Tanúsítványprofilok létrehozásaCreate certificate profiles

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Tanúsítványprofilok használatával a Configuration Manager (SCCM) ellátja az felügyelt eszközöket a vállalati erőforrások eléréséhez szükséges tanúsítványokat.Use certificate profiles in Configuration Manager (SCCM) to provision managed devices with the certificates they need to access company resources. Tanúsítványprofilok létrehozása, előtt állítsa be a tanúsítvány-infrastruktúra, a tanúsítvány-infrastruktúra beállítása a System Center Configuration Manager.Before creating certificate profiles, set up the certificate infrastructure as described in Set up certificate infrastructure for System Center Configuration Manager.

Ez a témakör ismerteti a megbízható legfelső szintű és az SCEP-tanúsítványprofilok létrehozása.This topic describes how to create trusted root and SCEP certificate profiles. Ha azt szeretné, hogy PFX-tanúsítványprofilok létrehozása, lásd: létrehozása PFX-tanúsítványprofilok.If you want to create PFX certificate profiles, see Create PFX certificate profiles.

A tanúsítványprofil létrehozása:To create a certificate profile:

  1. A Tanúsítványprofil létrehozása varázsló elindításához.Start the Create Certificate Profile Wizard.
  2. A tanúsítvány kapcsolatos általános adatok megadása.Provide general information about the certificate.
  3. Megbízható tanúsítvány hitelesítésszolgáltatói tanúsítvány konfigurálása.Configure a trusted certificate authority (CA) certificate.
  4. (Csak SCEP-tanúsítványok) a SCEP-Tanúsítványadatok konfigurálása.Configure SCEP certificate information (only for SCEP certificates).
  5. A tanúsítványprofil támogatott platformjainak megadásaSpecify supported platforms for the certificate profile.

A Tanúsítványprofil létrehozása varázsló elindításaStart the Create Certificate Profile wizard

  1. A System Center Configuration Manager konzolon kattintson eszközök és megfelelőség.In the System Center Configuration Manager console, click Assets and Compliance.

  2. Az Eszközök és megfelelőség munkaterületen bontsa ki a Megfelelőségi beállítások, majd a Hozzáférés a vállalati erőforrásokhozpontot, és kattintson a Tanúsítványprofiloklehetőségre.In the Assets and Compliance workspace, expand Compliance Settings, expand Company Resource Access, and then click Certificate Profiles.

  3. A Kezdőlap Létrehozás csoportjában kattintson a Tanúsítványprofil létrehozásaelemre.On the Home tab, in the Create group, click Create Certificate Profile.

A tanúsítványprofillal kapcsolatos általános adatok megadásaProvide general information about the certificate profile

A Tanúsítványprofil létrehozása varázsló Általános lapján adja meg az alábbi adatokat:On the General page of the Create Certificate Profile Wizard, specify the following information:

  • Név: Adjon meg egy egyedi nevet a tanúsítványprofilnak.Name: Enter a unique name for the certificate profile. Legfeljebb 256 karakter használható.You can use a maximum of 256 characters.

  • Leírás: Adjon meg egy leírást, amely áttekintést ad a tanúsítványprofilról, valamint más olyan releváns információkat, ami segít azonosítani a System Center Configuration Manager-konzolon.Description: Provide a description that gives an overview of the certificate profile and other relevant information that helps to identify it in the System Center Configuration Manager console. Legfeljebb 256 karakter használható.You can use a maximum of 256 characters.

