A Microsoft Intune tanúsítvány-összekötőjének beállítása a DigiCert PKI platform támogatásához

  • Cikk

A Microsoft Intune tanúsítvány-összekötőjével PKCS-tanúsítványokat bocsáthat ki a DigiCert PKI platformról az Intune által felügyelt eszközökre. A tanúsítvány-összekötő csak DigiCert hitelesítésszolgáltatóval (CA) működik, vagy DigiCert hitelesítésszolgáltatóval és Microsoft hitelesítésszolgáltatóval is.

Tipp

A DigiCert megszerezte a Symantec Website Security és a kapcsolódó PKI-megoldások üzletágát. A változással kapcsolatos további információkért tekintse meg a Symantec technikai támogatási cikkét.

Ha már használja a Tanúsítvány-összekötőt a Microsoft Intune a Microsoft HITELESÍTÉSSZOLGÁLTATÓtól származó tanúsítványok PKCS vagy SCEP használatával történő kiállításához, ugyanezzel az összekötővel konfigurálhatja és kiadhatja a DigiCert hitelesítésszolgáltatótól származó PKCS-tanúsítványokat. Miután elvégezte a DigiCert hitelesítésszolgáltatót támogató konfigurációt, az összekötő a következő tanúsítványokat bocsáthatja ki:

  • PKCS-tanúsítványok Microsoft hitelesítésszolgáltatótól
  • PKCS-tanúsítványok DigiCert hitelesítésszolgáltatótól
  • Endpoint Protection-tanúsítványok Microsoft hitelesítésszolgáltatótól

Ha nincs telepítve az összekötő, de a Microsoft hitelesítésszolgáltatóhoz és a DigiCert hitelesítésszolgáltatóhoz is használni szeretné, először végezze el a Microsoft hitelesítésszolgáltató összekötő-konfigurációját. Ezután térjen vissza ehhez a cikkhez, és konfigurálja úgy, hogy a DigiCertet is támogassa. További információ a tanúsítványprofilokról és az összekötőről: Tanúsítványprofil konfigurálása az eszközökhöz Microsoft Intune.

Ha csak a DigiCert hitelesítésszolgáltatóval fogja használni az összekötőt, az ebben a cikkben található utasításokat követve telepítheti és konfigurálhatja az összekötőt.

Előfeltételek

A DigiCert hitelesítésszolgáltató használatának támogatásához a következőkre lesz szüksége:

  • Aktív előfizetés a DigiCert hitelesítésszolgáltatónál – Az előfizetésnek regisztrációs szolgáltatói (RA-) tanúsítványt kell beszereznie a DigiCert hitelesítésszolgáltatótól.

  • Tanúsítvány-összekötő Microsoft Intune – A cikk későbbi részében a tanúsítvány-összekötő telepítésére és konfigurálására lesz utasítva. Az összekötők előzetes tervezéséhez tekintse meg az alábbi cikkeket:

A DigiCert RA-tanúsítvány telepítése

  1. Mentse a következő kódrészletet egy certreq.ini nevű fájlba, és szükség szerint frissítse (például: Tulajdonos neve CN formátumban).

    [Version] 
Signature="$Windows NT$" 

[NewRequest] 
;Change to your,country code, company name and common name 
Subject = "Subject Name in CN format"

KeySpec = 1 
KeyLength = 2048 
Exportable = TRUE 
MachineKeySet = TRUE 
SMIME = False 
PrivateKeyArchive = FALSE 
UserProtected = FALSE 
UseExistingKeySet = FALSE 
ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
ProviderType = 12 
RequestType = PKCS10 
KeyUsage = 0xa0 

[EnhancedKeyUsageExtension] 
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication  // Uncomment if you need a mutual TLS authentication

;-----------------------------------------------

  2. Nyisson meg egy rendszergazda jogú parancssort, és hozzon létre egy tanúsítvány-aláírási kérést (CSR) a következő paranccsal:

