Konfigurowanie certyfikatów PKCS i korzystanie z nich za pomocą usługi IntuneConfigure and use PKCS certificates with Intune

Usługa Intune obsługuje korzystanie z certyfikatów pary kluczy prywatny-publiczny (PKCS).Intune supports the use of private and public key pair (PKCS) certificates. Ten artykuł ułatwia skonfigurowanie wymaganej infrastruktury, takiej jak lokalne łączniki certyfikatów, wyeksportowanie certyfikatu PKCS, a następnie dodanie certyfikatu do profilu konfiguracji urządzenia w usłudze Intune.This article can help you configure the required infrastructure like on-premises certificate connectors, export a PKCS certificate, and then add the certificate to an Intune device configuration profile.

Usługa Microsoft Intune obejmuje wbudowane ustawienia umożliwiające korzystanie z certyfikatów PKCS na potrzeby dostępu do zasobów organizacji i uwierzytelniania w nich.Microsoft Intune includes built-in settings to use PKCS certificates for access and authentication to your organizations resources. Certyfikaty służą do uwierzytelniania i zabezpieczania dostępu do zasobów firmowych, takich jak sieć VPN lub sieć WiFi.Certificates authenticate and secure access to your corporate resources like a VPN or a WiFi network. Te ustawienia wdraża się na urządzeniach przy użyciu profilów konfiguracji urządzeń w usłudze Intune.You deploy these settings to devices using device configuration profiles in Intune.

Aby uzyskać więcej informacji o korzystaniu z zaimportowanych certyfikatów PKCS, zobacz artykuł o zaimportowanych certyfikatach PFX.For information about using imported PKCS certificates, see Imported PFX Certificates.

WymaganiaRequirements

Aby korzystać z certyfikatów PKCS za pomocą usługi Intune, musisz mieć następującą infrastrukturę:To use PKCS certificates with Intune, you'll need the following infrastructure:

  • Domena usługi Active Directory:Active Directory domain:
    Wszystkie serwery wymienione w tej sekcji muszą być dołączone do Twojej domeny usługi Active Directory.All servers listed in this section must be joined to your Active Directory domain.

    Aby uzyskać więcej informacji na temat instalowania i konfigurowania usługi Active Directory Domain Services (AD DS), zobacz Projekt i planowanie AD DS.For more information about installing and configuring Active Directory Domain Services (AD DS), see AD DS Design and Planning.

  • Urząd certyfikacji:Certification Authority:
    Urząd certyfikacji przedsiębiorstwa.An Enterprise Certification Authority (CA).

    Aby uzyskać informacje o sposobie instalowania i konfigurowania Usług certyfikatów Active Directory (AD CS), zobacz Usługi certyfikatów Active Directory — przewodnik krok po kroku.For information on installing and configuring Active Directory Certificate Services (AD CS), see Active Directory Certificate Services Step-by-Step Guide.

    Ostrzeżenie

    Usługa Intune wymaga uruchomienia usług AD CS z urzędu certyfikacji przedsiębiorstwa (CA), a nie autonomicznego urzędu certyfikacji.Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Klient:A client:
    Na potrzeby nawiązania połączenia z urzędem certyfikacji przedsiębiorstwa.To connect to the Enterprise CA.

  • Certyfikat główny:Root certificate:
    Wyeksportowana kopia certyfikatu głównego z urzędu certyfikacji przedsiębiorstwa.An exported copy of your root certificate from your Enterprise CA.

  • Łącznik certyfikatów PFX dla usługi Microsoft Intune:PFX Certificate Connector for Microsoft Intune:

    Aby uzyskać informacje na temat łącznika certyfikatów PFX, w tym wymagań wstępnych i wersji, zobacz Łączniki certyfikatów.For information about the PFX Certificate connector, including prerequisites and release versions, see Certificate connectors.

    Ważne

    Począwszy od wydania łącznika certyfikatów PFX w wersji 6.2008.60.607, łącznik usługi Microsoft Intune nie jest już wymagany w przypadku profilów certyfikatów PKCS.Beginning with the release of the PFX Certificate Connector, version 6.2008.60.607, the Microsoft Intune Connector is no longer required for PKCS certificate profiles. Łącznik certyfikatów PFX obsługuje wystawianie certyfikatów PKCS dla wszystkich platform urządzeń.The PFX Certificate Connector supports issuing PKCS certificates to all device platforms. Obejmuje to również następujące platformy, które nie są obsługiwane przez łącznik usługi Microsoft Intune:This includes the following platforms which aren’t supported by the Microsoft Intune Connector:

    • Android Enterprise — w pełni zarządzaneAndroid Enterprise – Fully Managed
    • Android Enterprise — dedykowaneAndroid Enterprise – Dedicated
    • Android Enterprise — firmowe urządzenia z profilem służbowymAndroid Enterprise – Corporate Owned Work Profile

Eksportowanie certyfikatu głównego z urzędu certyfikacji przedsiębiorstwaExport the root certificate from the Enterprise CA

Do uwierzytelnienia urządzenia za pomocą sieci VPN, sieci WiFi lub innych zasobów urządzenie potrzebuje certyfikatu głównego lub pośredniego urzędu certyfikacji.To authenticate a device with VPN, WiFi, or other resources, a device needs a root or intermediate CA certificate. Poniższe kroki objaśniają, jak uzyskać wymagany certyfikat z Twojego urzędu certyfikacji przedsiębiorstwa.The following steps explain how to get the required certificate from your Enterprise CA.

