Intune ile SCEP'yi desteklemek için altyapıyı yapılandırma

  • Makale
  • Okumak için 16 dakika

Intune, uygulama ve şirket kaynaklarınıza bağlantıların kimliğini doğrulamak için Basit Sertifika Kaydı Protokolü'nun (SCEP) kullanımını destekler. SCEP, Sertifika İmzalama İsteği (CSR) için ileti alışverişinde güvenliği sağlamak için Sertifika Yetkilisi (CA) sertifikasını kullanır. Altyapınız SCEP'yi desteklediğinde, sertifikaları cihazlarınıza dağıtmak için Intune SCEP sertifika profillerini (Intune'da bir cihaz profili türü) kullanabilirsiniz.

Microsoft CA olarak da Microsoft Intune Active Directory Sertifika Hizmetleri Sertifika Yetkilisi'yi kullanıyorken, Intune ile SCEP sertifika profillerini kullanmak için Sertifika Bağlayıcısı gerekir. Bağlayıcı, sertifika yetkiliniz (CA) ile aynı sunucuda desteklenmiyor. Üçüncü Taraf Sertifika Yetkilileri'nin kullanımı sırasında bağlayıcı gerekmez.

Bu makaledeki bilgiler Active Directory Sertifika Hizmetleri'yi kullanırken SCEP'yi destekleyecek şekilde altyapınızı yapılandırmanıza yardımcı olabilir. Altyapınız yapılandırıldığında, Intune ile SCEP sertifika profilleri oluşturabilir ve dağıtabilirsiniz.

İpucu

Intune, Ortak Anahtar Şifreleme Standartları #12 sertifikasının kullanımını da destekler.

Sertifikalar için SCEP kullanmanın önkoşulları

Devam başlamadan önce, SCEP sertifika profillerini kullanan cihazlara güvenilir bir sertifika profili oluşturduğunuzdan ve dağıtıldığından emin olun. SCEP sertifika profilleri, cihazları Güvenilen Kök CA sertifikasıyla sağlarken doğrudan kullanabileceğiniz güvenilen sertifika profiline başvurur.

Sunucular ve sunucu rolleri

SCEP'yi desteklemek için, aşağıdaki şirket içi altyapının Web Uygulaması Proxy Sunucusu dışında Active Directory'nize katılmış etki alanına katılmış sunucularda çalışması gerekir.

  • Sertifika Bağlayıcısı Microsoft Intune - Microsoft CA'Microsoft Intune SCEP sertifika profillerini Intune ile kullanmak için Özel Sertifika Bağlayıcısı gerekir. Ayrıca, NDES sunucu rolünü de çalıştıran sunucuya yüklenir. Bununla birlikte, bağlayıcı, sertifika yetkiliniz (CA) ile aynı sunucuda desteklenmiyor.

    Sertifika bağlayıcısı hakkında bilgi için bkz:

  • Sertifika Yetkilisi – Hizmet paketi 1 veya daha yeni olan Windows Server 2008 R2'nin Enterprise sürümlerinde çalışan bir Microsoft Active Directory Sertifika Hizmetleri Enterprise Sertifika Yetkilisi (CA) kullanın. Windows Server'ın sürümünün Microsoft tarafından destekte kalması gerekir. Tek Başına CA destek desteklemez. Daha fazla bilgi için bkz . Sertifika Yetkilisini Yükleme.

    CA'nız Server 2008 R2 SP1 Windows çalıştırıldısa, KB2483564 düzeltmesini yüklemeniz gerekir.

  • NDES sunucu rolü – MICROSOFT INTUNE için Sertifika Bağlayıcısı'nın SCEP ile birlikte kullanmayı desteklemek için, sertifika bağlayıcısını Ağ Cihaz Kayıt Hizmeti (NDES) sunucu rolüyle barındıracak olan Windows Server'ı yapılandırmanız gerekir. Bağlayıcı R2 veya Windows Server 2012 üzerine kurulumu destekler. Bu makalenin sonraki bir bölümünde, NDES'i yüklemede size yol gösterip yardımcı olabiliriz.

    • NDES'i ve bağlayıcıyı barındıran sunucu, etki alanına katılmış ve Enterprise CA'nız olarak aynı ormanın içinde olmalıdır.
    • ENTERPRISE CA'yı barındıran sunucuda yüklü olan NDES'Enterprise. CA hizmetleri İnternet istekleri geldiğinde ve bağlayıcının yüklenmesi, sertifika yetkiliniz (CA) ile aynı sunucuda desteklenmiyorsa, bu yapılandırma bir güvenlik riski temsil eder.
    • INTERNET Explorer Gelişmiş Güvenlik Yapılandırması, NDES ve Microsoft Intune Bağlayıcısı barındıran sunucuda devre dışı bırak bırakılamaz.