    Certreq.exe -new certreq.ini request.csr

  3. Nyissa meg a request.csr fájlt a Jegyzettömbben, és másolja a következő formátumú CSR-tartalmat:

    -----BEGIN NEW CERTIFICATE REQUEST-----
MIID8TCCAtkCAQAwbTEMMAoGA1UEBhMDVVNBMQswCQYDVQQIDAJXQTEQMA4GA1UE
…
…
fzpeAWo=
-----END NEW CERTIFICATE REQUEST-----

  4. Jelentkezzen be a DigiCert hitelesítésszolgáltatóba, és tallózással keresse meg az RA-tanúsítvány lekérése a feladatokból lehetőséget.

    a. A szövegmezőben adja meg a 3. lépésben szereplő CSR-tartalmat.

    b. Adjon meg egy rövid nevet a tanúsítványnak.

    c. Válassza a Folytatás lehetőséget.

    d. A megadott hivatkozásra kattintva töltse le az RA-tanúsítványt a helyi számítógépre.

  5. Importálja az RA-tanúsítványt a Windows tanúsítványtárolójába:

    a. Nyisson meg egy MMC-konzolt.

    b. Válassza a Fájl>hozzáadása vagy eltávolítása beépülő modul tanúsítvány>>hozzáadása lehetőséget.

    c. Válassza a Számítógépfióktovább lehetőséget>.

    d. Válassza a Helyi számítógép>befejezése lehetőséget.

    e. Válassza az OK gombot a Beépülő modulok hozzáadása vagy eltávolítása ablakban. Bontsa ki a Tanúsítványok (helyi számítógép)>Személyes>tanúsítványok elemet.

    f. Kattintson a jobb gombbal a Tanúsítványok csomópontra , és válassza a Minden tevékenység>importálása lehetőséget.

    G. Válassza ki a DigiCert hitelesítésszolgáltatóról letöltött RA-tanúsítvány helyét, majd kattintson a Tovább gombra.

    H. Válassza a Személyes tanúsítványtároló>tovább lehetőséget.

    i. A Befejezés gombra kattintva importálja az RA-tanúsítványt és annak titkos kulcsát a Local Machine-Personal tárolóba.

  6. Exportálja és importálja a titkoskulcs-tanúsítványt:

    a. Bontsa ki a Tanúsítványok (helyi gép)>Személyes>tanúsítványok elemet.

    b. Válassza ki az előző lépésben importált tanúsítványt.

    c. Kattintson a jobb gombbal a tanúsítványra, és válassza a Minden feladat>exportálása lehetőséget.

    d. Válassza a Tovább gombot, majd adja meg a jelszót.

    e. Válassza ki azt a helyet, ahová exportálni szeretné, majd kattintson a Befejezés gombra.

    f. Az 5. lépésben leírt eljárással importálja a titkos kulcsú tanúsítványt a helyi számítógép személyes tárolójába.

    G. Jegyezze fel az RA-tanúsítvány ujjlenyomatának másolatát szóközök nélkül. Az alábbiakban egy példa látható az ujjlenyomatra:

    RA Cert Thumbprint: "EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"

    Később, miután telepítette az Microsoft Intune tanúsítvány-összekötőt, ezzel az értékkel frissítheti az összekötő három .config fájlját.

    Megjegyzés:

    Ha segítségre van szüksége az RA-tanúsítvány DigiCert hitelesítésszolgáltatótól való beszerzéséhez, forduljon a DigiCert ügyfélszolgálatához.

A tanúsítvány-összekötő konfigurálása a DigiCert támogatásához

  1. A Tanúsítvány-összekötő telepítése Microsoft Intune című cikkben található információk alapján először töltse le, majd telepítse és konfigurálja a tanúsítvány-összekötőt a Microsoft Intune:

    • Az összekötő telepítési eljárásának 2 . lépése során válassza ki a PKCS és opcionálisan a Tanúsítvány visszavonása lehetőséget.
    • Az összekötő telepítési és konfigurációs eljárásának befejezése után térjen vissza ehhez az eljáráshoz a folytatáshoz.

