Dela via

Skapa certifikatprofiler

  • Artikel

Gäller för: Konfigurationshanteraren (current branch)

Viktigt

Från och med version 2203 stöds inte längre den här åtkomstfunktionen för företagsresurser. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.

Använd certifikatprofiler i Configuration Manager för att etablera hanterade enheter med de certifikat som de behöver för att få åtkomst till företagets resurser. Innan du skapar certifikatprofiler konfigurerar du certifikatinfrastrukturen enligt beskrivningen i Konfigurera certifikatinfrastruktur.

Den här artikeln beskriver hur du skapar betrodda scep-certifikatprofiler (Simple Certificate Enrollment Protocol). Om du vill skapa PFX-certifikatprofiler läser du Skapa PFX-certifikatprofiler.

Så här skapar du en certifikatprofil:

  1. Starta guiden Skapa certifikatprofil.
  2. Ange allmän information om certifikatet.
  3. Konfigurera ett certifikat för betrodd certifikatutfärdare (CA).
  4. Konfigurera SCEP-certifikatinformation.
  5. Ange plattformar som stöds för certifikatprofilen.

Starta guiden

Så här startar du Skapa certifikatprofil:

  1. I Configuration Manager-konsolen går du till arbetsytan Tillgångar och efterlevnad, expanderar Efterlevnadsinställningar, expanderar Åtkomst till företagsresurser och väljer sedan noden Certifikatprofiler.

  2. På fliken Start i menyfliksområdet går du till gruppen Skapa och väljer Skapa certifikatprofil.

Allmän

På sidan Allmänt i guiden Skapa certifikatprofil anger du följande information:

  • Namn: Ange ett unikt namn för certifikatprofilen. Du kan använda högst 256 tecken.

  • Beskrivning: Ange en beskrivning som ger en översikt över certifikatprofilen. Inkludera även annan relevant information som hjälper dig att identifiera den i Configuration Manager-konsolen. Du kan använda högst 256 tecken.

  • Ange vilken typ av certifikatprofil du vill skapa:

    • Certifikat för betrodd certifikatutfärdare: Välj den här typen om du vill distribuera en betrodd rotcertifikatutfärdare (CA) eller mellanliggande CA-certifikat för att skapa en certifikatkedja med förtroende när användaren eller enheten måste autentisera en annan enhet. Enheten kan till exempel vara en RADIUS-server (Remote Authentication Dial-In User Service) eller en virtuell privat nätverksserver (VPN).

      Konfigurera även en certifikatprofil för betrodd certifikatutfärdare innan du kan skapa en SCEP-certifikatprofil. I det här fallet måste det betrodda CA-certifikatet vara för den certifikatutfärdare som utfärdar certifikatet till användaren eller enheten.

    • SCEP-inställningar (Simple Certificate Enrollment Protocol): Välj den här typen för att begära ett certifikat för en användare eller enhet med simple certificate enrollment protocol och rolltjänsten Registreringstjänst för nätverksenheter (NDES).

    • Inställningar för Personal Information Exchange PKCS #12 (PFX) – Importera: Välj det här alternativet för att importera ett PFX-certifikat. Mer information finns i Importera PFX-certifikatprofiler.

    • Inställningar för Personal Information Exchange PKCS #12 (PFX) – Skapa: Välj det här alternativet för att bearbeta PFX-certifikat med hjälp av en certifikatutfärdare. Mer information finns i Skapa PFX-certifikatprofiler.

Certifikat för betrodd certifikatutfärdare

Viktigt

Innan du skapar en SCEP-certifikatprofil konfigurerar du minst en certifikatprofil för betrodd certifikatutfärdare.

När certifikatet har distribuerats begärs ett nytt certifikat om du ändrar något av dessa värden:

  • Nyckellagringsprovider
  • Certifikatmallens namn
  • Certifikattyp
  • Format för ämnesnamn
  • Alternativt namn på certifikatmottagare
  • Certifikatets giltighetsperiod
  • Nyckelanvändning
  • Nyckelstorlek
  • Utökad nyckelanvändning
  • Rotcertifikatutfärdarcertifikat

  1. På sidan Certifikat för betrodd certifikatutfärdare i guiden Skapa certifikatprofil anger du följande information:

    • Certifikatfil: Välj Importera och bläddra sedan till certifikatfilen.

    • Målarkiv: För enheter som har fler än ett certifikatarkiv väljer du var certifikatet ska lagras. För enheter som bara har ett arkiv ignoreras den här inställningen.

  2. Använd tumavtrycksvärdet certifikat för att kontrollera att du har importerat rätt certifikat.

SCEP-certifikat

1. SCEP-servrar

På sidan SCEP-servrar i guiden Skapa certifikatprofil anger du URL:er för de NDES-servrar som ska utfärda certifikat via SCEP. Du kan automatiskt tilldela en NDES-URL baserat på konfigurationen av certifikatregistreringsplatsen eller lägga till URL:er manuellt.

