SCEP için sertifika altyapısını yapılandırmaConfigure certificate infrastructure for SCEP

Uygulama hedefi: Klasik konsolda IntuneApplies to: Intune in the classic console
Azure'da Intune ile ilgili belge mi arıyorsunuz?Looking for documentation about Intune on Azure? Buraya gidin.Go here.

Bu konu başlığı altında, SCEP sertifika profillerini oluşturmak ve dağıtmak için hangi altyapıya ihtiyacınız olduğu açıklanır.This topic describes what infrastructure you need in order to create and deploy SCEP certificate profiles.

Şirket içi altyapıOn-premises infrastructure

  • Active Directory etki alanı: Bu bölümde listelenen tüm sunucular (Web Uygulaması Ara Sunucusu hariç), Active Directory etki alanınıza katılmalıdır.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Sertifika Yetkilisi (CA): Windows Server 2008 R2 veya üzeri bir Enterprise sürümünde çalışan Kuruluş Sertifika Yetkilisi (CA).Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Tek Başına CA desteklenmez.A Standalone CA is not supported. Bir Sertifika Yetkilisi'ni nasıl ayarlayacağınız hakkında bilgi edinmek için bkz. Sertifika Yetkilisi'ni Yükleme.For instructions on how to set up a Certification Authority, see Install the Certification Authority. CA'nız Windows Server 2008 R2 çalıştırıyorsa, KB2483564 ile gelen düzeltmeyi yüklemenizgerekir.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564. II

  • NDES Sunucusu: Windows Server 2012 R2 veya üstünü çalıştıran bir sunucuya Ağ Cihazı Kayıt Hizmeti’ni (NDES) kurmalısınız.NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Intune, Kuruluş CA ile aynı sunucuda çalıştırılan NDES’nin kullanımını desteklemez.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Windows Server 2012 R2’yi Ağ Cihazı Kayıt Hizmeti’ni barındıracak şekilde yapılandırma yönergeleri için bkz. Ağ Cihazı Kayıt Hizmeti Kılavuzu.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. NDES sunucusu CA’yı barındıran etki alanına katılmış olmalı ve CA ile aynı sunucuda yer almamalıdır.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. NDES sunucusunu ayrı bir ormanda, yalıtılmış ağda veya iç etki alanında dağıtma hakkında daha fazla bilgi, Ağ Cihazı Kayıt Hizmeti ile İlke Modülü Kullanma başlığı altında bulunabilir.More information about deploying the NDES server in a separate forest, isolated network or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Sertifika Bağlayıcısı: Sertifika Bağlayıcısı yükleyicisini (ndesconnectorssetup.exe) indirmek için Intune yönetim konsolunu kullanırsınız.Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Ardından, Sertifika Bağlayıcısı'nı yüklemek istediğiniz bilgisayarda ndesconnectorssetup.exe dosyasını çalıştırabilirsiniz.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • Web Uygulaması Ara Sunucusu (isteğe bağlı): Web Uygulaması Ara Sunucusu (WAP) olarak Windows Server 2012 R2 veya üstünü çalıştıran bir sunucu kullanabilirsiniz.Web Application Proxy Server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Bu yapılandırma:This configuration:

    • Cihazların bir İnternet bağlantısını kullanarak sertifikaları almasını sağlar.Allows devices to receive certificates using an Internet connection.
    • Cihazlar sertifikaları almak ve yenilemek için İnternet üzerinden bağlanıyorsa güvenlik açısından önerilir.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Not

Ağ gereksinimleriNetwork requirements

İnternet’ten çevre ağına, İnternet’te tüm konaklardan/IP adreslerinden NDES sunucusuna bağlantı noktası 443’e izin verin.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Çevre ağından güvenilen ağa, etki alanına katılmış NDES sunucusunda etki alanı erişimi için gereken tüm bağlantı noktalarına ve protokollere izin verin.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. NDES sunucusunun sertifika sunucularına, DNS sunucularına, Configuration Manager sunucularına ve etki alanı denetleyicilerine erişimi olmalıdır.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers and domain controllers.