  2. Konfigurálja az összekötőt a DigiCert támogatására az összekötő három .config fájljának módosításával, majd indítsa újra a kapcsolódó szolgáltatásokat:

    1. Azon a kiszolgálón, amelyen az összekötő telepítve van, lépjen a %ProgramFiles%\Microsoft Intune\PFXCertificateConnector\ConnectorSvc helyre. (Alapértelmezés szerint az Microsoft Intune tanúsítvány-összekötője a következő helyre települ: %ProgramFiles%\Microsoft Intune\PFXCertificateConnector.)

    2. Az alábbi három fájlban az RACertThumbprint kulcsértékének frissítéséhez használjon egy egyszerű szövegszerkesztőt, például a Notepad.exe. Cserélje le a fájlokban lévő értéket az előző szakaszeljárásának 6.g. lépésében kimásolt értékre:

      • Microsoft.Intune.ConnectorsPkiCreate.exe.config
      • Microsoft.Intune.ConnectorsPkiRevoke.exe.config
      • Microsoft.Intune.ConnectorsPkiCreateLegacy.exe.config

    Keresse meg például a bejegyzést minden fájlban, amely a következőhöz <add key="RACertThumbprint" value="EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"/>hasonló: , és cserélje le EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5 a elemet az új RA-tanúsítvány ujjlenyomatértékére .

    1. Futtassa a services.msc fájlt, állítsa le, majd indítsa újra a következő három szolgáltatást:

      • PFX tanúsítvány-összekötő visszavonása Microsoft Intune esetén (PkiRevokeConnectorSvc)
      • PFX Tanúsítvány-összekötő létrehozása Microsoft Intune (PkiCreateConnectorSvc)
      • PFX – Örökölt összekötő létrehozása Microsoft Intune -hez (PfxCreateLegacyConnectorSvc)

Megbízható tanúsítványprofil létrehozása

Az Intune által felügyelt eszközökön üzembe helyezendő PKCS-tanúsítványokat megbízható főtanúsítvánnyal kell összekapcsolni. A lánc létrehozásához hozzon létre egy Megbízható Intune-tanúsítványprofilt a DigiCert hitelesítésszolgáltató főtanúsítványával, és helyezze üzembe a megbízható tanúsítványprofilt és a PKCS-tanúsítványprofilt is ugyanazon csoportokban.

  1. Megbízható főtanúsítvány beszerzése a DigiCert hitelesítésszolgáltatótól:

    a. Jelentkezzen be a DigiCert hitelesítésszolgáltató felügyeleti portáljára.

    b. Válassza a Ca-k kezelésea Feladatok területen lehetőséget.

    c. Válassza ki a megfelelő hitelesítésszolgáltatót a listából.

    d. Válassza a Főtanúsítvány letöltése lehetőséget a megbízható főtanúsítvány letöltéséhez.

  2. Hozzon létre egy megbízható tanúsítványprofilt a Microsoft Intune Felügyeleti központban. Részletes útmutatásért lásd: Megbízható tanúsítványprofil létrehozása. Mindenképpen rendelje hozzá ezt a profilt azokhoz az eszközökhöz, amelyek tanúsítványokat fognak kapni. A profil csoportokhoz rendeléséhez lásd: Eszközprofilok hozzárendelése.

    Miután létrehozta a profilt, az megjelenik az Eszközkonfiguráció – Profilok panel profillistájában, megbízható tanúsítványtípussal.

A tanúsítványprofil objektumazonosítójának lekérése

A tanúsítványprofil objektumazonosítója a DigiCert hitelesítésszolgáltató tanúsítványprofil-sablonjához van társítva. PKCS-tanúsítványprofil Intune-beli létrehozásához a tanúsítványsablon nevének egy tanúsítványprofil objektumazonosítójának kell lennie, amely a DigiCert hitelesítésszolgáltató tanúsítványsablonjához van társítva.