2. SCEP-registrering

Slutför SCEP-registreringssidan i guiden Skapa certifikatprofil.

  • Återförsök: Ange hur många gånger enheten automatiskt försöker skicka certifikatbegäran på nytt till NDES-servern. Den här inställningen stöder scenariot där en CA-chef måste godkänna en certifikatbegäran innan den godkänns. Den här inställningen används vanligtvis för miljöer med hög säkerhet eller om du har en fristående utfärdande certifikatutfärdare i stället för en företagscertifikatutfärdare. Du kan också använda den här inställningen i testsyfte så att du kan granska alternativen för certifikatbegäran innan den utfärdande certifikatutfärdare bearbetar certifikatbegäran. Använd den här inställningen med inställningen Återförsöksfördröjning (minuter).

  • Fördröjning av återförsök (minuter): Ange intervallet i minuter mellan varje registreringsförsök när du använder CA-hanterarens godkännande innan den utfärdande certifikatutfärdare bearbetar certifikatbegäran. Om du använder chefsgodkännande för testningsändamål anger du ett lågt värde. Sedan väntar du inte länge på att enheten ska försöka utföra certifikatbegäran igen när du har godkänt begäran.

    Om du använder chefsgodkännande i ett produktionsnätverk anger du ett högre värde. Det här beteendet ger ca-administratören tillräckligt med tid för att godkänna eller neka väntande godkännanden.

  • Tröskelvärde för förnyelse (%): Ange procentandelen av certifikatets livslängd som återstår innan enheten begär förnyelse av certifikatet.

  • Nyckellagringsprovider (KSP): Ange var nyckeln till certifikatet lagras. Välj något av följande värden:

    • Installera till TPM (Trusted Platform Module) om det finns: Installerar nyckeln till TPM. Om TPM inte finns installeras nyckeln till lagringsprovidern för programvarunyckeln.

    • Installation på TPM (Trusted Platform Module) misslyckas annars: Installerar nyckeln till TPM. Om TPM-modulen inte finns misslyckas installationen.

    • Installera för att Windows Hello för företag annars misslyckas: Det här alternativet är tillgängligt för Windows 10 eller senare enheter. Det gör att du kan lagra certifikatet i det Windows Hello för företag arkivet, som skyddas av multifaktorautentisering. Mer information finns i Windows Hello för företag.

      Obs!

      Det här alternativet stöder inte smartkortsinloggning för förbättrad nyckelanvändning på sidan Certifikategenskaper.

    • Installera på programvarunyckellagringsprovidern: Installerar nyckeln till lagringsprovidern för programvarunyckeln.

  • Enheter för certifikatregistrering: Om du distribuerar certifikatprofilen till en användarsamling tillåter du endast certifikatregistrering på användarens primära enhet eller på en enhet som användaren loggar in på.

    Om du distribuerar certifikatprofilen till en enhetssamling tillåter du endast certifikatregistrering för enhetens primära användare eller för alla användare som loggar in på enheten.

3. Certifikategenskaper

Ange följande information på sidan Certifikategenskaper i guiden Skapa certifikatprofil:

  • Certifikatmallens namn: Välj namnet på en certifikatmall som du konfigurerade i NDES och som lagts till i en utfärdande certifikatutfärdare. För att kunna bläddra till certifikatmallar måste ditt användarkonto ha läsbehörighet till certifikatmallen. Om du inte kan bläddra efter certifikatet skriver du dess namn.

    Viktigt

    Om certifikatmallens namn innehåller icke-ASCII-tecken distribueras inte certifikatet. (Ett exempel på dessa tecken är från det kinesiska alfabetet.) För att säkerställa att certifikatet har distribuerats skapar du först en kopia av certifikatmallen på certifikatutfärdare. Byt sedan namn på kopian med hjälp av ASCII-tecken.

    • Om du bläddrar för att välja namnet på certifikatmallen fylls vissa fält på sidan automatiskt i från certifikatmallen. I vissa fall kan du inte ändra dessa värden om du inte väljer en annan certifikatmall.

    • Om du skriver namnet på certifikatmallen kontrollerar du att namnet exakt matchar en av certifikatmallarna. Den måste matcha namnen som anges i registret på NDES-servern. Kontrollera att du anger namnet på certifikatmallen och inte visningsnamnet för certifikatmallen.

      Om du vill hitta namnen på certifikatmallar bläddrar du till följande registernyckel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Den visar certifikatmallarna som värden för EncryptionTemplate, GeneralPurposeTemplate och SignatureTemplate. Som standard är värdet för alla tre certifikatmallarna IPSECIntermediateOffline, som mappar till mallens visningsnamn för IPSec (offlinebegäran).

      Varning

      När du skriver namnet på certifikatmallen kan Configuration Manager inte verifiera innehållet i certifikatmallen. Du kanske kan välja alternativ som certifikatmallen inte stöder, vilket kan resultera i en misslyckad certifikatbegäran. När det här beteendet inträffar visas ett felmeddelande för w3wp.exe i CPR.log-filen att mallnamnet i certifikatsigneringsbegäran (CSR) och utmaningen inte matchar.