Użyj wiersza polecenia:Use a command line:

  1. Zaloguj się do serwera głównego urzędu certyfikacji przy użyciu konta administratora.Log into the Root Certification Authority server with Administrator Account.

  2. Przejdź do pozycji Start > Uruchom, a następnie wpisz Cmd, aby otworzyć wiersz polecenia.Go to Start > Run, and then enter Cmd to open command prompt.

  3. Podaj polecenie certutil -ca.cert ca_name.cer, aby wyeksportować certyfikat główny jako plik o nazwie ca_name.cer.Specify certutil -ca.cert ca_name.cer to export the Root certificate as a file named ca_name.cer.

Konfigurowanie szablonów certyfikatów w urzędzie certyfikacjiConfigure certificate templates on the CA

  1. Zaloguj się do swojego urzędu certyfikacji przedsiębiorstwa za pomocą konta z uprawnieniami administracyjnymi.Sign in to your Enterprise CA with an account that has administrative privileges.

  2. Otwórz konsolę Urząd certyfikacji, kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz pozycje Zarządzaj.Open the Certification Authority console, right-click Certificate Templates, and select Manage.

  3. Znajdź szablon certyfikatu Użytkownik, kliknij go prawym przyciskiem myszy i wybierz pozycję Duplikuj szablon, aby otworzyć obszar Właściwości nowego szablonu.Find the User certificate template, right-click it, and choose Duplicate Template to open Properties of New Template.

    Uwaga

    W scenariuszach podpisywania i szyfrowania wiadomości e-mail za pomocą protokołu S/MIME wielu administratorów używa oddzielnych certyfikatów do podpisywania i szyfrowania.For S/MIME email signing and encryption scenarios, many administrators use separate certificates for signing and encryption. Jeśli używasz usług certyfikatów usługi Microsoft Active Directory, możesz użyć szablonu Tylko podpis programu Exchange na potrzeby certyfikatów podpisywania wiadomości e-mail za pomocą protokołu S/MIME i szablonu Użytkownik programu Exchange na potrzeby certyfikatów szyfrowania protokołu S/MIME.If you're using Microsoft Active Directory Certificate Services, you can use the Exchange Signature Only template for S/MIME email signing certificates, and the Exchange User template for S/MIME encryption certificates. Jeśli używasz urzędu certyfikacji innej firmy, zalecane jest przejrzenie ich wskazówek dotyczących definiowania szablonów podpisywania i szyfrowania.If you're using a 3rd-party certification authority, it's suggested to review their guidance to set up signing and encryption templates.

  4. Na karcie Zgodność:On the Compatibility tab:

    • W opcji Urząd certyfikacji podaj wartość Windows Server 2008 R2Set Certification Authority to Windows Server 2008 R2
    • W opcji Odbiorca certyfikatu podaj wartość Windows 7 / Server 2008 R2Set Certificate recipient to Windows 7 / Server 2008 R2
  5. Na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz zrozumiały dla Ciebie tekst opisowy.On the General tab, set Template display name to something meaningful to you.

    Ostrzeżenie

    Domyślnie pole Nazwa szablonu ma taką samą wartość jak pole Nazwa wyświetlana szablonu bez spacji.Template name by default is the same as Template display name with no spaces. Zanotuj nazwę szablonu — będzie ona potrzebna później.Note the template name, you need it later.

  6. W obszarze Obsługiwanie żądań wybierz pozycję Zezwalaj na eksportowanie klucza prywatnego.In Request Handling, select Allow private key to be exported.

    Uwaga

    W odróżnieniu od protokołu SCEP w przypadku protokołu PKCS klucz prywatny certyfikatu jest generowany na serwerze, na którym jest zainstalowany łącznik, a nie na urządzeniu.In contrary to SCEP, with PKCS the certificate private key is generated on the server where the connector is installed and not on the device. Szablon certyfikatu musi zezwalać na eksport klucza prywatnego, aby łącznik certyfikatów mógł wyeksportować certyfikat PFX i wysłać go do urządzenia.It is required that the certificate template allows the private key to be exported, so that the certificate connector is able to export the PFX certificate and send it to the device.

