Настройка инфраструктуры для поддержки SCEP с помощью Intune
Важно!
Для поддержки требований Windows к строгому сопоставлению сертификатов SCEP, которые были представлены и объявлены в KB5014754 с 10 мая 2022 г., мы внесли изменения в выдачу сертификатов SCEP Intune для новых и обновленных сертификатов SCEP. Благодаря этим изменениям новые или обновленные сертификаты SCEP Intune для iOS/iPadOS, macOS и Windows теперь включают следующий тег в поле Альтернативное имя субъекта (SAN) сертификата: URL=tag:microsoft.com,2022-09-14:sid:<value>
Этот тег используется строгим сопоставлением для привязки сертификата к определенному устройству или идентификатору безопасности пользователя из Entra ID. С этим изменением и требованием сопоставить идентификатор безопасности с идентификатором Entra:
- Сертификаты устройств поддерживаются для устройств с гибридным присоединением к Windows, если это устройство имеет идентификатор безопасности в идентификаторе Entra, который был синхронизирован из локальной службы Active Directory.
- Сертификаты пользователей используют идентификатор безопасности пользователя из Entra ID, синхронизированный из локальной службы Active Directory.
Центры сертификации (ЦС), которые не поддерживают тег URL-адреса в СЕТИ, могут не выдавать сертификаты. Серверы служб сертификатов Microsoft Active Directory, на которые установлено обновление из KB5014754 поддерживают использование этого тега. Если вы используете сторонний ЦС, обратитесь к поставщику ЦС, чтобы убедиться, что он поддерживает этот формат, а также как и когда эта поддержка будет добавлена.
Дополнительные сведения см. в разделе Совет по поддержке: Реализация строгого сопоставления в сертификатах Microsoft Intune — Microsoft Community Hub.
Intune поддерживает использование протокола SCEP для проверки подлинности подключений к приложениям и корпоративным ресурсам. SCEP использует сертификат центра сертификации (ЦС) для защиты обмена сообщениями в ходе запроса подписи сертификата (CSR). Если ваша инфраструктура поддерживает SCEP, для развертывания сертификатов на устройствах можно использовать профили сертификатов SCEP Intune (тип профиля устройства в Intune).
Соединитель сертификатов для Microsoft Intune требуется для использования профилей сертификатов SCEP с Intune при применении центра сертификации служб сертификатов Active Directory, также называемого центром сертификации Майкрософт. Соединитель не поддерживается на том же сервере, где находится выдающий центр сертификации (ЦС). Соединитель не требуется при использовании сторонних центров сертификации.
Сведения в этой статье помогут вам настроить инфраструктуру для поддержки SCEP при использовании служб сертификатов Active Directory. После настройки инфраструктуры можно создавать и развертывать профили сертификатов SCEP с помощью Intune.
Совет
Intune также поддерживает использование сертификатов PKCS #12.
Предварительные требования для использования SCEP для сертификатов
Прежде чем продолжить, убедитесь, что вы создали и развернули профиль доверенного сертификата на устройствах, использующих профили сертификатов SCEP. Профили сертификатов SCEP напрямую ссылаются на профиль доверенного сертификата, который используется для инициализации устройств с доверенным корневым сертификатом ЦС.
- Серверы и роли сервера
- Accounts
- Требования к сети
- Сертификаты и шаблоны
- Требование ПИН-кода для Android Enterprise
Серверы и роли сервера
Для поддержки SCEP следующая локальная инфраструктура должна работать на серверах, которые присоединены к домену Active Directory, за исключением прокси-сервера веб-приложения.
Соединитель сертификатов для Microsoft Intune. Соединитель сертификатов для Microsoft Intune требуется для использования профилей сертификатов SCEP в Intune при использовании ЦС Майкрософт. Он устанавливается на сервер, на котором также выполняется роль сервера NDES. Однако соединитель не поддерживается на том же сервере, что и издающий центр сертификации (ЦС).