NDES sunucusunun Azure AD uygulama proxy’si, Web Erişim Proxy’si veya üçüncü taraf bir proxy gibi bir proxy aracılığıyla yayımlanmasını öneririz.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Sertifikalar ve ŞablonlarCertificates and Templates

NesneObject AyrıntılarDetails
Sertifika ŞablonuCertificate Template Bu şablonu sertifika veren CA'nız üzerinde yapılandırabilirsiniz.You configure this template on your issuing CA.
İstemci kimlik doğrulama sertifikasıClient authentication certificate Sertifika veren CA'nızdan veya genel CA'dan istenen bu sertifikayı NDES Sunucusu'na yüklersiniz.Requested from your issuing CA or public CA, you install this certificate on the NDES Server.
Sunucu kimlik doğrulama sertifikasıServer authentication certificate Sertifika veren CA'nızdan veya genel CA'dan istenen bu SSL sertifikasını NDES Sunucusu'ndaki IIS'de yüklersiniz ve bağlarsınız.Requested from your issuing CA or public CA, you install and bind this SSL certificate in IIS on the NDES server.
Güvenilen Kök CA sertifikaTrusted Root CA certificate Bunu kök CA'dan veya kök CA’ya güvenen herhangi bir cihazdan bir .cer dosyası olarak dışarı aktarabilir ve Güvenilen CA sertifika profilini kullanarak cihazlara dağıtabilirsiniz.You export this as a .cer file from the root CA or any device which trusts the root CA, and deploy it to devices by using the Trusted CA certificate profile.

İşletim sistemi platformu başına tek bir Güvenilen Kök CA sertifika kullanırsınız ve bu sertifikayı oluşturduğunuz her Güvenilen Kök Sertifika profili ile ilişkilendirirsiniz.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Gerektiğinde ek Güvenilen Kök CA sertifikaları kullanabilirsiniz.You can use additional Trusted Root CA certificates when needed. Örneğin, Wi-Fi erişim noktalarınız için sunucu kimlik doğrulama sertifikalarını imzalayan bir CA'ya güven sağlamak için bunu yapabilirsiniz.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

HesaplarAccounts

AdName AyrıntılarDetails
NDES hizmet hesabıNDES service account NDES Hizmet Hesabı olarak kullanılacak bir etki alanı kullanıcı hesabı belirtirsiniz.You specify a domain user account to use as the NDES Service account.

Altyapınızı yapılandırınConfigure your infrastructure

Sertifika profillerini yapılandırmadan önce Windows Server 2012 R2 ve Active Directory Sertifika Hizmetleri (ADCS) bilgisi gerektiren aşağıdaki görevleri tamamlamanız gerekir:Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

Görev 1: NDES hizmet hesabı oluşturmaTask 1: Create an NDES service account

Görev 2: Sertifika yetkilisinde sertifika şablonlarını yapılandırmaTask 2: Configure certificate templates on the certification authority

Görev 3: NDES sunucusunda önkoşulları yapılandırmaTask 3: Configure prerequisites on the NDES server

Görev 4: NDES’yi Intune’la kullanılacak şekilde yapılandırmaTask 4: Configure NDES for use with Intune

Görev 5: Intune Sertifika Bağlayıcısı'nı etkinleştirme, yükleme ve yapılandırmaTask 5: Enable, install, and configure the Intune Certificate Connector

Görev 1 - NDES hizmet hesabı oluşturmaTask 1 - Create an NDES service account

NDES hizmet hesabı olarak kullanılacak bir etki alanı kullanıcı hesabı oluşturun.Create a domain user account to use as the NDES service account. NDES'i yükleyip yapılandırmadan önce sertifika veren CA üstünde şablonları yapılandırırken bu hesabı belirteceksiniz.You will specify this account when you configure templates on the issuing CA before you install and configure NDES. Kullanıcının varsayılan haklara (Yerel Olarak Oturum Açma, Hizmet Olarak Oturum Açma ve Toplu İş Olarak Oturum Açma hakları) sahip olduğundan emin olun.Make sure the user has the default rights, Logon Localy, Logon as a Service and Logon as a batch job rights. Bazı kuruluşların söz konusu hakları devre dışı bırakan sağlamlaştırma ilkeleri vardır.Some organizations have hardening policies that disable those rights.

