Creare profili certificato
Si applica a: Configuration Manager (Current Branch)
Importante
A partire dalla versione 2203, questa funzionalità di accesso alle risorse aziendali non è più supportata. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.
Usare i profili certificato in Configuration Manager per effettuare il provisioning dei dispositivi gestiti con i certificati necessari per accedere alle risorse aziendali. Prima di creare profili certificato, configurare l'infrastruttura del certificato come descritto in Configurare l'infrastruttura dei certificati.
Questo articolo descrive come creare profili di certificato SCEP (Simple Certificate Enrollment Protocol) e radice attendibile. Per creare profili certificato PFX, vedere Creare profili certificato PFX.
Per creare un profilo certificato:
- Avviare la Creazione guidata profilo certificato.
- Fornire informazioni generali sul certificato.
- Configurare un certificato dell'autorità di certificazione (CA) attendibile.
- Configurare le informazioni sul certificato SCEP.
- Specificare le piattaforme supportate per il profilo certificato.
Avviare la procedura guidata
Per avviare la creazione del profilo certificato:
Nella console di Configuration Manager passare all'area di lavoro Asset e conformità, espandere Impostazioni di conformità, Accesso alle risorse aziendali e quindi selezionare il nodo Profili certificato.
Nel gruppo Crea della scheda Home della barra multifunzione selezionare Crea profilo certificato.
Generale
Nella pagina Generale della Creazione guidata profilo certificato specificare le informazioni seguenti:
Nome: immettere un nome univoco per il profilo certificato. È possibile usare un massimo di 256 caratteri.
Descrizione: fornire una descrizione che offre una panoramica del profilo certificato. Includere anche altre informazioni rilevanti che consentono di identificarle nella console di Configuration Manager. È possibile usare un massimo di 256 caratteri.
Specificare il tipo di profilo certificato che si vuole creare:
Certificato CA attendibile: selezionare questo tipo per distribuire un'autorità di certificazione radice (CA) attendibile o un certificato CA intermedio per formare una catena di certificati di attendibilità quando l'utente o il dispositivo deve autenticare un altro dispositivo. Ad esempio, il dispositivo potrebbe essere un server RADIUS (Remote Authentication Dial-In User Service) o una rete privata virtuale (VPN).
Configurare anche un profilo certificato CA attendibile prima di poter creare un profilo certificato SCEP. In questo caso, il certificato CA attendibile deve essere per l'autorità di certificazione che rilascia il certificato all'utente o al dispositivo.
Impostazioni SCEP (Simple Certificate Enrollment Protocol): selezionare questo tipo per richiedere un certificato per un utente o un dispositivo con il protocollo di registrazione certificati semplice e il servizio ruolo Servizio registrazione dispositivi di rete (NDES).
Impostazioni PKCS #12 (PFX) di Scambio di informazioni personali - Importa: selezionare questa opzione per importare un certificato PFX. Per altre informazioni, vedere Importare profili certificato PFX.
Impostazioni PKCS #12 (PFX) di Scambio di informazioni personali - Crea: selezionare questa opzione per elaborare i certificati PFX usando un'autorità di certificazione. Per altre informazioni, vedere Creare profili certificato PFX.
Certificato CA attendibile
Importante
Prima di creare un profilo certificato SCEP, configurare almeno un profilo certificato CA attendibile.
Dopo la distribuzione del certificato, se si modifica uno di questi valori, viene richiesto un nuovo certificato:
- Provider di archiviazione chiavi
- Nome del modello di certificato
- Tipo di certificato
- Formato del nome soggetto
- Nome alternativo soggetto
- Periodo di validità del certificato
- Utilizzo chiavi
- Dimensioni chiave
- Utilizzo esteso delle chiavi
- Certificato CA radice
Nella pagina Certificato CA attendibile della Creazione guidata profilo certificato specificare le informazioni seguenti:
File di certificato: selezionare Importa e quindi passare al file del certificato.
Archivio di destinazione: per i dispositivi con più di un archivio certificati, selezionare la posizione in cui archiviare il certificato. Per i dispositivi con un solo archivio, questa impostazione viene ignorata.
Usare il valore Di identificazione personale certificato per verificare di aver importato il certificato corretto.
Certificati SCEP
1. Server SCEP
Nella pagina Server SCEP della Creazione guidata profilo certificato specificare gli URL per i server NDES che emettono certificati tramite SCEP. È possibile assegnare automaticamente un URL del servizio Registrazione dispositivi di rete in base alla configurazione del punto di registrazione del certificato oppure aggiungere gli URL manualmente.
2. Registrazione SCEP
Completare la pagina Registrazione SCEP della Creazione guidata profilo certificato.
