PFX-certificaatprofielen maken met behulp van een certificeringsinstantie

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Meer informatie over het maken van een certificaatprofiel dat gebruikmaakt van een certificeringsinstantie voor referenties. In dit artikel worden specifieke informatie over PFX-certificaatprofielen (Personal Information Exchange) uitgelicht. Zie Certificaatprofielen voor meer informatie over het maken en configureren van deze profielen.

met Configuration Manager kunt u een PFX-certificaatprofiel maken met behulp van referenties die zijn uitgegeven door een certificeringsinstantie. U kunt Microsoft of Entrust als certificeringsinstantie kiezen. Bij implementatie op gebruikersapparaten genereren PFX-bestanden gebruikersspecifieke certificaten ter ondersteuning van versleutelde gegevensuitwisseling.

Zie PFX-certificaatprofielen importeren als u certificaatreferenties wilt importeren uit bestaande certificaatbestanden.

Voorwaarden

Voordat u begint met het maken van een certificaatprofiel, moet u ervoor zorgen dat de benodigde vereisten gereed zijn. Zie Vereisten voor certificaatprofielen voor meer informatie. Voor PFX-certificaatprofielen hebt u bijvoorbeeld een sitesysteemrol certificaatregistratiepunt nodig.

Een profiel maken

  1. Ga in de Configuration Manager-console naar de werkruimte Activa en naleving, vouw Nalevingsinstellingen uit, vouw Toegang tot bedrijfsresources uit en selecteer vervolgens Certificaatprofielen.

  2. Selecteer op het tabblad Start van het lint in de groep Maken de optie Certificaatprofiel maken.

  3. Geef op de pagina Algemeen van de wizard Certificaatprofiel maken de volgende informatie op:

    • Naam: voer een unieke naam in voor het certificaatprofiel. U kunt maximaal 256 tekens gebruiken.

    • Beschrijving: Geef een beschrijving op die een overzicht geeft van het certificaatprofiel waarmee het kan worden geïdentificeerd in de Configuration Manager-console. U kunt maximaal 256 tekens gebruiken.

  4. Selecteer Personal Information Exchange - PKCS #12 (PFX)-instellingen - Maken. Met deze optie wordt een certificaat namens een gebruiker aangevraagd bij een verbonden on-premises certificeringsinstantie (CA). Kies uw certificeringsinstantie: Microsoft of Entrust.

    Opmerking

    Met de optie Importeren wordt informatie opgehaald uit een bestaand certificaat om een certificaatprofiel te maken. Zie PFX-certificaatprofielen importeren voor meer informatie.

  5. Selecteer op de pagina Ondersteunde platforms de versies van het besturingssysteem die door dit certificaatprofiel worden ondersteund. Zie Ondersteunde besturingssysteemversies voor clients en apparaten voor meer informatie over ondersteunde besturingssysteemversies voor uw versie van Configuration Manager.

  6. Kies op de pagina Certificeringsinstanties het certificaatregistratiepunt (CRP) om de PFX-certificaten te verwerken:

    1. Primaire site: kies de server met de CRP-functie voor de CA.
    2. Certificeringsinstanties: selecteer de relevante CA.

    Zie Certificaatinfrastructuur voor meer informatie.

De instellingen op de pagina PFX-certificaat variëren, afhankelijk van de geselecteerde CA op de pagina Algemeen :

PFX-certificaatinstellingen configureren voor Microsoft CA

  1. Kies de certificaatsjabloon voor de naam van de certificaatsjabloon.

  2. Als u het certificaatprofiel wilt gebruiken voor S/MIME-ondertekening of -versleuteling, schakelt u Certificaatgebruik in.

    Wanneer u deze optie inschakelt, worden alle PFX-certificaten die zijn gekoppeld aan de doelgebruiker op al hun apparaten geleverd. Als u deze optie niet inschakelt, ontvangt elk apparaat een uniek certificaat.

  3. Stel de indeling van de onderwerpnaam in op Algemene naam of Volledig DN-naam. Als u niet zeker weet welke u wilt gebruiken, neemt u contact op met uw CA-beheerder.

