创建证书配置文件

  • 项目

适用于: Configuration Manager(current branch)

重要

从版本 2203 开始,不再支持此公司资源访问功能。 有关详细信息,请参阅 有关弃用资源访问的常见问题

使用 Configuration Manager 中的证书配置文件为托管设备预配访问公司资源所需的证书。 在创建证书配置文件之前,请设置证书基础结构,如 设置证书基础结构中所述。

本文介绍如何创建受信任的根证书和简单证书注册协议 (SCEP) 证书配置文件。 如果要创建 PFX 证书配置文件,请参阅 创建 PFX 证书配置文件

若要创建证书配置文件,请执行以下操作:

  1. 启动“创建证书配置文件向导”。
  2. 提供有关证书的一般信息。
  3. (CA) 证书配置受信任的证书颁发机构。
  4. 配置 SCEP 证书信息。
  5. 为证书配置文件指定支持的平台。

启动向导

若要启动“创建证书配置文件”,请执行以下操作:

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,依次展开“符合性设置”、“公司资源访问”,然后选择“证书配置文件”节点。

  2. 在功能区的“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建证书配置文件”。

常规

在“创建证书配置文件向导”的“ 常规 ”页上,指定以下信息:

  • 名称:输入证书配置文件的唯一名称。 最多可以使用 256 个字符。

  • 说明:提供提供证书配置文件概述的说明。 还包括有助于在Configuration Manager控制台中识别它的其他相关信息。 最多可以使用 256 个字符。

  • 指定要创建的证书配置文件的类型:

    • 受信任的 CA 证书:选择此类型可部署受信任的根证书颁发机构 (CA) 或中间 CA 证书,以便在用户或设备必须对其他设备进行身份验证时形成证书信任链。 例如,设备可能是远程身份验证拨入用户服务 (RADIUS) 服务器或虚拟专用网络 (VPN) 服务器。

      在创建 SCEP 证书配置文件之前,还要配置受信任的 CA 证书配置文件。 在这种情况下,受信任的 CA 证书必须为向用户或设备颁发证书的 CA。

    • 简单证书注册协议 (SCEP) 设置:选择此类型可请求具有简单证书注册协议和网络设备注册服务 (NDES) 角色服务的用户或设备证书。

    • 个人信息交换 PKCS #12 (PFX) 设置 - 导入:选择此选项可导入 PFX 证书。 有关详细信息,请参阅 导入 PFX 证书配置文件

    • 个人信息交换 PKCS #12 (PFX) 设置 - 创建:选择此选项可使用证书颁发机构处理 PFX 证书。 有关详细信息,请参阅 创建 PFX 证书配置文件

受信任的 CA 证书

重要

在创建 SCEP 证书配置文件之前,请至少配置一个受信任的 CA 证书配置文件。

部署证书后,如果更改以下任何值,则会请求新证书:

  • 密钥存储提供程序
  • 证书模板名称
  • 证书类型
  • 使用者名称格式
  • 使用者替代名称
  • 证书有效期
  • 密钥用法
  • 密钥大小
  • 扩展密钥用法
  • 根 CA 证书

  1. 在“创建证书配置文件向导”的“ 受信任的 CA 证书”页上,指定以下信息:

    • 证书文件:选择“ 导入”,然后浏览到证书文件。

    • 目标存储:对于具有多个证书存储的设备,请选择证书的存储位置。 对于只有一个存储的设备,将忽略此设置。

  2. 使用 “证书指纹 ”值验证是否已导入正确的证书。

SCEP 证书

1. SCEP 服务器

在“创建证书配置文件向导”的“ SCEP 服务器 ”页上,指定将通过 SCEP 颁发证书的 NDES 服务器的 URL。 可以根据证书注册点的配置自动分配 NDES URL,也可以手动添加 URL。

2. SCEP 注册

完成“创建证书配置文件向导”的 “SCEP 注册 ”页。

  • 重试:指定设备自动重试到 NDES 服务器的证书请求的次数。 此设置支持 CA 管理员必须在接受证书请求之前批准证书请求的方案。 此设置通常用于高安全性环境,或者如果你有独立颁发 CA 而不是企业 CA。 还可以将此设置用于测试目的,以便可以在颁发 CA 处理证书请求之前检查证书请求选项。 将此设置与 重试延迟 (分钟) 设置结合使用。

  • 重试延迟 (分钟) :指定在颁发 CA 处理证书请求之前使用 CA 管理器批准每次注册尝试之间的间隔(以分钟为单位)。 如果出于测试目的使用经理批准,请指定一个较低的值。 然后,在批准请求后,你不会等待设备重试证书请求。

    如果在生产网络上使用经理审批,请指定更高的值。 此行为允许 CA 管理员有足够的时间批准或拒绝挂起的审批。

  • 续订阈值 (%) :指定设备请求续订证书之前剩余的证书生存期的百分比。

  • 密钥存储提供程序 (KSP) :指定证书密钥的存储位置。 选择下列值之一:

    • 安装到受信任的平台模块 (TPM) (如果存在):安装 TPM 的密钥。 如果不存在 TPM,则会将密钥安装到软件密钥的存储提供程序。

    • 安装到受信任的平台模块 (TPM) 否则失败:安装 TPM 的密钥。 如果 TPM 模块不存在,安装将失败。

    • 安装到Windows Hello 企业版失败:此选项可用于Windows 10或更高版本的设备。 它允许将证书存储在受多重身份验证保护的 Windows Hello 企业版 存储中。 有关详细信息,请参阅 Windows Hello 企业版

      注意

      此选项不支持“证书属性”页上的“增强型密钥”用法的智能卡登录。

    • 安装到软件密钥存储提供程序:安装软件密钥的存储提供程序的密钥。

  • 用于证书注册的设备:如果将证书配置文件部署到用户集合,则仅允许在用户的主设备上或在用户登录的任何设备上注册证书。

    如果将证书配置文件部署到设备集合,请仅允许设备的主要用户或登录到设备的所有用户注册证书。

3.证书属性

在“创建证书配置文件向导”的“证书 属性” 页上,指定以下信息:

  • 证书模板名称:选择在 NDES 中配置并添加到颁发 CA 的证书模板的名称。 若要成功浏览到证书模板,用户帐户需要具有证书模板的 读取 权限。 如果无法 浏览 证书,请键入其名称。

    重要

    如果证书模板名称包含非 ASCII 字符,则不会部署证书。 (这些字符的一个示例来自中文字母表。) 若要确保已部署证书,请先在 CA 上创建证书模板的副本。 然后使用 ASCII 字符重命名副本。

    • 如果 浏览 以选择证书模板的名称,页面上的某些字段会自动从证书模板填充。 在某些情况下,除非选择其他证书模板,否则无法更改这些值。

    • 如果 键入 证书模板的名称,请确保名称与其中一个证书模板完全匹配。 它必须与 NDES 服务器的注册表中列出的名称匹配。 请确保指定证书模板的名称,而不是证书模板的显示名称。

      若要查找证书模板的名称,请浏览到以下注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP。 它将证书模板列为 EncryptionTemplateGeneralPurposeTemplateSignatureTemplate 的值。 默认情况下,所有三个证书模板的值都是 IPSECIntermediateOffline,它映射到 IPSec (脱机请求) 的模板显示名称。

      警告

      键入证书模板的名称时,Configuration Manager无法验证证书模板的内容。 你可以选择证书模板不支持的选项,这可能会导致证书请求失败。 发生此行为时,会在 CPR.log 文件中看到w3wp.exe错误消息,指出证书签名请求中的模板名称 (CSR) 与质询不匹配。

      键入为 GeneralPurposeTemplate 值指定的证书模板的名称时,请为此证书配置文件选择 “密钥加密 ”和“ 数字签名 ”选项。 如果只想在此证书配置文件中启用 密钥加密 选项,请指定 EncryptionTemplate 密钥的证书模板名称。 同样,如果只想在此证书配置文件中启用 “数字签名 ”选项,请指定 SignatureTemplate 密钥的证书模板名称。

  • 证书类型:选择是将证书部署到设备还是用户。

  • 使用者名称格式:选择Configuration Manager如何在证书请求中自动创建使用者名称。 如果证书是针对用户的,则还可以在使用者名称中包含用户的电子邮件地址。

    注意

    如果选择 IMEI 编号序列号,则可以区分同一用户拥有的不同设备。 例如,这些设备可以共享公用名称,但不能共享 IMEI 号码或序列号。 如果设备不报告 IMEI 或序列号,则会使用公用名颁发证书。

  • 使用者可选名称:指定Configuration Manager如何在证书请求 (SAN) 自动创建使用者可选名称的值。 例如,如果选择了用户证书类型,则可以在使用者可选名称中包含用户主体名称 (UPN) 。 如果客户端证书将向网络策略服务器进行身份验证,请将使用者可选名称设置为 UPN。

  • 证书有效期:如果在颁发 CA 上设置了自定义有效期,请指定证书过期前的剩余时间量。

    提示

    使用以下命令行设置自定义有效期:certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE 有关此命令的详细信息,请参阅 证书基础结构

    可以指定低于指定证书模板中有效期的值,但不能指定更高的值。 例如,如果证书模板中的证书有效期为两年,则可以将值指定为一年,但不能指定值五年。 该值还必须小于发证 CA 证书的剩余有效期。

  • 密钥用法:指定证书的密钥用法选项。 从以下选项中选择:

    • 密钥加密:仅在密钥加密时允许交换密钥。

    • 数字签名:仅在数字签名帮助保护密钥时允许交换密钥。

    如果浏览了证书模板,则无法更改这些设置,除非选择其他证书模板。

    使用上述两个密钥用法选项中的一个或两个配置所选证书模板。 否则,你将在证书注册点日志文件中看到以下消息 :Crp.logCSR 中的密钥用法和质询不匹配

  • 密钥大小 (位) :选择密钥的大小(以位为单位)。

  • 扩展密钥用法:为证书的预期用途添加值。 在大多数情况下,证书需要 客户端身份验证 ,以便用户或设备可以向服务器进行身份验证。 可以根据需要添加任何其他密钥用法。

  • 哈希算法:选择要用于此证书的可用哈希算法类型之一。 选择连接设备支持的最高级别安全性。

    注意

    SHA-2 支持 SHA-256、SHA-384 和 SHA-512。 SHA-3 仅支持 SHA-3。

  • 根 CA 证书:选择之前配置并部署到用户或设备的根 CA 证书配置文件。 此 CA 证书必须是 CA 的根证书,用于颁发要在此证书配置文件中配置的证书。

    重要

    如果指定未部署到用户或设备的根 CA 证书,Configuration Manager不会启动在此证书配置文件中配置的证书请求。

支持的平台

在“创建证书配置文件向导”的“ 支持的平台 ”页上,选择要安装证书配置文件的 OS 版本。 选择 “全选” ,将证书配置文件安装到所有可用的操作系统。

后续步骤

新的证书配置文件将显示在“资产和符合性”工作区的“证书配置文件”节点中。 它已准备好部署到用户或设备。 有关详细信息,请参阅 如何部署配置文件