Tworzenie profilów certyfikatówCreate certificate profiles

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Profile certyfikatów w programie Configuration Manager umożliwiają udostępnianie zarządzanych urządzeń przy użyciu certyfikatów potrzebnych do uzyskiwania dostępu do zasobów firmy.Use certificate profiles in Configuration Manager to provision managed devices with the certificates they need to access company resources. Przed utworzeniem profilów certyfikatów należy skonfigurować infrastrukturę certyfikatów zgodnie z opisem w temacie Konfigurowanie infrastruktury certyfikatów.Before creating certificate profiles, set up the certificate infrastructure as described in Set up certificate infrastructure.

Porada

W przypadku urządzeń współzarządzanych Rozważ przeniesienie obciążenia zasad dostępu do zasobów do usługi Intune.For co-managed devices, consider moving the Resource access policies workload to Intune. Następnie użyj zasad usługi Intune do zarządzania tymi certyfikatami.Then use Intune policies to manage these certificates. Aby uzyskać więcej informacji, zobacz Jak przełączyć obciążenia.For more information, see How to switch workloads.

W tym artykule opisano sposób tworzenia profilów certyfikatów zaufanych katalogów głównych i prosty protokół rejestrowania certyfikatów (SCEP).This article describes how to create trusted root and Simple Certificate Enrollment Protocol (SCEP) certificate profiles. Jeśli chcesz utworzyć profile certyfikatów PFX, zobacz Tworzenie profilów certyfikatów PFX.If you want to create PFX certificate profiles, see Create PFX certificate profiles.

Aby utworzyć profil certyfikatu:To create a certificate profile:

  1. Uruchom Kreatora tworzenia profilu certyfikatu.Start the Create Certificate Profile Wizard.
  2. Podaj ogólne informacje o certyfikacie.Provide general information about the certificate.
  3. Skonfiguruj Certyfikat zaufanego urzędu certyfikacji.Configure a trusted certificate authority (CA) certificate.
  4. Skonfiguruj informacje o certyfikacie SCEP.Configure SCEP certificate information.
  5. Określ obsługiwane platformy dla profilu certyfikatu.Specify supported platforms for the certificate profile.

Uruchom KreatoraStart the wizard

Aby rozpocząć tworzenie profilu certyfikatu:To start the Create Certificate Profile:

  1. W konsoli Configuration Manager przejdź do obszaru roboczego zasoby i zgodność , rozwiń węzeł Ustawienia zgodności, rozwiń kategorię dostęp do zasobów firmy, a następnie wybierz węzeł Profile certyfikatów .In the Configuration Manager console, go to the Assets and Compliance workspace, expand Compliance Settings, expand Company Resource Access, and then select the Certificate Profiles node.

  2. Na karcie Narzędzia główne wstążki w grupie Tworzenie wybierz pozycję Utwórz profil certyfikatu.On the Home tab of the ribbon, in the Create group, select Create Certificate Profile.

OgólneGeneral

Na stronie Ogólne kreatora Tworzenie profilu certyfikatu podaj następujące informacje:On the General page of the Create Certificate Profile Wizard, specify the following information:

  • Nazwa: podaj unikatową nazwę profilu certyfikatu.Name: Enter a unique name for the certificate profile. Możesz wprowadzić maksymalnie 256 znaków.You can use a maximum of 256 characters.

  • Opis: Podaj opis, który zawiera omówienie profilu certyfikatu.Description: Provide a description that gives an overview of the certificate profile. Należy również podać inne istotne informacje ułatwiające identyfikację w konsoli Configuration Manager.Also include other relevant information that helps to identify it in the Configuration Manager console. Możesz wprowadzić maksymalnie 256 znaków.You can use a maximum of 256 characters.