    Należy jednak pamiętać, że certyfikaty są instalowane na samym urządzeniu przy użyciu klucza prywatnego oznaczonego jako niemożliwy do wyeksportowania.However, please note that the certificates are installed on the device itself with the private key marked as not exportable.

  7. W obszarze Kryptografia potwierdź, że Minimalny rozmiar klucza wynosi 2048.In Cryptography, confirm that the Minimum key size is set to 2048.

  8. W obszarze Nazwa podmiotu wybierz pozycję Podaj w żądaniu.In Subject Name, choose Supply in the request.

  9. W obszarze Rozszerzenia upewnij się, że w sekcji Zasady aplikacji wyświetlane są pozycje System szyfrowania plików, Bezpieczna poczta e-mail i Uwierzytelnienie klienta.In Extensions, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Ważne

    W przypadku szablonów certyfikatów dla systemu iOS/iPadOS przejdź na kartę Rozszerzenia, zaktualizuj pozycję Użycie klucza i upewnij się, że opcja Podpis jest dowodem pochodzenia nie jest zaznaczona.For iOS/iPadOS certificate templates, go to the Extensions tab, update Key Usage, and confirm that Signature is proof of origin isn't selected.

  10. W obszarze Zabezpieczenia dodaj konto komputera dla serwera, na którym instalowany jest łącznik usługi Microsoft Intune.In Security, add the Computer Account for the server where you install the Microsoft Intune Connector. Nadaj dla tego konta uprawnienia Odczyt i Rejestracja.Allow this account Read and Enroll permissions.

  11. Wybierz kolejno pozycje Zastosuj > OK, aby zapisać szablon certyfikatu.Select Apply > OK to save the certificate template. Zamknij okno Konsola szablonów certyfikatów.Close the Certificate Templates Console.

  12. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów > Nowy > Szablon certyfikatu do wystawienia.In the Certification Authority console, right-click Certificate Templates > New > Certificate Template to Issue. Wybierz szablon utworzony w poprzednich krokach.Choose the template that you created in the previous steps. Wybierz przycisk OK.Select OK.

  13. W przypadku serwera do zarządzania certyfikatami dla zarejestrowanych urządzeń i użytkowników wykonaj następujące kroki:For the server to manage certificates for enrolled devices and users, use the following steps:

    1. Kliknij prawym przyciskiem myszy urząd certyfikacji, a następnie wybierz pozycję Właściwości.Right-click the Certification Authority, choose Properties.
    2. Na karcie Zabezpieczenia dodaj konto komputera serwera, na którym uruchamiasz łączniki (łącznik certyfikatów usługi Microsoft Intune lub łącznik certyfikatów PFX dla usługi Microsoft Intune).On the security tab, add the Computer account of the server where you run the connectors (Microsoft Intune Connector or PFX Certificate Connector for Microsoft Intune).
    3. Dla konta komputera przydziel uprawnienia Wystawianie certyfikatów i zarządzanie nimi i Żądaj certyfikatów.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  14. Wyloguj się z urzędu certyfikacji przedsiębiorstwa.Sign out of the Enterprise CA.

Pobieranie, instalowanie i konfigurowanie łącznika certyfikatów PFXDownload, install, and configure the PFX Certificate Connector

Przed rozpoczęciem sprawdź wymagania dotyczące łącznika i upewnij się, że środowisko i serwer systemu Windows jest w stanie zapewnić obsługę łącznika.Before you begin, review requirements for the connector and ensure your environment and your Windows server is ready to support the connector.

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz pozycję Administracja dzierżawą > Łączniki i tokeny > Łączniki certyfikatu > + Dodaj.Select Tenant administration > Connectors and tokens > Certificate connectors > + Add.

  3. Wybierz pozycję Pobierz oprogramowanie łącznika certyfikatów dla łącznika standardów PKCS #12, a następnie zapisz plik łącznika w lokalizacji dostępnej z serwera, na którym ma zostać zainstalowany łącznik.Select Download the certificate connector software for the connector for PKCS #12, and save the file to a location you can access from the server where you're going to install the connector.

    Pobieranie łącznika usługi Microsoft Intune

  4. Po zakończeniu pobierania zaloguj się do serwera i uruchom instalator (PfxCertificateConnectorBootstrapper.exe).After the download completes, sign in to the server and run the installer (PfxCertificateConnectorBootstrapper.exe).