Görev 2 - Sertifika yetkilisinde sertifika şablonlarını yapılandırmaTask 2 - Configure certificate templates on the certification authority

Bu görevde şunları yapacaksınız:In this task you will:

  • NDES için bir sertifika şablonu yapılandırmaConfigure a certificate template for NDES

  • NDES için oluşturulan sertifika şablonunu yayımlamaPublish the certificate template for NDES

Sertifika yetkilisini yapılandırmak içinTo configure the certification authority
  1. Kuruluş yöneticisi olarak oturum açın.Log on as an enterprise administrator.

  2. Sertifika veren CA'da, Sertifika Şablonları ek bileşenini kullanarak yeni bir özel şablon oluşturun veya var olan bir şablonunu kopyalayın ve ardından, var olan bir şablonu (Kullanıcı şablonu gibi) NDES ile kullanılmak üzere düzenleyin.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    Şablonun aşağıdaki yapılandırmalara sahip olması gerekir:The template must have the following configurations:

    • Şablon için kolay bir Şablon görünen adı belirtin.Specify a friendly Template display name for the template.

    • Konu Adı sekmesinde, İstekte sağla'yı seçin.On the Subject Name tab, select Supply in the request. (Güvenlik, NDES için Intune ilke modülü tarafından zorunlu tutulur).(Security is enforced by the Intune policy module for NDES).

    • Uzantılar sekmesinde, Uygulama İlkeleri Açıklaması 'nın İstemci Kimlik Doğrulaması'nı içerdiğinden emin olun.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Önemli

      iOS ve Mac OS X sertifika şablonları için, Uzantılar sekmesinde Anahtar Kullanımı'nı düzenleyin ve İmza kaynağın delilidir öğesinin seçili olmadığından emin olun.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • Güvenlik sekmesinde, NDES hizmet hesabını ekleyin ve bu hesaba şablon üzerinde Kaydetme izinleri verin.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. SCEP profillerini oluşturacak olan Intune yöneticilerinin, SCEP profillerini oluştururken şablona göz atabilmeleri için Okuma hakları olmalıdır.Intune admins who will create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Not

    Sertifikaları iptal etmek için, NDES hizmet hesabının sertifika profili tarafından kullanılan her sertifika şablonu üzerinde Sertifikaları Yayımlama ve Yönetme hakları olmalıdır.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Şablonun Genel sekmesindeki Geçerlilik süresi 'ni gözden geçirin.Review the Validity period on the General tab of the template. Varsayılan olarak, Intune şablonda yapılandırılan değeri kullanır.By default, Intune uses the value configured in the template. Ancak, CA'yı istekte bulunan kişinin farklı bir değer belirtmesine izin verecek şekilde yapılandırma seçeneğiniz vardır ve bu değeri Intune yönetim konsolundan ayarlayabilirsiniz.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Her zaman şablondaki değeri kullanmak istiyorsanız, bu adımın geri kalanını atlayın.If you want to always use the value in the template, skip the remainder of this step.

    Önemli

    iOS ve Mac OS X platformları, yaptığınız diğer yapılandırmalar ne olursa olsun, her zaman şablonda ayarlanan değeri kullanır.The iOS and Mac OS X platforms always uses the value set in the template regardless of other configurations you make.

Burada, örnek şablon yapılandırmasının ekran görüntüleri verilmiştir.Here are screenshots of an example template configuration.