  1. Jelentkezzen be a DigiCert hitelesítésszolgáltató felügyeleti portáljára.

  2. Válassza a Tanúsítványprofilok kezelése lehetőséget.

  3. Válassza ki a használni kívánt tanúsítványprofilt.

  4. Másolja ki a tanúsítványprofil objektumazonosítóját. A következő példához hasonlóan néz ki:

    Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109

Megjegyzés:

Ha segítségre van szüksége a tanúsítványprofil objektumazonosítójának beszerzéséhez, forduljon a DigiCert ügyfélszolgálatához.

PKCS-tanúsítványprofil létrehozása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>konfigurációja>Létrehozás lehetőséget.

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza ki az eszközei platformját.
    • Profil: Válassza a PKCS-tanúsítvány lehetőséget. Vagy válassza a Sablonok>PKCS-tanúsítvány lehetőséget.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

  6. A Konfigurációs beállítások területen konfigurálja a paramétereket az alábbi táblázat értékeivel. Ezekre az értékekre szükség van ahhoz, hogy PKCS-tanúsítványokat állítson ki egy DigiCert hitelesítésszolgáltatótól a Microsoft Intune tanúsítvány-összekötőn keresztül.

    PKCS-tanúsítványparaméter Érték Leírás
    Hitelesítésszolgáltató pki-ws.symauth.com Ennek az értéknek a DigiCert hitelesítésszolgáltató alapszolgáltatásának teljes tartománynevének kell lennie perjelek nélkül. Ha nem tudja biztosan, hogy ez-e a DigiCert CA-előfizetéséhez megfelelő alapszolgáltatás teljes tartománynév, forduljon a DigiCert ügyfélszolgálatához.

    A Symantec-ről a DigiCertre való váltáskor ez az URL változatlan marad.

    Ha ez az FQDN helytelen, a tanúsítvány-összekötő nem ad ki PKCS-tanúsítványokat a DigiCert hitelesítésszolgáltatótól.
    Hitelesítésszolgáltató neve Symantec Ennek az értéknek a Symantec sztringnek kell lennie.

    Ha ez az érték módosul, a tanúsítvány-összekötő nem bocsát ki PKCS-tanúsítványokat a DigiCert hitelesítésszolgáltatótól.
    Tanúsítványsablon neve Tanúsítványprofil objektumazonosítója a DigiCert hitelesítésszolgáltatótól. Például: 2.16.840.1.113733.1.16.1.2.3.1.1.61904612 Ennek az értéknek a DigiCert hitelesítésszolgáltató tanúsítványprofil-sablonjából az előző szakaszban beszerzett tanúsítványprofil-objektumazonosítónak kell lennie.

    Ha a tanúsítvány-összekötő nem talál a DigiCert hitelesítésszolgáltatóban a tanúsítványprofil objektumazonosítójához társított tanúsítványsablont, akkor nem ad ki PKCS-tanúsítványokat a DigiCert hitelesítésszolgáltatótól.

    A hitelesítésszolgáltató és a tanúsítványsablon kiválasztása

    Megjegyzés:

    A Windows-platformok PKCS-tanúsítványprofiljának nem kell megbízható tanúsítványprofilhoz társítania. A nem Windows-platformprofilokhoz, például az Androidhoz azonban szükség van rá.

  7. Végezze el a profil konfigurálását az üzleti igényeknek megfelelően, majd válassza a Létrehozás lehetőséget a profil mentéséhez.

  8. Az új profil Áttekintés lapján válassza a Hozzárendelések lehetőséget, és konfiguráljon egy megfelelő csoportot, amely megkapja ezt a profilt. Legalább egy felhasználónak vagy eszköznek a hozzárendelt csoporthoz kell tartoznia.