    NDES hakkında daha fazla bilgi edinmek için, Windows Server belgeleri ve Ağ Cihazı Kayıt Hizmeti ile İlke Modülü Kullanma bağlantılarında Ağ Cihazı Kayıt Hizmeti Kılavuzu'ne bakın. NDES için yüksek kullanılabilirliği yapılandırmayı öğrenmek için bkz. Yüksek Kullanılabilirlik.

internet üzerinde NDES desteği

İnternet'deki cihazların sertifika allarına izin vermek için, NDES URL'nizi şirket ağınız dışında yayımlamanız gerekir. Bunu yapmak için Azure AD Uygulama Ara Sunucusu, Microsoft Web Uygulaması Ara Sunucusu veya üçüncü taraf ters ara sunucu hizmeti ya da cihazı gibi bir ters ara sunucu kullanabilirsiniz.

  • Azure AD Uygulama Ara Sunucusu – NDES URL'nizi İnternet'e yayımlamak için adanmış bir Web Uygulaması Proxy'si (WAP) Sunucusu yerine Azure AD Uygulama Ara Sunucusu kullanabilirsiniz. Bu çözüm, hem intranet hem de İnternet'e yönelik cihazların sertifika alımalarını sağlar. Daha fazla bilgi için bkz . Ağ Cihaz Kayıt Hizmeti (NDES) sunucusunda Azure AD Uygulama Ara Sunucusu ile Tümleştirin.

  • Web Uygulaması Ara Sunucusu - NDES URL'nizi İnternet'te yayımlamak için, Windows Server 2012 R2 veya sonraki bir uygulamayı Web Uygulaması Proxy (WAP) sunucusu olarak çalışan bir sunucu kullanın. Bu çözüm, hem intranet hem de İnternet'e yönelik cihazların sertifika alımalarını sağlar.

    WAP'yi barındıran sunucunun, Ağ Cihazı Kayıt Hizmeti tarafından kullanılan uzun URL'ler için destek sağlayan bir güncelleştirme yüklemesi gerekir. Bu güncelleştirme Aralık 2014 güncelleştirme toplaması ile birlikte veya KB3011135'den tek tek dahil edilir.

    WAP sunucusunun, dış istemcilerde yayımlanan adla eşleşen bir SSL sertifikası olması ve NDES hizmetini barındıran bilgisayarda kullanılan SSL sertifikasına güvenmesi gerekir. Bu sertifikalar WAP sunucusunun istemcilerden SSL bağlantısını sonlandırmasını ve NDES hizmetine yeni bir SSL bağlantısı oluşturmasını sağlar.

    Daha fazla bilgi için bkz . WAP için sertifikaları planlama ve WAP sunucuları hakkında genel bilgiler.

  • Üçüncü taraf ters proxy – Üçüncü taraf ters ara sunucu kullanıyorken, proxy'nin uzun bir URI'yi desteklediğine emin olmak için istek alın. Sertifika isteği akışının bir parçası olarak, istemci sorgu dizesinde sertifika isteğiyle bir istek oluşturur. Sonuç olarak, URI uzunluğu en çok 40 kb boyutunda olabilir.

SCEP protokolü sınırlandırmaları, kimlik doğrulama öncesi kullanımı engelle karşılar. NDES URL'sini ters ara sunucu üzerinden yayımlarken, Önceden Kimlik Doğrulaması'nın Geçişli olarak ayarlanmış olması gerekir. Intune Sertifika bağlayıcısını yüklerken, NDES sunucusuna Intune-SCEP ilke modülü yükleyerek Intune URL'sinin güvenliğini sağlar. Modül, sertifikaların geçersiz veya dijital olarak değiştirilmek istenen sertifika isteklerine yönelik olarak NDES URL'sinin güvenliğini sağlamaya yardımcı olur. Bu, erişimi yalnızca Intune ile yönettikleri ve iyi edatmış sertifika isteklerine sahip Intune'a kaydolan cihazlara erişimi sınırlar.

Intune SCEP sertifika profili bir cihaza teslim edilirken, Intune bunu şifreleye ve imzalar için özel bir görev blob'u üretir. Blob cihaz tarafından okunamaz. Görev blob'larını yalnızca ilke modülü ve Intune hizmeti okuyabilir ve doğrular. Blob, cihaz tarafından sertifika imzalama isteğinde (CSR) sağlanacaktır, ancak Intune'un ayrıntılarını içerir. Örneğin, beklenen Konu ve Konu Alternatif Adı (SAN).

