Konfigurowanie infrastruktury certyfikatów dla profilu SCEPConfigure certificate infrastructure for SCEP

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

W tym temacie opisano infrastrukturę potrzebną do utworzenia i wdrożenia profilów certyfikatów SCEP.This topic describes what infrastructure you need in order to create and deploy SCEP certificate profiles.

Infrastruktura lokalnaOn-premises infrastructure

  • Domena usługi Active Directory: wszystkie serwery wymienione w tej sekcji (z wyjątkiem serwera proxy aplikacji sieci Web) muszą być przyłączone do Twojej domeny usługi Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Urząd certyfikacji (CA): wymagany jest urząd certyfikacji przedsiębiorstwa z systemem Windows Server 2008 R2 lub nowszym w wersji Enterprise.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Autonomiczny urząd certyfikacji nie jest obsługiwany.A Standalone CA is not supported. Instrukcje dotyczące sposobu konfigurowania urzędu certyfikacji znajdują się w temacie Instalacja urzędu certyfikacji.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Jeśli na serwerze urzędu certyfikacji jest zainstalowany system Windows Server 2008 R2, należy najpierw zainstalować poprawkę z tematu KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564. II

  • Serwer usługi NDES: na serwerze z systemem Windows Server 2012 R2 lub nowszym należy skonfigurować usługę rejestracji urządzeń sieciowych (NDES).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Usługa Intune nie obsługuje usługi NDES uruchomionej na tym samym serwerze, na którym jest uruchomiony urząd certyfikacji przedsiębiorstwa.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Temat Wskazówki dotyczące usługi rejestracji urządzeń sieciowych zawiera instrukcje dotyczące sposobu konfiguracji systemu Windows Server 2012 R2 do hostowania usługi rejestracji urządzeń sieciowych.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Serwer usługi NDES musi być przyłączony do domeny hostującej urząd certyfikacji i nie może znajdować się na tym samym serwerze co ten urząd.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. Więcej informacji na temat wdrażania serwera usługi NDES w oddzielnym lesie, sieci izolowanej lub domenie wewnętrznej można znaleźć w temacie Używanie modułu zasad z usługą rejestracji urządzeń sieciowych.More information about deploying the NDES server in a separate forest, isolated network or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Łącznik certyfikatów usługi Microsoft Intune: używając konsoli administracyjnej usługi Intune, możesz pobrać instalatora łącznika certyfikatów (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Następnie możesz uruchomić plik ndesconnectorssetup.exe na komputerze, na którym chcesz zainstalować łącznik certyfikatów.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • Serwer proxy aplikacji sieci Web (opcjonalnie): jako serwera proxy aplikacji sieci Web (WAP) można użyć serwera z systemem Windows Server 2012 R2 lub nowszym.Web Application Proxy Server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Ta konfiguracja:This configuration:

    • Umożliwia urządzeniom otrzymywanie certyfikatów przy użyciu połączenia internetowego.Allows devices to receive certificates using an Internet connection.
    • Jest zalecana ze względów bezpieczeństwa w przypadku używania połączenia internetowego do pobierania i odnawiania certyfikatów przez urządzenia.Is a security recommendation when devices connect through the Internet to receive and renew certificates.

    Uwaga

    • Serwer proxy aplikacji sieci Web wymaga instalacji aktualizacji umożliwiającej obsługę długich adresów URL używanych przez usługę rejestracji urządzeń sieciowych.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service. Ta aktualizacja jest dostępna w ramach zbiorczego pakietu aktualizacji z grudnia 2014 r.lub osobno w temacie KB3011135.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • Ponadto serwer, który hostuje serwer proxy aplikacji sieci Web, musi mieć certyfikat SSL odpowiadający nazwie opublikowanej dla klientów zewnętrznych oraz uznawać certyfikat SSL używany na serwerze usługi NDES za zaufany.Also, the server that hosts WAP must have a SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. Te certyfikaty umożliwiają serwerowi proxy aplikacji sieci Web zakończenie połączenia SSL od klientów i utworzenie nowego połączenia SSL z serwerem usługi NDES.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. Informacje na temat certyfikatów dla serwera proxy aplikacji sieci Web zawiera sekcja Planowanie certyfikatów w temacie Planowanie publikowania aplikacji przy użyciu serwera proxy aplikacji sieci Web.For information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. Ogólne informacje na temat serwerów proxy aplikacji sieci Web znajdują się w temacie Praca z serwerem proxy aplikacji sieci Web.|For general information about WAP servers, see Working with Web Application Proxy.|