  • Określ typ profilu certyfikatu, który chcesz utworzyć:Specify the type of certificate profile that you want to create:

    • Certyfikat zaufanego urzędu certyfikacji: Wybierz ten typ, aby wdrożyć Certyfikat zaufanego głównego urzędu certyfikacji lub pośredniego urzędu certyfikacji w celu utworzenia łańcucha certyfikatów, gdy użytkownik lub urządzenie musi uwierzytelnić inne urządzenie.Trusted CA certificate: Select this type to deploy a trusted root certification authority (CA) or intermediate CA certificate to form a certificate chain of trust when the user or device must authenticate another device. Urządzeniem tym może być na przykład serwer Usługi telefonujących użytkowników zdalnego uwierzytelniania (RADIUS) lub serwer wirtualnej sieci prywatnej (VPN).For example, the device might be a Remote Authentication Dial-In User Service (RADIUS) server or a virtual private network (VPN) server.

      Skonfiguruj również profil certyfikatu zaufanego urzędu certyfikacji, aby móc utworzyć profil certyfikatu SCEP.Also configure a trusted CA certificate profile before you can create a SCEP certificate profile. W takim przypadku certyfikat zaufanego urzędu certyfikacji musi być przeznaczony dla urzędu certyfikacji, który wystawia certyfikat użytkownikowi lub urządzeniu.In this case, the trusted CA certificate must be for the CA that issues the certificate to the user or device.

    • Ustawienia prosty protokół rejestrowania certyfikatów (SCEP): Wybierz ten typ, aby zażądać certyfikatu dla użytkownika lub urządzenia z prosty protokół rejestrowania certyfikatów i usługą roli usługi rejestracji urządzeń sieciowych (NDES).Simple Certificate Enrollment Protocol (SCEP) settings: Select this type to request a certificate for a user or device with the Simple Certificate Enrollment Protocol and the Network Device Enrollment Service (NDES) role service.

    • Ustawienia wymiany informacji osobistych PKCS #12 (pfx) — import: Wybierz tę opcję, aby ZAIMPORTOWAĆ certyfikat PFX.Personal Information Exchange PKCS #12 (PFX) settings - Import: Select this option to import a PFX certificate. Aby uzyskać więcej informacji, zobacz Importowanie profilów certyfikatów PFX.For more information, see Import PFX certificate profiles.

    • Ustawienia wymiany informacji osobistych PKCS #12 (pfx) — Utwórz: Wybierz tę opcję, aby przetwarzać certyfikaty PFX przy użyciu urzędu certyfikacji.Personal Information Exchange PKCS #12 (PFX) settings - Create: Select this option to process PFX certificates using a certificate authority. Aby uzyskać więcej informacji, zobacz Tworzenie profilów certyfikatów PFX.For more information, see Create PFX certificate profiles.

Certyfikat zaufanego urzędu certyfikacjiTrusted CA certificate

Ważne

Przed utworzeniem profilu certyfikatu protokołu SCEP należy skonfigurować co najmniej jeden profil certyfikatu zaufanego urzędu certyfikacji.Before you create a SCEP certificate profile, configure at least one trusted CA certificate profile.

Po wdrożeniu certyfikatu w przypadku zmiany którejkolwiek z tych wartości zostanie zaproszony nowy certyfikat:After the certificate is deployed, if you change any of these values, a new certificate is requested:

  • Dostawca magazynu kluczyKey Storage Provider
  • Nazwa szablonu certyfikatuCertificate template name
  • Typ certyfikatuCertificate type
  • Format nazwy podmiotuSubject name format
  • Alternatywna nazwa podmiotuSubject alternative name
  • Okres ważności certyfikatuCertificate validity period
  • Użycie kluczaKey usage
  • Rozmiar kluczaKey size
  • Rozszerzone użycie kluczaExtended key usage
  • Certyfikat głównego urzędu certyfikacjiRoot CA certificate
  1. Na stronie Certyfikat zaufanego urzędu certyfikacji kreatora tworzenia profilu certyfikatu podaj następujące informacje:On the Trusted CA Certificate page of the Create Certificate Profile Wizard, specify the following information:

    • Plik certyfikatu: wybierz pozycję Importuj, a następnie przejdź do pliku certyfikatu.Certificate file: Select Import, and then browse to the certificate file.