Tentativi: specificare il numero di volte in cui il dispositivo ritenta automaticamente la richiesta di certificato al server NDES. Questa impostazione supporta lo scenario in cui un responsabile ca deve approvare una richiesta di certificato prima che venga accettata. Questa impostazione viene in genere usata per ambienti con sicurezza elevata o se si dispone di una CA emittente autonoma anziché di una CA aziendale. È anche possibile usare questa impostazione a scopo di test in modo da poter esaminare le opzioni di richiesta di certificato prima che la CA emittente elabori la richiesta di certificato. Usare questa impostazione con l'impostazione Ritardo tentativi (minuti).
Ritardo tentativi (minuti): specificare l'intervallo, espresso in minuti, tra ogni tentativo di registrazione quando si usa l'approvazione del responsabile della CA prima che la CA emittente elabori la richiesta di certificato. Se si usa l'approvazione del manager a scopo di test, specificare un valore basso. Non è quindi necessario attendere a lungo che il dispositivo ritenti la richiesta di certificato dopo aver approvato la richiesta.
Se si usa l'approvazione del responsabile in una rete di produzione, specificare un valore superiore. Questo comportamento consente all'amministratore della CA di approvare o negare le approvazioni in sospeso.
Soglia di rinnovo (%): specificare la percentuale della durata del certificato che rimane prima che il dispositivo richieda il rinnovo del certificato.
Provider di archiviazione chiavi(KSP): specificare la posizione in cui viene archiviata la chiave del certificato. Scegliere uno dei valori seguenti:
Installare in Trusted Platform Module (TPM) se presente: installa la chiave nel TPM. Se il TPM non è presente, la chiave viene installata nel provider di archiviazione per la chiave software.
L'installazione in Trusted Platform Module (TPM) ha esito negativo: installa la chiave nel TPM. Se il modulo TPM non è presente, l'installazione non riesce.
Installa in Windows Hello for Business in caso contrario non riesce: questa opzione è disponibile per i dispositivi Windows 10 o versioni successive. Consente di archiviare il certificato nell'archivio Windows Hello for Business, protetto dall'autenticazione a più fattori. Per ulteriori informazioni, vedere Windows Hello for Business.
Nota
Questa opzione non supporta l'accesso alle smart card per l'utilizzo avanzato della chiave nella pagina Proprietà certificato.
Installa nel provider di archiviazione chiavi software: installa la chiave nel provider di archiviazione per la chiave software.
Dispositivi per la registrazione del certificato: se si distribuisce il profilo certificato in una raccolta utenti, consentire la registrazione dei certificati solo nel dispositivo primario dell'utente o in qualsiasi dispositivo a cui l'utente accede.
Se si distribuisce il profilo certificato in una raccolta di dispositivi, consentire la registrazione del certificato solo per l'utente primario del dispositivo o per tutti gli utenti che accedono al dispositivo.
3. Proprietà del certificato
Nella pagina Proprietà certificato della Creazione guidata profilo certificato specificare le informazioni seguenti:
Nome modello di certificato: selezionare il nome di un modello di certificato configurato in NDES e aggiunto a una CA emittente. Per passare correttamente ai modelli di certificato, l'account utente deve disporre dell'autorizzazione lettura per il modello di certificato. Se non è possibile cercare il certificato, digitarne il nome.
Importante
Se il nome del modello di certificato contiene caratteri non ASCII, il certificato non viene distribuito. Un esempio di questi caratteri è l'alfabeto cinese. Per assicurarsi che il certificato sia distribuito, creare prima di tutto una copia del modello di certificato nella CA. Rinominare quindi la copia usando caratteri ASCII.
Se si seleziona il nome del modello di certificato, alcuni campi nella pagina vengono popolati automaticamente dal modello di certificato. In alcuni casi, non è possibile modificare questi valori a meno che non si scelga un modello di certificato diverso.
Se si digita il nome del modello di certificato, assicurarsi che il nome corrisponda esattamente a uno dei modelli di certificato. Deve corrispondere ai nomi elencati nel Registro di sistema del server NDES. Assicurarsi di specificare il nome del modello di certificato e non il nome visualizzato del modello di certificato.
Per trovare i nomi dei modelli di certificato, passare alla chiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
. Elenca i modelli di certificato come valori per EncryptionTemplate, GeneralPurposeTemplate e SignatureTemplate. Per impostazione predefinita, il valore per tutti e tre i modelli di certificato è IPSECIntermediateOffline, che esegue il mapping al nome visualizzato del modello IPSec (richiesta offline).Avviso
Quando si digita il nome del modello di certificato, Configuration Manager non è in grado di verificare il contenuto del modello di certificato. È possibile selezionare le opzioni non supportate dal modello di certificato, il che potrebbe causare una richiesta di certificato non riuscita. Quando si verifica questo comportamento, verrà visualizzato un messaggio di errore per w3wp.exe nel file CPR.log che il nome del modello nella richiesta di firma del certificato (CSR) e la richiesta di verifica non corrispondono.