    • Po zaakceptowaniu domyślnej lokalizacji instalacji łącznik zostanie zainstalowany w ścieżce Program Files\Microsoft Intune\PFXCertificateConnector.When you accept the default installation location, the connector installs to Program Files\Microsoft Intune\PFXCertificateConnector.
    • Usługa łącznika jest uruchamiana na koncie systemu lokalnego.The connector service runs under the local system account. Jeśli na potrzeby dostępu do Internetu jest wymagany serwer proxy, potwierdź, że konto usługi lokalnej może uzyskać dostęp do ustawień serwera proxy na serwerze.If a proxy is required for internet access, confirm that the local service account can access the proxy settings on the server.
  5. Łącznik certyfikatów PFX dla usługi Microsoft Intune otwiera kartę Rejestracja po zakończeniu instalacji.The PFX Certificate Connector for Microsoft Intune opens the Enrollment tab after installation. Aby włączyć połączenie z usługą Intune, zaloguj się i wprowadź nazwę konta z globalnymi uprawnieniami administratora platformy Azure lub uprawnieniami administratora usługi Intune.To enable the connection to Intune, Sign In, and enter an account with Azure global administrator or Intune administrator permissions.

    Ostrzeżenie

    Domyślnie w systemie Windows Server opcja Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer jest włączona,co może spowodować problemy z logowaniem do usługi Office 365.By default, in Windows Server IE Enhanced Security Configuration is set to On which can cause issues with the sign-in to Office 365.

  6. Wybierz kartę Konto urzędu certyfikacji i podaj poświadczenia konta z uprawnieniem Wystawianie certyfikatów i zarządzanie nimi dla wystawiającego urzędu certyfikacji.Select the CA Account tab, and then enter credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority. Te poświadczenia będą używane do wystawiania i odwoływania certyfikatów w urzędzie certyfikacji.These credentials will be used to perform certificate issuance and certificate revocation on the Certificate Authority. (W wersjach łącznika certyfikatów PFX starszych niż 6.2008.60.612 te poświadczenia były używane tylko do odwoływania certyfikatów.)(Prior to the PFX certificate connector version 6.2008.60.612, these credentials were used only for certificate revocation.)

    Zastosuj zmiany.Apply your changes.

  7. Zamknij okno.Close the window.

  8. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Administracja dzierżawą > Łączniki i tokeny > Łączniki certyfikatu.In the Microsoft Endpoint Manager admin center, go back to Tenant administration > Connectors and tokens > Certificate connectors. Po kilku chwilach zostanie wyświetlony zielony znacznik wyboru, a stan połączenia zostanie zaktualizowany.In a few moments, a green check mark appears and the connection status updates. Serwer łącznika może się teraz komunikować z usługą Intune.The connector server can now communicate with Intune.

Tworzenie profilu zaufanego certyfikatuCreate a trusted certificate profile

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz następujące pozycje i przejdź do nich: Urządzenia > Profile konfiguracji > Utwórz profil.Select and go to Devices > Configuration profiles > Create profile.

  3. Wprowadź następujące właściwości:Enter the following properties:

    • Platforma: wybierz platformę urządzeń, które będą odbierać ten profil.Platform: Choose the platform of the devices that will receive this profile.
    • Profil: wybierz pozycję Zaufany certyfikatProfile: Select Trusted certificate
  4. Wybierz przycisk Utwórz.Select Create.

  5. W obszarze Podstawy wprowadź następujące właściwości:In Basics, enter the following properties:

    • Nazwa: Wprowadź opisową nazwę profilu.Name: Enter a descriptive name for the profile. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać.Name your profiles so you can easily identify them later. Na przykład dobra nazwa profilu to Profil z zaufanym certyfikatem dla całej firmy.For example, a good profile name is Trusted certificate profile for entire company.
    • Opis: Wprowadź opis profilu.Description: Enter a description for the profile. To ustawienie jest opcjonalne, ale zalecane.This setting is optional, but recommended.
  6. Wybierz pozycję Dalej.Select Next.

  7. W obszarze Ustawienia konfiguracji określ plik cer wcześniej wyeksportowanego certyfikatu głównego urzędu certyfikacji.In Configuration settings, specify the .cer file Root CA Certificate you previously exported.

    Uwaga

    W zależności od platformy wybranej w ramach Kroku 3 możesz mieć możliwość wyboru Magazynu docelowego certyfikatu lub jej nie mieć.Depending on the platform you chose in Step 3, you may or may not have an option to choose the Destination store for the certificate.

    Tworzenie profilu i przekazanie zaufanego certyfikatu

  8. Wybierz pozycję Dalej.Select Next.

  9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli RBAC i tagów zakresu w rozproszonej strukturze informatycznej.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Wybierz pozycję Dalej.Select Next.

  10. W obszarze Przypisania wybierz użytkownika lub grupy, które otrzymają Twój profil.In Assignments, select the user or groups that will receive your profile. Zaplanuj wdrożenie tego profilu dla tych samych grup, które odbierają profil certyfikatu PKCS.Plan to deploy this certificate profile to the same groups that receive the PKCS certificate profile. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.For more information on assigning profiles, see Assign user and device profiles.

    Wybierz pozycję Dalej.Select Next.

