Arbeta med MIM Certificate ManagerWorking with the MIM Certificate Manager

När du har börjat köra MIM 2016 och Certificate Manager kan du distribuera Windows Store-appen för MIM Certificate Manager så att användarna kan hantera sina fysiska smartkort, virtuella smartkort och programcertifikat.After you have MIM 2016 and Certificate Manager up and running, you can deploy the MIM Certificate Manager Windows store application so that your users can easily manage their physical smart cards, virtual smart cards and software certificates. Distribution av MIM CM-appen genomförs i följande steg:The steps to deploy MIM CM app are as follows:

  1. Skapa en certifikatmall.Create a certificate template.

  2. Skapa en profilmall.Create a profile template.

  3. Förbered appen.Prepare the app.

  4. Distribuera appen via SCCM eller Intune.Deploy the app via SCCM or Intune.

Skapa en certifikatmallCreate a certificate template

Du skapar en certifikatmall för CM-appen på samma sätt som du normalt skapar en certifikatmall, förutom att du måste se till att certifikatmallen är av version 3 eller senare.You create a certificate template for the CM app the same way you ordinarily would, except that you have to make sure that the certificate template is version 3 and up.

  1. Logga in på den server som kör AD CS (certifikatservern).Log into the server running AD CS (the certificate server).

  2. Öppna MMC.Open the MMC.

  3. Klicka på Arkiv > Lägg till/ta bort snapin-modul.Click File > Add/Remove Snap-in.;

  4. I listan Tillgängliga snapin-moduler klickar du på Certifikatmallar och sedan på Lägg till.In the Available snap-ins list, click Certificate Templates and then click Add.

  5. Du ser nu Certifikatmallar under Konsolrot i MMC.You will now see Certificate Templates under Console Root in the MMC. Dubbelklicka på den för att se alla tillgängliga certifikatmallar.Double click it to view all the available certificate templates.

  6. Högerklicka på mallen Smartkortsinloggning och klicka på Kopiera mall.Right-click the Smartcard Logon template and click Duplicate Template.

  7. Välj Windows Server 2008 på fliken Kompatibilitet under certifikatutfärdare, och välj Windows 8.1/Windows Server 2012 R2 under certifikatmottagare.On the Compatibility tab, under Certification Authority select Windows Server 2008 and under Certificate Recipient select Windows 8.1/Windows Server 2012 R2. Det här steget är mycket viktigt eftersom det säkerställer att du har en certifikatmall av version 3 (eller senare), och det är endast version 3 som fungerar med appen för certifikathantering.This step is crucial because it makes sure that you have a version 3 (or higher) certificate template, and only version 3 works with the certificate manager app. Om du inte skapade certifikatmallen på detta sätt går det, på grund av att versionen konfigureras första gången du skapar och sparar certifikatmallen, inte att ändra den till korrekt version och du måste skapa en ny innan du fortsätter.Because the version is set the first time you create and save the certificate template, if you didn’t create the certificate template in this way there is no way to modify it to the correct version and you should create a new one before proceeding.

  8. På fliken Allmänt i fältet Visningsnamn anger du det namn du vill ska visas i appens användargränssnitt, till exempel Inloggning för virtuellt smartkort.On the General tab, in the Display Name field, type the name you want to appear in the app's UI, such as Virtual Smart Card Logon.

  9. På fliken Hantering av begäranden ska Syfte ställas in på Signatur och kryptering under Gör följande...On the Request Handling tab, set the Purpose to Signature and encryption and under Do the following… väljer du Ställ frågor till användaren när registrering sker.select Prompt the user during enrollment.

  10. På fliken Kryptografi under Leverantörskategori väljer du Nyckellagringsprovider och Begäranden kan använda valfri provider som finns på användarens dator.On the Cryptography tab under Provider Category, select Key Storage Provider and Requests can use any provider available on the subject’s computer.