      När du skriver namnet på certifikatmallen som har angetts för värdet GeneralPurposeTemplate väljer du nyckelchiffreringen och alternativen Digital signatur för den här certifikatprofilen. Om du bara vill aktivera alternativet Nyckelchiffrering i den här certifikatprofilen anger du certifikatmallens namn för nyckeln EncryptionTemplate . Om du bara vill aktivera alternativet Digital signatur i den här certifikatprofilen anger du certifikatmallens namn för nyckeln SignatureTemplate .

  • Certifikattyp: Välj om du vill distribuera certifikatet till en enhet eller en användare.

  • Format för ämnesnamn: Välj hur Configuration Manager automatiskt skapar ämnesnamnet i certifikatbegäran. Om certifikatet gäller för en användare kan du även inkludera användarens e-postadress i ämnesnamnet.

    Obs!

    Om du väljer IMEI-nummer eller Serienummer kan du skilja mellan olika enheter som ägs av samma användare. Dessa enheter kan till exempel dela ett eget namn, men inte ett IMEI-nummer eller serienummer. Om enheten inte rapporterar ett IMEI- eller serienummer utfärdas certifikatet med det gemensamma namnet.

  • Alternativt namn på certifikatmottagare: Ange hur Configuration Manager automatiskt skapar värdena för det alternativa ämnesnamnet (SAN) i certifikatbegäran. Om du till exempel har valt en typ av användarcertifikat kan du inkludera användarens huvudnamn (UPN) i det alternativa ämnesnamnet. Om klientcertifikatet ska autentiseras mot en nätverksprincipserver anger du det alternativa namnet för certifikatmottagaren till UPN.

  • Certifikatets giltighetsperiod: Om du anger en anpassad giltighetsperiod för den utfärdande certifikatutfärdare anger du hur lång tid som återstår innan certifikatet upphör att gälla.

    Tips

    Ange en anpassad giltighetsperiod med följande kommandorad: certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Mer information om det här kommandot finns i Certifikatinfrastruktur.

    Du kan ange ett värde som är lägre än giltighetsperioden i den angivna certifikatmallen, men inte högre. Om certifikatets giltighetsperiod i certifikatmallen till exempel är två år kan du ange ett värde på ett år, men inte ett värde på fem år. Värdet måste också vara lägre än den återstående giltighetsperioden för den utfärdande certifikatutfärdares certifikat.

  • Nyckelanvändning: Ange alternativ för nyckelanvändning för certifikatet. Välj bland följande alternativ:

    • Nyckelchiffrering: Tillåt endast nyckelutbyte när nyckeln är krypterad.

    • Digital signatur: Tillåt endast nyckelutbyte när en digital signatur skyddar nyckeln.

    Om du har bläddrat efter en certifikatmall kan du inte ändra de här inställningarna, såvida du inte väljer en annan certifikatmall.

    Konfigurera den valda certifikatmallen med ett eller båda av de två alternativen för nyckelanvändning ovan. Annars visas följande meddelande i loggfilen för certifikatregistreringsplatsen Crp.log: Nyckelanvändningen i CSR och utmaningen matchar inte

  • Nyckelstorlek (bitar): Välj storleken på nyckeln i bitar.

  • Utökad nyckelanvändning: Lägg till värden för certifikatets avsedda syfte. I de flesta fall kräver certifikatet klientautentisering så att användaren eller enheten kan autentisera till en server. Du kan lägga till andra nyckelanvändningar efter behov.

  • Hash-algoritm: Välj en av de tillgängliga hashalgoritmtyperna som ska användas med det här certifikatet. Välj den starkaste säkerhetsnivån som de anslutna enheterna stöder.

    Obs!

    SHA-2 stöder SHA-256, SHA-384 och SHA-512. SHA-3 stöder endast SHA-3.

  • Rotcertifikatutfärdarcertifikat: Välj en certifikatprofil för rotcertifikatutfärdare som du tidigare konfigurerade och distribuerade till användaren eller enheten. Certifikatutfärdarcertifikatet måste vara rotcertifikatet för certifikatutfärdare som utfärdar certifikatet som du konfigurerar i den här certifikatprofilen.

    Viktigt

    Om du anger ett rotcertifikatutfärdarcertifikat som inte har distribuerats till användaren eller enheten initierar Configuration Manager inte certifikatbegäran som du konfigurerar i den här certifikatprofilen.

Plattformar som stöds

På sidan Plattformar som stöds i guiden Skapa certifikatprofil väljer du de OS-versioner där du vill installera certifikatprofilen. Välj Välj alla för att installera certifikatprofilen på alla tillgängliga operativsystem.

Nästa steg

Den nya certifikatprofilen visas i noden Certifikatprofiler på arbetsytan Tillgångar och efterlevnad . Den är redo att distribueras till användare eller enheter. Mer information finns i Så här distribuerar du profiler.