Intune ilke modülü NDES'in güvenliğini sağlamak için aşağıdaki yollarla çalışır:

  • Yayımlanan NDES URL'lerine doğrudan erişmeye çalışırken, sunucu bir 403 – Yasak: Erişim yanıtı reddedildi .

  • İyi 82'ye sahip bir SCEP sertifika isteği geldiğinde ve yük isteği, hem görev blob'ını hem de cihaz CSR'yi içerir, ilke modülü cihaz CSR'lerinin ayrıntılarını görev blob'una karşılar:

    • Doğrulama başarısız olursa, sertifika verilir.

    • Yalnızca Intune'a kaydolan ve görev blob doğrulamasını geçen sertifika isteklerine sertifika verir.

Hesaplar

Bağlayıcıyı SCEP'yi destekleyecek şekilde yapılandırmak için, Windows Server'da NDES'yi yapılandırma ve Sertifika Yetkilinizi yönetme izinleri olan bir hesaba ihtiyacınız vardır. Ayrıntılar için, Bu makalenin Devamı için Sertifika Bağlayıcısı'nın Önkoşulları Microsoft Intune bakın.

Ağ gereksinimleri

Sertifika bağlayıcısı için ağ gereksinimlerine ek olarak, NDES hizmetini Azure AD uygulama ara sunucusu, Web Erişim Ara Sunucusu veya üçüncü taraf ara sunucu gibi bir ters ara sunucu üzerinden yayımlamanızı da öneririz. Ters ara sunucu kullansanız bile, İnternet'te tüm ana bilgisayarlardan ve IP adreslerinden NDES hizmetine bağlantı noktası 443'te TCP trafiğine izin verebilirsiniz.

NDES hizmetiyle ortamınız için herhangi bir destek altyapısı arasındaki iletişim için gerekli tüm bağlantı noktalarına ve protokollere izin ver. Örneğin, NDES hizmetini barındıran bilgisayarın CA, DNS sunucuları, etki alanı denetleyicileri ve bir olasılıkla ortamınız içinde Configuration Manager gibi diğer hizmetler veya sunucularla iletişim kurması gerekir.

Sertifikalar ve şablonlar

SCEP'yi kullanırken aşağıdaki sertifikalar ve şablonlar kullanılır.

Nesne Ayrıntılar
SCEP Sertifika Şablonu SCEP isteklerinin cihazlarını tam dosyalamada kullanılan, kullanıcı CA'nız üzerinde yapılandırırsınız.
Sunucu kimlik doğrulama sertifikası Verme CA'nız veya genel CA'nız tarafından istenen Web Sunucusu sertifikası.
BU SSL sertifikasını, NDES'i barındıran bilgisayara IIS'ye yükleyebilir ve bağlarsınız.
Güvenilen Kök CA sertifikası SCEP sertifika profili kullanmak için, cihazların Güvenilen Kök Sertifika Yetkilinize (CA) güvenmesi gerekir. Intune'da kullanıcılara ve cihazlara Güvenilen Kök CA sertifikası sağlanması için güvenilir sertifika profili kullanın.

- her işletim sistemi platformu için tek bir Güvenilen Kök CA sertifikası kullanın ve bu sertifikayı, kendi oluşturdukları her güvenilir sertifika profiliyle ilişkilendiril.

- Gerektiğinde başka Güvenilen Kök CA sertifikası kullanabilirsiniz. Örneğin, CA'ya, erişim noktalarınız için sunucu kimlik doğrulama sertifikalarını imzalayan bir GÜVEN sağlamak Wi-Fi kullanabilirsiniz. CA'lar oluşturmak için başka Güvenilen Kök CA sertifikası oluşturun. Intune'da oluşturduk SCEP sertifika profilinde, alan CA için Güvenilen Kök CA profilini belirttiğinizden emin olun.

Güvenilir sertifika profili hakkında bilgi için , Intune'da kimlik doğrulaması için sertifikaları kullanma konusunda Güvenilir kök CA sertifikasını dışarı aktarma ve Güvenilir sertifika profilleri oluşturma'ya bakın.

Not

Aşağıdaki sertifika, diğer kodlar için Sertifika Bağlayıcısı'Microsoft Intune. Bu bilgiler, SCEP'nin eski bağlayıcılarını (NDESConnectorSetup.exe tarafından yüklenmiş) yeni bağlayıcı yazılımıyla değiştirmemiş olanlar için sağlanır.

Nesne Ayrıntılar
İstemci kimlik doğrulama sertifikası Verme CA'nız veya genel CA'nız tarafından istendi.
Bu sertifikayı, NDES hizmetini barındıran bilgisayara yükleyebilirsiniz ve sertifika, SERTIFIKA Bağlayıcısı tarafından son Microsoft Intune.
Sertifikada, bu sertifikayı verirken kullanılan CA şablonunda istemci ve sunucu kimlik doğrulama anahtar kullanımları (Geliştirilmiş Anahtar Kullanımları) ayarlanmışsa, sunucu ve istemci kimlik doğrulaması için aynı sertifikayı kullanabilirsiniz.

Android için PIN gereksinimi Enterprise

Android Enterprise için, cihaz şifreleme sürümü SCEP'nin bu cihazı sertifikayla sağ önce PIN ile yapılandırıp yapılandırılması gerekip gerek olmadığını belirler. Kullanılabilir şifreleme türleri:

  • Cihazın PIN'in yapılandırılması gereken tam disk şifrelemesi.

  • Android 10 veya sonraki bir sürümüne sahip OEM tarafından yüklenmiş cihazlarda gerekli olan dosya tabanlı şifreleme. Bu cihazlar için PIN gerekli olmayacaktır. Android 10'a yükselten cihazlar için PIN gerekli olabilir.

Not

Microsoft Endpoint Manager Bir Android cihaza şifreleme türünü belirleye bilmiyorum.

Bir cihaz üzerinde Android sürümü kullanılabilen şifreleme türünü etkileyebilir:

  • Android 10 ve sonrası: OEM tarafından Android 10 veya daha sonraki bir sürümüyle birlikte yüklenmiş cihazlar dosya tabanlı şifreleme kullanır ve sertifika sağlanması için SCEP için PIN gerektirmez. Sürüm 10 veya daha sonraki bir sürüme yükselten ve dosya tabanlı şifrelemeyi kullanmaya başlayan cihazlar için PIN yine gerekli olabilir.

  • Android 8 - 9: Android'in bu sürümleri dosya tabanlı şifrelemenin kullanımını destekler, ancak bu zorunlu değildir. Her OEM, cihaz için hangi şifreleme türünün uygulandığını seçer. Ayrıca OEM değişiklikleri, tam disk şifrelemesi kullan olsa bile PIN gerekli olmaz.

Daha fazla bilgi için Android belgelerinde aşağıdaki makalelere bakın:

Android veya özel olarak ayrılmış olarak Enterprise noktalar

Android'e özel olarak Enterprise cihazlar için parola zorlama zor olabilir.

9.0 ve sonraki bir adı çalıştıran ve bilgi noktası modu ilkesi alan cihazlar için, parola gereksinimini zorunlu kılınacak bir cihaz uyumluluk veya cihaz yapılandırma ilkesi kullanabilirsiniz. Destek İpucunu Görüntüle: Cihaz deneyimini anlamak için Intune Destek Ekibinden Kiosk Modu için Google tabanlı yeni Uyumluluk Ekranları.

8.x ve daha önceki bir sürüme sahip cihazlar için, parola gereksinimini zorunlu kacak şekilde cihaz uyumluluğu veya cihaz yapılandırma ilkesi de kullanabilirsiniz. Ancak, PIN'i ayarlamak için, cihaza ayarlar uygulamasını el ile girmeniz ve PIN'i yapılandırmanız gerekir.

Sertifika yetkilisini yapılandırma

Aşağıdaki bölümlerde şunları yapabilirsiniz:

  • NDES için gerekli şablonu yapılandırma ve yayımlama
  • Sertifika iptali için gerekli izinleri ayarlayın.

Aşağıdaki bölümlerde R2 veya Windows Server 2012 active Directory Sertifika Hizmetleri (AD CS) bilgileri gerekir.

Issuing CA'nıza erişme

  1. Ca'nızı yönetmek için yeterli haklara sahip bir etki alanı hesabıyla, kullanıcı CA'nıza oturum açın.

  2. Sertifika Yetkilisi Microsoft Yönetim Konsolu'nu (MMC) açın. ' certsrv.msc' çalıştırın veya Server Manager'da Araçlar'a ve sonra Sertifika Yetkilisi'ne tıklayın.

  3. Sertifika Şablonları düğümünü seçin, ActionManage'a > tıklayın.

SCEP sertifika şablonunu oluşturma

  1. SCEP sertifika şablonu olarak kullanmak için v2 Sertifika Şablonu (Windows 2003 uyumluluğuyla) oluşturun. Şunları yapabilirsiniz:

    • Yeni bir özel şablon oluşturmak için Sertifika Şablonları ek bileşenini kullanın.
    • Var olan bir şablonu (Web Sunucusu şablonu gibi) kopyalayın ve sonra da kopyayı NDES şablonu olarak kullanmak üzere güncelleştirin.

  2. Şablonun belirtilen sekmelerinde aşağıdaki ayarları yapılandırabilirsiniz:

    • Genel:

      • Sertifikayı Active Directory'de yayımla'nın işaretini kaldırın.
      • Bu şablonu daha sonra tanımlamak için kolay bir Şablon görünen adı belirtin.

    • Konu Adı:

      • İstekte Tedarik'i seçin. Güvenlik, NDES için Intune ilke modülü tarafından zorunlu kılındı.

        Şablon, konu adı sekmesi

    • Uzantılar:

      • Uygulama İlkelerinin Açıklamasında İstemci Kimlik Doğrulaması'nın da yer olduğundan emin olun.

        Önemli

        Yalnızca gereken uygulama ilkelerini ekleyin. Güvenlik yöneticileriniz ile seçimlerinizi onaylayın.

      • iOS/iPadOS ve macOS sertifika şablonları için Anahtar Kullanımı da düzenleyebilir ve İmzanın kaynak kanıtı olduğundan emin olun.

      Şablon, uzantılar sekmesi

    • Güvenlik:

      • NDES hizmet hesabını ekleyin. Bu hesap için bu şablonun Okuma ve Kaydetme izinleri gerekir.

      • SCEP profilleri oluşturacak Intune yöneticileri için ek Hesaplar ekleyin. Bu hesapların, bu yöneticilerin SCEP profilleri oluştururken bu şablona göz atlarını sağlamak için şablon üzerinde Okuma izinleri gerekir.

      Şablon, güvenlik sekmesi

    • İstek İşleme:

      Aşağıdaki resim bir örnektir. Yapılandırmanız farklılık gösterebilir.

      Şablon, istek işleme sekmesi

    • Verme Gereksinimleri:

      Aşağıdaki resim bir örnektir. Yapılandırmanız farklılık gösterebilir.

      Şablon, verme gereksinimleri sekmesi

  3. Sertifika şablonunu kaydedin.

İstemci sertifikası şablonunu oluşturma

Not

Aşağıdaki sertifika, diğer kodlar için Sertifika Bağlayıcısı'Microsoft Intune. Bu bilgiler, SCEP'nin eski bağlayıcılarını (NDESConnectorSetup.exe tarafından yüklenmiş) yeni bağlayıcı yazılımıyla değiştirmemiş olanlar için sağlanır.

Ana Microsoft Intune Bağlayıcısı için İstemci Kimlik Doğrulaması İyileştirilmiş Anahtar Kullanımı ve Konu adı, bağlayıcının yüklü olduğu makinenin FQDN'sinde yer alan bir sertifika gerektirir. Aşağıdaki özelliklere sahip bir şablon gereklidir:

  • Uzantılar > Uygulama İlkeleri İstemci Kimlik Doğrulaması içermeli
  • Konu adı > Talepte tedarik.

Bu özellikleri içeren bir şablonunuz zaten varsa, bu şablonu yeniden kullanabilir, aksi takdirde var olan bir şablonu çoğaltarak veya özel bir şablon oluşturarak yeni bir şablon oluşturabilirsiniz.

Sunucu sertifikası şablonunu oluşturma

NDES sunucusunda yönetilen cihazlar ve IIS arasındaki iletişimler, sertifikanın kullanımını gerektiren HTTPS kullanır. Bu sertifikayı oluşturmak için Web Server sertifika şablonunu kullanabilirsiniz. Ayrıca, özel bir şablon kullanmak isterseniz aşağıdaki özellikler gereklidir:

  • Uzantılar > Uygulama İlkeleri Sunucu Kimlik Doğrulaması'nın içermesi gerekir.
  • Konu adı > Talepte tedarik.
  • Güvenlik sekmesinde , NDES sunucusunun bilgisayar hesabının Okuma ve Kayıt izinlerine sahip olması gerekir.

Not

İstemci ve sunucu sertifika şablonlarının her iki gereksinimlerini de karşı kullanan bir sertifikanız varsa, hem IIS hem de sertifika bağlayıcısı için tek bir sertifika kullanabilirsiniz.

Sertifika iptali için izin ver

Intune'a artık gerekli olan sertifikaları iptal etmek için, Sertifika Yetkilisi'ne izin verebilirsiniz.

Sertifika bağlayıcısını barındıran sunucuda, NDES sunucu sistemi hesabını veya NDES hizmet hesabı gibi belirli bir hesabı kullanın.

  1. Sertifika Yetkilisi konsolunuzun CA adına sağ tıklayın ve Özellikler'i seçin.

  2. Güvenlik sekmesinde Ekle'ye tıklayın.

  3. Sorun Ve Sertifikaları Yönetme iznini ver:

    • NDES sunucu sistem hesabını kullanmayı tercih ediyorsanız, NDES sunucusuna izinleri verin.
    • NDES hizmet hesabını kullanmayı tercih ediyorsanız, onun yerine o hesap için izin verin.

Sertifika şablonunun geçerlilik dönemini değiştirme

Sertifika şablonunun geçerlilik dönemini değiştirmek isteğe bağlıdır.

SCEP sertifika şablonunu oluşturduktaktan sonra, Genel sekmesindeki Geçerlilik Dönemini gözden geçirmek için şablonu düzenleyebilirsiniz.

Varsayılan olarak, Intune şablonda yapılandırılan değeri kullanır, ancak CA'yi, istekte bulunanların farklı bir değer girmelerine izin verecek şekilde yapılandırabilirsiniz; böylece değer Intune konsolundan ayarlanabilirsiniz.

Beş gün veya daha uzun bir süre için geçerlilik dönemi kullanmayı planla. Geçerlilik süresi beş dakikadan azsa, sertifikanın yakın süre sonu veya süresi dolmuş durumu girme olasılığı yüksektir, bu durum cihazlarda MDM aracısı sertifikayı yüklenmeden önce reddetmeye neden olabilir.

Önemli

iOS/iPadOS ve macOS için, şablonda her zaman bir değer kümesi kullanın.

Intune konsolunu kullanarak ayarlanılan bir değeri yapılandırmak için

CA'da aşağıdaki komutları çalıştırın:

certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc

Sertifika şablonlarını yayımlama

  1. Sertifika şablonunu yayımlamak için, verilen CA'da Sertifika Yetkilisi ek bileşenini kullanın. Sertifika Şablonları düğümünü seçin, ActionNewCertificate > > Template to Issue öğesini seçin ve sonra da önceki bölümde oluşturduğunuz sertifika şablonunu seçin.

  2. Sertifika Şablonları klasöründe görüntüerek şablonun yayımlanmış olduğunu doğrulama.

NDES'i ayarlama

Aşağıdaki yordamlar, Ağ Cihazı Kayıt Hizmeti'yi (NDES) Intune ile kullanmak üzere yapılandırmanıza yardımcı olabilir. Bunlar, Windows Server sürümünüze bağlı olarak gerçek yapılandırma olarak örnek olarak verilmiştir. Aşağıdakiler gibi, aşağıdakiler için gerekli yapılandırmaları .NET Framework için Sertifika Bağlayıcısı'nın önkoşullarını Microsoft Intune.

NDES hakkında daha fazla bilgi için bkz . Ağ Cihazı Kayıt Hizmeti Kılavuzu.

NDES hizmetini yükleme

  1. NDES hizmetinizi barındıracak sunucuda Yönetici olarak oturum Enterprise ardından NDES'i yüklemek için Rol ve Özellik Ekleme Sihirbazı'nı kullanın:

    1. Ad CS Rol Hizmetleri'ne erişim kazanmak için Sihirbaz'da Active Directory Sertifika Hizmetleri'ne tıklayın. Ağ Cihazı Kayıt Hizmeti'ne tıklayın, Sertifika Yetkilisi'nin işaretini kaldırın ve sihirbazı tamamlayın.

      İpucu

      Yükleme devam ediyorsa Kapat'ı seçmeyin. Bunun yerine, hedef sunucu üzerinde Active Directory Sertifika Hizmetleri'yi Yapılandır bağlantısını seçin. Bu makaledeki NDES hizmetini yapılandırma makalesinde bir sonraki yordam için kullanabileceğiniz AD CS Yapılandırması sihirbazı açılır. AD CS Yapılandırması açıldıktan sonra Rol ve Özellik Ekle sihirbazını kapatabilirsiniz.

    2. NDES sunucuya ekli olduğunda, sihirbaz IIS'yi de yüklür. IIS'nin aşağıdaki yapılandırmalara sahip olduğunu onaylayın:

      • Web Sunucusu > Güvenlik > Filtre uygulama isteği

      • Web Sunucusu > Uygulama Geliştirme > ASP.NET 3,5

        ASP.NET 3.5'i yükleme .NET Framework 3.5'i yükler. .NET Framework 3.5'i yüklerken, hem temel .NET Framework 3.5 özelliğini hem de HTTP Etkinleştirme'yi yükleyin.

      • Web Sunucusu > Uygulama Geliştirme > ASP.NET 4.7.2

        ASP.NET 4.7.2 yüklemesi .NET Framework 4.7.2'yi yükler. .NET Framework 4.7.2'yi yüklerken çekirdek .NET Framework 4.7.2 özelliğini, ASP.NET 4.7.2'yi ve WCF HizmetleriHTTP > Etkinleştirme özelliğini yükleyin.

      • Yönetim Araçları > IIS 6 Yönetim Uyumluluğu > IIS 6 Meta Dosyası Uyumluluğu

      • Yönetim Araçları > IIS 6 Yönetim Uyumluluğu > IIS 6 WMI Uyumluluğu

      • Sunucuda, NDES hizmet hesabını yerel Posta Hizmetleri grubunun bir üyesi IIS_IUSR ekleyin.

  2. NDES hizmetini barındıran bilgisayarda, yükseltilmiş komut isteminde aşağıdaki komutu çalıştırın. Aşağıdaki komut NDES Hizmet hesabının SPN'lerini ayarlar:

    setspn -s http/<DNS name of the computer that hosts the NDES service> <Domain name>\<NDES Service account name>

    Örneğin, NDES hizmetini barındıran bilgisayarın adı Server01 ise, etki alanınız Contoso.com ve hizmet hesabı NDESService ise, kullanın:

    setspn –s http/Server01.contoso.com contoso\NDESService

NDES hizmetini yapılandırma

NDES hizmetini yapılandırmak için, Yönetici hesabı olan bir Enterprise kullanın.

  1. NDES hizmetini barındıran bilgisayarda AD CS Yapılandırması sihirbazını açın ve aşağıdaki güncelleştirmeleri yapın:

    İpucu

    Son yordamdan devam ediyorsanız ve hedef sunucuda Active Directory Sertifika Hizmetleri Yapılandır bağlantısına tıklarsanız, bu sihirbazın zaten açık olması gerekir. Aksi takdirde, Active Directory Sertifika Hizmetleri'nin dağıtım sonrası yapılandırmasına erişmek için Sunucu Yöneticisi'ni açın.

    • Rol Hizmetleri'deCihazı Kayıt Hizmeti'ne seçin.
    • NDES Hizmet Hesabı'nın içinde, NDES Hizmet Hesabını belirtin.
    • NDES için CA'da Seç'e tıklayın ve sertifika şablonunu yapılandırmış olduğunuz ca'yı seçin.
    • NDES için şifrelemede, şirket gereksinimlerinizi karşılayacak anahtar uzunluğunu ayarlayın.
    • Onay'da, sihirbazı tamamlamak için Yapılandır'ı seçin.

  2. Sihirbaz tamamlandıktan sonra, NDES hizmetini barındıran bilgisayarda aşağıdaki kayıt defteri anahtarını güncelleştirin:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Bu anahtarı güncelleştirmek için, sertifika şablonlarının Amacını (İstek İşleme sekmesinde bulunur) bulun. Ardından, var olan verileri sertifika şablonunu oluşturulduğunda belirttiğiniz sertifika şablonunun adıyla (şablonun görünen adıyla değil) değiştirerek ilgili kayıt defteri girdisini güncelleştirin.

    Aşağıdaki tabloda, sertifika şablonunun amacı kayıt defterindeki değerlerle eşler:

    Sertifika şablonu Amacı (İstekleri İşleme sekmesinde) Düzenlenemez kayıt defteri değeri SCEP profili için Intune yönetici konsolunda görülen değer
    İmza SignatureTemplate Dijital İmza
    Şifreleme EncryptionTemplate Anahtar Şifreleme
    İmza ve şifreleme GeneralPurposeTemplate Anahtar Şifreleme
    Dijital İmza

    Örneğin, sertifika şablonuz amacı Şifreleme ise EncryptionTemplate değerini, sertifika şablon adının olacak şekilde düzenleyin.

  3. NDES hizmetini barındıran sunucuyu yeniden başlatın. Iisreset kullanma; iireset gerekli değişiklikleri tamamlamaz.

  4. http:// Server_FQDN*/certsrv/mscep/mscep.dll*. Aşağıdaki görüntüye benzer bir NDES sayfası görüyor olması gerekir:

    Test NDES

    Web adresi 503 Hizmeti kullanılamıyorsa, bilgisayarların olay görüntüleyicisini kontrol edin. Bu hata, genellikle NDES hizmet hesabı için eksik izinler nedeniyle uygulama havuzu durdurulurken ortaya çıkar.

NDES'i barındıran sunucuya sertifikaları yükleme ve bağlama

NDES sunucusunda, Sunucu kimlik doğrulama sertifikası ekleyin.

  • Sunucu kimlik doğrulama sertifikası

    Bu sertifika IIS'de kullanılır. İstemcinin NDES URL'lerine güvenmesini sağlayan basit bir Web sunucusu sertifikasıdır.

    1. İç CA'nız veya genel CA'nız için sunucu kimlik doğrulama sertifikası ister ve sonra da sertifikayı sunucuya yükleyin.

      NDES'inizi İnternet'e nasıl sağ kullandığınıza bağlı olarak, farklı gereksinimler vardır.

      İyi bir yapılandırma şu şekildedir:

      • Konu Adı: Sertifikayı yüklemektesiniz olan sunucunun FQDN'sinde eşit olması gereken bir değere sahip bir CN (Ortak Ad) ayarlayın (NDES Sunucusu).
      • Konu Alternatif Adı: İç FQDN ve dış URL'ler gibi, NDES'nizin yanıt aldığı her URL için DNS girdilerini ayarlayın.

      Not

      Azure AD Uygulama Ara Sunucusu kullanıyorsanız, AAD App Proxy bağlayıcısı dış URL'den gelen istekleri iç URL'ye çevirir. Bu nedenle, NDES yalnızca iç URL'ye yönlendirilen isteklere, genellikle NDES Sunucusunun FQDN'sine yanıt verir.

      Bu durumda, dış URL gerekmez.

    2. IIS'de sunucu kimlik doğrulama sertifikasını bağlama:

      1. Sunucu kimlik doğrulama sertifikasını yükledikten sonra , IIS Yöneticisi'ni açın ve Varsayılan Web Sitesi'ni seçin. Eylemler bölmesinde Bağlamalar'ı seçin.

      2. Ekle'yi seçin, Tür'ü https olarak ayarlayın ve bağlantı noktasının 443 olduğunu onaylayın.

      3. SSL sertifikası için, sunucu kimlik doğrulama sertifikasını belirtin.

Not

WINDOWS için Sertifika Bağlayıcısı'nın NDES Microsoft Intune yalnızca Sunucu kimlik doğrulama sertifikası kullanılır. NDES'i eski sertifika bağlayıcısını destekleyecek şekilde yapılandırıyorsanız (NDESConnectorSetup.exe), bir İstemci kimlik doğrulama sertifikası da yapılandırmanız gerekir. Bu sertifika her iki kullanımın ölçütlerine uygun şekilde yapılandırıldığında, hem sunucu kimlik doğrulaması hem de istemci kimlik doğrulaması için tek bir sertifika kullanabilirsiniz. Konu Adı ile ilgili olarak, istemci kimlik doğrulama sertifikası gereksinimlerini karşılaması gerekir.

SCEP'nin eski bağlayıcılarını (NDESConnectorSetup.exe tarafından yüklenmiş) yeni bağlayıcı yazılımıyla değiştirmemiş olanlar için aşağıdaki bilgiler sağlanır.

  • İstemci kimlik doğrulama sertifikası

    Bu sertifika, SCEP'yi desteklemek için Microsoft Intune Bağlayıcısı'nın yüklemesi sırasında kullanılır.

    İç CA'nız veya genel sertifika yetkililerinden bir istemci kimlik doğrulama sertifikası ister ve yükleyin.

    Sertifika aşağıdaki gereksinimleri karşılamalıdır:

    • İyileştirilmiş Anahtar Kullanımı: Bu değer İstemci Kimlik Doğrulaması'nın da içermesi gerekir.
    • Konu Adı: Sertifikayı yüklemektesiniz olan sunucunun FQDN'sinde eşit olması gereken bir değere sahip bir CN (Ortak Ad) ayarlayın (NDES Sunucusu).

Sertifika Bağlayıcısı'nın son güncelleştirmelerini indirme, yükleme ve Microsoft Intune

Kılavuz için bkz. Aşağıdakilere yönelik Sertifika Bağlayıcısı'Microsoft Intune.

  • Sertifika bağlayıcısı, NDES hizmetinizi çalıştıran sunucuya yüklenir.
  • Bağlayıcı, sertifika yetkiliniz (CA) ile aynı sunucuda desteklenmiyor.

Sonraki adımlar

SCEP sertifika profili oluşturma