Şablon, istek işleme sekmesi

Şablon, konu adı sekmesi

Şablon, güvenlik sekmesi

Şablon, uzantılar sekmesi

Şablon, verme gereklilikleri sekmesi

Önemli

Uygulama İlkeleri için (4. ekran görüntüsü), yalnızca gerekli uygulama ilkelerini ekleyin.For Application Policies (in the 4th screenshot), only add the application policies required. Seçimlerinizi güvenlik yöneticilerinizle onaylayın.Confirm your choices with your security admins.

CA'yı istekte bulunan kişinin geçerlilik süresini belirlemesine izin verecek şekilde yapılandırmak için CA'da aşağıdaki komutları çalıştırın:To configure the CA to allow the requester to specify the validity period, on the CA run the following commands:

  1. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
  2. net stop certsvcnet stop certsvc

  3. net start certsvcnet start certsvc

  1. Sertifika veren CA'da, sertifika şablonunu yayımlamak için Sertifika Yetkilisi ek bileşenini kullanın.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    1. Sertifika Şablonları düğümünü seçin, Eylem-> Yeni > Verilecek Sertifika Şablonu öğesine tıklayın ve ardından 2. adımda oluşturduğunuz şablonu seçin.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    2. Şablonu Sertifika Şablonları klasöründe görüntüleyerek yayımlandığını doğrulayın.Validate that the template published by viewing it under the Certificate Templates folder.

Görev 3 - NDES sunucusunda önkoşulları yapılandırmaTask 3 - Configure prerequisites on the NDES server

Bu görevde şunları yapacaksınız:In this task you will:

  • NDES'i bir Windows Server'a ekleyin ve IIS'yi NDES'i destekleyecek biçimde yapılandırınAdd NDES to a Windows Server and configure IIS to support NDES

  • NDES Hizmet hesabını IIS_IUSR grubuna ekleyinAdd the NDES Service account to the IIS_IUSR group

  • NDES hizmet hesabı SPN'yi ayarlayınSet the SPN for the NDES Service account

  1. NDES'i barındıracak sunucuda bir Kuruluş Yöneticisiolarak oturum açmanız ve sonra NDES'i yüklemek için Rol ve Özellik Ekle Sihirbazı 'nı kullanmanız gerekir:On the server that will hosts NDES, you must log on as a an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. Sihirbaz'da, AD CS Rol Hizmetleri'ne erişmek için Active Directory Sertifika Hizmetleri 'ni seçin.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Ağ Cihazı Kayıt Hizmeti'ni seçin, Sertifika Yetkilisi'nin işaretini kaldırın ve ardından sihirbazı tamamlayın.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      İpucu

      Sihirbazın Kurulum ilerleme durumu sayfasında Kapat'a tıklamayın.On the Installation progress page of the wizard, do not click Close. Bunun yerine, Hedef sunucuda Active Directory Sertifika Hizmetleri'ni Yapılandırbağlantısına tıklayın.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Bu, sonraki görev için kullanacağınız AD CS Yapılandırma sihirbazını açar.This opens the AD CS Configuration wizard that you use for the next task. AD CS Yapılandırması açıldıktan sonra, Rol ve Özellik Ekle sihirbazını kapatabilirsiniz.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. NDES sunucuya eklendiğinde, sihirbaz tarafından IIS de yüklenir.When NDES is added to the server, the wizard also installs IIS. IIS'nin aşağıdaki yapılandırmalara sahip olduğundan emin olun:Ensure IIS has the following configurations:

      • Web Sunucusu > Güvenlik > İstek FiltrelemeWeb Server > Security > Request Filtering