    • Magazyn docelowy: w przypadku urządzeń mających więcej niż jeden magazyn certyfikatów należy wybrać miejsce przechowywania certyfikatu.Destination store: For devices that have more than one certificate store, select where to store the certificate. W przypadku urządzeń mających tylko jeden magazyn certyfikatów należy zignorować to ustawienie.For devices that have only one store, this setting is ignored.

  2. Użyj wartości odcisku palca certyfikatu , aby sprawdzić, czy został zaimportowany prawidłowy certyfikat.Use the Certificate thumbprint value to verify that you've imported the correct certificate.

Certyfikaty SCEPSCEP certificates

1. serwery SCEP1. SCEP Servers

Na stronie Serwery SCEP kreatora tworzenia profilu certyfikatu określ adresy URL serwerów NDES, które będą wystawiać certyfikaty przy użyciu protokołu SCEP.On the SCEP Servers page of the Create Certificate Profile Wizard, specify the URLs for the NDES Servers that will issue certificates via SCEP. Możesz automatycznie przypisać adres URL usługi NDES na podstawie konfiguracji punktu rejestracji certyfikatu lub ręcznie dodać adresy URL.You can automatically assign an NDES URL based on the configuration of the certificate registration point, or add URLs manually.

2. Rejestracja SCEP2. SCEP Enrollment

Ukończ rejestrację SCEP w Kreatorze tworzenia profilu certyfikatu.Complete the SCEP Enrollment page of the Create Certificate Profile Wizard.

  • Ponowne próby: Określ, ile razy urządzenie ma automatycznie ponawiać próbę żądania certyfikatu do serwera usługi NDES.Retries: Specify the number of times that the device automatically retries the certificate request to the NDES server. To ustawienie obsługuje scenariusz, w którym Menedżer urzędu certyfikacji musi zatwierdzić żądanie certyfikatu przed jego zaakceptowaniem.This setting supports the scenario where a CA manager must approve a certificate request before it's accepted. To ustawienie jest najczęściej używane w środowiskach o wysokim poziomie zabezpieczeń lub w przypadku autonomicznego urzędu wystawiającego certyfikaty, w odróżnieniu od urzędu certyfikacji przedsiębiorstwa.This setting is typically used for high-security environments or if you have a stand-alone issuing CA rather than an enterprise CA. Można także użyć tego ustawienia do celów testowych, aby skontrolować opcje żądania certyfikatu, zanim urząd wystawiający certyfikaty przetworzy żądanie certyfikatu.You might also use this setting for testing purposes so that you can inspect the certificate request options before the issuing CA processes the certificate request. Tego ustawienia używaj łącznie z ustawieniem Opóźnienie ponawiania (minuty) .Use this setting with the Retry delay (minutes) setting.

  • Opóźnienie ponawiania (minuty): określ interwał (w minutach) między kolejnymi próbami rejestracji w przypadku stosowania zatwierdzenia ze strony menedżera urzędu certyfikacji, zanim urząd wystawiający certyfikaty przetworzy żądanie certyfikatu.Retry delay (minutes): Specify the interval, in minutes, between each enrollment attempt when you use CA manager approval before the issuing CA processes the certificate request. W przypadku korzystania z zatwierdzania przez Menedżera w celach testowych należy określić niską wartość.If you use manager approval for testing purposes, specify a low value. Po zatwierdzeniu żądania nie masz długiego czasu na ponowne wykonanie żądania certyfikatu przez urządzenie.Then you're not waiting a long time for the device to retry the certificate request after you approve the request.

    Jeśli używasz zatwierdzania przez Menedżera w sieci produkcyjnej, określ wyższą wartość.If you use manager approval on a production network, specify a higher value. Takie zachowanie umożliwia administratorowi urzędu certyfikacji wystarczająco dużo czasu na zatwierdzenie lub odrzucenie oczekujących zatwierdzeń.This behavior allows sufficient time for the CA administrator to approve or deny pending approvals.