Wymagania dotyczące sieciNetwork requirements

Z Internetu do sieci obwodowej — zezwól na ruch przez port 443 ze wszystkich hostów/adresów IP w Internecie do serwera usługi NDES.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Z sieci obwodowej do sieci zaufanej — zezwól na ruch dotyczący wszystkich portów i protokołów wymaganych do zapewnienia dostępu do domeny na serwerze usługi NDES przyłączonym do domeny.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Serwer usługi NDES musi uzyskiwać dostęp do serwerów certyfikatów, serwerów DNS, serwerów programu Configuration Manager i kontrolerów domeny.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers and domain controllers.

Zaleca się publikowanie serwera usługi NDES za pośrednictwem serwera proxy, takiego jak serwer proxy aplikacji usługi Azure AD, serwer proxy dostępu do sieci Web lub serwer proxy innych firm.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Certyfikaty i szablonyCertificates and Templates

ObiektObject SzczegółyDetails
Szablon certyfikatuCertificate Template Ten szablon należy skonfigurować na serwerze wystawiającego urzędu certyfikacji.You configure this template on your issuing CA.
Certyfikat uwierzytelniania klientaClient authentication certificate Żądany od wystawiającego lub publicznego urzędu certyfikacji; instalowany na serwerze usługi NDES.Requested from your issuing CA or public CA, you install this certificate on the NDES Server.
Certyfikat uwierzytelniania serweraServer authentication certificate Żądany od wystawiającego lub publicznego urzędu certyfikacji; certyfikat SSL instalowany i powiązany w usługach IIS na serwerze usługi NDES.Requested from your issuing CA or public CA, you install and bind this SSL certificate in IIS on the NDES server.
Certyfikat zaufanego głównego urzędu certyfikacjiTrusted Root CA certificate Ten certyfikat należy wyeksportować jako plik cer z głównego urzędu certyfikacji lub dowolnego urządzenia uznającego główny urząd certyfikacji za zaufany, a następnie wdrożyć go na urządzeniach, korzystając z profilu certyfikatu zaufanego urzędu certyfikacji.You export this as a .cer file from the root CA or any device which trusts the root CA, and deploy it to devices by using the Trusted CA certificate profile.

Należy użyć jednego certyfikatu zaufanego głównego urzędu certyfikacji dla każdej platformy systemu operacyjnego i powiązać te certyfikaty z poszczególnymi utworzonymi profilami zaufanych certyfikatów głównych.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

W razie potrzeby można użyć dodatkowych certyfikatów zaufanego głównego urzędu certyfikacji.You can use additional Trusted Root CA certificates when needed. Można na przykład zrobić to, aby urząd certyfikacji podpisujący certyfikaty uwierzytelniania serwera dla punktów dostępowych Wi-Fi był traktowany jako zaufany.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

KontaAccounts

NazwaName SzczegółyDetails
Konto usługi NDESNDES service account Należy wskazać konto użytkownika domeny, które będzie używane jako konto usługi NDES.You specify a domain user account to use as the NDES Service account.