      • Web Sunucusu > Uygulama Geliştirme > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. ASP.NET 3.5'in yüklendiğinde .NET Framework 3.5 yüklenir.Installing ASP.NET 3.5 will install .NET Framework 3.5. .NET Framework 3.5'i yüklerken, hem çekirdek .NET Framework 3.5 özelliğini hem de HTTP Etkinleştirmesi'ni yükleyin.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Web Sunucusu > Uygulama Geliştirme > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. ASP.NET 4.5 yüklendiğinde, .NET Framework 4.5 yüklenir.Installing ASP.NET 4.5 will install .NET Framework 4.5. .NET Framework 4.5'i yüklerken, çekirdek .NET Framework 4.5 özelliğini, ASP.NET 4.5'i ve WCF Hizmetleri > HTTP Etkinleştirmesi özelliğini yükleyin.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Yönetim Araçları > IIS 6 Yönetim Uyumluluğu > IIS 6 Metatabanı UyumluluğuManagement Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Yönetim Araçları > IIS 6 Yönetim Uyumluluğu > IIS 6 WMI UyumluluğuManagement Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Sunucuda, NDES hizmet hesabını IIS_IUSR grubunun bir üyesi olarak ekleyin.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. NDES hizmet hesabının SPN'sini ayarlamak için, yükseltilmiş bir komut istemcisinde şu komutu çalıştırın:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Örneğin, NDES Sunucunuzun adlı Server01, etki alanınız Contoso.comve hizmet hesabını NDESServiceise, şunu kullanın:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

Görev 4 - NDES’yi Intune’la kullanılacak şekilde yapılandırmaTask 4 - Configure NDES for use with Intune

Bu görevde şunları yapacaksınız:In this task you will:

  • NDES'i sertifika veren CA ile kullanmak için yapılandırmaConfigure NDES for use with the issuing CA

  • IIS'de sunucu kimlik doğrulaması (SSL) sertifikasını bağlamaBind the server authentication (SSL) certificate in IIS

  • IIS'de İstek Filtrelemeyi YapılandırmaConfigure Request Filtering in IIS

NDES’yi Intune’la kullanılacak şekilde yapılandırmak içinTo configure NDES for use with Intune
  1. NDES Sunucusunda, AD CS Yapılandırma sihirbazını açın ve aşağıdaki yapılandırmaları yapın.On the NDES Server, open the AD CS Configuration wizard and then make the following configurations.

    İpucu

    Önceki görevde bulunan bağlantıya tıkladıysanız bu sihirbaz zaten açıktır.If you clicked the link in the previous task, this wizard is already open. Aksi takdirde, Active Directory Sertifika Hizmetleri için dağıtım sonrası yapılandırmaya erişmek için Sunucu Yöneticisi'ni açın.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • Rol Hizmetleri Sayfasında, Ağ Cihazı Kayıt Hizmeti'ni seçin.On the Role Services Page, select the Network Device Enrollment Service.

    • NDES için Hizmet Hesabı sayfasında, NDES Hizmet Hesabı'nı belirtin.On the Service Account for NDES page, specify the NDES Service Account.

    • NDES için CA sayfasında, Seç'e tıklayın ve ardından, sertifika şablonunu yapılandırdığınız yerde sertifika veren CA'yı seçin.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • NDES için şifreleme sayfasında, anahtar uzunluğunu şirket gereksinimlerinizi karşılayacak şekilde ayarlayın.On the Cryptography for NDES page, set the key length to meet your company requirements.

    Onay sayfasında, sihirbazı tamamlamak için Yapılandır 'a tıklayın.On the Confirmation page, click Configure to complete the wizard.

  2. Sihirbaz tamamlandıktan sonra, NDES Sunucusu'nda aşağıdaki kayıt defteri anahtarını düzenleyin:After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Bu anahtarı düzenlemek için sertifika şablonunun Amaç değerini, anahtarın İstek İşleme sekmesinde bulunan değerle tanımlayın ve ardından, kayıt defterindeki mevcut verileri sertifika şablonunun Görev 1'de belirttiğiniz adıyla (şablonun görünen adı değil) değiştirerek kayıt defterinde ilgili girişi düzenleyin.To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. Aşağıdaki tabloda, sertifika şablonu amacı ile kayıt defterindeki değerler eşleştirilmiştir:The following table maps the certificate template purpose to the values in the registry:

