Come creare i profili certificato PFX in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager SP2

Configuration Manager 2012 SP2 consente di eseguire il provisioning di file di scambio di informazioni personali (con estensione pfx) nei dispositivi dell'utente. I file con estensione pfx possono essere usati per generare certificati specifici dell'utente per supportare lo scambio di dati crittografati. I certificati PFX possono essere creati in Configuration Manager o importati. Con Configuration Manager 2012 SP2, i certificati PFX nuovi o importati possono essere distribuiti nei dispositivi iOS, Android e Windows 10. Questi file possono quindi essere distribuiti in più dispositivi per supportare la comunicazione PKI basata sull'utente.

System_CAPS_tipSuggerimento

Una procedura dettagliata che descrive questo processo è disponibile anche nel post di blog su come creare e distribuire i profili certificati PFX in Configuration Manager.

Creare e distribuire i profili certificato PFX (Personal Information Exchange)

Come creare e distribuire un profilo certificato PFX (Personal Information Exchange)

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Nell'area di lavoro Asset e conformità espandere Impostazioni di conformità, Accesso risorse aziendali e quindi fare clic su Profili certificati.

  3. Nella scheda Home del gruppo Crea fare clic su Crea profilo certificato. Viene avviata la Creazione guidata profilo certificato.

  4. Nella pagina Generale della Creazione guidata profilo certificato specificare le informazioni seguenti:

    - **Nome**: immettere un nome univoco per il profilo certificato. È possibile usare un massimo di 256 caratteri.
    
    - **Descrizione**: fornire una descrizione che offra una panoramica del profilo certificato e altre informazioni rilevanti per facilitarne l'identificazione nella console di Configuration Manager. È possibile usare un massimo di 256 caratteri.
    
    - **Specificare il tipo di profilo del certificato che si desidera creare**: Scegliere uno dei tipi di profilo certificato seguenti:
    
        - **Certificato CA attendibile**: selezionare questo tipo di profilo certificato se si vuole distribuire un certificato CA radice trusted o un certificato CA intermedio per formare una catena di certificati quando l'utente o il dispositivo deve autenticare un altro dispositivo. Ad esempio, il dispositivo potrebbe essere un server RADIUS (Remote Authentication Dial-In User Service) o un server di rete privata virtuale (VPN). È anche necessario configurare un profilo certificato CA attendibile prima di creare un profilo certificato SCEP. In questo caso, il certificato CA attendibile deve essere un certificato radice attendibile per la CA che emetterà il certificato per l'utente o il dispositivo.
    
        - **Impostazioni di Simple Certificate Enrollment Protocol (SCEP)**: selezionare questo tipo di profilo certificato se si vuole richiedere un certificato per un utente o un dispositivo usando Simple Certificate Enrollment Protocol e il servizio del ruolo del servizio Registrazione dispositivi di rete.
    
        - **Scambio informazioni personali -- Impostazioni PKCS \#12 (PFX) -- Importa**: Selezionare questa opzione per importare un certificato PFX.
    
  5. Nella finestra Proprietà certificato della Creazione guidata profilo certificato specificare dove verrà archiviato il certificato PFX nei dispositivi di destinazione.

    - **Installa in TPM (Trusted Platform Module) se presente**
    
    - **Installa in TPM (Trusted Platform Module) in caso di errore**
    
    - **Installa nel provider di archiviazione chiavi software**
    

    Fare clic su Avanti.

  6. Nella finestra Piattaforme supportate della Creazione guidata profilo certificato specificare quali sistemi operativi o piattaforme possono ricevere il file PFX importato.

    - **Windows 10**
    
    - **iPhone**
    
    - **iPad**
    
    - **Android**
    
  7. Fare clic su Avanti, consultare la pagina Riepilogo e quindi chiudere la procedura guidata.

  8. Il profilo certificato contenente il file PFX è ora disponibile nell'area di lavoro Profili certificato. Nell'area di lavoro Asset e conformità andare a Impostazioni di conformità > Accesso risorse aziendali > Profili certificato e fare clic con il pulsante destro del mouse per distribuire il nuovo certificato in Raccolte utenti.

  9. Tramite l'SDK per Windows 8.1 disponibile nell'Area download (https://go.microsoft.com/fwlink/?LinkId=613525, distribuire uno script di creazione PFX. Lo script di creazione PFX aggiunto in Configuration Manager 2012 SP2 aggiunge una classe SMS_ClientPfxCertificate all'SDK. Questa classe include i metodi seguenti:

    - ImportForUser
    
    - DeleteForUser
    

    Script di esempio:

      $EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)
    

    Le variabili di script seguenti devono essere modificate per lo script:

    - \<blob\> = blob crittografato con chiave Base64 PFX
    
    - $Password = password per il file PFX
    
    - $ProfileName = nome del profilo PFX
    
    - ComputerName = nome del computer host