  • Adja meg a létrehozni kívánt tanúsítványprofil típusát: Válasszon egyet a következő tanúsítvány a profil típusa:Specify the type of certificate profile that you want to create: Choose one of the following certificate profile types:

  • Megbízható Hitelesítésszolgáltatói tanúsítvány: Válassza ezt a tanúsítványprofil-típust, ha azt szeretné, a megbízható legfelső szintű hitelesítésszolgáltató (CA) telepítéséhez vagy köztes Hitelesítésszolgáltatói tanúsítvány megbízható tanúsítványlánc kialakításához, amikor a felhasználók vagy eszközök egy másik eszközt kell hitelesítenie.Trusted CA certificate: Select this certificate profile type if you want to deploy a trusted root certification authority (CA) or intermediate CA certificate to form a certificate chain of trust when the user or device must authenticate another device. Az eszköz lehet például RADIUS-kiszolgáló (Remote Authentication Dial-In User Service) vagy virtuális magánhálózati (VPN-) kiszolgáló.For example, the device might be a Remote Authentication Dial-In User Service (RADIUS) server or a virtual private network (VPN) server. Emellett Egyszerű tanúsítványigénylési protokollt (SCEP) használó tanúsítványprofil létrehozása előtt is megbízható hitelesítésszolgáltatói tanúsítványprofilt kell konfigurálnia.You must also configure a trusted CA certificate profile before you can create a SCEP certificate profile. Ebben az esetben a megbízható hitelesítésszolgáltatói tanúsítványnak a felhasználó vagy eszköz számára tanúsítványt biztosító hitelesítésszolgáltató megbízható legfelső szintű tanúsítványának kell lennie.In this case, the trusted CA certificate must be the trusted root certificate for the CA that will issue the certificate to the user or device.

  • Egyszerű tanúsítványigénylési protokoll (SCEP) beállításai: Válassza ki ezt a tanúsítványprofil-típust, ha azt szeretné, hogy egy felhasználó vagy eszköz tanúsítványt igényelni az egyszerű tanúsítványigénylési protokoll és a hálózati eszközök tanúsítványigénylési szolgáltatása szerepkör-szolgáltatás használatával.Simple Certificate Enrollment Protocol (SCEP) settings: Select this certificate profile type if you want to request a certificate for a user or device, by using the Simple Certificate Enrollment Protocol and the Network Device Enrollment Service role service.

  • Személyes információk Exchange PKCS #12 (PFX) beállítások – importálás: Válassza ezt a PFX-tanúsítvány importálásához.Personal Information Exchange PKCS #12 (PFX) settings - Import: Select this to import a PFX certificate. PFX-tanúsítvány létrehozása kapcsolatos információkért tekintse meg további importálása PFX-tanúsítványprofilok.To learn more about PFX certificate creation see Import PFX certificate profiles.

  • Személyes információk Exchange PKCS #12 (PFX) beállítások – létrehozása: Válassza ezt a PFX-tanúsítványokat egy hitelesítésszolgáltató használatával feldolgozása.Personal Information Exchange PKCS #12 (PFX) settings - Create: Select this to process PFX certificates using a certificate authority. PFX-tanúsítvány létrehozása kapcsolatos információkért tekintse meg további létrehozása PFX-tanúsítványprofilok.To learn more about PFX certificate creation see Create PFX certificate profiles.

Megbízható Hitelesítésszolgáltatói tanúsítvány konfigurálásaConfigure a trusted CA certificate

Fontos

SCEP-tanúsítványprofil létrehozása előtt be kell állítania legalább egy megbízható hitelesítésszolgáltatói tanúsítványprofilt.You must configure at least one trusted CA certificate profile before you can create a SCEP certificate profile.

Ha módosítja a következő értékek után a tanúsítvány van telepítve egy új tanúsítvány kérelmezése:If you change any of these values after the certificate is deployed a new certificate is requested:

  • Adja meg a kulcs tárolásaKey Storage Provide
  • Tanúsítványsablon neveCertificate template name
  • Tanúsítvány típusaCertificate type
  • Tulajdonos nevének formátumaSubject name format
  • Tulajdonos alternatív neveSubject alternative name
  • Tanúsítvány érvényességi időtartamaCertificate validity period
  • KulcshasználatKey usage
  • Kulcs méreteKey size
  • Kibővített kulcshasználatExtended key usage
  • Legfelső szintű hitelesítésszolgáltató tanúsítványaRoot CA certificate
  1. A Tanúsítványprofil létrehozása varázsló Megbízható hitelesítésszolgáltatói tanúsítvány lapján adja meg az alábbi adatokat:On the Trusted CA Certificate page of the Create Certificate Profile Wizard, specify the following information:

    • Tanúsítványfájl: Kattintson a importálási , majd keresse ki a használni kívánt tanúsítványfájlt.Certificate file: Click Import and then browse to the certificate file that you want to use.