Quando si digita il nome del modello di certificato specificato per il valore GeneralPurposeTemplate , selezionare le opzioni Crittografia chiave e Firma digitale per questo profilo certificato. Se si vuole abilitare solo l'opzione Crittografia chiave in questo profilo certificato, specificare il nome del modello di certificato per la chiave EncryptionTemplate . Analogamente, se si vuole abilitare solo l'opzione Firma digitale in questo profilo certificato, specificare il nome del modello di certificato per la chiave SignatureTemplate .
Tipo di certificato: selezionare se si distribuirà il certificato a un dispositivo o a un utente.
Formato del nome del soggetto: selezionare il modo in cui Configuration Manager crea automaticamente il nome del soggetto nella richiesta di certificato. Se il certificato è destinato a un utente, è anche possibile includere l'indirizzo di posta elettronica dell'utente nel nome dell'oggetto.
Nota
Se si seleziona il numero IMEI o il numero di serie, è possibile distinguere tra dispositivi diversi di proprietà dello stesso utente. Ad esempio, questi dispositivi potrebbero condividere un nome comune, ma non un numero IMEI o un numero di serie. Se il dispositivo non segnala un IMEI o un numero di serie, il certificato viene emesso con il nome comune.
Nome alternativo soggetto: specificare come Configuration Manager crea automaticamente i valori per il nome alternativo soggetto (SAN) nella richiesta di certificato. Ad esempio, se è stato selezionato un tipo di certificato utente, è possibile includere il nome dell'entità utente (UPN) nel nome alternativo del soggetto. Se il certificato client eseguirà l'autenticazione in un server dei criteri di rete, impostare il nome alternativo del soggetto sull'UPN.
Periodo di validità del certificato: se si imposta un periodo di validità personalizzato nella CA emittente, specificare la quantità di tempo rimanente prima della scadenza del certificato.
Consiglio
Impostare un periodo di validità personalizzato con la riga di comando seguente:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
Per altre informazioni su questo comando, vedere Infrastruttura di certificati.È possibile specificare un valore inferiore al periodo di validità nel modello di certificato specificato, ma non superiore. Ad esempio, se il periodo di validità del certificato nel modello di certificato è di due anni, è possibile specificare un valore di un anno, ma non un valore di cinque anni. Il valore deve anche essere inferiore al periodo di validità rimanente del certificato della CA emittente.
Utilizzo chiave: specificare le opzioni di utilizzo delle chiavi per il certificato. Scegliere una delle seguenti opzioni:
Crittografia chiave: consente lo scambio di chiavi solo quando la chiave è crittografata.
Firma digitale: consente lo scambio di chiavi solo quando una firma digitale consente di proteggere la chiave.
Se è stato visualizzato un modello di certificato, non è possibile modificare queste impostazioni, a meno che non si selezioni un modello di certificato diverso.
Configurare il modello di certificato selezionato con una o entrambe le due opzioni di utilizzo delle chiavi precedenti. In caso contrario, verrà visualizzato il messaggio seguente nel file di log del punto di registrazione del certificato , Crp.log: L'utilizzo delle chiavi in CSR e la richiesta di verifica non corrispondono
Dimensioni chiave (bit): selezionare le dimensioni della chiave in bit.
Utilizzo della chiave estesa: aggiungere valori per lo scopo previsto del certificato. Nella maggior parte dei casi, il certificato richiede l'autenticazione client in modo che l'utente o il dispositivo possa eseguire l'autenticazione in un server. È possibile aggiungere qualsiasi altro utilizzo di chiave in base alle esigenze.
Algoritmo hash: selezionare uno dei tipi di algoritmo hash disponibili da usare con questo certificato. Selezionare il livello di sicurezza più sicuro supportano i dispositivi di connessione.
Nota
SHA-2 supporta SHA-256, SHA-384 e SHA-512. SHA-3 supporta solo SHA-3.
Certificato CA radice: scegliere un profilo certificato CA radice configurato e distribuito in precedenza all'utente o al dispositivo. Questo certificato ca deve essere il certificato radice per la CA che emetterà il certificato che si sta configurando in questo profilo certificato.
Importante
Se si specifica un certificato CA radice non distribuito all'utente o al dispositivo, Configuration Manager non avvierà la richiesta di certificato che si sta configurando in questo profilo certificato.
Piattaforme supportate
Nella pagina Piattaforme supportate della Creazione guidata profilo certificato selezionare le versioni del sistema operativo in cui si vuole installare il profilo certificato. Scegliere Seleziona tutto per installare il profilo certificato in tutti i sistemi operativi disponibili.
Passaggi successivi
Il nuovo profilo certificato viene visualizzato nel nodo Profili certificato nell'area di lavoro Asset e conformità . È pronto per la distribuzione a utenti o dispositivi. Per altre informazioni, vedere Come distribuire i profili.