Konfigurowanie infrastruktury certyfikatuConfigure certificate infrastructure

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

W tym temacie opisano elementy potrzebne do utworzenia i wdrożenia profilów certyfikatów PFX.This topic describes what you need in order to create and deploy .PFX certificate profiles.

Aby przeprowadzać uwierzytelnianie oparte na certyfikatach w organizacji, należy zastosować urząd certyfikacji przedsiębiorstwa.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

Do korzystania z profilów certyfikatu PFX w połączeniu z urzędem certyfikacji przedsiębiorstwa są wymagane również następujące elementy:To use .PFX Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • Komputer, który może komunikować się z urzędem certyfikacji, lub komputer urzędu certyfikacji.A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • Łącznik certyfikatów usługi Intune uruchamiany na komputerze, który może komunikować się z urzędem certyfikacji.The Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

Opis infrastruktury lokalnejOn-premises infrastructure description

  • Domena usługi Active Directory: wszystkie serwery wymienione w tej części (z wyjątkiem serwera proxy aplikacji sieci Web) muszą należeć do Twojej domeny usługi Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Urząd certyfikacji: wymagany jest urząd certyfikacji przedsiębiorstwa z systemem Windows Server 2008 R2 lub nowszym w wersji Enterprise.Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Autonomiczny urząd certyfikacji nie jest obsługiwany.A Standalone CA is not supported. Instrukcje dotyczące sposobu konfigurowania urzędu certyfikacji znajdują się w temacie Instalacja urzędu certyfikacji.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Jeśli na serwerze urzędu certyfikacji jest zainstalowany system Windows Server 2008 R2, należy najpierw zainstalować poprawkę z tematu KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Komputer, który może komunikować się z urzędem certyfikacji: alternatywnie można użyć komputera urzędu certyfikacji.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Łącznik certyfikatów usługi Microsoft Intune: używając konsoli administracyjnej usługi Intune, możesz pobrać instalatora łącznika certyfikatów (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Następnie możesz uruchomić plik ndesconnectorssetup.exe na komputerze, na którym chcesz zainstalować łącznik certyfikatów.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. W przypadku profilów certyfikatów PFX zainstaluj łącznik certyfikatów na komputerze, który komunikuje się z urzędem certyfikacji.For .PFX Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Serwer proxy aplikacji sieci Web (opcjonalnie): jako serwera proxy aplikacji sieci Web (WAP) można użyć serwera z systemem Windows Server 2012 R2 lub nowszym.Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Ta konfiguracja:This configuration:

    • Umożliwia urządzeniom otrzymywanie certyfikatów przy użyciu połączenia internetowego.Allows devices to receive certificates using an Internet connection.
    • Jest zalecana ze względów bezpieczeństwa w przypadku używania połączenia internetowego do pobierania i odnawiania certyfikatów przez urządzenia.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Uwaga
    • Serwer proxy aplikacji sieci Web wymaga instalacji aktualizacji umożliwiającej obsługę długich adresów URL używanych przez usługę rejestracji urządzeń sieciowych (NDES).The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service (NDES). Ta aktualizacja jest dostępna w ramach zbiorczego pakietu aktualizacji z grudnia 2014 r.lub osobno w temacie KB3011135.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • Ponadto serwer, który hostuje serwer proxy aplikacji sieci Web, musi mieć certyfikat SSL odpowiadający nazwie opublikowanej dla klientów zewnętrznych oraz uznawać certyfikat SSL używany na serwerze usługi NDES za zaufany.Also, the server that hosts WAP must have an SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. Te certyfikaty umożliwiają serwerowi proxy aplikacji sieci Web zakończenie połączenia SSL od klientów i utworzenie nowego połączenia SSL z serwerem usługi NDES.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. Informacje na temat certyfikatów dla serwera proxy aplikacji sieci Web zawiera sekcja Planowanie certyfikatów w temacie Planowanie publikowania aplikacji przy użyciu serwera proxy aplikacji sieci Web.For information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. Ogólne informacje na temat serwerów proxy aplikacji sieci Web znajdują się w temacie Praca z serwerem proxy aplikacji sieci Web.|For general information about WAP servers, see Working with Web Application Proxy.|

Certyfikaty i szablonyCertificates and Templates

ObiektObject SzczegółyDetails
Szablon certyfikatuCertificate Template Ten szablon należy skonfigurować na serwerze wystawiającego urzędu certyfikacji.You configure this template on your issuing CA.
Certyfikat zaufanego głównego urzędu certyfikacjiTrusted Root CA certificate Ten certyfikat należy wyeksportować w pliku w formacie .cer z urzędu wystawiającego certyfikaty lub dowolnego urządzenia traktującego urząd wystawiający certyfikaty jako zaufany, a następnie wdrożyć go na urządzeniach, korzystając z profilu certyfikatu zaufanego urzędu certyfikacji.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and deploy it to devices by using the Trusted CA certificate profile.