Konfigurowanie infrastrukturyConfigure your infrastructure

Skonfigurowanie profilów certyfikatów będzie możliwe po wykonaniu poniższych zadań wymagających znajomości systemu Windows Serwer 2012 R2 oraz usług certyfikatów Active Directory (ADCS):Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

Zadanie 1: Tworzenie konta usługi NDESTask 1: Create an NDES service account

Zadanie 2: Konfigurowanie szablonów certyfikatów w urzędzie certyfikacjiTask 2: Configure certificate templates on the certification authority

Zadanie 3: Konfigurowanie wymagań wstępnych na serwerze usługi NDESTask 3: Configure prerequisites on the NDES server

Zadanie 4: Konfigurowanie usługi NDES do użycia z usługą IntuneTask 4: Configure NDES for use with Intune

Zadanie 5: Włączanie, instalowanie i konfigurowanie łącznika certyfikatów usługi IntuneTask 5: Enable, install, and configure the Intune Certificate Connector

Zadanie 1 — Tworzenie konta usługi NDESTask 1 - Create an NDES service account

Utwórz konto użytkownika domeny, które będzie używane jako konto usługi NDES.Create a domain user account to use as the NDES service account. To konto należy wskazać podczas konfiguracji szablonów w urzędzie wystawiającym certyfikaty przed instalacją i konfiguracją usługi NDES.You will specify this account when you configure templates on the issuing CA before you install and configure NDES. Upewnij się, że użytkownik ma uprawnienia domyślne Logowanie lokalnie, Logowanie jako usługa i Logowanie w trybie wsadowym.Make sure the user has the default rights, Logon Localy, Logon as a Service and Logon as a batch job rights. Niektóre organizacje mają zaostrzone zasady wykluczające te uprawnienia.Some organizations have hardening policies that disable those rights.

Zadanie 2 — Konfigurowanie szablonów certyfikatów w urzędzie certyfikacjiTask 2 - Configure certificate templates on the certification authority

To zadanie obejmuje:In this task you will:

  • Konfigurowanie szablonu certyfikatu dla usługi NDESConfigure a certificate template for NDES

  • Publikowanie szablonu certyfikatu dla usługi NDESPublish the certificate template for NDES

Aby skonfigurować urząd certyfikacjiTo configure the certification authority
  1. Zaloguj się jako administrator przedsiębiorstwa.Log on as an enterprise administrator.

  2. Za pomocą przystawki Szablony certyfikatów dla wystawiającego urzędu certyfikacji utwórz nowy szablon niestandardowy lub skopiuj istniejący szablon, a następnie edytuj go (na przykład szablon użytkownika), aby używać go w usłudze NDES.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    Szablon wymaga następującej konfiguracji:The template must have the following configurations:

    • Określ przyjazną nazwę wyświetlaną szablonu .Specify a friendly Template display name for the template.

    • Na karcie Nazwa podmiotu zaznacz opcję Dostarcz w żądaniu.On the Subject Name tab, select Supply in the request. (Zabezpieczenia są wymuszane przez moduł zasad usługi Intune dla usługi NDES).(Security is enforced by the Intune policy module for NDES).

    • Na karcie Rozszerzenia upewnij się, że Opis zasad aplikacji obejmuje pozycję Uwierzytelnianie klienta.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Ważne

      W przypadku szablonów certyfikatów dla systemu iOS i Mac OS X na karcie Rozszerzenia edytuj pozycję Użycie klucza i upewnij się, że opcja Podpis jest dowodem pochodzenia nie jest zaznaczona.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • Na karcie Zabezpieczenia dodaj konto usługi NDES i przypisz do niego uprawnienia Rejestracja dla szablonu.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. Administratorzy usługi Intune, którzy będą tworzyć profile SCEP, muszą mieć prawa Odczyt, aby mogli przechodzić do szablonu podczas tworzenia profilów SCEP.Intune admins who will create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Uwaga

    Aby można było odwołać certyfikaty, konto usługi NDES musi mieć prawa Wystawianie certyfikatów i zarządzanie nimi do każdego szablonu certyfikatu używanego przez profil certyfikatu.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Sprawdź Okres ważności na karcie Ogólne szablonu.Review the Validity period on the General tab of the template. Domyślnie usługa Intune używa wartości skonfigurowanej w szablonie.By default, Intune uses the value configured in the template. Można jednak skonfigurować urząd certyfikacji tak, aby umożliwiał żądającemu określenie innej wartości, którą można następnie ustawić przy użyciu konsoli administratora w usłudze Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Jeśli chcesz, aby zawsze była używana wartość określona w szablonie, pomiń pozostałe czynności w tym kroku.If you want to always use the value in the template, skip the remainder of this step.