  11. (Dotyczy tylko systemu Windows 10) W obszarze Reguły stosowania określ reguły stosowania, aby uściślić przypisanie tego profilu.(Applies to Windows 10 only) In Applicability Rules, specify applicability rules to refine the assignment of this profile. Możesz przypisać profil lub zrezygnować z jego przypisania na podstawie edycji systemu operacyjnego lub wersji urządzenia.You can choose to assign or not assign the profile based on the OS edition or version of a device.

    Aby uzyskać więcej informacji, zobacz sekcję dotyczącą reguł stosowania w temacie Tworzenie profilu urządzenia w usłudze Microsoft Intune.For more information, see Applicability rules in Create a device profile in Microsoft Intune.

  12. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia.In Review + create, review your settings. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany.When you select Create, your changes are saved, and the profile is assigned. Zasady są również wyświetlane na liście profilów.The policy is also shown in the profiles list.

Tworzenie profilu certyfikatu PKCSCreate a PKCS certificate profile

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz następujące pozycje i przejdź do nich: Urządzenia > Profile konfiguracji > Utwórz profil.Select and go to Devices > Configuration profiles > Create profile.

  3. Wprowadź następujące właściwości:Enter the following properties:

    • Platforma: Wybierz platformę urządzeń.Platform: Choose the platform of your devices. Dostępne opcje:Your options:
      • Administrator urządzenia z systemem AndroidAndroid device administrator
      • Android Enterprise > Profil służbowy w pełni zarządzany, dedykowany i należący do firmyAndroid Enterprise > Fully Managed, Dedicated, and Corporate-Owned Work Profile
      • Android Enterprise > Tylko profil służbowyAndroid Enterprise > Work profile only
      • iOS/iPadOSiOS/iPadOS
      • macOSmacOS
      • Windows 10 lub nowszymWindows 10 and later
    • Profil: wybierz pozycję Certyfikat PKCSProfile: Select PKCS certificate

    Uwaga

    Na urządzeniach z profilem systemu Android Enterprise certyfikaty zainstalowane przy użyciu profilu certyfikatu PKCS nie są widoczne.On devices with an Android Enterprise profile, certificates installed using a PKCS certificate profile are not visible on the device. Aby potwierdzić pomyślne wdrożenie certyfikatu, sprawdź stan profilu w konsoli usługi Intune.To confirm successful certificate deployment, check the status of the profile in the Intune console.

  4. Wybierz przycisk Utwórz.Select Create.

  5. W obszarze Podstawy wprowadź następujące właściwości:In Basics, enter the following properties:

    • Nazwa: Wprowadź opisową nazwę profilu.Name: Enter a descriptive name for the profile. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać.Name your profiles so you can easily identify them later. Na przykład dobra nazwa profilu to Profil PKCS dla całej firmy.For example, a good profile name is PKCS profile for entire company.
    • Opis: Wprowadź opis profilu.Description: Enter a description for the profile. To ustawienie jest opcjonalne, ale zalecane.This setting is optional, but recommended.
  6. Wybierz pozycję Dalej.Select Next.

  7. Ustawienia, które można skonfigurować w obszarze Ustawienia konfiguracji, różnią się w zależności od wybranej platformy.In Configuration settings, depending on the platform you chose, the settings you can configure are different. Wybierz platformę dla ustawień szczegółowych:Select your platform for detailed settings:

    • Administrator urządzenia z systemem AndroidAndroid device administrator
    • Android EnterpriseAndroid Enterprise
    • iOS/iPadOSiOS/iPadOS
    • Windows 10Windows 10
    UstawienieSetting PlatformaPlatform SzczegółyDetails
    Próg odnawiania (%)Renewal threshold (%)
    • WszystkieAll
    Zalecana wartość to 20%Recommended is 20%
    Okres ważności certyfikatuCertificate validity period
    • WszystkieAll
    Jeśli szablon certyfikatu nie został zmieniony, wartość tej opcji może być ustawiona na jeden rok.If you didn't change the certificate template, this option may be set to one year.

