country values. Ez a témakör a CertStrToName függvényt és annak támogatott sztringjeit ismerteti.This topic shows the CertStrToName function and its supported strings.
    • Tulajdonos alternatív neve – Határozza meg, hogy az Intune hogyan hozza létre automatikusan a tulajdonos alternatív nevének értékeit a tanúsítványkérelemben.Subject alternative name - Specify how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Ha felhasználói tanúsítványtípust választott ki, akkor például az egyszerű felhasználónevet (UPN) is használhatja a tulajdonos alternatív neveként.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Ha az ügyféltanúsítványt fogja hitelesítésre használni egy hálózati házirend-kiszolgáló felé, a tulajdonos alternatív neveként az egyszerű felhasználónevet kell beállítania.If the client certificate will be used to authenticate to a Network Policy Server, you must set the subject alternative name to the UPN.

    • Kulcshasználat – Adja meg a tanúsítvány kulcshasználati beállításait.Key usage - Specify key usage options for the certificate. Az alábbi lehetőségek közül választhat:You can choose from the following options:
      • Kulcstitkosítás: Csak akkor engedélyezi a kulcscserét, ha a kulcs titkosítva van.Key encipherment: Allow key exchange only when the key is encrypted.
      • Digitális aláírás: Csak akkor engedélyezi a kulcscserét, ha a kulcs védelmét digitális aláírás segíti.Digital signature: Allow key exchange only when a digital signature helps protect the key.
    • Kulcsméret (bit) – Adja meg, hogy hány bitet tartalmazzon a kulcs.Key size (bits) - Select the number of bits that will be contained in the key.
    • Kivonatoló algoritmus (Android, Windows Phone 8.1, Windows 8.1, Windows 10) – Válassza ki a tanúsítvánnyal használni kívánt kivonatoló algoritmust a rendelkezésre álló típusok közül.Hash algorithm (Android, Windows Phone 8.1, Windows 8.1, Windows 10) - Select one of the available hash algorithm types to use with this certificate. Válassza a kapcsolódó eszközöknél használható legerősebb biztonsági szintet.Select the strongest level of security that the connecting devices support.
    • Főtanúsítvány – Válasszon ki egy olyan legfelső szintű hitelesítésszolgáltatói tanúsítványprofilt, amelyet korábban konfigurált és hozzárendelt a felhasználóhoz vagy az eszközhöz.Root Certificate - Choose a root CA certificate profile that you have previously configured and assigned to the user or device. Ennek a hitelesítésszolgáltatói tanúsítványnak a legfelső szintű tanúsítványnak kell lennie az adott tanúsítványprofilban konfigurált tanúsítványt kiállító hitelesítésszolgáltatónál.This CA certificate must be the root certificate for the CA that will issue the certificate that you are configuring in this certificate profile.
    • Kibővített kulcshasználat – Válassza a Hozzáadás gombot, és vegye fel a kívánt értékeket a tanúsítvány felhasználási céljai közé.Extended key usage - Choose Add to add values for the certificate's intended purpose. A legtöbb esetben a tanúsítványnál szükséges az Ügyfél-hitelesítés , hogy a felhasználó vagy az eszköz hitelesíthető legyen egy kiszolgálóval.In most cases, the certificate will require Client Authentication so that the user or device can authenticate to a server. Szükség szerint azonban tetszőleges más kulcshasználatot is felvehet.However, you can add any other key usages as required.
    • Regisztrációs beállításokEnrollment Settings
      • Megújítási küszöb (%) – Adja meg, hogy az eszköz a tanúsítvány élettartamának hány százalékos hátralévő idejénél igényelje a tanúsítvány megújítását.Renewal threshold (%) - Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
      • SCEP-kiszolgálók URL-címe – Adja meg egy vagy több olyan NDES-kiszolgáló URL-címét, amely SCEP-tanúsítványokat fog kibocsátani.SCEP Server URLs - Specify one or more URLs for the NDES Servers that will issue certificates via SCEP.
  8. Ha elkészült, lépjen vissza a Profil létrehozása panelre, és válassza a Létrehozás elemet.When you're done, go back to the Create Profile blade, and hit Create.

Ekkor létrejön a profil, és megjelenik a profilok listáját tartalmazó panelen.The profile will be created and appears on the profiles list blade.

A tanúsítványprofil eszközökhöz rendeléseHow to assign the certificate profile

Mielőtt csoportokhoz rendeli a tanúsítványprofilokat, vegye figyelembe a következőket:Consider the following before you assign certificate profiles to groups:

  • Amikor csoportokhoz rendeli a tanúsítványprofilokat, a megbízható hitelesítésszolgáltatói tanúsítványprofilból származó tanúsítványfájl települ az eszközre.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Az eszköz az SCEP-tanúsítványprofilt használja tanúsítványkérelem létrehozására.The device uses the SCEP certificate profile to create a certificate request by the device.
  • A tanúsítványprofilok csak a profil létrehozásakor használt platformot futtató eszközökre települnek.Certificate profiles install only on devices running the platform you use when you created the profile.
  • Tanúsítványprofilokat rendelhet felhasználógyűjteményekhez és eszközgyűjteményekhez is.You can assign certificate profiles to user collections or to device collections.
  • Ha azt szeretné, hogy a tanúsítványok gyorsan megjelenjenek az eszközökön a regisztráció után, a tanúsítványprofilt felhasználócsoporthoz és ne eszközcsoporthoz rendelje hozzá.To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Ha eszközcsoporthoz rendel hozzá, akkor teljes eszközregisztráció szükséges, mielőtt az eszköz megkaphatná a szabályzatokat.If you assign to a device group, a full device registration is required before the device receives policies.
  • Jóllehet az egyes profilokat külön-külön rendeli hozzá, a legfelső szintű hitelesítésszolgáltató és az SCEP- vagy PKCS-profil hozzárendelésére is szükség van.Although you assign each profile separately, you also need to assign the Trusted Root CA and the SCEP or PKCS profile. Ellenkező esetben az SCEP- vagy PKCS-tanúsítványszabályzat hibát fog jelezni.Otherwise, the SCEP or PKCS certificate policy will fail.

Az profilok hozzárendeléséről az Eszközprofilok hozzárendelése című cikk nyújt tájékoztatást.For information about how to assign profiles, see How to assign device profiles.