    Ważne

    W przypadku platform iOS i Mac OS X wartość ustawiona w szablonie jest używana zawsze, niezależnie od innych ustawień.The iOS and Mac OS X platforms always uses the value set in the template regardless of other configurations you make.

Oto zrzuty ekranu przykładowej konfiguracji szablonów.Here are screenshots of an example template configuration.

Szablon, karta obsługi żądań

Szablon, karta nazwy podmiotu

Szablon, karta zabezpieczeń

Szablon, karta rozszerzeń

Szablon, karta wymagań wystawiania

Ważne

W przypadku zasad aplikacji (czwarty zrzut ekranu) należy dodać tylko wymagane zasady aplikacji.For Application Policies (in the 4th screenshot), only add the application policies required. Należy uzgodnić wybrane opcje z administratorami zabezpieczeń.Confirm your choices with your security admins.

W celu skonfigurowania urzędu certyfikacji tak, aby umożliwiał żądającemu określenie okresu ważności, uruchom następujące polecenia w urzędzie certyfikacji:To configure the CA to allow the requester to specify the validity period, on the CA run the following commands:

  1. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
  2. net stop certsvcnet stop certsvc

  3. net start certsvcnet start certsvc

  1. Użyj przystawki Urząd certyfikacji dla wystawiającego urzędu certyfikacji, aby opublikować szablon certyfikatu.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    1. Zaznacz węzeł Szablony certyfikatów, kliknij pozycję Akcja-> Nowy > Szablon certyfikatu do wystawienia, a następnie wybierz szablon utworzony w kroku 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    2. Sprawdź, czy certyfikat został opublikowany, wyświetlając go w folderze Szablony certyfikatów .Validate that the template published by viewing it under the Certificate Templates folder.

Zadanie 3 — Konfigurowanie wymagań wstępnych na serwerze usługi NDESTask 3 - Configure prerequisites on the NDES server

To zadanie obejmuje:In this task you will:

  • Dodawanie usługi NDES do systemu Windows Serwer oraz konfigurowanie usługi IIS do obsługi usługi NDESAdd NDES to a Windows Server and configure IIS to support NDES

  • Dodawanie konta usługi NDES do grupy IIS_IUSRAdd the NDES Service account to the IIS_IUSR group

  • Ustawianie nazwy SPN dla konta usługi NDESSet the SPN for the NDES Service account

  1. Na serwerze, na którym będzie uruchomiona usługa NDES, należy zalogować się jako Administrator przedsiębiorstwa, a następnie użyć kreatora Dodaj role i funkcje w celu instalacji usługi NDES:On the server that will hosts NDES, you must log on as a an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. W kreatorze wybierz pozycję Usługi certyfikatów Active Directory, aby uzyskać dostęp do usług ról ADCS.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Zaznacz pozycję Usługa rejestracji urządzeń sieciowych, wyczyść pole wyboru Urząd certyfikacji, a następnie zakończ pracę kreatora.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Porada

      Na stronie kreatora Postęp instalacji nie klikaj pozycji Zamknij.On the Installation progress page of the wizard, do not click Close. Zamiast tego kliknij link Skonfiguruj usługi certyfikatów w usłudze Active Directory na serwerze docelowym.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Spowoduje to otwarcie kreatora Konfiguracja usług AD CS, przy użyciu którego wykonasz następne zadanie.This opens the AD CS Configuration wizard that you use for the next task. Po otwarciu kreatora Konfiguracja usług AD CS można zamknąć kreatora Dodaj role i funkcje.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Po dodaniu usługi NDES do serwera kreator przeprowadzi również instalację usług IIS.When NDES is added to the server, the wizard also installs IIS. Upewnij się, że usługi IIS są skonfigurowane w następujący sposób:Ensure IIS has the following configurations:

      • Serwer sieci Web > Zabezpieczenia > Filtrowanie żądańWeb Server > Security > Request Filtering