    Użyj okresu ważności wynoszącego pięć dni lub więcej.Use a validity period of five days or greater. Gdy okres ważności jest krótszy niż pięć dni, istnieje duże prawdopodobieństwo, że certyfikat wejdzie w stan bliski wygaśnięcia lub wygaśnięcia, co może spowodować, że agent MDM na urządzeniach odrzuci certyfikat przed jego zainstalowaniem.When the validity period is less than five days, there is a high likelihood of the certificate entering a near-expiry or expired state, which can cause the MDM agent on devices to reject the certificate before it’s installed.
    Dostawca magazynu kluczyKey storage provider (KSP)
    • Windows 10Windows 10
    W przypadku systemu Windows wybierz miejsce przechowywania kluczy na urządzeniu.For Windows, select where to store the keys on the device.
    Urząd certyfikacjiCertification authority
    • WszystkieAll
    Wyświetla wewnętrzną w pełni kwalifikowaną nazwę domeny (nazwę FQDN) urzędu certyfikacji przedsiębiorstwa.Displays the internal fully qualified domain name (FQDN) of your Enterprise CA.
    Nazwa urzędu certyfikacjiCertification authority name
    • WszystkieAll
    Wyświetla nazwę urzędu certyfikacji przedsiębiorstwa, na przykład „Urząd certyfikacji firmy Contoso”.Lists the name of your Enterprise CA, such as "Contoso Certification Authority".
    Nazwa szablonu certyfikatuCertificate template name
    • WszystkieAll
    Wyświetla nazwę szablonu certyfikatu.Lists the name of your certificate template.
    Typ certyfikatuCertificate type
    • Android Enterprise (profil służbowy)Android Enterprise (Work Profile)
    • iOSiOS
    • macOSmacOS
    • Windows 10 lub nowszymWindows 10 and later
    Wybierz typ:Select a type:
    • Certyfikaty typu Użytkownik mogą zawierać atrybuty użytkownika i urządzenia w nazwie podmiotu i nazwie alternatywnej podmiotu (nazwie SAN) certyfikatu.User certificates can contain both user and device attributes in the subject and subject alternative name (SAN) of the certificate.
    • Certyfikaty typu Urządzenie mogą zawierać tylko atrybuty urządzenia w temacie i nazwie SAN certyfikatu.Device certificates can only contain device attributes in the subject and SAN of the certificate. Używaj certyfikatów typu Urządzenie na potrzeby scenariuszy, takich jak urządzenia bez użytkowników, np. kioski lub inne urządzenia udostępnione.Use Device for scenarios such as user-less devices, like kiosks or other shared devices.

      Ten wybór ma wpływ na format nazwy podmiotu.This selection affects the Subject name format.
    Format nazwy podmiotuSubject name format
    • WszystkieAll
    Aby uzyskać szczegółowe informacje na temat sposobu konfigurowania formatu nazwy podmiotu, zobacz Format nazwy podmiotu w dalszej części tego artykułu.For details on how to configure the subject name format, see Subject name format later in this article.

    W przypadku następujących platform format nazwy podmiotu jest określany na podstawie typu certyfikatu:For the following platforms, the Subject name format is determined by the certificate type:
    • Android Enterprise (profil służbowy)Android Enterprise (Work Profile)
    • iOSiOS
    • macOSmacOS
    • Windows 10 lub nowszymWindows 10 and later

    Alternatywna nazwa podmiotuSubject alternative name
    • WszystkieAll
    Dla pola Atrybut wybierz pozycję Główna nazwa użytkownika (UPN) , chyba że wymagana jest inna opcja, skonfiguruj odpowiednią Wartość, a następnie wybierz przycisk Dodaj.For Attribute, select User principal name (UPN) unless otherwise required, configure a corresponding Value, and then select Add.

    W przypadku obu typów certyfikatów jako alternatywnej nazwy podmiotu można użyć zmiennych lub tekstu statycznego.You can use variables or static text for the SAN of both certificate types. Użycie zmiennej nie jest wymagane.Use of a variable isn't required.

    Aby uzyskać więcej informacji, zobacz sekcję Format nazwy podmiotu w dalszej części tego artykułu.For more information, see Subject name format later in this article.
    Rozszerzone użycie kluczaExtended key usage
    • Administrator urządzenia z systemem AndroidAndroid device administrator
    • Android Enterprise (właściciel urządzenia, profil służbowy)Android Enterprise (Device Owner, Work Profile)
    • Windows 10Windows 10
    Certyfikaty wymagają zazwyczaj wprowadzenia wartości Uwierzytelnianie klienta, aby zapewnić użytkownikom lub urządzeniom możliwość uwierzytelnienia na serwerze.Certificates usually require Client Authentication so that the user or device can authenticate to a server.
    Zezwalaj wszystkim aplikacjom na dostęp do klucza prywatnegoAllow all apps access to private key
    • macOSmacOS
    Ustaw wartość Włącz, aby zezwolić aplikacjom skonfigurowanym dla skojarzonego urządzenia Mac na dostęp do klucza prywatnego certyfikatów PKCS.Set to Enable to give apps that are configured for the associated mac device access to the PKCS certificates private key.

    Aby uzyskać więcej informacji na temat tego ustawienia, zobacz AllowAllAppsAccess w sekcji Certificate Payload (Ładunek certyfikatu) dokumentu Configuration Profile Reference (Dokumentacja profilu konfiguracji) w dokumentacji dla deweloperów firmy Apple.For more information on this setting, see AllowAllAppsAccess the Certificate Payload section of Configuration Profile Reference in the Apple developer documentation.
    Certyfikat głównyRoot Certificate
    • Administrator urządzenia z systemem AndroidAndroid device administrator
    • Android Enterprise (właściciel urządzenia, profil służbowy)Android Enterprise (Device Owner, Work Profile)
    Wybierz profil certyfikatu głównego urzędu certyfikacji, który został wcześniej przypisany.Select a root CA certificate profile that was previously assigned.
  8. Wybierz pozycję Dalej.Select Next.