    • Céltár: Több tanúsítványtárral rendelkező eszközökön válassza ki a tanúsítványt.Destination store: For devices that have more than one certificate store, select where to store the certificate. Egy tárral rendelkező eszközök esetén a rendszer figyelmen kívül hagyja a beállítást.For devices that have only one store, this setting is ignored.

  2. A Tanúsítvány ujjlenyomata értékével ellenőrizheti, hogy a megfelelő tanúsítványt importálta-e.Use the Certificate thumbprint value to verify that you have imported the correct certificate.

(Csak SCEP-tanúsítványok) a SCEP-Tanúsítványadatok konfigurálásaConfigure SCEP certificate information (only for SCEP certificates)

  1. A Tanúsítványprofil létrehozása varázsló SCEP-kiszolgálók lapján adja meg a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) azon kiszolgálóinak URL-címeit, amelyek a tanúsítványokat kiállítják majd SCEP-n keresztül.On the SCEP Servers page of the Create Certificate Profile Wizard, specify the URLs for the NDES Servers that will issue certificates via SCEP. Dönthet úgy, hogy automatikusan rendel hozzá egy NDES URL-címet a tanúsítványregisztrációs pont helyrendszer-kiszolgáló konfigurációja alapján, vagy hozzáadhat URL-címeket manuálisan.You can choose to automatically assign an NDES URL based on the configuration of the Certificate Registration Point site system server, or add URLs manually.

  2. Fejezze be a SCEP-igénylés a Tanúsítványprofil létrehozása varázsló oldalán.Complete the SCEP Enrollment page of the Create Certificate Profile Wizard.

    • Újrapróbálkozások: Adja meg az eszköz automatikusan újrapróbálkozik a tanúsítványigénylés a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló teljes száma.Retries: Specify the number of times that the device automatically retries the certificate request to the server that is running the Network Device Enrollment Service. Ezzel a beállítással azok a helyzetek támogathatók, amelyekben az elfogadás előtt egy hitelesítésszolgáltató-kezelőnek kell jóváhagynia a tanúsítványkérelmet.This setting supports the scenario where a CA manager must approve a certificate request before it is accepted. A beállításra jellemzően fokozott biztonságú környezetekben, illetve akkor van szükség, ha nem vállalati, hanem független kiállító hitelesítésszolgáltatót használ.This setting is typically used for high-security environments or if you have a stand-alone issuing CA rather than an enterprise CA. A beállítás továbbá tesztelési célra is használható a tanúsítványigénylési lehetőségek vizsgálatára, mielőtt a kiállító hitelesítésszolgáltató feldolgozza a tanúsítványkérelmet.You might also use this setting for testing purposes so that you can inspect the certificate request options before the issuing CA processes the certificate request. Az Újrapróbálkozási késleltetés (perc) beállítással együtt használandó.Use this setting with the Retry delay (minutes) setting.

    • Újrapróbálkozási késleltetés (perc): Adja meg az időköz percben, ha hitelesítésszolgáltató-kezelői jóváhagyást használ, mielőtt a kiállító hitelesítésszolgáltató feldolgozná a tanúsítványkérelmet egyes beléptetési kísérletek közötti.Retry delay (minutes): Specify the interval, in minutes, between each enrollment attempt when you use CA manager approval before the issuing CA processes the certificate request. Ha tesztelési célból használ kezelői jóváhagyást, valószínűleg érdemes alacsony értéket megadnia, hogy a kérelem jóváhagyása után ne kelljen sokat várnia arra, hogy az eszköz újra tanúsítványt próbáljon igényelni.If you use manager approval for testing purposes, you will probably want to specify a low value so that you are not waiting a long time for the device to retry the certificate request after you approve the request. Ha azonban kezelői jóváhagyást használ éles hálózati környezetben, magasabb értéket lehet célszerű megadni, hogy elég idő álljon rendelkezésre a hitelesítésszolgáltatói rendszergazda számára a függőben lévő jóváhagyások ellenőrzésére és jóváhagyására.However, if you use manager approval on a production network, you will probably want to specify a higher value to allow sufficient time for the CA administrator to check and approve or deny pending approvals.

    • Megújítási küszöb (%): Adja meg, hogy az eszköz a tanúsítvány megújítását igényelje a tanúsítvány élettartamának hány százalékánál.Renewal threshold (%): Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.

    • (KSP) szolgáltató: Adja meg a tanúsítványt a kulcs tárolására.Key Storage Provider (KSP): Specify where the key to the certificate will be stored. Az alábbi értékek közül választhat:Choose from one of the following values:

    • Telepítés platformmegbízhatósági modul (TPM), ha van: Telepíti a kulcsot a TPM-be.Install to Trusted Platform Module (TPM) if present: Installs the key to the TPM. Ha nincs TPM modul, a rendszer a szoftverkulcs társzolgáltatójába telepíti a kulcsot.If the TPM is not present, the key will be installed to the storage provider for the software key.

    • Telepítés csak platformmegbízhatósági modul (TPM): Telepíti a kulcsot a TPM-be.Install to Trusted Platform Module (TPM) otherwise fail: Installs the key to the TPM. Ha nincs TPM modul, a telepítés meghiúsul.If the TPM module is not present, the installation will fail.

    • Telepítés csak a Windows Hello for Business szolgáltatásba, másként meghibásodás történik: Ez a beállítás a Windows 10 asztali és mobil eszközökhöz érhető el.Install to Windows Hello for Business otherwise fail: This option is available for Windows 10 Desktop and Mobile devices. Regisztrálja a kulcsot a vállalati Windows Hello, a leírt üzleti beállításait a System Center Configuration Managerben a Windows Hello-.It enrolls the key to Windows Hello for Business, described in Windows Hello for Business settings in System Center Configuration Manager. A beállítás a Többtényezős hitelesítés megkövetelését is lehetővé teszi az eszközök regisztrálásakor az adott eszközökre való tanúsítványkibocsátás előtt.This option also enables you to Require multi-factor authentication during enrollment of devices before issuing certificates to those devices. További információ: Többtényezős hitelesítés használata a Microsoft Intune-ban .See Protect Windows devices with multi-factor authentication for more information.

    Megjegyzés

    Amikor egy felhasználó létrehoz egy Windows Hello for Business PIN-kódja, a Windows a Configuration Manager által figyelt az értesítést küld.When a user creates a Windows Hello for Business PIN, Windows sends a notification which Configuration Manager listens for. Ez lehetővé teszi a Configuration Manager gyorsan értesülhet arról hogy mely felhasználók hozott létre a Windows Hello PIN-kód.This allows Configuration Manager to quickly become aware of which users have created a Windows Hello PIN. A Configuration Manager majd is kiadhatnak új tanúsítványok azoknak a felhasználóknak a Windows Hello használata, a kulcstároló-szolgáltató egy.Configuration Manager can then also issue new certificates to those users if Windows Hello is used as the Key Storage Provider in a certificate profile.

    • Telepítés Szoftverkulcstároló-Szolgáltatóba: A szoftverkulcs társzolgáltatójába telepíti a kulcsot.Install to Software Key Storage Provider: Installs the key to the storage provider for the software key.