      • Serwer sieci Web > Projektowanie aplikacji > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Podczas instalacji programu ASP .NET 3.5 zostanie zainstalowany program .NET Framework 3.5.Installing ASP.NET 3.5 will install .NET Framework 3.5. Podczas instalacji programu .NET Framework 3.5 należy zainstalować zarówno podstawowy składnik .NET Framework 3.5, jak i składnik Aktywacja HTTP.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Serwer sieci Web > Projektowanie aplikacji > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Podczas instalacji programu ASP .NET 4.5 zostanie zainstalowany program .NET Framework 4.5.Installing ASP.NET 4.5 will install .NET Framework 4.5. Podczas instalacji programu .NET Framework 4.5 należy zainstalować podstawową funkcję .NET Framework 4.5, ASP.NET 4.5 oraz funkcję Usługi WCF > Aktywacja HTTP.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Narzędzia do zarządzania > Zgodność z narzędziami zarządzania usługami IIS w wersji 6 > Zgodność z metabazą usług IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Narzędzia do zarządzania > Zgodność z narzędziami zarządzania usługami IIS w wersji 6 > Zgodność z narzędziami WMI usług IIS w wersji 6Management Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Na serwerze dodaj konto usługi NDES jako element członkowski grupy IIS_IUSR.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Aby ustawić nazwę SPN konta usługi NDES, w oknie wiersza polecenia z podwyższonym poziomem uprawnień uruchom następujące polecenie:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Na przykład jeśli serwer usługi NDES nosi nazwę Serwer01, Twoja domena to Contoso.com, a konto usługi to UslugaNDES, użyj następującego polecenia:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

Zadanie 4 — Konfigurowanie usługi NDES do użycia z usługą IntuneTask 4 - Configure NDES for use with Intune

To zadanie obejmuje:In this task you will:

  • Konfigurowanie usługi NDES do użycia z urzędem wystawiającym certyfikatyConfigure NDES for use with the issuing CA

  • Powiązanie certyfikatu uwierzytelniania serwera (SSL) w usługach IISBind the server authentication (SSL) certificate in IIS

  • Konfigurowanie filtrowania żądań w usługach IISConfigure Request Filtering in IIS

Aby skonfigurować usługę NDES do użycia z usługą IntuneTo configure NDES for use with Intune
  1. Na serwerze NDES otwórz kreatora Konfiguracja usług AD CS, a następnie wprowadź następujące ustawienia.On the NDES Server, open the AD CS Configuration wizard and then make the following configurations.

    Porada

    Jeśli w poprzednim zadaniu kliknięto odpowiedni link, kreator jest już otwarty.If you clicked the link in the previous task, this wizard is already open. W przeciwnym przypadku otwórz Menedżera serwera, aby przejść do konfiguracji powdrożeniowej usług certyfikatów Active Directory.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • Na stronie Usługi ról wybierz pozycję Usługa rejestracji urządzeń sieciowych.On the Role Services Page, select the Network Device Enrollment Service.

    • Na stronie Konto usługi dla usługi rejestracji urządzeń sieciowych określ konto usługi NDES.On the Service Account for NDES page, specify the NDES Service Account.

    • Na stronie Urząd certyfikacji dla usługi rejestrowania urządzeń sieciowych kliknij pozycję Wybierz, a następnie wybierz urząd wystawiający certyfikaty, dla którego skonfigurowano szablon certyfikatu.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • Na stronie Kryptografia dla usługi rejestracji urządzeń sieciowych ustaw długość klucza zgodnie z wymaganiami firmy.On the Cryptography for NDES page, set the key length to meet your company requirements.

    Na stronie Potwierdzenie kliknij pozycję Konfiguruj, aby zakończyć pracę kreatora.On the Confirmation page, click Configure to complete the wizard.