    Sertifika şablonunun Amacı (İstek İşleme sekmesinde)Certificate template Purpose (On the Request Handling tab) Düzenlenecek kayıt defteri değeriRegistry value to edit SCEP profili için Intune yönetim konsolunda görünen değerValue seen in the Intune admin console for the SCEP profile
    İmzaSignature SignatureTemplateSignatureTemplate Dijital İmzaDigital Signature
    ŞifrelemeEncryption EncryptionTemplateEncryptionTemplate Anahtar ŞifrelemesiKey Encipherment
    İmza ve şifrelemeSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate Anahtar ŞifrelemesiKey Encipherment

    Dijital İmzaDigital Signature

    Örneğin, sertifika şablonunuzun Amacı Şifrelemeise EncryptionTemplate değerini sertifika şablonunuzun adı olacak biçimde düzenleyin.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. NDES sunucusu çok uzun URL’ler (sorgular) alacağı için, iki kayıt defteri girdisini eklemeniz gerekir:The NDES server will receive very long URL’s (queries), which require that you add two registry entries:

    KonumLocation DeğerValue TürType VeriData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (ondalık)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (ondalık)65534 (decimal)
  4. IIS yöneticisinde, Varsayılan Web Sitesi -> İstek Filtreleme -> Özellik Ayarını Düzenle’yi seçin ve En fazla URL uzunluğu ve En fazla sorgu dizesi değerlerini gösterildiği gibi 65534 olarak değiştirin.In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    IIS en fazla URL ve sorgu uzunluğu

  5. Sunucuyu yeniden başlatın.Restart the server. Sunucuda iisreset komutunu çalıştırmak, bu değişiklikleri sonlandırmak için yeterli değildir.Running iisreset on the server will not be sufficient to finalize these changes.

  6. Http://FQDN/certsrv/mscep/mscep.dll adresine göz atın.Browse to http://FQDN/certsrv/mscep/mscep.dll. Buna benzeyen bir NDES sayfası görmelisiniz:You should see an NDES page similar to this:

    Test NDES

    503 Hizmet kullanılamıyor hatasını alırsanız olay görüntüleyicisini gözden geçirin.If you get a 503 Service unavailable, check the eventviewer. NDES kullanıcısı için bir hakkın eksik olması nedeniyle uygulama havuzu durdurulmuş olabilir.It's likely that the application pool is stopped due to a missing right for the NDES user. Bu haklar Görev 1'de açıklanmıştır.Those rights are described in Task 1.

NDES Sunucusu'nda sertifikaları yüklemek ve bağlamak içinTo Install and bind certificates on the NDES Server
  1. NDES Sunucunuzda, iç CA'nızdan veya genel CA'dan bir sunucu kimlik doğrulaması sertifikası isteyin ve yükleyin.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Ardından bu SSL sertifikasını IIS'de bağlarsınız.You will then bind this SSL certificate in IIS.

    İpucu

    SSL sertifikasını IIS'de bağladıktan sonra, bir de istemci kimlik doğrulama sertifikası yüklersiniz.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Bu sertifika, NDES Sunucusu tarafından güvenilen bir CA tarafından verilebilir.This certificate can be issued by any CA that is trusted by the NDES Server. En iyi yöntem olmasa da, sertifika her iki Gelişmiş Anahtar Kullanımları (EKU'lar) özelliğine de sahip olduğu sürece, aynı sertifikayı hem sunucu hem de istemci kimlik doğrulaması için kullanabilirsiniz.Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKU’s). Bu kimlik doğrulama sertifikaları hakkında bilgi için aşağıdaki adımları gözden geçirin.Review the following steps for information about these authentication certificates.

    1. Sunucu kimlik doğrulama sertifikasını edindikten sonra IIS Yöneticisi'ni açın, Bağlantılar bölmesinden Varsayılan Web Sitesi 'ni seçin ve ardından, Eylemler bölmesinden Bağlamalar 'a tıklayın.After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Ekle'ye tıklayın, Türhttpsolarak ayarlayın ve sonra bağlantı noktasının 443olduğundan emin olun.Click Add, set Type to https, and then ensure the port is 443. (Tek başına Intune için yalnızca bağlantı noktası 443 desteklenir.)(Only port 443 is supported for standalone Intune.