    • Tanúsítványigénylés eszközei: Ha a tanúsítványprofil központi telepítése egy felhasználói gyűjteménybe, válassza ki, hogy a tanúsítványigénylés engedélyezése csak a felhasználó elsődleges eszközén, vagy minden eszközön, amelyre a felhasználó bejelentkezik.Devices for certificate enrollment: If the certificate profile is deployed to a user collection, select whether to allow certificate enrollment on only the user's primary device or on all devices that the user logs on to. A tanúsítványprofil eszközgyűjteménybe való telepítése esetén válassza ki, hogy csak az eszköz elsődleges felhasználója számára engedélyezi-e a tanúsítványigénylést, vagy minden felhasználó számára, aki az adott eszközre bejelentkezik.If the certificate profile is deployed to a device collection, select whether to allow certificate enrollment for only the primary user of the device or for all users that log on to the device.

  3. A Tanúsítványprofil létrehozása varázsló Tanúsítványprofilok lapján adja meg az alábbi adatokat:On the Certificate Properties page of the Create Certificate Profile Wizard, specify the following information:

    • Tanúsítványsablon neve: Kattintson a Tallózás és válassza ki, amely a hálózati eszközök tanúsítványigénylési szolgáltatása használatára van konfigurálva, és egy kiállító Hitelesítésszolgáltatót bővült, amely a tanúsítványsablon nevét.Certificate template name: Click Browse to select the name of a certificate template that the Network Device Enrollment Service is configured to use and that has been added to an issuing CA. Tanúsítványsablonok sikeres megtalálásához, a System Center Configuration Manager konzol futtatásához használt felhasználói fióknak rendelkeznie kell olvasási engedéllyel a tanúsítványsablonhoz.To successfully browse to certificate templates, the user account that you are using to run the System Center Configuration Manager console must have Read permission to the certificate template. Ha a Tallózásnem használható, be is írhatja a tanúsítványsablon nevét.Alternatively, if you cannot use Browse, type the name of the certificate template.

    Fontos

    Ha a tanúsítványsablon neve nem ASCII-karaktereket is tartalmaz (például a kínai ábécéből), a rendszer nem telepíti a tanúsítványt.If the certificate template name contains non-ASCII characters (for example, characters from the Chinese alphabet), the certificate will not be deployed. Ebben az esetben a tanúsítvány telepítéséhez először létre kell hoznia a tanúsítványsablon másolatát a hitelesítésszolgáltatón, majd át kell neveznie azt kizárólag ASCII-karakterek használatával.To ensure that the certificate is deployed, you must first create a copy of the certificate template on the CA and rename the copy by using ASCII characters.

    Attól függően, hogy tallózással keresi meg a tanúsítványsablont, vagy begépeli a tanúsítvány nevét, ügyeljen az alábbiakra:Note the following, depending on whether you browse to the certificate template or type the certificate name:

    • Ha tallózással jelöli ki a tanúsítványsablont, a rendszer a lap egyes mezőit automatikusan kitölti a tanúsítványsablonból.If you browse to select the name of the certificate template, some fields on the page are automatically populated from the certificate template. Ezek az értékek egyes esetekben csak másik tanúsítványsablon választásával módosíthatók.In some cases, you cannot change these values unless you choose a different certificate template.

    • Ha beírja a tanúsítványsablon nevét, ügyeljen arra, hogy a név pontosan azonos legyen a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló beállításjegyzékében szereplő névvel.If you type the name of the certificate template, make sure that the name exactly matches one of the certificate templates that are listed in the registry of the server that is running the Network Device Enrollment Service. A tanúsítványsablon valódi nevét adja meg, ne pedig a tanúsítványsablon megjelenített nevét.Make sure that you specify the name of the certificate template and not the display name of the certificate template.

    A tanúsítványsablonok nevei kereséséhez keresse meg a következő kulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.To find the names of certificate templates, browse to the following key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Az EncryptionTemplate, a GeneralPurposeTemplateés a SignatureTemplatebeállítások értékei a tanúsítványsablonokat jelölik.You will see the certificate templates listed as the values for EncryptionTemplate, GeneralPurposeTemplate, and SignatureTemplate. Alapértelmezés szerint mindhárom tanúsítványsablon értéke IPSECIntermediateOffline, amely az IPSec (kapcsolat nélküli kérelem) megjelenített sablonnévhez tartozik.By default, the value for all three certificate templates is IPSECIntermediateOffline, which maps to the template display name of IPSec (Offline request).