  • Próg odnawiania (%): określ wartość procentową pozostałego okresu ważności certyfikatu, przy której urządzenie ma żądać odnowienia certyfikatu.Renewal threshold (%): Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.

  • Dostawca magazynu kluczy (dostawcy magazynu kluczy): określ miejsce przechowywania klucza certyfikatu.Key Storage Provider (KSP): Specify where the key to the certificate is stored. Można wybrać jedną z następujących opcji:Choose from one of the following values:

    • Zainstaluj dla modułu TPM (Trusted Platform Module), jeśli obecny: instaluje klucz dla modułu TPM.Install to Trusted Platform Module (TPM) if present: Installs the key to the TPM. Jeśli moduł TPM nie jest obecny, klucz zostanie zainstalowany dla dostawcy magazynu dla klucza oprogramowania.If the TPM isn't present, the key is installed to the storage provider for the software key.

    • Zainstaluj dla modułu TPM (Trusted Platform Module), w przeciwnym razie błąd: instaluje klucz dla modułu TPM.Install to Trusted Platform Module (TPM) otherwise fail: Installs the key to the TPM. Jeśli moduł TPM nie jest obecny, instalacja nie powiedzie się.If the TPM module isn't present, the installation fails.

    • Zainstaluj w usłudze Windows Hello dla firm, w przeciwnym razie błąd: Ta opcja jest dostępna dla urządzeń z systemem Windows 10.Install to Windows Hello for Business otherwise fail: This option is available for Windows 10 devices. Umożliwia przechowywanie certyfikatu w Sklepie Windows Hello dla firm, który jest chroniony przez uwierzytelnianie wieloskładnikowe.It allows you to store the certificate in the Windows Hello for Business store, which is protected by multi-factor authentication. Aby uzyskać więcej informacji, zobacz Funkcja Windows Hello dla firm.For more information, see Windows Hello for Business.

      Uwaga

      Ta opcja nie obsługuje logowania za pomocą karty inteligentnej na potrzeby ulepszonego użycia klucza na stronie właściwości certyfikatu.This option doesn't support Smart card logon for the Enhanced key usage on the Certificate Properties page.

    • Zainstaluj dla dostawcy magazynu kluczy oprogramowania: instaluje klucz dla dostawcy magazynu kluczy oprogramowania.Install to Software Key Storage Provider: Installs the key to the storage provider for the software key.

  • Urządzenia do rejestracji certyfikatów: w przypadku wdrażania profilu certyfikatu w kolekcji użytkowników Zezwalaj na rejestrację certyfikatu tylko na podstawowym urządzeniu użytkownika lub na dowolnym urządzeniu, na którym loguje się użytkownik.Devices for certificate enrollment: If you deploy the certificate profile to a user collection, allow certificate enrollment only on the user's primary device, or on any device to which the user signs in.

    W przypadku wdrażania profilu certyfikatu w kolekcji urządzeń Zezwalaj na rejestrację certyfikatu tylko dla głównego użytkownika urządzenia lub dla wszystkich użytkowników logujących się na urządzeniu.If you deploy the certificate profile to a device collection, allow certificate enrollment for only the primary user of the device, or for all users that sign in to the device.

3. właściwości certyfikatu3. Certificate Properties

Na stronie Właściwości certyfikatu kreatora tworzenia profilu certyfikatu podaj następujące informacje:On the Certificate Properties page of the Create Certificate Profile Wizard, specify the following information:

  • Nazwa szablonu certyfikatu: wybierz nazwę szablonu certyfikatu, który został skonfigurowany w usłudze NDES i dodany do wystawiającego urzędu certyfikacji.Certificate template name: Select the name of a certificate template that you configured in NDES and added to an issuing CA. Aby pomyślnie przejść do szablonów certyfikatów, konto użytkownika musi mieć uprawnienia do odczytu szablonu certyfikatu.To successfully browse to certificate templates, your user account needs Read permission to the certificate template. Jeśli nie możesz przeglądać certyfikatu, wpisz jego nazwę.If you can't Browse for the certificate, type its name.

