PFX-tanúsítványprofilok létrehozása hitelesítésszolgáltató használatával

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Megtudhatja, hogyan hozhat létre olyan tanúsítványprofilt, amely hitelesítésszolgáltatót használ a hitelesítő adatokhoz. Ez a cikk a személyes információcsere (PFX) tanúsítványprofiljaival kapcsolatos konkrét információkat emeli ki. A profilok létrehozásával és konfigurálásával kapcsolatos további információkért lásd: Tanúsítványprofilok.

Configuration Manager lehetővé teszi PFX-tanúsítványprofil létrehozását egy hitelesítésszolgáltató által kiadott hitelesítő adatokkal. A hitelesítésszolgáltatóként választhatja Microsoft vagy a Entrust lehetőséget. Felhasználói eszközökön való üzembe helyezéskor a PFX-fájlok felhasználóspecifikus tanúsítványokat hoznak létre a titkosított adatcsere támogatásához.

A tanúsítvány hitelesítő adatainak meglévő tanúsítványfájlokból történő importálásáról lásd: PFX-tanúsítványprofilok importálása.

Előfeltételek

Mielőtt elkezdené létrehozni a tanúsítványprofilt, győződjön meg arról, hogy a szükséges előfeltételek készen állnak. További információ: A tanúsítványprofilok előfeltételei. PFX-tanúsítványprofilok esetében például tanúsítványregisztrációs pont helyrendszerszerepkörre van szükség.

Profil létrehozása

  1. A Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre, bontsa ki a Megfelelőségi beállítások, majd a Vállalati erőforrás-hozzáférés csomópontot, majd válassza a Tanúsítványprofilok lehetőséget.

  2. A menüszalag KezdőlapjánakLétrehozás csoportjában válassza a Tanúsítványprofil létrehozása lehetőséget.

  3. A Tanúsítványprofil létrehozása varázslóÁltalános lapján adja meg a következő információkat:

    • Név: Adjon meg egy egyedi nevet a tanúsítványprofilnak. Legfeljebb 256 karaktert használhat.

    • Leírás: Adjon meg egy leírást, amely áttekintést nyújt a tanúsítványprofilról, amely segít azonosítani azt a Configuration Manager konzolon. Legfeljebb 256 karaktert használhat.

  4. Válassza a Személyes információcsere – PKCS #12 (PFX) beállítások – Létrehozás lehetőséget. Ez a beállítás tanúsítványt kér egy felhasználó nevében egy csatlakoztatott helyszíni hitelesítésszolgáltatótól (CA). Válassza ki a hitelesítésszolgáltatót: Microsoft vagy a Entrust lehetőséget.

    Megjegyzés:

    Az Importálás lehetőség információkat kap egy meglévő tanúsítványtól a tanúsítványprofil létrehozásához. További információ: PFX-tanúsítványprofilok importálása.

  5. A Támogatott platformok lapon válassza ki a tanúsítványprofil által támogatott operációsrendszer-verziókat. A Configuration Manager verziójának támogatott operációsrendszer-verzióiról további információt az Ügyfelek és eszközök támogatott operációsrendszer-verziói című témakörben talál.

  6. A Hitelesítésszolgáltatók lapon válassza ki a tanúsítványregisztrációs pontot (CRP) a PFX-tanúsítványok feldolgozásához:

    1. Elsődleges hely: Válassza ki a hitelesítésszolgáltató CRP-szerepkörét tartalmazó kiszolgálót.
    2. Hitelesítésszolgáltatók: Válassza ki a megfelelő hitelesítésszolgáltatót.

    További információ: Tanúsítványinfrastruktúra.

A PFX-tanúsítvány lapon található beállítások az Általános lapon kiválasztott hitelesítésszolgáltatótól függően változnak:

PFX-tanúsítványbeállítások konfigurálása Microsoft hitelesítésszolgáltatóhoz

  1. A Tanúsítványsablon neve mezőben válassza ki a tanúsítványsablont.

  2. A tanúsítványprofil S/MIME-aláíráshoz vagy -titkosításhoz való használatához engedélyezze a tanúsítványhasználatot.

    Ha engedélyezi ezt a beállítást, az a célfelhasználóhoz társított összes PFX-tanúsítványt az összes eszközére kézbesíti. Ha nem engedélyezi ezt a beállítást, minden eszköz egyedi tanúsítványt kap.

  3. A Tulajdonosnév formátuma legyen Köznapi név vagy Teljesen megkülönböztető név. Ha nem biztos abban, hogy melyiket használja, forduljon a hitelesítésszolgáltató rendszergazdájához.