    Figyelmeztetés

    System Center Configuration Manager nem tudja ellenőrizni a tanúsítványsablon tartalmát, amikor Tallózás helyett a tanúsítványsablon nevét, mert valószínűleg beállítások is választhatók, amely nem támogatja a tanúsítványsablont, és sikertelen tanúsítványigényléshez vezethet.Because System Center Configuration Manager cannot verify the contents of the certificate template when you type the name of the certificate template rather than browse, you might be able to select options that the certificate template does not support and that will result in a failed certificate request. Ha ez történik, a CPR.log fájlban a w3wp.exe bejegyzésnél egy hibaüzenet fog szerepelni, amely azt jelzi, hogy a tanúsítvány-aláírási kérelemben szereplő tanúsítványnév nem egyezik meg a kérdésben szereplő névvel.When this happens, you will see an error message for w3wp.exe in the CPR.log file that the template name in the certificate signing request (CSR) and the challenge do not match.

    Amikor beírja a GeneralPurposeTemplate értékéhez megadott tanúsítványsablon-nevet, a tanúsítványprofilhoz be kell jelölnie a Kulcstitkosítás és a Digitális aláírás beállításokat.When you type the name of the certificate template that is specified for the GeneralPurposeTemplate value, you must select the Key encipherment and the Digital signature options for this certificate profile. Ha azonban csak a Kulcstitkosítás beállítást szeretné engedélyezni a tanúsítványprofilhoz, az EncryptionTemplate beállításkulcshoz tartozó tanúsítványsablon-nevet adja meg.However, if you want to enable only the Key encipherment option in this certificate profile, specify the certificate template name for the EncryptionTemplate key. Ha azonban csak a Kulcstitkosítás beállítást szeretné engedélyezni a tanúsítványprofilhoz, az EncryptionTemplate beállításkulcshoz tartozó tanúsítványsablon-nevet adja meg.Similarly, if you want to enable only the Digital signature option in this certificate profile, specify the certificate template name for the SignatureTemplate key.

    • Tanúsítvány típusa: Adja meg, hogy egy eszköz vagy felhasználó számára telepíti a tanúsítványt.Certificate type: Select whether the certificate will be deployed to a device or a user.
    • Tulajdonos nevének formátuma: A listáról válassza ki, hogyan System Center Configuration Manager automatikusan hozza létre a tulajdonos nevét a tanúsítványkérelemben.Subject name format: From the list, select how System Center Configuration Manager automatically creates the subject name in the certificate request. Ha a tanúsítvány felhasználóhoz tartozik, a felhasználó e-mail címét is feltüntetheti a tulajdonos nevében.If the certificate is for a user, you can also include the user's email address in the subject name.

    Megjegyzés

    Kiválasztása IMEI-számmal vagy sorozatszám lehetővé teszi a különböző ugyanaz a felhasználó tulajdonában lévő eszközök közötti különbséget.Selecting IMEI number or Serial number enables you to differentiate between different devices that are owned by the same user. Például az eszközök tudta megosztani a köznapi nevet, de nem egy IMEI-számmal vagy sorozatszámot.For example, those devices could share a common name, but not an IMEI number or serial number. Ha az eszköz nem készít jelentést az imei-Azonosítót vagy sorozatszámot, a tanúsítványt a köznapi nevet tartalmazó kell kiállítani.If the device does not report an IMEI or serial number, the certificate will be issued with the common name.