    Ważne

    Jeśli nazwa szablonu certyfikatu zawiera znaki nienależące do zestawu znaków ASCII, certyfikat nie zostanie wdrożony.If the certificate template name contains non-ASCII characters, the certificate isn't deployed. (Jeden z przykładów tych znaków jest z alfabetu chińskiego). Aby upewnić się, że certyfikat został wdrożony, należy najpierw utworzyć kopię szablonu certyfikatu w urzędzie certyfikacji.(One example of these characters is from the Chinese alphabet.) To make sure that the certificate is deployed, first create a copy of the certificate template on the CA. Następnie zmień nazwę kopii, używając znaków ASCII.Then rename the copy by using ASCII characters.

    • W przypadku wybrania nazwy szablonu certyfikatu niektóre pola na stronie automatycznie wypełniają szablon certyfikatu.If you browse to select the name of the certificate template, some fields on the page automatically populate from the certificate template. W niektórych przypadkach nie można zmienić tych wartości, chyba że wybierzesz inny szablon certyfikatu.In some cases, you can't change these values unless you choose a different certificate template.

    • W przypadku wpisywania nazwy szablonu certyfikatu upewnij się, że nazwa dokładnie odpowiada jednemu z szablonów certyfikatów.If you type the name of the certificate template, make sure that the name exactly matches one of the certificate templates. Musi odpowiadać nazwom wymienionym w rejestrze serwera usługi NDES.It must match the names that are listed in the registry of the NDES server. Upewnij się, że określono nazwę szablonu certyfikatu, a nie nazwę wyświetlaną szablonu certyfikatu.Make sure that you specify the name of the certificate template, and not the display name of the certificate template.

      Aby znaleźć nazwy szablonów certyfikatów, przejdź do następującego klucza rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP .To find the names of certificate templates, browse to the following registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Wyświetla listę szablonów certyfikatów jako wartości dla EncryptionTemplate, GeneralPurposeTemplatei SignatureTemplate.It lists the certificate templates as the values for EncryptionTemplate, GeneralPurposeTemplate, and SignatureTemplate. Dla wszystkich trzech szablonów certyfikatów domyślna wartość to IPSECIntermediateOffline, mapująca się na nazwę wyświetlaną szablonu IPSec (żądanie offline).By default, the value for all three certificate templates is IPSECIntermediateOffline, which maps to the template display name of IPSec (Offline request).

      Ostrzeżenie

      Po wpisaniu nazwy szablonu certyfikatu Configuration Manager nie może zweryfikować zawartości szablonu certyfikatu.When you type the name of the certificate template, Configuration Manager can't verify the contents of the certificate template. Może być możliwe wybranie opcji, których szablon certyfikatu nie obsługuje, co może spowodować niepowodzenie żądania certyfikatu.You may be able to select options that the certificate template doesn't support, which may result in a failed certificate request. W takim przypadku zobaczysz komunikat o błędzie dla w3wp.exe w pliku CPR. log, że nazwa szablonu w żądaniu podpisania certyfikatu (CSR) i wezwanie nie są zgodne.When this behavior happens, you'll see an error message for w3wp.exe in the CPR.log file that the template name in the certificate signing request (CSR) and the challenge don't match.

      Po wpisaniu nazwy szablonu certyfikatu określonego dla wartości GeneralPurposeTemplate wybierz szyfrowanie klucza i opcje podpisu cyfrowego dla tego profilu certyfikatu.When you type the name of the certificate template that's specified for the GeneralPurposeTemplate value, select the Key encipherment and the Digital signature options for this certificate profile. Jeśli w tym profilu certyfikatu chcesz włączyć tylko opcję szyfrowanie klucza , określ nazwę szablonu certyfikatu dla klucza EncryptionTemplate .If you want to enable only the Key encipherment option in this certificate profile, specify the certificate template name for the EncryptionTemplate key. Na podobnej zasadzie, jeśli w tym profilu certyfikatu chcesz włączyć tylko opcję Podpis cyfrowy , określ nazwę szablonu certyfikatu dla klucza SignatureTemplate .Similarly, if you want to enable only the Digital signature option in this certificate profile, specify the certificate template name for the SignatureTemplate key.

