匯入 PFX 憑證設定檔

適用於：Configuration Manager (目前的分支)

瞭解如何從外部憑證匯入認證來建立憑證設定檔。 本文強調 PFX) 憑證設定檔 (個人資訊交換的特定資訊。 如需如何建立和設定這些設定檔的詳細資訊，請參閱 憑證設定檔。

Configuration Manager支援不同裝置和作業系統版本的不同類型憑證存放區。 例如，Windows 10和 Windows 10 行動裝置版。 如需詳細資訊，請參閱 憑證設定檔必要條件。

使用Configuration Manager匯入憑證認證，然後將 PFX 檔案布建到裝置。 您可以使用這些檔案來產生使用者特定的憑證，以支援加密的資料交換。

提示

如需此程式的逐步解說，請參閱部落格文章How to Create and Deploy PFX Certificate Profiles in Configuration Manager。

建立設定檔

1. 在Configuration Manager主控台中，移至 [資產與相容性] 工作區，依序展開 [相容性設定]、[公司資源存取]，然後選取 [憑證設定檔]。

2. 在功能區的 [ 常用] 索引標籤上，選取 [ 建立 ] 群組中的 [ 建立憑證設定檔]。

3. 在 [建立憑證設定檔精靈] 的 [一般] 頁面上，指定下列資訊：

   • 名稱：輸入憑證設定檔的唯一名稱。 您最多可以使用 256 個字元。

   • 描述：提供可協助在Configuration Manager主控台中識別憑證設定檔概觀的描述。 您最多可以使用 256 個字元。

4. 選取 [個人資訊交換 - PKCS #12 (PFX) 設定 - 匯入]。 此選項會從現有的憑證匯入資訊，以建立憑證設定檔。

   注意事項

   [ 建立] 選項會代表連線內部部署憑證授權單位單位 (CA) 的使用者要求憑證。 此程式接著會安全地將憑證以 PFX 檔案的方式傳遞給用戶端。 如需詳細資訊，請 參閱使用憑證授權單位單位建立 PFX 憑證設定檔。

5. 在 [建立憑證設定檔精靈] 的 [PFX 憑證] 頁面上，指定裝置金鑰儲存提供者 (KSP) ：

   • 如果存在，請安裝至信賴平臺模組 (TPM)
   • 安裝至信賴平臺模組 (TPM) 否則會失敗
   • 安裝至 Windows Hello 企業版否則會失敗
   • 安裝至軟體金鑰儲存提供者

6. 在 [ 支援的平臺] 頁面上，選擇支援的裝置平臺。

7. 完成精靈。

部署設定檔

建立並布建憑證設定檔之後，現在可以在 [憑 證設定檔 ] 節點中取得。 如需如何部署它的詳細資訊，請 參閱部署資源存取設定檔。

指派主要使用者

在需要安裝 PFX 憑證的Windows 10裝置上，將目標使用者指派為主要使用者。 如需詳細資訊，請參閱 使用者裝置親和性。

布建建立 PFX 腳本

若要匯入 PFX 憑證，請使用下列Configuration Manager PowerShell Cmdlet 來布建建立 PFX 腳本：

• Get-CMClientCertificatePfx
• Import-CMClientCertificatePfx
• Remove-CMClientCertificatePfx

範例腳本

若要將 PFX 檔案布建到使用者的憑證設定檔，請使用 Configuration Manager 主控台在電腦上開啟 PowerShell。 使用來自您環境的值來變更變數。

# The display name of your PFX Import certificate profile
$PfxProfileDisplayName = "ImportPFX"

# The password you used to protect/encrypt the external PFX file that was created/exported from your certificate storage provider
# If you omit this password, PowerShell will securely prompt you for it. You can specify it as a parameter for process automation.
$password = ""

# The username of the user who will receive this PFX certificate on their device
$user = "Melissa"

# The full path to the PFX file you exported from the certificate store
$pfxfile = "c:\p1.pfx"

# If the target user isn't in the same domain as the user running this script, specify a different domain
Import-CMClientCertificatePfx -UserName "$env:USERDOMAIN\$user" -Password (ConvertTo-SecureString -String $password -AsPlainText -Force) -CertificateProfilePfx (Get-CMCertificateProfilePfx -Fast -Name $PfxProfileDisplayName) -Path $pfxfile

另請參閱

建立新的憑證設定檔

使用憑證授權單位單位建立 PFX 憑證設定檔

部署 Wi-Fi、VPN、電子郵件和憑證設定檔