  2. Po zakończeniu pracy kreatora edytuj następujący klucz rejestru na serwerze usługi NDES:After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Aby edytować ten klucz, określ przeznaczenie szablonu certyfikatu znajdujące się na karcie Obsługiwanie żądań, a następnie zmodyfikuj odpowiadający mu wpis w rejestrze, zamieniając istniejące dane na nazwę szablonu certyfikatu określoną w ramach zadania 1 (nie nazwę wyświetlaną szablonu).To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. Poniższa tabela zawiera mapowanie celów szablonu certyfikatu na wartości rejestru:The following table maps the certificate template purpose to the values in the registry:

    Cel szablonu certyfikatu (na karcie Obsługiwanie żądań)Certificate template Purpose (On the Request Handling tab) Wartość rejestru do edycjiRegistry value to edit Wartość wyświetlona w konsoli administratora usługi Intune dla profilu SCEPValue seen in the Intune admin console for the SCEP profile
    PodpisSignature SignatureTemplateSignatureTemplate Podpis cyfrowyDigital Signature
    SzyfrowanieEncryption EncryptionTemplateEncryptionTemplate Szyfrowanie kluczaKey Encipherment
    Podpis i szyfrowanieSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate Szyfrowanie kluczaKey Encipherment

    Podpis cyfrowyDigital Signature

    Na przykład jeśli Cel szablonu certyfikatu to Szyfrowanie, należy edytować wartość EncryptionTemplate i wprowadzić nazwę szablonu certyfikatu.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Serwer usługi NDES będzie otrzymywać bardzo długie adresy URL (zapytania), co wymaga dodania dwóch wpisów rejestru:The NDES server will receive very long URL’s (queries), which require that you add two registry entries:

    LokalizacjaLocation WartośćValue TypType DaneData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (dziesiętnie)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (dziesiętnie)65534 (decimal)
  4. W Menedżerze usług IIS wybierz pozycję Domyślna witryna sieci Web -> Filtrowanie żądań -> Edytuj ustawienia funkcji i zmień wartości Maksymalna długość adresu URL i Maksymalna długość ciągu zapytania na 65534, tak jak pokazano.In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    Maksymalna długość adresu URL i zapytania w programie IIS

  5. Uruchom ponownie serwer.Restart the server. Aby sfinalizować te zmiany, nie wystarczy uruchomić polecenie iisreset na serwerze.Running iisreset on the server will not be sufficient to finalize these changes.

  6. Przejdź do lokalizacji http://nazwa_FQDN/certsrv/mscep/mscep.dll.Browse to http://FQDN/certsrv/mscep/mscep.dll. Powinna zostać wyświetlona strona usługi NDES podobna do następującej:You should see an NDES page similar to this:

    Testowanie usługi NDES

    Jeśli zostanie zwrócony komunikat 503 Usługa niedostępna, sprawdź informacje w Podglądzie zdarzeń.If you get a 503 Service unavailable, check the eventviewer. Istnieje prawdopodobieństwo, że pula aplikacji jest zatrzymana z powodu braku prawa dla użytkownika usługi NDES.It's likely that the application pool is stopped due to a missing right for the NDES user. Te prawa opisano w zadaniu 1.Those rights are described in Task 1.

Aby zainstalować i powiązać certyfikaty na serwerze usługi NDESTo Install and bind certificates on the NDES Server
  1. Na serwerze usługi NDES zażądaj certyfikatu uwierzytelniania serwera od wewnętrznego lub publicznego urzędu certyfikacji i zainstaluj ten certyfikat.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Następnie powiąż ten certyfikat SSL w usługach IIS.You will then bind this SSL certificate in IIS.

    Porada

    Po powiązaniu certyfikatu SSL w usługach IIS zainstaluj również certyfikat uwierzytelniania klienta.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Ten certyfikat może zostać wystawiony przez dowolny urząd certyfikacji traktowany jako zaufany przez serwer usługi NDES.This certificate can be issued by any CA that is trusted by the NDES Server. Chociaż nie jest to zalecane, możesz użyć tego samego certyfikatu do uwierzytelniania serwera i klienta, o ile dany certyfikat ma obie wartości ulepszonego użycia klucza (EKU).Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKU’s). Poniższe kroki zawierają informacje na temat tych certyfikatów uwierzytelniania.Review the following steps for information about these authentication certificates.