  • Typ certyfikatu: Określ, czy certyfikat ma zostać wdrożony na urządzeniu, czy dla użytkownika.Certificate type: Select whether you'll deploy the certificate to a device or a user.

  • Format nazwy podmiotu: Wybierz, jak Configuration Manager automatycznie utworzyć nazwę podmiotu w żądaniu certyfikatu.Subject name format: Select how Configuration Manager automatically creates the subject name in the certificate request. Jeśli certyfikat przeznaczony jest dla użytkownika, możesz również uwzględnić w nazwie podmiotu adres e-mail tego użytkownika.If the certificate is for a user, you can also include the user's email address in the subject name.

    Uwaga

    W przypadku wybrania numeru IMEI lub numeru seryjnegomożna odróżnić między różnymi urządzeniami należącymi do tego samego użytkownika.If you select IMEI number or Serial number, you can differentiate between different devices that are owned by the same user. Na przykład te urządzenia mogą współużytkować wspólną nazwę, ale nie numer IMEI lub numer seryjny.For example, those devices could share a common name, but not an IMEI number or serial number. Jeśli urządzenie nie raportuje numeru IMEI lub numerów seryjnych, certyfikat zostanie wystawiony przy użyciu nazwy pospolitej.If the device doesn't report an IMEI or serial number, the certificate is issued with the common name.

  • Alternatywna nazwa podmiotu: Określ sposób automatycznego tworzenia przez Configuration Manager wartości dla alternatywnej nazwy podmiotu (San) w żądaniu certyfikatu.Subject alternative name: Specify how Configuration Manager automatically creates the values for the subject alternative name (SAN) in the certificate request. Jeśli na przykład jako typ certyfikatu został wybrany typ użytkownika, w alternatywnej nazwie podmiotu można uwzględnić główną nazwę użytkownika (nazwę UPN).For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Jeśli certyfikat klienta zostanie uwierzytelniony na serwerze zasad sieciowych, należy ustawić alternatywną nazwę podmiotu dla nazwy UPN.If the client certificate will authenticate to a Network Policy Server, set the subject alternative name to the UPN.

  • Okres ważności certyfikatu: w przypadku ustawienia niestandardowego okresu ważności w urzędzie wystawiającym certyfikaty określ ilość czasu pozostałego do wygaśnięcia certyfikatu.Certificate validity period: If you set a custom validity period on the issuing CA, specify the amount of remaining time before the certificate expires.

    Porada

    Ustaw niestandardowy okres ważności z następującym wierszem polecenia: certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATESet a custom validity period with the following command line: certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Aby uzyskać więcej informacji na temat tego polecenia, zobacz Infrastruktura certyfikatów.For more information about this command, see Certificate infrastructure.

    Możesz określić wartość niższą niż okres ważności w określonym szablonie certyfikatu, ale nie wyższą.You can specify a value that's lower than the validity period in the specified certificate template, but not higher. Jeśli na przykład okres ważności certyfikatu w szablonie certyfikatu wynosi dwa lata, możesz określić wartość jednego roku, ale nie wartości pięciu lat.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year, but not a value of five years. Wartość musi być też niższa niż pozostały okres ważności certyfikatu urzędu wystawiającego certyfikaty.The value must also be lower than the remaining validity period of the issuing CA's certificate.

  • Użycie klucza: określ opcje użycia klucza certyfikatu.Key usage: Specify key usage options for the certificate. Wybierz jedną z następujących opcji:Choose from the following options:

    • Szyfrowanie klucza: Zezwalaj na wymianę kluczy tylko wtedy, gdy klucz jest zaszyfrowany.Key encipherment: Allow key exchange only when the key is encrypted.

    • Podpis cyfrowy: zezwalaj na wymianę kluczy tylko wtedy, gdy w ochronie klucza pomaga podpis cyfrowy.Digital signature: Allow key exchange only when a digital signature helps protect the key.