Należy użyć jednego certyfikatu zaufanego głównego urzędu certyfikacji dla każdej platformy systemu operacyjnego i powiązać te certyfikaty z poszczególnymi utworzonymi profilami zaufanych certyfikatów głównych.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

W razie potrzeby można użyć dodatkowych certyfikatów zaufanego głównego urzędu certyfikacji.You can use additional Trusted Root CA certificates when needed. Można na przykład zrobić to, aby urząd certyfikacji podpisujący certyfikaty uwierzytelniania serwera dla punktów dostępowych Wi-Fi był traktowany jako zaufany.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Konfigurowanie infrastrukturyConfigure your infrastructure

Aby można było skonfigurować profile certyfikatów, należy najpierw wykonać poniższe zadania.Before you can configure certificate profiles, you must complete the following tasks. Te zadania wymagają znajomości systemu Windows Server 2012 R2 oraz usług certyfikatów Active Directory (ADCS):These tasks require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • Zadanie 1 — Konfigurowanie szablonów certyfikatu w urzędzie certyfikacji.Task 1 - Configure certificate templates on the certification authority.
  • Zadanie 2 — Włączanie, instalacja i konfiguracja łącznika certyfikatów dla usługi Intune.Task 2 - Enable, install, and configure the Intune Certificate Connector.

Zadanie 1 — Konfigurowanie szablonów certyfikatu w urzędzie certyfikacjiTask 1 - Configure certificate templates on the certification authority

To zadanie obejmuje publikowanie szablonu certyfikatu.In this task, you will publish the certificate template.

Aby skonfigurować urząd certyfikacjiTo configure the certification authority
  1. Za pomocą przystawki Szablony certyfikatów dla wystawiającego urzędu certyfikacji utwórz nowy szablon niestandardowy lub skopiuj i zmodyfikuj istniejący szablon (na przykład szablon użytkownika), aby używać go z profilem PFX.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with .PFX.

    Dla szablonu należy uwzględnić następujące kwestie:The template must include the following:

    • Określ przyjazną nazwę wyświetlaną szablonu .Specify a friendly Template display name for the template.

    • Na karcie Nazwa podmiotu zaznacz opcję Dostarcz w żądaniu.On the Subject Name tab, select Supply in the request.

    • Na karcie Rozszerzenia upewnij się, że Opis zasad aplikacji obejmuje pozycję Uwierzytelnianie klienta.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Ważne

      W przypadku szablonów certyfikatów dla systemu iOS i Mac OS X na karcie Rozszerzenia edytuj pozycję Użycie klucza i upewnij się, że opcja Podpis jest dowodem pochodzenia nie jest zaznaczona.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Sprawdź Okres ważności na karcie Ogólne szablonu.Review the Validity period on the General tab of the template. Domyślnie usługa Intune używa wartości skonfigurowanej w szablonie.By default, Intune uses the value configured in the template. Można jednak skonfigurować urząd certyfikacji tak, aby umożliwiał żądającemu określenie innej wartości, którą można następnie ustawić przy użyciu konsoli administratora w usłudze Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Jeśli chcesz, aby zawsze była używana wartość określona w szablonie, pomiń pozostałe czynności w tym kroku.If you want to always use the value in the template, skip the remainder of this step.

    Ważne

    W przypadku platform iOS i Mac OS X wartość ustawiona w szablonie jest używana zawsze, niezależnie od innych ustawień.The iOS and Mac OS X platforms always uses the value set in the template, regardless of other configurations you make.

    W celu skonfigurowania urzędu certyfikacji tak, aby umożliwiał żądającemu określenie okresu ważności, uruchom następujące polecenia w urzędzie certyfikacji:To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Użyj przystawki Urząd certyfikacji dla wystawiającego urzędu certyfikacji, aby opublikować szablon certyfikatu.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Zaznacz węzeł Szablony certyfikatów, kliknij pozycję Akcja-> Nowy > Szablon certyfikatu do wystawienia, a następnie wybierz szablon utworzony w kroku 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Sprawdź, czy certyfikat został opublikowany, wyświetlając go w folderze Szablony certyfikatów .Validate that the template published by viewing it under the Certificate Templates folder.