  4. Schakel voor alternatieve onderwerpnaamEmail adres en UPN (User Principle Name) in, afhankelijk van uw CA.

  5. Drempelwaarde voor verlenging: bepaalt wanneer certificaten automatisch worden vernieuwd, op basis van het percentage van de resterende tijd voor de vervaldatum.

  6. Stel de geldigheidsperiode van het certificaat in op de levensduur van het certificaat.

  7. Wanneer het certificaatregistratiepunt Active Directory-referenties opgeeft, schakelt u Active Directory-publicatie in.

  8. Als u een of meer Windows 10 ondersteunde platforms hebt geselecteerd:

    1. Stel het Windows-certificaatarchief in op Gebruiker. (Met de optie Lokale computer worden geen certificaten geïmplementeerd. Kies deze niet.)

    2. Selecteer een van de volgende Key Storage Provider (KSP):

      • Installeren op Trusted Platform Module (TPM) indien aanwezig
      • Installeren op Trusted Platform Module (TPM) mislukt anders
      • Installeren om te Windows Hello voor Bedrijven anders mislukt
      • Installeren op softwaresleutelopslagprovider

  9. Voltooi de wizard.

PfX-certificaatinstellingen configureren voor Entrust CA

  1. Kies voor digitale id-configuratie het configuratieprofiel. De Entrust-beheerder maakt de configuratieopties voor digitale id's.

  2. Als u het certificaatprofiel wilt gebruiken voor S/MIME-ondertekening of -versleuteling, schakelt u Certificaatgebruik in.

    Wanneer u deze optie inschakelt, worden alle PFX-certificaten die zijn gekoppeld aan de doelgebruiker op al hun apparaten geleverd. Als u deze optie niet inschakelt, ontvangt elk apparaat een uniek certificaat.

  3. Als u entrust-tokens voor de indeling van de onderwerpnaam wilt toewijzen aan Configuration Manager velden, selecteert u Opmaak.

    In het dialoogvenster Certificaatnaamopmaak worden de configuratievariabelen van Entrust Digital ID weergegeven. Kies voor elke Entrust-variabele de juiste Configuration Manager velden.

  4. Als u Tokens voor alternatieve naam van Entrust-onderwerp wilt toewijzen aan ondersteunde LDAP-variabelen, selecteert u Opmaak.

    In het dialoogvenster Certificaatnaamopmaak worden de configuratievariabelen van Entrust Digital ID weergegeven. Kies voor elke Entrust-variabele de juiste LDAP-variabele.

  5. Drempelwaarde voor verlenging: bepaalt wanneer certificaten automatisch worden vernieuwd, op basis van het percentage van de resterende tijd voor de vervaldatum.

  6. Stel de geldigheidsperiode van het certificaat in op de levensduur van het certificaat.

  7. Wanneer het certificaatregistratiepunt Active Directory-referenties opgeeft, schakelt u Active Directory-publicatie in.

  8. Als u een of meer Windows 10 ondersteunde platforms hebt geselecteerd:

    1. Stel het Windows-certificaatarchief in op Gebruiker. (Met de optie Lokale computer worden geen certificaten geïmplementeerd. Kies deze niet.)

    2. Selecteer een van de volgende Key Storage Provider (KSP):

      • Installeren op Trusted Platform Module (TPM) indien aanwezig
      • Installeren op Trusted Platform Module (TPM) mislukt anders
      • Installeren om te Windows Hello voor Bedrijven anders mislukt
      • Installeren op softwaresleutelopslagprovider

  9. Voltooi de wizard.

Het profiel implementeren

Nadat u een certificaatprofiel hebt gemaakt, is dit nu beschikbaar in het knooppunt Certificaatprofielen . Zie Profielen voor resourcetoegang implementeren voor meer informatie over het implementeren ervan.

Zie ook

Een nieuw certificaatprofiel maken

PFX-certificaatprofielen importeren

Wi-Fi-, VPN-, e-mail- en certificaatprofielen implementeren