Sertifika altyapısını yapılandırmaConfigure certificate infrastructure

Şunlar için geçerlidir: Klasik portalda IntuneApplies to: Intune in the classic portal
Azure portalında Intune hakkında belgeler mi arıyorsunuz?Looking for documentation about Intune in the Azure portal? Buraya gidin.Go here.

Bu konu başlığı altında, .PFX sertifika profillerini oluşturmak ve dağıtmak için nelere ihtiyacınız olduğu açıklanır.This topic describes what you need in order to create and deploy .PFX certificate profiles.

Kuruluşunuzda sertifika tabanlı kimlik doğrulamaları yapmak için, bir Kuruluş Sertifika Yetkiliniz olmalıdır.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

Kuruluş Sertifika Yetkilisine ek olarak .PFX Sertifika profillerini de kullanmak için, aşağıdakiler gerekir:To use .PFX Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • Sertifika Yetkilisi ile iletişim kurabilen bir bilgisayarı veya Sertifika Yetkilisi bilgisayarını kullanabilirsiniz.A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • Sertifika Yetkilisi ile iletişim kurabilen bilgisayarda çalışan Intune Sertifika Bağlayıcısı.The Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

Şirket içi altyapı açıklamasıOn-premises infrastructure description

  • Active Directory etki alanı: Bu bölümde listelenen tüm sunucular (Web Uygulaması Ara Sunucusu hariç), Active Directory etki alanınıza katılmalıdır.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Sertifika Yetkilisi: Windows Server 2008 R2 veya üzeri bir Enterprise sürümünde çalışan Kuruluş Sertifika Yetkilisi (CA).Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Tek Başına CA desteklenmez.A Standalone CA is not supported. Bir Sertifika Yetkilisi'ni nasıl ayarlayacağınız hakkında bilgi edinmek için bkz. Sertifika Yetkilisi'ni Yükleme.For instructions on how to set up a Certification Authority, see Install the Certification Authority. CA'nız Windows Server 2008 R2 çalıştırıyorsa, KB2483564 ile gelen düzeltmeyi yüklemenizgerekir.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Sertifika Yetkilisiyle iletişim kurabilen bilgisayar: Alternatif olarak, Sertifika Yetkisi bilgisayarının kendisini kullanın.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Microsoft Intune Sertifika Bağlayıcısı: Sertifika Bağlayıcısı yükleyicisini (ndesconnectorssetup.exe) indirmek için Intune yönetim konsolunu kullanırsınız.Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Ardından, Sertifika Bağlayıcısı'nı yüklemek istediğiniz bilgisayarda ndesconnectorssetup.exe dosyasını çalıştırabilirsiniz.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. .PFX Sertifika profilleri için, Sertifika Bağlayıcısı’nı Sertifika Yetkilisi ile iletişim kurabilen bilgisayara yükleyin.For .PFX Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Web Uygulaması Proxy sunucusu (isteğe bağlı): Web Uygulaması Proxy (WAP) sunucusu olarak Windows Server 2012 R2 veya üzerini çalıştıran bir sunucu kullanabilirsiniz.Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Bu yapılandırma:This configuration:

    • Cihazların bir İnternet bağlantısını kullanarak sertifikaları almasını sağlar.Allows devices to receive certificates using an Internet connection.
    • Cihazlar sertifikaları almak ve yenilemek için İnternet üzerinden bağlanıyorsa güvenlik açısından önerilir.Is a security recommendation when devices connect through the Internet to receive and renew certificates.

    Not

Sertifikalar ve ŞablonlarCertificates and Templates

NesneObject AyrıntılarDetails
Sertifika ŞablonuCertificate Template Bu şablonu sertifika veren CA'nız üzerinde yapılandırabilirsiniz.You configure this template on your issuing CA.
Güvenilen Kök CA sertifikaTrusted Root CA certificate Bunu sertifika veren CA'dan veya ona güvenen herhangi bir cihazdan bir .cer dosyası olarak dışarı aktarabilir ve Güvenilen CA sertifika profilini kullanarak cihazlara dağıtabilirsiniz.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and deploy it to devices by using the Trusted CA certificate profile.

İşletim sistemi platformu başına tek bir Güvenilen Kök CA sertifika kullanırsınız ve bu sertifikayı oluşturduğunuz her Güvenilen Kök Sertifika profili ile ilişkilendirirsiniz.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Gerektiğinde ek Güvenilen Kök CA sertifikaları kullanabilirsiniz.You can use additional Trusted Root CA certificates when needed. Örneğin, Wi-Fi erişim noktalarınız için sunucu kimlik doğrulama sertifikalarını imzalayan bir CA'ya güven sağlamak için bunu yapabilirsiniz.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Altyapınızı yapılandırınConfigure your infrastructure

Sertifika profillerini yapılandırabilmeniz için önce aşağıdaki görevleri tamamlamanız gerekir.Before you can configure certificate profiles, you must complete the following tasks. Bu görevler, Windows Server 2012 R2 ve Active Directory Sertifika Hizmetleri (ADCS) bilgisi gerektirir:These tasks require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • Görev 1 - Sertifika yetkilisinde sertifika şablonları yapılandırma.Task 1 - Configure certificate templates on the certification authority.
  • Görev 2 - Intune Sertifika Bağlayıcısı'nı etkinleştirme, yükleme ve yapılandırma.Task 2 - Enable, install, and configure the Intune Certificate Connector.

Görev 1 - Sertifika yetkilisinde sertifika şablonları yapılandırmaTask 1 - Configure certificate templates on the certification authority

Bu görevde, sertifika şablonunu yayımlayacaksınız.In this task, you will publish the certificate template.

Sertifika yetkilisini yapılandırmak içinTo configure the certification authority
  1. Sertifika veren CA'da, Sertifika Şablonları ek bileşenini kullanarak .PFX ile kullanılmak üzere yeni bir özel şablon oluşturun veya var olan bir şablonu (Kullanıcı şablonu gibi) kopyalayın ve düzenleyin.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with .PFX.

    Şablon şunları içermelidir:The template must include the following:

    • Şablon için kolay bir Şablon görünen adı belirtin.Specify a friendly Template display name for the template.

    • Konu Adı sekmesinde, İstekte sağla'yı seçin.On the Subject Name tab, select Supply in the request.

    • Uzantılar sekmesinde, Uygulama İlkeleri Açıklaması 'nın İstemci Kimlik Doğrulaması'nı içerdiğinden emin olun.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Önemli

      iOS ve Mac OS X sertifika şablonlarında, Uzantılar sekmesinde Anahtar Kullanımı'nı düzenleyin ve İmza kaynağın delilidir seçeneğinin işaretli olmadığından emin olun.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Şablonun Genel sekmesindeki Geçerlilik süresi 'ni gözden geçirin.Review the Validity period on the General tab of the template. Varsayılan olarak, Intune şablonda yapılandırılan değeri kullanır.By default, Intune uses the value configured in the template. Ancak, CA'yı istekte bulunan kişinin farklı bir değer belirtmesine izin verecek şekilde yapılandırma seçeneğiniz vardır ve bu değeri Intune yönetim konsolundan ayarlayabilirsiniz.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Her zaman şablondaki değeri kullanmak istiyorsanız, bu adımın geri kalanını atlayın.If you want to always use the value in the template, skip the remainder of this step.

    Önemli

    iOS ve Mac OS X platformları, yaptığınız diğer yapılandırmalar ne olursa olsun, her zaman şablonda ayarlanan değeri kullanır.The iOS and Mac OS X platforms always uses the value set in the template, regardless of other configurations you make.

    CA'yı istekte bulunan kişinin geçerlilik süresini belirlemesine izin verecek şekilde yapılandırmak için CA'da aşağıdaki komutları çalıştırın:To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Sertifika veren CA'da, sertifika şablonunu yayımlamak için Sertifika Yetkilisi ek bileşenini kullanın.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Sertifika Şablonları düğümünü seçin, Eylem-> Yeni > Verilecek Sertifika Şablonu öğesine tıklayın ve ardından 2. adımda oluşturduğunuz şablonu seçin.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Şablonu Sertifika Şablonları klasöründe görüntüleyerek yayımlandığını doğrulayın.Validate that the template published by viewing it under the Certificate Templates folder.

  4. CA bilgisayarında, Intune Sertifika Bağlayıcısı’nı barındıran bilgisayarın, .PFX profili oluşturulurken kullanılan şablona erişebilmesi için kayıt izni olduğundan emin olun.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the .PFX profile. CA bilgisayarı özelliklerindeki Güvenlik sekmesinde bu izni ayarlayın.Set that permission on the Security tab of the CA computer properties.

Görev 2 - Intune Sertifika Bağlayıcısı'nı etkinleştirme, yükleme ve yapılandırmaTask 2 - Enable, install, and configure the Intune Certificate Connector

Bu görevde şunları yapacaksınız:In this task you will:

Sertifika Bağlayıcısı'nı indirme, yükleme ve yapılandırma.Download, install, and configure the Certificate Connector.

Sertifika Bağlayıcısı desteğini etkinleştirmek içinTo enable support for the Certificate Connector
  1. Intune yönetim konsolunu açın ve Yönetim > Sertifika Bağlayıcısı’nı seçin.Open the Intune administration console, and choose Admin > Certificate Connector.

  2. Şirket İçi Sertifika Bağlayıcısı’nı Yapılandır'ı seçin.Choose Configure On-Premises Certificate Connector.

  3. Sertifika Bağlayıcısı'nı Etkinleştir'i ve ardından Tamam'ı seçin.Select Enable Certificate Connector, and then choose OK.

Sertifika Bağlayıcısı'nı indirmek, yüklemek ve yapılandırmak içinTo download, install, and configure the Certificate Connector
  1. Intune yönetim konsolunu açın ve ardından Yönetici > Mobil Cihaz Yönetimi > Sertifika Bağlayıcısı > Sertifika Bağlayıcısı’nı İndir’i seçin.Open the Intune administration console, and then choose Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Yükleme tamamlandıktan sonra, indirilen yükleyiciyi (ndesconnectorssetup.exe) çalıştırın.After the download completes, run the downloaded installer (ndesconnectorssetup.exe).

    Yükleyiciyi, Sertifika Yetkilisi ile iletişim kurabilen bilgisayarda çalıştırın.Run the installer on the computer that is able to connect with the Certification Authority. .PFX Dağıtımı seçeneğini belirtin, sonra Yükle’ye tıklayın.Choose the .PFX Distribution option, and then choose Install. Yükleme tamamlandığında, Sertifika profillerini yapılandırma konusunda açıklandığı gibi bir sertifika profili oluşturarak devam edin.When the installation has completed, continue by creating a certificate profile as described in Configure certificate profiles.

  3. Sertifika Bağlayıcısı için istemci sertifikası istendiğinde, Seç'i belirleyip, Görev 3'te yüklediğiniz istemci kimlik doğrulaması sertifikasını seçin.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed in Task 3.

    İstemci kimlik doğrulaması sertifikasını seçtikten sonra, Microsoft Intune Sertifika Bağlayıcısı için İstemci Sertifikası yüzeyine dönersiniz.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Seçtiğiniz sertifika gösterilmese de bu sertifikanın özelliklerini görüntülemek İleri'yi seçin.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Sonra İleri’yi ve ardından Yükle’yi seçin.Then choose Next, and then Install.

  4. Sihirbaz tamamlandıktan sonra, sihirbazı kapatmadan önce, Sertifika Bağlayıcısı Kullanıcı Arabirimini Başlat'a tıklayın.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    İpucu

    Sertifika Bağlayıcısı Kullanıcı Arabirimi'ni başlatmadan sihirbazı kapatırsanız, aşağıdaki komutu çalıştırarak yeniden açabilirsiniz:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <install_Path>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. Sertifika Bağlayıcısı kullanıcı arabiriminde:In the Certificate Connector UI:

    a.a. Oturum Aç'ı seçin ve Intune hizmet yöneticisi kimlik bilgilerinizi veya genel yönetim izni olan bir kiracı yöneticiye ait kimlik bilgilerini girin.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Gelişmiş sekmesini seçin ve ardından Sertifika Yetkiliniz’de Sertifikaları Yayımla ve Yönet iznine sahip olan bir hesabın kimlik bilgilerini sağlayın.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Uygula'yı seçin.Choose Apply.

    Şimdi Sertifika Bağlayıcısı kullanıcı arabirimini kapatabilirsiniz.You can now close the Certificate Connector UI.

  6. Bir komut istemi açın ve services.msc yazın.Open a command prompt and type services.msc. Enter tuşuna basın, Intune Bağlayıcısı Hizmeti’ne sağ tıklayın ve Yeniden Başlat’ı seçin.Then press Enter, right-click the Intune Connector Service, and choose Restart.

Sonraki adımlarNext steps

Artık sertifika profillerinizi, Sertifika profillerini yapılandırma konusunda anlatıldığı şekilde yapılandırmaya hazırsınız.You are now ready to set up certificate profiles, as described in Configure certificate profiles.