  4. Na komputerze urzędu certyfikacji sprawdź, czy komputer hostujący łącznik certyfikatów usługi Intune ma uprawnienia do rejestracji, dzięki czemu może uzyskiwać dostęp do szablonu używanego podczas tworzenia profilu PFX.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the .PFX profile. Ustaw to uprawnienie na karcie Zabezpieczenia właściwości komputera urzędu certyfikacji.Set that permission on the Security tab of the CA computer properties.

Zadanie 2 — Włączanie, instalacja i konfiguracja łącznika certyfikatów dla usługi IntuneTask 2 - Enable, install, and configure the Intune Certificate Connector

To zadanie obejmuje:In this task you will:

Pobieranie, instalowanie i konfigurowanie łącznika certyfikatów.Download, install, and configure the Certificate Connector.

Aby włączyć obsługę łącznika certyfikatówTo enable support for the Certificate Connector
  1. Otwórz konsolę administracyjną usługi Intune i wybierz pozycję Administracja > Łącznik certyfikatów.Open the Intune administration console, and choose Admin > Certificate Connector.

  2. Wybierz pozycję Skonfiguruj lokalny łącznik certyfikatów.Choose Configure On-Premises Certificate Connector.

  3. Wybierz pozycję Włącz łącznik certyfikatów, a następnie kliknij przycisk OK.Select Enable Certificate Connector, and then choose OK.

Aby pobrać, zainstalować i skonfigurować łącznik certyfikatówTo download, install, and configure the Certificate Connector
  1. Otwórz konsolę administracyjną usługi Intune, a następnie wybierz pozycję Administracja > Zarządzanie urządzeniami przenośnymi > Łącznik certyfikatów > Pobierz łącznik certyfikatów.Open the Intune administration console, and then choose Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Po zakończeniu uruchom pobrany program instalacyjny (ndesconnectorssetup.exe).After the download completes, run the downloaded installer (ndesconnectorssetup.exe).

    Uruchom instalatora na komputerze, który może połączyć się z urzędem certyfikacji.Run the installer on the computer that is able to connect with the Certification Authority. Wybierz opcję dystrybucji certyfikatu PFX, a następnie wybierz pozycję Zainstaluj.Choose the .PFX Distribution option, and then choose Install. Po ukończeniu instalacji utwórz profil certyfikatu zgodnie z opisem w sekcji Konfigurowanie profilów certyfikatów.When the installation has completed, continue by creating a certificate profile as described in Configure certificate profiles.

  3. Gdy zostanie wyświetlony monit o certyfikat klienta dla łącznika certyfikatów, wybierz pozycję Wybierz, a następnie wybierz certyfikat uwierzytelniania klienta zainstalowany w zadaniu 3.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed in Task 3.

    Po wybraniu certyfikatu uwierzytelniania klienta nastąpi powrót do widoku Certyfikat klienta dla łącznika certyfikatów w usłudze Microsoft Intune .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Chociaż wybrany certyfikat nie jest wyświetlany, wybierz przycisk Dalej, aby wyświetlić właściwości certyfikatu.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Następnie wybierz przycisk Dalej, a następnie pozycję Zainstaluj.Then choose Next, and then Install.

  4. Po zakończeniu działania kreatora, ale przed jego zamknięciem, kliknij pozycję Uruchom interfejs użytkownika łącznika certyfikatów.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Porada

    Jeśli kreator zostanie zamknięty przed uruchomieniem interfejsu użytkownika łącznika certyfikatów, możesz uruchomić go za pomocą następującego polecenia:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <ścieżka_instalacji>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. W interfejsie użytkownika łącznika certyfikatów :In the Certificate Connector UI:

    a.a. Wybierz pozycję Zaloguj i wprowadź swoje poświadczenia administratora usługi Intune lub poświadczenia administratora dzierżawy z uprawnieniami administratora globalnego.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Wybierz kartę Zaawansowane, wprowadź poświadczenia konta, do którego przypisano uprawnienia Wystawianie certyfikatów i zarządzanie nimi w urzędzie wystawiającym certyfikaty.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Wybierz pozycję Zastosuj.Choose Apply.

    Teraz możesz zamknąć interfejs użytkownika łącznika certyfikatów.You can now close the Certificate Connector UI.

  6. Otwórz wiersz polecenia i wpisz services.msc.Open a command prompt and type services.msc. Naciśnij klawisz Enter, kliknij prawym przyciskiem myszy pozycję Usługa łącznika usługi Intune i wybierz polecenie Uruchom ponownie.Then press Enter, right-click the Intune Connector Service, and choose Restart.

Następne krokiNext steps

Teraz można skonfigurować profile certyfikatów zgodnie z opisem w sekcji Konfigurowanie profilów certyfikatów.You are now ready to set up certificate profiles, as described in Configure certificate profiles.

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback