PKCS sertifikalarını Intune ile yapılandırma ve kullanma

  • Makale
  • Okumak için 10 dakika

Microsoft Intune özel ve ortak anahtar çifti (PKCS) sertifikalarının kullanımını destekler. Bu makalede PKCS sertifikalarının Intune ile kullanılması için gerekenler incelenerek PKCS sertifikasının dışarı aktarılması ve ardından bir Intune cihaz yapılandırma profiline eklenmesi yer alır.

Microsoft Intune, kuruluşunuzun kaynaklarına erişim ve kimlik doğrulaması için PKCS sertifikalarını kullanmak için yerleşik ayarları içerir. Sertifikalar VPN veya WiFi ağı gibi şirket kaynaklarınıza kimlik doğrulaması ve güvenli erişim sağlar. Bu ayarları Intune cihaz yapılandırma profillerini kullanarak cihazlara dağıtırsınız.

İçeri aktarılan PKCS sertifikalarını kullanma hakkında bilgi için bkz. İçeri Aktarılan PFX Sertifikaları.

İpucu

PKCS sertifika profilleri Windows Enterprise çok oturumlu uzak masaüstleri için desteklenir.

Gereksinimler

PKCS sertifikalarını Intune ile kullanmak için aşağıdaki altyapıya ihtiyacınız olacaktır:

  • Active Directory etki alanı:
    Bu bölümde listelenen tüm sunucuların Active Directory etki alanınıza katılması gerekir.

    Active Directory Domain Services (AD DS) yükleme ve yapılandırma hakkında daha fazla bilgi için bkz. AD DS Tasarımı ve Planlaması.

  • Sertifika Yetkilisi:
    bir Enterprise Sertifika Yetkilisi (CA).

    Active Directory Sertifika Hizmetleri'ni (AD CS) yükleme ve yapılandırma hakkında bilgi için bkz. Active Directory Sertifika Hizmetleri Adım Adım Kılavuzu.

    Uyarı

    Intune, AD CS'yi tek başına CA değil Enterprise Sertifika Yetkilisi (CA) ile çalıştırmanızı gerektirir.

  • İstemci:
    Enterprise CA'ya bağlanmak için.

  • Kök sertifika:
    kök sertifikanızın Enterprise CA'nızdan dışarı aktarılan kopyası.

  • Microsoft Intune için Sertifika Bağlayıcısı:

    Sertifika bağlayıcısı hakkında bilgi için bkz:

kök sertifikayı Enterprise CA'dan dışarı aktarma

VPN, WiFi veya diğer kaynaklarla bir cihazın kimliğini doğrulamak için bir cihazın kök veya ara CA sertifikasına ihtiyacı vardır. Aşağıdaki adımlarda, Enterprise CA'nızdan gerekli sertifikayı nasıl alabileceğiniz açıklanmaktadır.

Komut satırı kullanın:

  1. Yönetici Hesabı ile Kök Sertifika Yetkilisi sunucusunda oturum açın.

  2. Çalıştırmayı Başlat'a > gidin ve komut istemini açmak için Cmd girin.

  3. Kök sertifikayı ca_name.cer adlı bir dosya olarak dışarı aktarmak için certutil - ca.cert ca_name.cer belirtin.

CA'da sertifika şablonlarını yapılandırma

  1. yönetim ayrıcalıklarına sahip bir hesapla Enterprise CA'nızda oturum açın.

  2. Sertifika Yetkilisi konsolunu açın, Sertifika Şablonları'na sağ tıklayın ve Yönet'i seçin.

  3. Kullanıcı sertifikası şablonunu bulun, sağ tıklayın ve Yinelenen Şablon'u seçerek Yeni Şablonun Özellikleri'ni açın.

    Not

    S/MIME e-posta imzalama ve şifreleme senaryolarında, birçok yönetici imzalama ve şifreleme için ayrı sertifikalar kullanır. Microsoft Active Directory Sertifika Hizmetleri kullanıyorsanız, S/MIME e-posta imzalama sertifikaları için yalnızca Exchange İmza şablonunu ve S/MIME şifreleme sertifikaları için Exchange Kullanıcı şablonunu kullanabilirsiniz. Üçüncü taraf bir sertifika yetkilisi kullanıyorsanız, imzalama ve şifreleme şablonlarını ayarlama yönergelerini gözden geçirmeniz önerilir.

  4. Uyumluluk sekmesinde:

    • Sertifika Yetkilisi'ni Windows Server 2008 R2 olarak ayarlama
    • Sertifika alıcısını Windows 7 / Server 2008 R2 olarak ayarlayın

  5. Genel sekmesinde , Şablon görünen adını sizin için anlamlı bir ad olarak ayarlayın.

    Uyarı

    Şablon adı varsayılan olarak Boşluk içermeyen Şablon görünen adı ile aynıdır. Şablon adını not alın, daha sonra gereklidir.

  6. İstek İşleme'de Özel anahtarın dışarı aktarılabilmesine izin ver'i seçin.

    Not

    SCEP'in aksine, PKCS ile sertifika özel anahtarı cihazda değil sertifika bağlayıcısının yüklü olduğu sunucuda oluşturulur. Bağlayıcının PFX sertifikasını dışarı aktarabilmesi ve cihaza gönderebilmesi için sertifika şablonunun özel anahtarın dışarı aktarılabilmesi gerekir.

    Sertifikalar cihazın kendisine yüklendiğinde, özel anahtar dışarı aktarılamaz olarak işaretlenir.

  7. Şifreleme'de Minimum anahtar boyutunun 2048 olarak ayarlandığını onaylayın.

  8. Konu Adı'nda istekte Sağla'yı seçin.

  9. Uzantılar'da**, Uygulama İlkeleri** altında Şifreleme Dosya Sistemi, Güvenli E-posta ve İstemci Kimlik Doğrulaması'nı gördüğünüzden emin olursunuz.

    Önemli

    iOS/iPadOS sertifika şablonları için Uzantılar sekmesine gidin, Anahtar Kullanımı'nı güncelleştirin ve İmzanın kaynak kanıtı olduğunu onaylayın.

  10. Güvenlik bölümünde, Microsoft Intune için Sertifika Bağlayıcısı'nı yüklediğiniz sunucunun Bilgisayar Hesabını ekleyin. Bu hesabın Okuma ve Kaydetme izinlerine izin verin.

  11. Sertifika şablonunu kaydetmek için Tamam Uygula'yı > seçin. Sertifika Şablonları Konsolu'nu kapatın.

  12. Sertifika Yetkilisi konsolunda, Sertifika Şablonları > Yeni > Sertifika Şablonu'na sağ tıklayın. Önceki adımlarda oluşturduğunuz şablonu seçin. Tamam'ı seçin.

  13. Sunucunun kayıtlı cihazlar ve kullanıcılar için sertifikaları yönetmesi için aşağıdaki adımları kullanın:

    1. Sertifika Yetkilisi'ne sağ tıklayın ve Özellikler'i seçin.
    2. Güvenlik sekmesinde, bağlayıcıyı çalıştırdığınız sunucunun Bilgisayar hesabını ekleyin.
    3. Sertifika Verme ve Yönetme ve Sertifika İsteme Bilgisayar hesabına izin verme.

  14. Enterprise CA oturumunu kapatın.

Microsoft Intune için Sertifika Bağlayıcısı'nı indirme, yükleme ve yapılandırma

Yönergeler için bkz. Microsoft Intune için Sertifika Bağlayıcısı'nı yükleme ve yapılandırma.

Güvenilir sertifika profili oluşturma

  1. Microsoft Endpoint Manager yönetim merkezinde oturum açın.

  2. Cihaz > Yapılandırma profilleri > Profil oluştur'u seçin ve gidin.

  3. Aşağıdaki özellikleri girin:

    • Platform: Bu profili alacak cihazların platformunu seçin.
      • Android cihaz yöneticisi
      • Android Enterprise:
        • Tam Olarak Yönetilen
        • Adan -mış
        • İş Profilini Corporate-Owned
        • İş Profilini Personally-Owned
      • iOS/iPadOS
      • macOS
      • Windows 10/11
    • Profil: Güvenilen sertifika'ya tıklayın. İsterseniz Şablonlar > Güvenilen sertifika'yı da seçebilirsiniz.

  4. Oluştur’u seçin.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: Profil için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz. Örneğin, iyi bir profil adı tüm şirket için Güvenilir sertifika profilidir.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  6. İleri'yi seçin.

  7. Yapılandırma ayarları'nda, daha önce dışarı aktardığınız Kök CA Sertifikası için .cer dosyasını belirtin.

    Not

    3. Adımda seçtiğiniz platforma bağlı olarak, sertifika için Hedef depoyu seçme seçeneğiniz olabilir veya olmayabilir.

    Profil oluşturma ve güvenilen sertifikayı karşıya yükleme

  8. İleri'yi seçin.

  9. Atamalar'da, profile atanacak kullanıcı veya cihaz grubunu seçin. Daha ayrıntılı bilgi için bkz. Microsoft Intune filtre oluşturma ve Filtreyi düzenle'yi seçerek bunları uygulama.

    Bu sertifika profilini PKCS sertifika profilini alan ve sertifikayı kullanan bir Wi-Fi profili gibi bir yapılandırma profili alan gruplara dağıtmayı planlayın. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama.

    İleri'yi seçin.

  10. (Yalnızca Windows 10/11 için geçerlidir) Uygulanabilirlik Kuralları'nda, bu profilin atamasını daraltmak için uygulanabilirlik kurallarını belirtin. Profili bir cihazın işletim sistemi sürümüne veya sürümüne göre atamayı veya atamamayı seçebilirsiniz.

    Daha fazla bilgi için bkz. Microsoft Intune'da cihaz profili oluşturma konusundaki Uygulanabilirlik kuralları.

  11. Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

PKCS sertifika profili oluşturma

  1. Microsoft Endpoint Manager yönetim merkezinde oturum açın.

  2. Cihaz > Yapılandırma profilleri > Profil oluştur'u seçin ve gidin.

  3. Aşağıdaki özellikleri girin:

    • Platform: Cihazlarınızın platformunu seçin. Seçenekleriniz:
      • Android cihaz yöneticisi
      • Android Enterprise:
        • Tam Olarak Yönetilen
        • Adan -mış
        • İş Profilini Corporate-Owned
        • İş Profilini Personally-Owned
      • iOS/iPadOS
      • macOS
      • Windows 10/11
    • Profil: PKCS sertifikayı seçin. İsterseniz Şablonlar > PKCS sertifikası'nı da seçebilirsiniz.

    Not

    Android Enterprise profili olan cihazlarda, PKCS sertifika profili kullanılarak yüklenen sertifikalar cihazda görünmez. Sertifika dağıtımının başarılı olduğunu onaylamak için Intune konsolunda profilin durumunu denetleyin.

  4. Oluştur’u seçin.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: Profil için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz. Örneğin, iyi bir profil adı tüm şirket için PKCS profilidir.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  6. İleri'yi seçin.

  7. Yapılandırma ayarları'nda, seçtiğiniz platforma bağlı olarak yapılandırabileceğiniz ayarlar farklıdır. Ayrıntılı ayarlar için platformunuzu seçin:

    • Android cihaz yöneticisi
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10/11
    Ayar Ortam Ayrıntılar
    Yenileme eşiği (%)
    • Tümü
    		 Önerilen %20
    Sertifika geçerlilik süresi
    • Tümü
    		 Sertifika şablonunu değiştirmediyseniz, bu seçenek bir yıl olarak ayarlanabilir.

    Beş gün veya 24 aya kadar geçerlilik süresi kullanın. Geçerlilik süresi beş günden kısa olduğunda, sertifikanın süresi dolmak üzere veya süresi dolmuş duruma girme olasılığı yüksektir ve bu da cihazlardaki MDM aracısının yüklenmeden önce sertifikayı reddetmesine neden olabilir.
    Anahtar depolama sağlayıcısı (KSP)
    • Windows 10/11
    		 Windows için anahtarların cihazda depolandığı yeri seçin.
    Sertifika yetkilisi
    • Tümü
    		 Enterprise CA'nızın iç tam etki alanı adını (FQDN) görüntüler.
    Sertifika yetkilisi adı
    • Tümü
    		 "Contoso Sertifika Yetkilisi" gibi Enterprise CA'nızın adını listeler.
    Sertifika şablonu adı
    • Tümü
    		 Sertifika şablonunuzun adını listeler.
    Sertifika türü
    • Android Enterprise (Şirkete Ait ve Personally-Owned İş Profili)
    • iOS
    • Mac OS
    • Windows 10/11
    		 Bir tür seçin:
    • Kullanıcı sertifikaları, sertifikanın konu ve konu alternatif adında (SAN) hem kullanıcı hem de cihaz özniteliklerini içerebilir.
    • Cihaz sertifikaları yalnızca sertifikanın konu ve SAN'sindeki cihaz özniteliklerini içerebilir. Bilgi noktaları veya diğer paylaşılan cihazlar gibi kullanıcısız cihazlar gibi senaryolar için Cihaz'ı kullanın.

      Bu seçim Konu adı biçimini etkiler.
    Konu adı biçimi
    • Tümü
    		 Konu adı biçimini yapılandırma hakkında ayrıntılı bilgi için bu makalenin devamında yer alan Konu adı biçimi bölümüne bakın.

    Aşağıdaki platformlar için Konu adı biçimi sertifika türüne göre belirlenir:
    • Android Enterprise (İş Profili)
    • iOS
    • Mac OS
    • Windows 10/11

    Konu alternatif adı
    • Tümü
    		 Öznitelik için, aksi gerekmedikçe Kullanıcı asıl adı (UPN) öğesini seçin, karşılık gelen bir Değer yapılandırın ve ardından Ekle'yi seçin.

    Her iki sertifika türünün SAN'sı için değişkenleri veya statik metni kullanabilirsiniz. Değişken kullanımı gerekli değildir.

    Daha fazla bilgi için bu makalenin devamında konu adı biçimi bölümüne bakın.
    Genişletilmiş anahtar kullanımı
    • Android cihaz yöneticisi
    • Android Enterprise (Cihaz Sahibi, Şirkete Ait ve Personally-Owned İş Profili)
    • Windows 10/11
    		 Sertifikalar genellikle istemci kimlik doğrulaması gerektirir, böylece kullanıcı veya cihaz bir sunucuda kimlik doğrulaması yapabilir.
    Tüm uygulamaların özel anahtara erişmesine izin ver
    • macOS
    		 İlişkili mac cihazı için yapılandırılmış uygulamalara PKCS sertifikasının özel anahtarına erişim vermek için Etkinleştir olarak ayarlayın.

    Bu ayar hakkında daha fazla bilgi için Apple geliştirici belgelerindeki Yapılandırma Profili Başvurusu'nun AllowAllAppsAccess Sertifika Yükü bölümüne bakın.
    Kök Sertifika
    • Android cihaz yöneticisi
    • Android Enterprise (Cihaz Sahibi, Şirkete Ait ve Personally-Owned İş Profili)
    		 Daha önce atanmış bir kök CA sertifika profili seçin.

  8. İleri'yi seçin.

  9. Atamalar'da profilinizi alacak kullanıcıyı veya grupları seçin. Bu sertifika profilini güvenilen sertifika profilini alan ve sertifikayı kullanan bir Wi-Fi profili gibi bir yapılandırma profili alan gruplara dağıtmayı planlayın. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama.

    İleri'yi seçin.

  10. Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

Konu adı biçimi

Aşağıdaki platformlar için bir PKCS sertifika profili oluşturduğunuzda, konu adı biçimine yönelik seçenekler kullanıcı veya cihaz olarak seçtiğiniz Sertifika türüne bağlıdır.

Platform:

  • Android Enterprise (Şirkete Ait ve Personally-Owned İş Profili)
  • iOS
  • Mac OS
  • Windows 10/11

Not

Sonuçta elde edilen Sertifika İmzalama İsteği'ndeki (CSR) konu adı kaçış karakteri olarak aşağıdaki karakterlerden birini içerdiğinde (ters eğik çizgiyle \devam edilir) SCEP için görülen aynı sorun olan sertifikaları almak için PKCS kullanımıyla ilgili bilinen bir sorun vardır:

  • +
  • ;
  • ,
  • =

Not

Android 12 sürümünden başlayarak, Android artık kişisel iş profili cihazları için aşağıdaki donanım tanımlayıcılarının kullanımını desteklemez:

  • Seri numarası
  • IMEI
  • MEID

Konu adında veya SAN'da bu değişkenleri kullanan kişisel iş profili cihazları için sertifika profillerini Intune, cihaz Intune kaydedildiğinde 12 veya daha Android çalıştıran cihazlarda sertifika sağlayamaz. Android 12'ye yükseltmeden önce kaydedilen cihazlar, daha önce cihaz donanım tanımlayıcılarını Intune kadar sertifika almaya devam edebilir.

Bu ve Android 12 ile sunulan diğer değişiklikler hakkında daha fazla bilgi için Microsoft Endpoint Manager için Android Gün Sıfır Desteği blog gönderisine bakın.

  • Kullanıcı sertifika türü
    Konu adı biçimi için biçim seçenekleri iki değişken içerir: Ortak Ad (CN) ve E-posta (E). E-posta (E) genellikle {{EmailAddress}} değişkeniyle ayarlanır. Örneğin: E={{EmailAddress}}

    Ortak Ad (CN) aşağıdaki değişkenlerden herhangi birine ayarlanabilir:

    • CN={{UserName}}: Jane Doe gibi kullanıcının kullanıcı adı.

    • CN={{UserPrincipalName}}: Kullanıcının janedoe@contoso.com gibi kullanıcı asıl adı.

    • CN={{AAD_Device_ID}}: Bir cihazı Azure Active Directory'a (AD) kaydettiğinizde atanan kimlik. Bu kimlik genellikle Azure AD ile kimlik doğrulaması yapmak için kullanılır.

    • CN={{DeviceId}}: Cihazı Intune kaydettiğinizde atanan kimlik.

    • CN={{SERIALNUMBER}}: Genellikle üretici tarafından bir cihazı tanımlamak için kullanılan benzersiz seri numarası (SN).

    • CN={{IMEINumber}}: Bir cep telefonunu tanımlamak için kullanılan Uluslararası Mobil Donanım Kimliği (IMEI) benzersiz numarası.

    • CN={{OnPrem_Distinguished_Name}}: CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com gibi virgülle ayrılmış göreli ayırt edici ad dizisi.

      {{OnPrem_Distinguished_Name}} değişkenini kullanmak için Azure AD Bağlan kullanarak onpremisesdistinguishedname kullanıcı özniteliğini Azure AD eşitlediğinizden emin olun.

    • CN={{onPremisesSamAccountName}}: Yöneticiler, Azure AD onPremisesSamAccountName adlı bir öznitelikle bağlantı kurarak samAccountName özniteliğini Active Directory'den Azure AD eşitleyebilir. Intune, sertifikanın konusundaki bir sertifika verme isteğinin parçası olarak bu değişkenin yerini alabilir. samAccountName özniteliği, önceki bir Windows sürümünden (Windows 2000 öncesi) istemcileri ve sunucuları desteklemek için kullanılan kullanıcı oturum açma adıdır. Kullanıcının oturum açma adı biçimi: DomainName\testUser veya yalnızca testUser.

      {{onPremisesSamAccountName}} değişkenini kullanmak için, Azure AD Bağlan kullanarak onPremisesSamAccountName kullanıcı özniteliğini Azure AD eşitlediğinizden emin olun.

    Aşağıdaki Cihaz sertifika türü bölümünde listelenen tüm cihaz değişkenleri, kullanıcı sertifikası konu adlarında da kullanılabilir.

    Bu değişkenlerin bir veya daha çoğunun ve statik metin dizelerinin birleşimini kullanarak, özel bir konu adı biçimi oluşturabilirsiniz; örneğin: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finans Grubu,L=Redmond,ST=Washington,C=ABD

    Bu örnek, CN ve E değişkenlerini kullanan bir konu adı biçimi ile Kuruluş Birimi, Kuruluş, Konum, Eyalet ve Ülke değerleri için dizeler içerir. CertStrToName işlevi bu işlevi ve desteklenen dizelerini açıklar.

    Kullanıcı öznitelikleri, Android Enterprise ayrılmış olarak kaydedilmiş cihazlar gibi kullanıcı ilişkilendirmeleri olmayan cihazlar için desteklenmez. Örneğin, konu veya SAN'da CN={{UserPrincipalName}} kullanan bir profil, cihazda bir kullanıcı olmadığında kullanıcı asıl adını alamaz.

  • Cihaz sertifika türü
    Konu adı biçimi için biçim seçenekleri aşağıdaki değişkenleri içerir:

    • {{AAD_Device_ID}}
    • {{DeviceId}} - Bu Intune cihaz kimliğidir
    • {{Device_Serial}}
    • {{Device_IMEI}}
    • {{SerialNumber}}
    • {{IMEINumber}}
    • {{AzureADDeviceId}}
    • {{WiFiMacAddress}}
    • {{IMEI}}
    • {{DeviceName}}
    • {{FullyQualifiedDomainName}} (Yalnızca Windows ve etki alanına katılmış cihazlar için geçerlidir)
    • {{MEID}}

    Bu değişkenleri ve ardından değişkenin metnini metin kutusunda belirtebilirsiniz. Örneğin, Device1 adlı bir cihazın ortak adı CN={{DeviceName}}Device1 olarak eklenebilir.

    Önemli

    • Bir değişken belirttiğinizde, hatadan kaçınmak için değişken adını örnekte görüldüğü gibi küme ayraçlarına { } ekleyin.
    • IMEI, SerialNumber ve FullyQualifiedDomainName gibi bir cihaz sertifikasının konusunda veya SAN'sinde kullanılan cihaz özellikleri, cihaza erişimi olan bir kişi tarafından sahte hale getirilebilen özelliklerdir.
    • Bir cihazın, o profilin o cihaza yüklenmesi için sertifika profilinde belirtilen tüm değişkenleri desteklemesi gerekir. Örneğin, bir SCEP profilinin konu adında {{IMEI}} kullanılıyorsa ve IMEI numarası olmayan bir cihaza atanmışsa, profil yüklenemez.

Sonraki adımlar