Создание профилей сертификатов PFX с помощью центра сертификации

Относится к Configuration Manager (Current Branch)

Узнайте, как создать профиль сертификата, который использует центр сертификации для учетных данных. В этой статье рассматриваются конкретные сведения о профилях сертификатов для обмена личной информацией (PFX). Дополнительные сведения о создании и настройке этих профилей см. в разделе Профили сертификатов.

Configuration Manager позволяет создать профиль сертификата PFX, используя учетные данные, выданные центром сертификации. В качестве центра сертификации можно выбрать Майкрософт или Доверить. При развертывании на пользовательских устройствах PFX-файлы создают пользовательские сертификаты для поддержки зашифрованного обмена данными.

Сведения об импорте учетных данных сертификата из существующих файлов сертификатов см. в статье Импорт профилей сертификатов PFX.

Предварительные требования

Прежде чем приступить к созданию профиля сертификата, убедитесь, что необходимые предварительные требования готовы. Дополнительные сведения см. в разделе Предварительные требования для профилей сертификатов. Например, для профилей сертификатов PFX требуется роль системы сайта точки регистрации сертификатов .

Создание профиля

  1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие, разверните узел Параметры соответствия, Разверните узел Доступ к ресурсам компании, а затем выберите Профили сертификатов.

  2. На вкладке Главная ленты в группе Создать выберите Создать профиль сертификата.

  3. На странице Общиемастера создания профиля сертификатов укажите следующие сведения:

    • Имя. Введите уникальное имя профиля сертификата. Можно использовать не более 256 символов.

    • Описание. Укажите описание, которое содержит общие сведения о профиле сертификата, который помогает идентифицировать его в консоли Configuration Manager. Можно использовать не более 256 символов.

  4. Выберите Параметры обмена личной информацией — PKCS #12 (PFX) — Создать. Этот параметр запрашивает сертификат от имени пользователя из подключенного локального центра сертификации (ЦС). Выберите центр сертификации: Майкрософт или Доверить.

    Примечание.

    Параметр Импорт получает сведения из существующего сертификата для создания профиля сертификата. Дополнительные сведения см. в разделе Импорт профилей сертификатов PFX.

  5. На странице Поддерживаемые платформы выберите версии ОС, поддерживаемые этим профилем сертификата. Дополнительные сведения о поддерживаемых версиях ОС для вашей версии Configuration Manager см. в статье Поддерживаемые версии ОС для клиентов и устройств.

  6. На странице Центры сертификации выберите точку регистрации сертификатов (CRP) для обработки сертификатов PFX:

    1. Первичный сайт. Выберите сервер, содержащий роль CRP для ЦС.
    2. Центры сертификации. Выберите соответствующий ЦС.

    Дополнительные сведения см. в разделе Инфраструктура сертификатов.

Параметры на странице Сертификат PFX зависят от выбранного ЦС на странице Общие :

Настройка параметров сертификата PFX для ЦС Майкрософт

  1. В поле Имя шаблона сертификата выберите шаблон сертификата.

  2. Чтобы использовать профиль сертификата для подписывания или шифрования S/MIME, включите параметр Использование сертификатов.

    Если этот параметр включен, он доставляет все PFX-сертификаты, связанные с целевым пользователем, на все его устройства. Если этот параметр не включен, каждое устройство получает уникальный сертификат.

  3. Задайте для параметра Формат имени субъектазначение Общее имя или Полное различающееся имя. Если вы не знаете, какой из них использовать, обратитесь к администратору ЦС.

  4. В качестве альтернативного имени субъекта включите Email адрес и имя принципа пользователя (UPN) в соответствии с вашим ЦС.

  5. Порог продления. Определяет время автоматического продления сертификатов на основе процента времени, оставшегося до истечения срока действия.

  6. Задайте для срока действия сертификата время существования сертификата.

  7. Если точка регистрации сертификата указывает учетные данные Active Directory, включите публикацию Active Directory.

  8. Если вы выбрали одну или несколько Windows 10 поддерживаемых платформ:

    1. Задайте для хранилища сертификатов Windows значениеПользователь. (Параметр "Локальный компьютер " не развертывает сертификаты, не выбирайте его.)

    2. Выберите один из следующих поставщиков хранилища ключей (KSP):

      • Установка в доверенный платформенный модуль (TPM) при наличии
      • В противном случае произойдет сбой установки в доверенный платформенный модуль (TPM)
      • Установка в Windows Hello для бизнеса в противном случае произойдет сбой
      • Установка в поставщик хранилища ключей программного обеспечения
  9. Завершите работу мастера.

Настройка параметров сертификата PFX для доверенных ЦС

  1. Для параметра Конфигурация цифрового идентификатора выберите профиль конфигурации. Администратор доверия создает параметры конфигурации цифрового идентификатора.

  2. Чтобы использовать профиль сертификата для подписывания или шифрования S/MIME, включите параметр Использование сертификатов.

    Если этот параметр включен, он доставляет все PFX-сертификаты, связанные с целевым пользователем, на все его устройства. Если этот параметр не включен, каждое устройство получает уникальный сертификат.

  3. Чтобы сопоставить маркеры формата имен субъекта с Configuration Manager полями, выберите Формат.

    В диалоговом окне Форматирование имени сертификата перечислены переменные конфигурации Доверенный цифровой идентификатор. Для каждой переменной Entrust выберите соответствующие поля Configuration Manager.

  4. Чтобы сопоставить маркеры альтернативного имени субъекта с поддерживаемыми переменными LDAP, выберите Формат.

    В диалоговом окне Форматирование имени сертификата перечислены переменные конфигурации Доверенный цифровой идентификатор. Для каждой переменной Entrust выберите соответствующую переменную LDAP.

  5. Порог продления. Определяет время автоматического продления сертификатов на основе процента времени, оставшегося до истечения срока действия.

  6. Задайте для срока действия сертификата время существования сертификата.

  7. Если точка регистрации сертификата указывает учетные данные Active Directory, включите публикацию Active Directory.

  8. Если вы выбрали одну или несколько Windows 10 поддерживаемых платформ:

    1. Задайте для хранилища сертификатов Windows значениеПользователь. (Параметр "Локальный компьютер " не развертывает сертификаты, не выбирайте его.)

    2. Выберите один из следующих поставщиков хранилища ключей (KSP):

      • Установка в доверенный платформенный модуль (TPM) при наличии
      • В противном случае произойдет сбой установки в доверенный платформенный модуль (TPM)
      • Установка в Windows Hello для бизнеса в противном случае произойдет сбой
      • Установка в поставщик хранилища ключей программного обеспечения
  9. Завершите работу мастера.

Развертывание профиля

После создания профиля сертификата он теперь доступен в узле Профили сертификатов . Дополнительные сведения о его развертывании см. в разделе Развертывание профилей доступа к ресурсам.

См. также

Создание профиля сертификата

Импорт профилей сертификатов PFX

Развертывание профилей Wi-Fi, VPN, электронной почты и сертификатов