  9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli RBAC i tagów zakresu w rozproszonej strukturze informatycznej.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Wybierz pozycję Dalej.Select Next.

  10. W obszarze Przypisania wybierz użytkownika lub grupy, które otrzymają Twój profil.In Assignments, select the user or groups that will receive your profile. Zaplanuj wdrożenie tego profilu dla tych samych grup, które odbierają profil certyfikatu zaufanego.Plan to deploy this certificate profile to the same groups that receive the trusted certificate profile. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.For more information on assigning profiles, see Assign user and device profiles.

    Wybierz pozycję Dalej.Select Next.

  11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia.In Review + create, review your settings. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany.When you select Create, your changes are saved, and the profile is assigned. Zasady są również wyświetlane na liście profilów.The policy is also shown in the profiles list.

Format nazwy podmiotuSubject name format

Podczas tworzenia profilu certyfikatu PKCS dla poniższych platform opcje formatu nazwy podmiotu zależą od wybranego typu certyfikatu, Użytkownik lub Urządzenie .When you create a PKCS certificate profile for the following platforms, options for the subject name format depend on the Certificate type you select, either User or Device.

Platformy:Platforms:

  • Android Enterprise (profil służbowy)Android Enterprise (Work Profile)
  • iOSiOS
  • macOSmacOS
  • Windows 10 lub nowszymWindows 10 and later

Uwaga

Istnieje znany problem związany z używaniem protokołu PKCS do pobrania certyfikatów, ten sam, co w przypadku protokołu SCEP, gdy nazwa podmiotu w uzyskanym żądaniu podpisania certyfikatu (CSR) zawiera jeden z następujących znaków jako znak o zmienionym znaczeniu (poprzedzony ukośnikiem odwrotnym \):There is a known issue for using PKCS to get certificates which is the same issue as seen for SCEP when the subject name in the resulting Certificate Signing Request (CSR) includes one of the following characters as an escaped character (proceeded by a backslash \):

  • +
  • ;;
  • ,,
  • =
  • Typ certyfikatu UżytkownikUser certificate type
    Opcje formatu dla formatu nazwy podmiotu obejmują dwie zmienne: Nazwa pospolita (CN) i Adres e-mail (E) .Format options for the Subject name format include two variables: Common Name (CN) and Email (E). Dla wartości Nazwa pospolita (CN) można ustawić jedną z następujących zmiennych:Common Name (CN) can be set to any of the following variables:

    • CN={{UserName}} : główna nazwa użytkownika, taka jak janedoe@contoso.com.CN={{UserName}}: The user principal name of the user, such as janedoe@contoso.com.

    • CN={{AAD_Device_ID}} : identyfikator przypisany podczas rejestrowania urządzenia w usłudze Azure Active Directory (AD).CN={{AAD_Device_ID}}: An ID assigned when you register a device in Azure Active Directory (AD). Ten identyfikator jest zazwyczaj używany do uwierzytelniania za pomocą usługi Azure AD.This ID is typically used to authenticate with Azure AD.

    • CN={{SERIALNUMBER}} : unikatowy numer seryjny (SN) używany zwykle przez producenta do identyfikowania urządzenia.CN={{SERIALNUMBER}}: The unique serial number (SN) typically used by the manufacturer to identify a device.

    • CN={{IMEINumber}} : unikatowy numer IMEI (International Mobile Equipment Identity) używany do identyfikowania telefonu komórkowego.CN={{IMEINumber}}: The International Mobile Equipment Identity (IMEI) unique number used to identify a mobile phone.

    • CN={{OnPrem_Distinguished_Name}} : sekwencja względnych nazw wyróżniających rozdzielonych przecinkami, taka jak CN=Jan Nowak,OU=UserAccounts,DC=corp,DC=contoso,DC=com.CN={{OnPrem_Distinguished_Name}}: A sequence of relative distinguished names separated by comma, such as CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

      Aby użyć zmiennej {{OnPrem_Distinguished_Name}} , zsynchronizuj atrybut użytkownika onpremisesdistinguishedname z usługą Azure AD za pomocą programu Azure AD Connect.To use the {{OnPrem_Distinguished_Name}} variable, be sure to sync the onpremisesdistinguishedname user attribute using Azure AD Connect to your Azure AD.