  4. A Tulajdonos alternatív neve beállításnál engedélyezze Email címet és az egyszerű felhasználónevet (UPN) a ca-nak megfelelően.

  5. Megújítási küszöbérték: Meghatározza, hogy a tanúsítványok mikor újulnak meg automatikusan a lejárat előtt fennmaradó idő százalékos aránya alapján.

  6. Állítsa a tanúsítvány érvényességi időtartamát a tanúsítvány élettartamára.

  7. Ha a tanúsítványregisztrációs pont megadja az Active Directory hitelesítő adatait, engedélyezze az Active Directory-közzétételt.

  8. Ha egy vagy több támogatott platformot választott Windows 10:

    1. Állítsa a Windows tanúsítványtárolótFelhasználó értékre. (A Helyi számítógép beállítás nem helyez üzembe tanúsítványokat, ne válassza ki.)

    2. Válassza ki a következő kulcstároló-szolgáltató (KSP) egyikét:

      • Telepítés a platformmegbízhatósági modulra (TPM), ha van ilyen
      • A platformmegbízhatósági modulba (TPM) történő telepítés egyébként sikertelen
      • Telepítés Vállalati Windows Hello ellenkező esetben sikertelen
      • Telepítés a szoftverkulcs-tárolószolgáltatóba

  9. Fejezze be a varázslót.

PFX-tanúsítványbeállítások konfigurálása a hitelesítésszolgáltató megbízásához

  1. A Digitális azonosító konfigurációja beállításhoz válassza ki a konfigurációs profilt. A Rendszergazda megbízása létrehozza a digitális azonosító konfigurációs beállításait.

  2. A tanúsítványprofil S/MIME-aláíráshoz vagy -titkosításhoz való használatához engedélyezze a tanúsítványhasználatot.

    Ha engedélyezi ezt a beállítást, az a célfelhasználóhoz társított összes PFX-tanúsítványt az összes eszközére kézbesíti. Ha nem engedélyezi ezt a beállítást, minden eszköz egyedi tanúsítványt kap.

  3. Ha a Tulajdonos neve formátum jogkivonatait Configuration Manager mezőkre szeretné leképezni, válassza a Formátum lehetőséget.

    A Tanúsítványnév formázása párbeszédpanelen láthatók a Digitális azonosító megbízása konfigurációs változók. Minden Entrust változóhoz válassza ki a megfelelő Configuration Manager mezőket.

  4. A Megbízható tulajdonos alternatív neve tokenek támogatott LDAP-változókra való leképezéséhez válassza a Formátum lehetőséget.

    A Tanúsítványnév formázása párbeszédpanelen láthatók a Digitális azonosító megbízása konfigurációs változók. Minden Entrust változóhoz válassza ki a megfelelő LDAP-változót.

  5. Megújítási küszöbérték: Meghatározza, hogy a tanúsítványok mikor újulnak meg automatikusan a lejárat előtt fennmaradó idő százalékos aránya alapján.

  6. Állítsa a tanúsítvány érvényességi időtartamát a tanúsítvány élettartamára.

  7. Ha a tanúsítványregisztrációs pont megadja az Active Directory hitelesítő adatait, engedélyezze az Active Directory-közzétételt.

  8. Ha egy vagy több támogatott platformot választott Windows 10:

    1. Állítsa a Windows tanúsítványtárolótFelhasználó értékre. (A Helyi számítógép beállítás nem helyez üzembe tanúsítványokat, ne válassza ki.)

    2. Válassza ki a következő kulcstároló-szolgáltató (KSP) egyikét:

      • Telepítés a platformmegbízhatósági modulra (TPM), ha van ilyen
      • A platformmegbízhatósági modulba (TPM) történő telepítés egyébként sikertelen
      • Telepítés Vállalati Windows Hello ellenkező esetben sikertelen
      • Telepítés a szoftverkulcs-tárolószolgáltatóba

  9. Fejezze be a varázslót.

A profil üzembe helyezése

Miután létrehozott egy tanúsítványprofilt, az már elérhető lesz a Tanúsítványprofilok csomópontban. Az üzembe helyezésével kapcsolatos további információkért lásd: Erőforrás-hozzáférési profilok üzembe helyezése.

Lásd még

Új tanúsítványprofil létrehozása

PFX-tanúsítványprofilok importálása

Wi-Fi-, VPN-, e-mail- és tanúsítványprofilok üzembe helyezése