    • Tulajdonos alternatív neve: Adja meg, hogyan System Center Configuration Manager automatikusan hozza létre a tulajdonos alternatív neve (SAN) értékeit a tanúsítványkérelemben.Subject alternative name: Specify how System Center Configuration Manager automatically creates the values for the subject alternative name (SAN) in the certificate request. Ha felhasználói tanúsítványtípust választott ki, akkor például az egyszerű felhasználónevet (UPN) is használhatja a tulajdonos alternatív neveként.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Ha az ügyféltanúsítványt fogja hitelesítésre használni egy hálózati házirend-kiszolgáló felé, a tulajdonos alternatív neveként az egyszerű felhasználónevet kell beállítania.If the client certificate will be used to authenticate to a Network Policy Server, you must set the subject alternative name to the UPN.

    Megjegyzés

    • Az iOS rendszerű eszközök támogatják a korlátozott tulajdonosnév-formátumok és a tulajdonos alternatív nevének használatát az SCEP-tanúsítványokban.iOS devices support limited subject name formats and subject alternative names in SCEP certificates. Ha nem támogatott formátumot ad meg, a rendszer nem igényel tanúsítványt iOS-alapú eszközökhöz.If you specify a format that is not supported, certificates will not be enrolled on iOS devices. Amikor SCEP-tanúsítványprofil telepítését állítja be iOS-alapú eszközökre, a Tulajdonos nevének formátuma legyen Köznapi név, a Tulajdonos alternatív nevepedig legyen DNS-név , E-mail cím vagy Egyszerű felhasználónév.When you configure a SCEP certificate profile to be deployed to iOS devices, use the Common name for the Subject name format, and DNS name, Email address or UPN for the Subject alternative name.
    • Tanúsítvány érvényességi időtartama: A certutil - setreg Policy\EditFlags + a kiállító hitelesítésszolgáltató, amely lehetővé teszi az egyéni érvényességi időtartamot, a EDITF_ATTRIBUTEENDDATE parancs futtatásakor, meghatározhatja a tanúsítvány lejáratáig hátralévő időt.Certificate validity period: If you have run the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can specify the amount of remaining time before the certificate expires. Ez a parancs kapcsolatos további információkért lásd: tanúsítványinfrastruktúra a System Center Configuration Managerben témakör.For more information about this command, see Certificate infrastructure in System Center Configuration Manager topic.

    A megadott tanúsítványsablonban meghatározott érvényességi időszaknál rövidebb értéket is beállíthat, hosszabbat azonban nem.You can specify a value that is lower than the validity period in the specified certificate template, but not higher. Ha például a tanúsítványsablonban két év van meghatározva a tanúsítvány érvényességi idejeként, akkor egy évet beállíthat értékként, öt évet azonban nem.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year but not a value of five years. Az érték is a kiállító hitelesítésszolgáltató tanúsítványának hátralévő érvényességi időszakánál alacsonyabbnak kell lennie.The value must also be lower than the remaining validity period of the issuing CA's certificate.

    • Kulcshasználat: Adja meg a tanúsítvány kulcshasználati beállításait.Key usage: Specify key usage options for the certificate. Az alábbi lehetőségek közül választhat:You can choose from the following options:

      • Kulcstitkosítás: Engedélyezi a kulcscserét, csak akkor, ha a kulcs titkosított.Key encipherment: Allow key exchange only when the key is encrypted.

      • Digitális aláírás: Engedélyezi a kulcscserét, csak akkor, ha a kulcs védelmét digitális aláírás segíti.Digital signature: Allow key exchange only when a digital signature helps protect the key.

    Ha a Tallózásfunkcióval választott tanúsítványsablont, előfordulhat, hogy ezek a beállítások csak másik tanúsítványsablon választása esetén módosíthatók.If you selected a certificate template by using Browse, you might not be able to change these settings unless you select a different certificate template.

    A kijelölt tanúsítványsablont a két fenti kulcshasználati beállítás közül az egyik vagy mindkettő használatával kell konfigurálni.The certificate template you selected must be configured with one or both of the two key usage options above. Ha nem ez történik, A CSR és az ellenőrző kérdés kulcshasználata nem egyezik üzenet jelenik meg a tanúsítványregisztrációs ponthoz tartozó Crp.lognaplófájlban.If it is not, you will see the message Key usage in CSR and challenge do not match in the certificate registration point log file, Crp.log.