    3. SSL sertifikasıiçin sunucu kimlik doğrulama sertifikasını belirtin.For SSL certificate, specify the server authentication certificate.

      Not

      NDES sunucusu tek bir ağ adresi için hem iç hem de dış ad kullanıyorsa, sunucu kimlik doğrulama sertifikasının bir dış genel sunucu adına sahip bir Konu Adı ve iç sunucu adını içeren bir Konu Diğer Adı olmalıdır.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. NDES Sunucunuzda, iç CA'nızdan ya da genel bir sertifika yetkilisinden bir istemci kimlik doğrulaması sertifikası isteyin ve yükleyin.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Bu sertifika, her iki özelliği de içeriyorsa sunucu kimlik doğrulama sertifikası ile aynı sertifika olabilir.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    İstemci kimlik doğrulama sertifikasının aşağıdaki özelliklere sahip olması gerekir:The client authentication certificate must have the following properties:

    Gelişmiş Anahtar Kullanımı - Bu, İstemci Kimlik Doğrulaması'nı içermelidir.Enhanced Key Usage - This must include Client Authentication.

    Konu Adı - Bu, sertifikayı yüklediğiniz sunucunun (NDES Sunucusu) DNS adına eşit olmalıdır.Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

IIS İstek Filtreleme'yi yapılandırmak içinTo configure IIS Request Filtering
  1. NDES Sunucusu'nda IIS Yöneticisi'ni açın, Bağlantılar bölmesinden Varsayılan Web Sitesi 'ni seçin ve ardından İstek Filtreleme'yi açın.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Özellik Ayarlarını Düzenle'ye tıklayın ve ardından aşağıdakileri ayarlayın:Click Edit Feature Settings, and then set the following:

    sorgu dizesi (Bayt) = 65534query string (Bytes) = 65534

    URL uzunluğu üst sınırı (Bayt) = 65534Maximum URL length (Bytes) = 65534

  3. Aşağıdaki kayıt defteri anahtarını inceleyin:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Aşağıdaki değerlerin DWORD girişleri olarak ayarlandığından emin olun:Ensure the following values are set as DWORD entries:

    Ad: MaxFieldLength, 65534'ün ondalık bir değeri ileName: MaxFieldLength, with a decimal value of 65534

    Ad: MaxRequestBytes, 65534'ün ondalık bir değeri ileName: MaxRequestBytes, with a decimal value of 65534

  4. NDES sunucusunu yeniden başlatın.Reboot the NDES server. Sunucu artık Sertifika Bağlayıcısı'nı desteklemeye hazırdır.The server is now ready to support the Certificate Connector.

Görev 5 - Intune Sertifika Bağlayıcısı'nı etkinleştirme, yükleme ve yapılandırmaTask 5 - Enable, install, and configure the Intune Certificate Connector

Bu görevde şunları yapacaksınız:In this task you will:

Intune’da NDES desteğini etkinleştirme.Enable support for NDES in Intune.

NDES Sunucusu'nda Sertifika Bağlayıcısı'nı indirme, yükleme ve yapılandırma.Download, install, and configure the Certificate Connector on the NDES Server.

Sertifika Bağlayıcısı desteğini etkinleştirmek içinTo enable support for the Certificate Connector
  1. Intune yönetim konsolunu açın, Yönetim > Sertifika Bağlayıcısı’na tıklayın.Open the Intune administration console, click Admin > Certificate Connector.

  2. Şirket İçi Sertifika Bağlayıcısını Yapılandır'a tıklayın.Click Configure On-Premises Certificate Connector.

  3. Sertifika Bağlayıcısı'nı Etkinleştir'i seçin ve ardından Tamam'a tıklayın.Select Enable Certificate Connector, and then click OK.