    Anteckning

    Nyckellagringsprovider visas endast som alternativ om din mall är av version 3.You will only see Key Storage Provider as an option if your template is version 3. Om du kan se den beror det förmodligen på att du inte skapade certifikatmallen på ett korrekt sätt med rätt version.If you don’t see it, you probably didn’t create the certificate template correctly with the correct version. Börja om från steg 5 ovan.Start over with step 5, above.

  11. På fliken Säkerhet lägger du till säkerhetsgruppen som du vill ge åtkomsten Registrera.On the Security tab, add the security group that you want to provide Enroll access for. Om du till exempel vill ge alla användare åtkomst väljer du gruppen Autentiserade användare och sedan Registreringsbehörigheter för dessa.For example, if you want to provide access to all users, select the Authenticated users group and then select Enroll permissions for them.

  12. Klicka på OK för att slutföra ändringarna och skapa den nya mallen.Click OK to finalize your changes and create the new template. Du ska se din nya mall i listan med certifikatmallar.You should be able to see your new template in the list of Certificate Templates.

  13. Välj Arkiv och klicka på Lägg till/ta bort snapin-modulen för att lägga till snapin-modulen för certifikatutfärdaren till MMC-konsolen.Select File and click Add/Remove Snap-in to add the Certification Authority snap-in to your MMC console. När du tillfrågas om vilken dator du vill hantera väljer du Lokal dator.When asked which computer you want to manage, select Local Computer.

  14. Expandera Certifikatutfärdare (lokal) i rutan till vänster i MMC och expandera sedan din certifikatutfärdare i listan med certifikatutfärdare.In the left pane of the MMC, expand Certification Authority (Local) and then expand your CA within the Certification Authority list.

  15. Högerklicka på Certifikatmallar, klicka på Ny > certifikatmall för att utfärda.Right-click Certificate Templates, click New > Certificate Template to Issue.

  16. Välj den nya mallen du har skapat i listan och klicka på OK.From the list select the new template you created and click OK.

Skapa en profilmallCreate a profile template

När du skapar en profilmall ska du se till att du konfigurerar den att skapa/ta bort det virtuella smartkortet och att ta bort insamlade data.Make sure when you create a profile template to set it to create/destroy the vSC and to remove the data collection. CM-appen kan inte hantera insamlade data, så det är viktigt att inaktivera den. Det gör du så här:The CM app cannot handle collected data, so it’s important to disable it, as follows.

  1. Logga in på CM-portalen som en användare med administratörsbehörighet.Log into the CM portal as a user with administrative privileges.

  2. Gå till Administration > Hantera profilmallar och markera rutan bredvid MIM CM Exempelprofilmall för smartkort och klicka sedan på Kopiera en markerad profilmall.Go to Administration > Manage Profile templates and make sure that the box is checked next to MIM CM Sample Smart Card Logon Profile Template and then click on Copy a selected profile template.

  3. Skriv in profilmallens namn och klicka på OK.Type the name of the profile template and click OK.

  4. På nästa skärm klickar du på Lägg till ny certifikatmall. Se till att markera kryssrutan bredvid namnet på Certifikatutfärdaren.In the next screen, click Add new certificate template and make sure to check the box next to the CA name.

  5. Markera rutan bredvid namnet på profilmallen Inloggning och klicka på Lägg till.Check the box next to the name of the profile template Logon and click Add.

  6. Ta bort mallen för smartkortsinloggning genom att markera rutan bredvid den och klicka på Ta bort markerade certifikatmallar och sedan på OK.Remove the SmartCardLogon template by checking the box next to it and then clicking Delete selected certificate templates and then OK.

  7. Bläddra ned till slutet av sidan och klicka på Ändra inställningar.Scroll down to the bottom and click Change settings.

  8. Markera kryssrutorna bredvid Skapa/ta bort virtuellt smartkort och Distribuera admin-nyckel.Check the boxes next to Create/Destroy virtual smart card and Diversify Admin Key.

  9. Under Princip för användar-PIN väljer du Anges av användaren.Under User PIN Policy select User Provided.

  10. I den vänstra rutan klickar du på Förnya princip > Ändra allmänna inställningar.In the left pane, click Renew Policy > Change general settings. Välj Återanvänd kort vid förnyelse och klicka på OK.Select Reuse card on renew and click OK.

  11. Du måste inaktivera datainsamlingsobjekt för varje princip genom att klicka på principen i den vänstra rutan, markera kryssrutan bredvid Exempeldataobjekt och sedan klicka på Ta bort datainsamlingsobjekt.You have to disable data collection items for each and every policy by clicking on the policy in the left pane, and then checking the box next to Sample data item and then click Delete data collection items. Klicka sedan på OK.Then click OK.

Förbereda CM-appen för distributionPrepare the CM app for deployment

  1. Kör följande kommando i kommandotolken för att packa upp appen och extrahera innehållet i en ny undermapp med namnet appx och skapa en kopia så att du inte ändrar den ursprungliga filen.In the command prompt, run the following command to unpack the app and extract the content into a new subfolder named appx and create a copy so that you don’t modify the original file.

    makeappx unpack /l /p <app package name>.appx /d ./appx
    ren <app package name>.appx <app package name>.appx.original
    cd appx
    
  2. Ändra namnet på den fil som heter CustomDataExample.xml till Custom.data i mappen appxIn the appx folder, change the name of the file called CustomDataExample.xml to Custom.data

  3. Öppna Custom.data-filen och ändra parametrarna efter behov.Open the Custom,data file and modify the parameters as necessary.

    URL för MIMCMMIMCM URL FQDN för portalen som du använde för att konfigurera CM.The FQDN of the portal you used to configure CM. Till exempel https://mimcmServerAddress/certificatemanagementFor example, https://mimcmServerAddress/certificatemanagement
    URL för ADFSADFS URL Ange URL:en för din AD FS om du tänker använda AD FS.If you will be using AD FS, insert your AD FS URL. Till exempel https://adfsServerSame/adfsFor example, https://adfsServerSame/adfs
    PrivacyUrlPrivacyUrl Du kan inkludera en webbadress till en sida som förklarar hanteringen av användarinformation som samlas in för certifikatregistrering.You can include an URL to a web page explaining what you do with the user details collected for certificate enrollment.
    SupportMailSupportMail Du kan ange en e-postadress för supportfrågor.You can include an email address for support issues.
    LobComplianceEnableLobComplianceEnable Du kan ställa in den här variabeln på sant eller falskt.You can set this to true or false. Som standard är den inställd på sant.By default it's set to true.
    MinimumPinLengthMinimumPinLength Som standard är den inställd på 6.By default it's set to 6.
    NonAdminNonAdmin Du kan ställa in den här variabeln på sant eller falskt.You can set this to true or false. Som standard är den inställd på falskt.By default it's set to false. Ändra bara det här om du vill att användare som inte är administratörer på sina datorer ska kunna registrera och förnya certifikat.Only modify this if you want users who are not admins on their computers to be able enroll and renew certificates.
  4. Spara filen och avsluta redigeraren.Save the file and exit the editor.

  5. Vid signeringen av paketet skapas en signeringsfil, så du måste ta bort den ursprungliga signeringsfilen med namnet AppxSignature.p7x.Signing the package creates a signing file, so you have to delete the original signing file named AppxSignature.p7x.

  6. Filen AppxManifest.xml anger signeringscertifikatets ämnesnamn.The AppxManifest.xml file specifies the subject name of the signing certificate. Öppna filen för att redigera den.Open this file to edit it.

  7. Du måste skaffa ett signeringscertifikat innan du startar det här avsnittet.You need to obtain a signing certificate before starting this section. Se steg 1 nedan, Aktivering av smartkort-förnyelse för icke-administratörer i MIM 2016 Certificate Manager.See below, Enabling smartcard renewal for non-admins in MIM 2016 Certificate Manager, step 1.

  8. I elementet <Identitet> ändrar du värdet för attributet Publisher, så att det blir identiskt med ämnet som anges i signeringscertifikatet, till exempel ”CN = ÄMNE”.In the <Identity> element, modify the value of the Publisher attribute to be identical to the subject listed in your signing certificate, for example “CN=SUBJECT”.

  9. Spara filen och avsluta redigeraren.Save the file and exit the editor.

  10. I Kommandotolken kör du följande kommando för att packa och signera .appx-filen på nytt,In the command prompt, run the following command to repack and sign the .appx file.

    cd ..
    makeappx pack /l /d .\appx /p <app package name>.appx
    

    där appaketets namn är samma namn du använde när du skapade kopian.where app package name is the same name you used when you created the copy.

    signtool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.ap
    px
    

    Detta ger den nya .appx-filen.This provides the new .appx file. Pfx-filen innehåller en plats för signeringscertifikatet och ett lösenord för PFX-filen.The pfx file provides a location for the signing certificate and a password for the .pfx file.

  11. Arbeta med AD FS-autentisering:To work with AD FS Authentication:

    • Starta appen för det virtuella smartkortet.Open the Virtual Smart Card application. På så sätt blir det lättare att hitta de värden som behövs för nästa steg.This makes it easier for you to find the values needed for the next step.

    • För att lägga till appen som en klient på AD FS-servern och konfigurera CM på servern öppnar du Windows PowerShell på AD FS-servern och kör kommandot ConfigureMimCMClientAndRelyingParty.ps1 –redirectUri <redirectUriString> -serverFQDN <MimCmServerFQDN>To add the application as a client onto the AD FS server and configure CM on the server, on the AD FS server, open Windows PowerShell and run the command ConfigureMimCMClientAndRelyingParty.ps1 –redirectUri <redirectUriString> -serverFQDN <MimCmServerFQDN>

      Följande är ConfigureMimCMClientAndRelyingParty.ps1-skriptet:The following is the ConfigureMimCMClientAndRelyingParty.ps1 script:

      # HELP
      
      <#
      .SYNOPSIS
                      Configure ADFS for CM client app and server.
      .DESCRIPTION
         What the Script does:
                                      a. Registers the MIM CM client app on the ADFS server.
                                      b. Registers the MIM CM server relying party (Tells the ADFS server that it issues tokens for the CM server).
                      For parameter information, see 'get-help -detailed'
      .PARAMETER redirectUri
                      The redirectUri for CM client app. Will be added to ADFS server.
                      It can be found as follows:
                      1. Open the settings panel. Under settings, there is a "Redirect Uri" text box (an ADFS server address must be configured in order for the text to display).
                      2. Open MIM CM client app. Navigate to 'C:\Users\<your_username>\AppData\Local\Packages\CmModernAppv.<version>\LocalState', and open 'Logs_Virtual Smart Card Certificate Manager_<version>'. Search for "Redirect URI".
      .PARAMETER serverFqdn
                      Your deployed MIM CM server’s FQDN.
      .EXAMPLE
         .\ConfigureMimCMClientAndRelyingParty.ps1 -redirectUri ms-app://s-1-15-2-0123456789-0123456789-0123456789-0123456789-0123456789-0123456789-0123456789/ -serverFqdn WIN-TRUR24L4CFS.corp.cmteam.com
      #>
      
      # Parameter declaration
      [CmdletBinding()]
      Param(
        [Parameter(Mandatory=$True)]
         [string]$redirectUri,
      
         [Parameter(Mandatory=$True)]
         [string]$serverFqdn
      )
      
      Write-Host "Configuring ADFS Objects for OAuth.."
      
      #Configure SSO to get persistent sign on cookie
      Set-ADFSProperties -SsoLifetime 2880
      
      #Configure Authentication Policy
      #Intranet to use Kerberos
      #Extranet to use U/P
      
      #Create Client Objects
      
      Write-Host "Creating Client Objects..."
      
      $existingClient = Get-ADFSClient -Name "MIM CM Modern App"
      
      if ($existingClient -ne $null)
      {
          Write-Host "Found existing instance of the MIM CM Modern App, removing"
          Remove-ADFSClient -TargetName "MIM CM Modern App"
          Write-Host "Client object removed"
      }
      
      Write-Host "Adding Client Object for MIM CM Modern App client"
      Add-ADFSClient -Name "MIM CM Modern App" -ClientId "70A8B8B1-862C-4473-80AB-4E55BAE45B4F" -RedirectUri $redirectUri
      Write-Host "Client Object for MIM CM Modern App client Created"
      
      #Create Relying Parties
      Write-Host "Creating Relying Party Objects"
      
      $existingRp = Get-ADFSRelyingPartyTrust -Name "MIM CM Service"
      if ($existingRp -ne $null)
      {
          Write-Host "Found existing instance of the MIM CM Service RP, removing"
          Remove-ADFSRelyingPartyTrust -TargetName "MIM CM Service"
          Write-Host "RP object Removed"
      }
      
      $authorizationRules =
      "@RuleTemplate = `"AllowAllAuthzRule`"
      => issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`");"
      
      $issuanceRules =
      "@RuleTemplate = `"LdapClaims`"
      @RuleName = `"Emit UPN and common name`"
      c:[Type == `"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname`", Issuer == `"AD AUTHORITY`"]
      => issue(store = `"Active Directory`", types =
      (`"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn`",
      `"http://schemas.xmlsoap.org/claims/CommonName`"), query =
      `";userPrincipalName,cn;{0}`", param = c.Value);
      
      @RuleTemplate = `"PassThroughClaims`"
      @RuleName = `"Pass through Windows Account Name`"
      c:[Type ==`"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname`"] => issue(claim = c);"
      
      Write-Host "Creating RP Trust for MIM CM Service"
      Add-ADFSRelyingPartyTrust -Name "MIM CM Service" -Identifier ("https://"+$serverFqdn+"/certificatemanagement") -IssuanceAuthorizationRules $authorizationRules -IssuanceTransformRules $issuanceRules
      Write-Host "RP Trust for MIM CM Service has been created"
      
    • Uppdatera värdena för redirectUri och serverFQDN.Update the values of redirectUri and serverFQDN.

    • Öppna den virtuella smartkortappens inställningssida för att hitta redirectUri genom att klicka på Inställningar och hitta omdirigerings-URI i listan under AD FS-serveradressfältet.To find the redirectUri, in the Virtual Smart Card application, open the application settings panel, click Settings, and the redirect URI should be listed under the AD FS server address bar. URI:n visas endast om en adress för AD FS-servern har konfigurerats.The URI will only appear if an ADFS server address is configured.

    • serverFQDN kan endast vara MIMCM-serverns fullständiga datornamn.The serverFQDN, is the MIMCM server full computer name only.

    • För att få hjälp med skriptet ConfigureMIimCMClientAndRelyingParty.ps1 kör get-help -detailed ConfigureMimCMClientAndRelyingParty.ps1For help with the ConfigureMIimCMClientAndRelyingParty.ps1 script, run get-help -detailed ConfigureMimCMClientAndRelyingParty.ps1

Distribuera appenDeploy the app

När du konfigurerar CM-appen hämtar du filen MIMDMModernApp_<version>AnyCPU_Test.zip i Download Center och extraherar allt dess innehåll.When you set up the CM app, in the Download Center, download the file MIMDMModernApp<version>_AnyCPU_Test.zip and extract all its contents. .appx-filen är installationsprogrammet.The .appx file is the installer. Du kan distribuera den på samma sätt du normalt distribuerar appar från Windows Store, genom att använda System Center Configuration Manager eller Intune för att läsa in appen separat så att användare kan få åtkomst till den genom företagsportalen eller genom att den överförs direkt till deras datorer.You can deploy it in any way you ordinarily deploy Windows store apps, using System Center Configuration Manager, or Intune to sideload the app so that users will have to access it through the Company Portal or will get it pushed directly to their machines.