    1. Po uzyskaniu certyfikatu uwierzytelniania serwera otwórz Menedżera usług IIS, kliknij pozycję Domyślna witryna sieci Web w okienku Połączenia, a następnie kliknij pozycję Powiązania w okienku Akcje .After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Kliknij pozycję Dodaj, ustaw wartość https w polu Typi upewnij się, że ustawiony port to 443.Click Add, set Type to https, and then ensure the port is 443. (W przypadku autonomicznej usługi Intune jest obsługiwany wyłącznie port 443).(Only port 443 is supported for standalone Intune.

    3. W polu Certyfikat SSLokreśl certyfikat uwierzytelniania serwera.For SSL certificate, specify the server authentication certificate.

      Uwaga

      Jeśli serwer NDES używa zarówno nazwy zewnętrznej, jak i wewnętrznej dla jednego adresu sieciowego, Nazwa podmiotu dla certyfikatu uwierzytelniania serwera musi zawierać zewnętrzną nazwę serwera publicznego, a Alternatywna nazwa podmiotu musi zawierać wewnętrzną nazwę serwera.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. Na serwerze usługi NDES zażądaj certyfikatu uwierzytelniania klienta od wewnętrznego lub publicznego urzędu certyfikacji i zainstaluj ten certyfikat.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Może to być ten sam certyfikat, którego użyto jako certyfikatu uwierzytelniania serwera, o ile ma on obie funkcje.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Certyfikat uwierzytelniania klienta musi mieć następujące właściwości:The client authentication certificate must have the following properties:

    Ulepszone użycie klucza — musi zawierać wartość Uwierzytelnianie klienta.Enhanced Key Usage - This must include Client Authentication.

    Nazwa podmiotu — musi być taka sama jak nazwa DNS serwera, na którym jest instalowany certyfikat (serwer usługi NDES).Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

Aby skonfigurować filtrowanie żądań w usługach IISTo configure IIS Request Filtering
  1. Na serwerze NDES otwórz Menedżera usług IIS, kliknij pozycję Domyślna witryna sieci Web w okienku Połączenia, a następnie otwórz Filtrowanie żądań.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Kliknij pozycję Edytuj ustawienia funkcji, a następnie wprowadź następujące ustawienia:Click Edit Feature Settings, and then set the following:

    Długość ciągu zapytania (w bajtach) = 65534query string (Bytes) = 65534

    Maksymalna długość adresu URL (w bajtach) = 65534Maximum URL length (Bytes) = 65534

  3. Sprawdź następujący klucz rejestru:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Upewnij się, że następujące wartości są ustawione jako wpisy typu DWORD:Ensure the following values are set as DWORD entries:

    Nazwa: MaxFieldLengtho wartości dziesiętnej 65534Name: MaxFieldLength, with a decimal value of 65534

    Nazwa: MaxRequestByteso wartości dziesiętnej 65534Name: MaxRequestBytes, with a decimal value of 65534

  4. Uruchom ponownie serwer usługi NDES.Reboot the NDES server. Teraz serwer jest gotowy do obsługi łącznika certyfikatów.The server is now ready to support the Certificate Connector.

Zadanie 5 — Włączanie, instalowanie i konfigurowanie łącznika certyfikatów usługi IntuneTask 5 - Enable, install, and configure the Intune Certificate Connector

To zadanie obejmuje:In this task you will:

Włączanie obsługi usługi NDES w usłudze Intune.Enable support for NDES in Intune.

Pobieranie, instalowanie i konfigurowanie łącznika certyfikatów na serwerze usługi NDES.Download, install, and configure the Certificate Connector on the NDES Server.

Aby włączyć obsługę łącznika certyfikatówTo enable support for the Certificate Connector
  1. Otwórz konsolę administracyjną usługi Intune i kliknij pozycję Administracja > Łącznik certyfikatów.Open the Intune administration console, click Admin > Certificate Connector.

  2. Kliknij pozycję Skonfiguruj lokalny łącznik certyfikatów.Click Configure On-Premises Certificate Connector.

  3. Kliknij pozycję Włącz łącznik certyfikatów, a następnie kliknij przycisk OK.Select Enable Certificate Connector, and then click OK.