Sertifika Bağlayıcısı'nı indirmek, yüklemek ve yapılandırmak içinTo download, install and configure the Certificate Connector
  1. Intune yönetim konsolunu açın ve ardından Yönetici > Mobil Cihaz Yönetimi > Sertifika Bağlayıcısı > Sertifika Bağlayıcısı’nı İndir’e tıklayın.Open the Intune administration console, and then click Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Yükleme tamamlandıktan sonra, indirilen yükleyiciyi (ndesconnectorssetup.exe) bir Windows Server 2012 R2 sunucusunda çalıştırın.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. Yükleyici, NDES ve CRP Web Hizmeti için ilke modülünü de yükler.The installer also installs the policy module for NDES and the CRP Web Service. (CRP Web Hizmeti, CertificateRegistrationSvc, IIS'de bir uygulama olarak çalışır.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Not

    Tek başına Intune için NDES yüklediğinizde, CRP hizmeti Sertifika Bağlayıcısı ile otomatik olarak yüklenir.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Intune’u Configuration Manager ile kullandığınızda, Sertifika Kayıt Noktası'nı ayrı bir site sistem rolü olarak yüklersiniz.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  3. Sertifika Bağlayıcısı için istemci sertifikası istendiğinde, Seç'e tıklayıp Görev 3'te NDES Sunucunuza yüklediğiniz istemci kimlik doğrulaması sertifikasını seçin.When prompted for the client certificate for the Certificate Connector, click Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    İstemci kimlik doğrulaması sertifikasını seçtikten sonra, Microsoft Intune Sertifika Bağlayıcısı için İstemci Sertifikası yüzeyine dönersiniz.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Seçtiğiniz sertifika gösterilmese de bu sertifikanın özelliklerini görüntülemek İleri 'ye tıklayın.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Ardından İleri'ye ve Yükle'ye tıklayın.Then click Next, and then click Install.

  4. Sihirbaz tamamlandıktan sonra, sihirbazı kapatmadan önce, Sertifika Bağlayıcısı Kullanıcı Arabirimini Başlat'a tıklayın.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    İpucu

    Sertifika Bağlayıcısı Kullanıcı Arabirimi'ni başlatmadan sihirbazı kapatırsanız, aşağıdaki komutu çalıştırarak yeniden açabilirsiniz:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <install_Path>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. Sertifika Bağlayıcısı kullanıcı arabiriminde:In the Certificate Connector UI:

    Oturum Aç'a tıklayın ve Intune hizmet yöneticisi kimlik bilgilerinizi veya genel yönetim izni olan bir kiracı yöneticiye ait kimlik bilgilerini girin.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Kuruluşunuz bir ara sunucu kullanıyorsa ve NDES sunucusunun İnternet'e erişmesi için ara sunucu gerekliyse, Ara sunucuyu kullan'a tıklayın ve bağlanmak için ara sunucu adını, bağlantı noktasını ve hesap kimlik bilgilerini girin.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Gelişmiş sekmesini seçin ve ardından, Sertifika Verme Yetkilisi'nde Sertifika Ver ve Yönet iznine sahip olan bir hesabın kimlik bilgilerini sağlayın ve Uygula'ya tıklayın.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Şimdi Sertifika Bağlayıcısı kullanıcı arabirimini kapatabilirsiniz.You can now close the Certificate Connector UI.

  6. Bir komut istemi açıp services.msc yazın ve Enter tuşuna basın, sonra Intune Bağlayıcı Hizmeti'ne sağ tıklayın ve Yeniden Başlat'a tıklayın.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

Hizmetin çalıştığını doğrulamak için bir tarayıcı açın ve bir 403 hatası döndürmesi gereken aşağıdaki URL'yi girin:To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

https:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dllhttps:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Sonraki adımlarNext steps

Artık, Sertifika profillerini yapılandırma konusunda açıklandığı gibi sertifika profillerinizi yapılandırmaya hazırsınız.You are now ready to configure certificate profiles, as described in Configure certificate profiles.

Ürün geri bildiriminde bulunmak için lütfen şu sayfayı ziyaret edin Intune Feedback