    • CN={{onPremisesSamAccountName}} : administratorzy mogą synchronizować atrybut samAccountName z usługi Active Directory do usługi Azure AD za pomocą programu Azure AD Connect do atrybutu o nazwie onPremisesSamAccountName.CN={{onPremisesSamAccountName}}: Admins can sync the samAccountName attribute from Active Directory to Azure AD using Azure AD connect into an attribute called onPremisesSamAccountName. Usługa Intune może podstawić zmienną jako część żądania wystawienia certyfikatu w podmiocie certyfikatu.Intune can substitute that variable as part of a certificate issuance request in the subject of a certificate. Atrybut samAccountName jest nazwą logowania użytkownika, która jest używana do obsługi klientów i serwerów z poprzedniej wersji systemu Windows (starszej niż Windows 2000).The samAccountName attribute is the user sign-in name used to support clients and servers from a previous version of Windows (pre-Windows 2000). Format nazwy logowania użytkownika: NazwaDomeny\użytkownikTestowy lub tylko użytkownikTestowy.The user sign-in name format is: DomainName\testUser, or only testUser.

      Aby użyć zmiennej {{onPremisesSamAccountName}} , zsynchronizuj atrybut użytkownika onPremisesSamAccountName z usługą Azure AD za pomocą programu Azure AD Connect.To use the {{onPremisesSamAccountName}} variable, be sure to sync the onPremisesSamAccountName user attribute using Azure AD Connect to your Azure AD.

    Przy użyciu kombinacji jednej lub wielu spośród tych zmiennych i ciągów statycznych można utworzyć niestandardowy format nazwy podmiotu, na przykład:By using a combination of one or many of these variables and static strings, you can create a custom subject name format, such as:

    • CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=USCN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

    W tym przykładzie uwzględniono format nazwy podmiotu, który używa zmiennych CN i E oraz ciągów dla wartości jednostki organizacyjnej, organizacji, lokalizacji, stanu i kraju.That example includes a subject name format that uses the CN and E variables, and strings for Organizational Unit, Organization, Location, State, and Country values. Temat Funkcja CertStrToName zawiera opis tej funkcji i ciągi obsługiwane przez nią.CertStrToName function describes this function, and its supported strings.

  • Typ certyfikatu UrządzenieDevice certificate type
    Opcje na potrzeby formatu nazwy podmiotu obejmują następujące zmienne:Format options for the Subject name format include the following variables:

    • {{AAD_Device_ID}}{{AAD_Device_ID}}
    • {{Device_Serial}}{{Device_Serial}}
    • {{Device_IMEI}}{{Device_IMEI}}
    • {{SerialNumber}}{{SerialNumber}}
    • {{IMEINumber}}{{IMEINumber}}
    • {{AzureADDeviceId}}{{AzureADDeviceId}}
    • {{WiFiMacAddress}}{{WiFiMacAddress}}
    • {{IMEI}}{{IMEI}}
    • {{DeviceName}}{{DeviceName}}
    • {{FullyQualifiedDomainName}} (dotyczy tylko urządzeń z systemem Windows i urządzeń przyłączonych do domeny){{FullyQualifiedDomainName}} (Only applicable for Windows and domain-joined devices)
    • {{MEID}}{{MEID}}

    W polu tekstowym możesz określić te zmienne wraz z następującym po nich tekstem.You can specify these variables, followed by the text for the variable, in the textbox. Na przykład nazwa pospolita urządzenia o nazwie Urządzenie1 może zostać dodana jako CN={{DeviceName}}Urządzenie1.For example, the common name for a device named Device1 can be added as CN={{DeviceName}}Device1.

    Ważne

    • Aby uniknąć błędu, po określeniu zmiennej należy ująć ją w nawiasy klamrowe { }, jak pokazano w przykładzie.When you specify a variable, enclose the variable name in curly brackets { } as seen in the example, to avoid an error.
    • Właściwości urządzenia użyte w polach temat lub Nazwa SAN certyfikatu urządzenia, takie jak IMEI, SerialNumber i FullyQualifiedDomainName, są właściwościami, mogą zostać sfałszowane przez osobę z dostępem do urządzenia.Device properties used in the subject or SAN of a device certificate, like IMEI, SerialNumber, and FullyQualifiedDomainName, are properties that could be spoofed by a person with access to the device.
    • Urządzenie musi obsługiwać wszystkie zmienne określone w profilu certyfikatu, aby dla tego profilu możliwe było instalowanie na urządzeniu.A device must support all variables specified in a certificate profile for that profile to install on that device. Na przykład jeśli zmienna {{IMEI}} zostanie użyta w nazwie podmiotu profilu SCEP, a następnie zostanie przypisana do urządzenia, które nie ma numeru IMEI, instalacja profilu zakończy się niepowodzeniem.For example, if {{IMEI}} is used in the subject name of a SCEP profile and is assigned to a device that doesn't have an IMEI number, the profile fails to install.

Następne krokiNext steps

Użyj protokołu SCEP dla certyfikatów lub wystaw certyfikaty PKCS z poziomu usługi internetowej Symantec PKI Manager.Use SCEP for certificates, or issue PKCS certificates from a Symantec PKI manager web service.

Rozwiązywanie problemów z profilami certyfikatów PKCSTroubleshoot PKCS certificate profiles