Aby pobrać, zainstalować i skonfigurować łącznik certyfikatówTo download, install and configure the Certificate Connector
  1. Otwórz konsolę administracyjną usługi Intune, a następnie kliknij pozycję Administracja > Zarządzanie urządzeniami przenośnymi > Łącznik certyfikatów > Pobierz łącznik certyfikatów.Open the Intune administration console, and then click Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Po zakończeniu pobierania uruchom pobranego instalatora (ndesconnectorssetup.exe) na serwerze z systemem Windows Server 2012 R2.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. Instalator zainstaluje też moduł zasad dla usługi NDES i usługę sieci Web CRP.The installer also installs the policy module for NDES and the CRP Web Service. (Usługa sieci Web CRP, CertificateRegistrationSvc, jest uruchamiana jako aplikacja w usługach IIS.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Uwaga

    Podczas instalacji usługi NDES dla autonomicznej usługi Intune usługa CRP jest instalowana automatycznie wraz z łącznikiem certyfikatów.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. W przypadku używania usługi Intune z programem Configuration Manager punkt rejestracji certyfikatu (CRP) jest instalowany jako osobna rola systemu lokacji.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  3. Gdy zostanie wyświetlony monit o certyfikat klienta dla łącznika certyfikatów, kliknij pozycję Wybierz, a następnie wybierz certyfikat uwierzytelniania klienta zainstalowany na serwerze usługi NDES w ramach Zadania 3.When prompted for the client certificate for the Certificate Connector, click Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Po wybraniu certyfikatu uwierzytelniania klienta nastąpi powrót do widoku Certyfikat klienta dla łącznika certyfikatów w usłudze Microsoft Intune .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Chociaż wybrany certyfikat nie jest wyświetlany, kliknij przycisk Dalej, aby wyświetlić właściwości certyfikatu.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Kliknij przycisk Dalej, a następnie kliknij przycisk Zainstaluj.Then click Next, and then click Install.

  4. Po zakończeniu działania kreatora, ale przed jego zamknięciem, kliknij pozycję Uruchom interfejs użytkownika łącznika certyfikatów.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Porada

    Jeśli kreator zostanie zamknięty przed uruchomieniem interfejsu użytkownika łącznika certyfikatów, możesz uruchomić go za pomocą następującego polecenia:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <ścieżka_instalacji>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. W interfejsie użytkownika łącznika certyfikatów :In the Certificate Connector UI:

    Kliknij pozycję Zaloguj i wprowadź swoje poświadczenia administratora usługi Intune lub poświadczenia administratora dzierżawy z uprawnieniami administratora globalnego.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Jeśli Twoja organizacja korzysta z serwera proxy i jest on wymagany do połączenia serwera usługi NDES z Internetem, kliknij pozycję Użyj serwera proxy, a następnie wprowadź nazwę serwera proxy, port oraz poświadczenia konta, aby nawiązać połączenie.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Wybierz kartę Zaawansowane, wprowadź poświadczenia konta, do którego przypisano uprawnienia Wystawianie certyfikatów i zarządzanie nimi w urzędzie wystawiającym certyfikaty, a następnie kliknij pozycję Zastosuj.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Teraz możesz zamknąć interfejs użytkownika łącznika certyfikatów.You can now close the Certificate Connector UI.

  6. Otwórz wiersz polecenia, wpisz services.msc, a następnie naciśnij klawisz Enter, kliknij prawym przyciskiem myszy pozycję Usługa łącznika usługi Intune i kliknij polecenie Uruchom ponownie.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

Aby sprawdzić, czy usługa jest uruchomiona, otwórz przeglądarkę i wprowadź następujący adres URL, co powinno spowodować zwrócenie błędu 403 :To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

https://<nazwa_FQDN_serwera_usługi_NDES>/certsrv/mscep/mscep.dllhttps:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Następne krokiNext steps

Teraz można skonfigurować profile certyfikatów zgodnie z opisem w sekcji Konfigurowanie profilów certyfikatów.You are now ready to configure certificate profiles, as described in Configure certificate profiles.