Az előző lépések elvégzése után az Microsoft Intune tanúsítvány-összekötője PKCS-tanúsítványokat bocsát ki a DigiCert hitelesítésszolgáltatótól a hozzárendelt csoport Intune által felügyelt eszközeinek. Ezek a tanúsítványok az Intune által felügyelt eszköz Aktuális felhasználó tanúsítványtárolójának Személyes tárolójában lesznek elérhetők.

A PKCS-tanúsítványprofil támogatott attribútumai

Attribútum Az Intune által támogatott formátumok A DigiCert Cloud CA által támogatott formátumok Eredmény
Tulajdonos neve Az Intune csak a következő három formátumban támogatja a tulajdonos nevét:

1. Köznapi név
2. E-maileket tartalmazó köznapi név
3. Köznapi név e-mail-címként

Például:

CN = IWUser0 <br><br> E = IWUser0@samplendes.onmicrosoft.com		 A DigiCert hitelesítésszolgáltató további attribútumokat támogat. Ha további attribútumokat szeretne kijelölni, azokat rögzített értékekkel kell definiálni a DigiCert tanúsítványprofil-sablonjában. A PKCS-tanúsítványkérelemből származó köznapi nevet vagy e-mail-címet használunk.

Az Intune-tanúsítványprofil és a DigiCert tanúsítványprofilsablon közötti attribútumválasztás eltérése esetén a DigiCert hitelesítésszolgáltató nem bocsát ki tanúsítványokat.
SAN Az Intune csak a következő SAN-mezőértékeket támogatja:

AltNameTypeEmail
AltNameTypeUpn
AltNameTypeOtherName (kódolt érték)		 A DigiCert Cloud ca is támogatja ezeket a paramétereket. Ha további attribútumokat szeretne kijelölni, azokat rögzített értékekkel kell definiálni a DigiCert tanúsítványprofil-sablonjában.

AltNameTypeEmail: Ha ez a típus nem található a SAN-ban, a tanúsítvány-összekötő az AltNameTypeUpn értékét használja. Ha az AltNameTypeUpn nem található a SAN-ban, akkor a tanúsítvány-összekötő a tulajdonos nevének értékét használja, ha e-mail formátumban van. Ha a típus továbbra sem található, a tanúsítvány-összekötő nem tudja kibocsátani a tanúsítványokat.

Példa: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeUpn: Ha ez a típus nem található a SAN-ban, a tanúsítvány-összekötő az AltNameTypeEmail értékét használja. Ha az AltNameTypeEmail szintén nem található a SAN-ban, akkor a tanúsítvány-összekötő a tulajdonos nevének értékét használja, ha e-mail formátumban van. Ha a típus továbbra sem található, a tanúsítvány-összekötő nem tudja kibocsátani a tanúsítványokat.

Példa: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeOtherName: Ha ez a típus nem található a tárolóhálózatban, a tanúsítvány-összekötő nem tudja kiadni a tanúsítványokat.

Példa: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2c

A mező értékét a DigiCert hitelesítésszolgáltató csak kódolt formátumban (hexadecimális érték) támogatja. A mezőben szereplő bármely érték esetében a tanúsítvány-összekötő base64 kódolásúvá alakítja, mielőtt elküldené a tanúsítványkérelmet. A Microsoft Intune tanúsítvány-összekötője nem ellenőrzi, hogy ez az érték már kódolva van-e.		 Egyikre sem.

Hibaelhárítás

A Microsoft Intune tanúsítvány-összekötőjének naplói eseménynaplókként érhetők el azon a kiszolgálón, amelyen az összekötő telepítve van. Ezek a naplók részletesen ismertetik az összekötők működését, és a tanúsítvány-összekötővel és -műveletekkel kapcsolatos problémák azonosítására használhatók. További információ: Naplózás.

Következő lépések

A cikkben található információk és a Mik azok a Microsoft Intune eszközprofilok? című témakörben található információk segítségével kezelheti a szervezet eszközeit és a rajtuk lévő tanúsítványokat.