  • Kulcsméret (bit): Adja meg a kulcs bit.Key size (bits): Select the size of the key in bits.

  • Kibővített kulcshasználat: Kattintson a válasszon tanúsítványrendeltetéshez való adja hozzá a tanúsítványhoz tartozó értékeket.Extended key usage: Click Select to add values for the certificate's intended purpose. A legtöbb esetben a tanúsítványnál szükséges az Ügyfél-hitelesítés , hogy a felhasználó vagy az eszköz hitelesíthető legyen egy kiszolgálóval.In most cases, the certificate will require Client Authentication so that the user or device can authenticate to a server. Szükség szerint azonban tetszőleges más kulcshasználatot is felvehet.However, you can add any other key usages as required.

  • Kivonatoló algoritmus: Válassza ki a tanúsítvánnyal használni kívánt elérhető kivonatoló algoritmus típusok egyikét.Hash algorithm: Select one of the available hash algorithm types to use with this certificate. Válassza a kapcsolódó eszközöknél használható legerősebb biztonsági szintet.Select the strongest level of security that the connecting devices support.

    Megjegyzés

    Az SHA-2 támogatja az SHA-256, SHA-384 és SHA-512.SHA-2 supports SHA-256, SHA-384, and SHA-512. AzSHA-3 csak a következőt támogatja: SHA-3.SHA-3 supports only SHA-3.

  • Legfelső szintű hitelesítésszolgáltató tanúsítványának: Kattintson a válasszon elemre olyan legfelső szintű Hitelesítésszolgáltatói tanúsítványprofil választásához, amelyet korábban konfigurált és központilag telepített a felhasználó vagy eszköz.Root CA certificate: Click Select to choose a root CA certificate profile that you have previously configured and deployed to the user or device. Ennek a hitelesítésszolgáltatói tanúsítványnak a legfelső szintű tanúsítványnak kell lennie az adott tanúsítványprofilban konfigurált tanúsítványt kiállító hitelesítésszolgáltatónál.This CA certificate must be the root certificate for the CA that will issue the certificate that you are configuring in this certificate profile.

    Fontos

    Ha megad egy legfelső szintű Hitelesítésszolgáltatói tanúsítványt, amely a felhasználó vagy eszköz számára nincs telepítve, a System Center Configuration Manager nem fogja elindítani az adott tanúsítványprofilban konfigurált tanúsítványkérelmet.If you specify a root CA certificate that is not deployed to the user or device, System Center Configuration Manager will not initiate the certificate request that you are configuring in this certificate profile.

Támogatott platformok megadása a tanúsítványprofilrólSpecify supported platforms for the certificate profile

  1. A Tanúsítványprofil létrehozása varázsló Támogatott platformok oldalán adja meg azokat az operációs rendszereket, amelyeken telepíteni szeretné a tanúsítványprofilt.On the Supported Platforms page of the Create Certificate Profile Wizard, select the operating systems where you want to install the certificate profile. Vagy kattintson az Összes kiválasztása elemre a tanúsítványprofil telepítéséhez az összes rendelkezésre álló operációs rendszeren.Or, click Select all to install the certificate profile to all available operating systems.
  2. Tekintse át a összegzés a varázsló oldalán válassza Befejezés.Review the Summary page of the wizard and choose Finish.

A tanúsítványprofil megjelenik a Tanúsítványprofilok csomópontja a eszközök és megfelelőség munkaterület, és a felhasználók vagy eszközök telepítésre kész profilok a System Center Configuration Manager központi telepítése.The new certificate profile appears in the Certificate Profiles node in the Assets and Compliance workspace and is ready to be deployed to users or devices as described in How to deploy profiles in System Center Configuration Manager.