    Jeśli przeszukasz szablon certyfikatu, nie możesz zmienić tych ustawień, chyba że wybierzesz inny szablon certyfikatu.If you browsed for a certificate template, you can't change these settings, unless you select a different certificate template.

    Skonfiguruj wybrany szablon certyfikatu przy użyciu co najmniej jednej z dwóch opcji użycia klucza.Configure the selected certificate template with one or both of the two key usage options above. Jeśli nie, zobaczysz następujący komunikat w pliku dziennika punktu rejestracji certyfikatu, CRP. log: użycie klucza w CSR i wezwanie nie są zgodneIf not, you'll see the following message in the certificate registration point log file, Crp.log: Key usage in CSR and challenge do not match

  • Rozmiar klucza (bity): wybierz rozmiar klucza w bitach.Key size (bits): Select the size of the key in bits.

  • Rozszerzone użycie klucza: dodaje wartości dla zamierzonego celu certyfikatu.Extended key usage: Add values for the certificate's intended purpose. W większości przypadków certyfikat wymaga uwierzytelnienia klienta , aby użytkownik lub urządzenie mogły uwierzytelniać się na serwerze.In most cases, the certificate requires Client Authentication so that the user or device can authenticate to a server. W razie potrzeby można dodać dowolne inne użycie klucza.You can add any other key usages as required.

  • Algorytm skrótu: wybierz jeden z dostępnych typów algorytmu wyznaczania wartości skrótu do użycia z tym certyfikatem.Hash algorithm: Select one of the available hash algorithm types to use with this certificate. Wybierz najwyższy poziom zabezpieczeń obsługiwany przez podłączane urządzenia.Select the strongest level of security that the connecting devices support.

    Uwaga

    SHA-2 obsługuje algorytm SHA-256, SHA-384 i SHA-512.SHA-2 supports SHA-256, SHA-384, and SHA-512. SHA-3 obsługuje tylko algorytm SHA-3.SHA-3 supports only SHA-3.

  • Certyfikat głównego urzędu certyfikacji: Wybierz profil certyfikatu głównego urzędu certyfikacji, który został wcześniej skonfigurowany i wdrożony dla użytkownika lub urządzenia.Root CA certificate: Choose a root CA certificate profile that you previously configured and deployed to the user or device. Ten certyfikat urzędu certyfikacji musi być certyfikatem głównym urzędu certyfikacji, który będzie wystawiał certyfikat konfigurowany w tym profilu certyfikatu.This CA certificate must be the root certificate for the CA that will issue the certificate that you're configuring in this certificate profile.

    Ważne

    W przypadku określenia certyfikatu głównego urzędu certyfikacji, który nie został wdrożony dla użytkownika lub urządzenia, Configuration Manager nie zainicjuje żądania certyfikatu konfigurowanego w tym profilu certyfikatu.If you specify a root CA certificate that's not deployed to the user or device, Configuration Manager won't initiate the certificate request that you're configuring in this certificate profile.

Obsługiwane platformySupported platforms

Na stronie obsługiwane platformy Kreatora tworzenia profilu certyfikatu wybierz wersje systemu operacyjnego, w których chcesz zainstalować profil certyfikatu.On the Supported Platforms page of the Create Certificate Profile Wizard, select the OS versions where you want to install the certificate profile. Wybierz pozycję Zaznacz wszystko , aby zainstalować profil certyfikatu we wszystkich dostępnych systemach operacyjnych.Choose Select all to install the certificate profile to all available operating systems.

Następne krokiNext steps

Nowy profil certyfikatu zostanie wyświetlony w węźle Profile certyfikatów w obszarze roboczym zasoby i zgodność .The new certificate profile appears in the Certificate Profiles node in the Assets and Compliance workspace. Jest ona gotowa do wdrożenia dla użytkowników lub urządzeń.It's ready for you to deploy to users or devices. Aby uzyskać więcej informacji, zobacz jak wdrażać profile.For more information, see How to deploy profiles.