Дополнительные сведения о соединителе сертификатов см. в следующих статьях.
Центр сертификации: требуется центр сертификации (ЦС) предприятия служб сертификатов Microsoft Active Directory под управлением выпуска Enterprise Windows Server 2008 R2 с пакетом обновления 1 (SP1) или более поздней версии. Используемая версия Windows Server должна оставаться поддерживаемой корпорацией Майкрософт. Автономный ЦС не поддерживается. Дополнительные сведения см. в разделе Установка центра сертификации.
Если ЦС выполняется под управлением Windows Server 2008 R2 с пакетом обновления 1 (SP1), необходимо установить исправление из KB2483564.
Роль сервера NDES . Для поддержки использования соединителя сертификатов для Microsoft Intune с SCEP необходимо настроить windows Server, на котором размещен соединитель сертификатов, с ролью сервера службы регистрации сетевых устройств (NDES). Соединитель поддерживает установку в ОС Windows Server 2012 R2 или более поздней версии. В следующем разделе этой статьи мы поможем вам установить NDES.
- Сервер, на котором размещается NDES, и соединитель должны быть присоединены к домену и находиться в том же лесу, что и ЦС предприятия.
- Сервер, на котором размещается NDES, не должен быть контроллером домена.
- Не используйте NDES, установленный на сервере, на котором размещен ЦС Предприятия. Эта конфигурация представляет угрозу безопасности, когда ЦС обслуживает запросы из Интернета, а установка соединителя не поддерживается на том же сервере, что и ваш издающий центр сертификации (ЦС).
- Конфигурацию усиленной безопасности Internet Explorer необходимо отключить на сервере с NDES, где также размещается соединитель Microsoft Intune.
Дополнительные сведения об NDES см. в статье Руководство по службе регистрации сетевых устройств или Использование модуля политики со службой регистрации сертификатов для сетевых устройств. Сведения о настройке высокого уровня доступности для NDES см. в разделе Высокий уровень доступности.
Поддержка NDES в Интернете
Чтобы разрешить устройствам в Интернете получать сертификаты, необходимо опубликовать URL-адрес NDES, внешний по отношению к корпоративной сети. Для этого можно использовать обратный прокси-сервер, например прокси приложения Microsoft Entra, сервер прокси-сервера веб-приложений Майкрософт или стороннюю службу обратного прокси-сервера или устройство.
Прокси приложения Microsoft Entra . Для публикации URL-адреса NDES в Интернете можно использовать прокси приложения Microsoft Entra вместо выделенного сервера прокси-сервера веб-приложений (WAP). Это решение позволяет устройствам в интрасети и Интернете получать сертификаты. Дополнительные сведения см. в статье Интеграция с прокси приложения Microsoft Entra на сервере службы регистрации сетевых устройств (NDES).
Сервер прокси-службы веб-приложения: используйте сервер под управлением Windows Server 2012 R2 или более поздней версии в качестве сервера прокси-службы веб-приложения (WAP) для публикации URL-адреса NDES в Интернете. Это решение позволяет устройствам в интрасети и Интернете получать сертификаты.
На сервере, где размещается WAP, необходимо установить обновление, обеспечивающее поддержку длинных URL-адресов, которые используются службой регистрации сертификатов для сетевых устройств. Это обновление включено в накопительный пакет обновления за декабрь 2014 г., или его можно получить отдельно из KB3011135.
Сервер WAP должен иметь SSL-сертификат, совпадающий с именем, опубликованным для внешних клиентов, и доверять SSL-сертификату, который используется на компьютере, где размещена служба NDES. Эти сертификаты позволяют WAP-серверу разорвать SSL-соединение клиентов и создать новое SSL-соединение со службой NDES.
См. дополнительные сведения о планировании сертификатов для WAP и серверах WAP.
Сторонний обратный прокси-сервер — если используется сторонний обратный прокси-сервер, убедитесь, что прокси-сервер поддерживает запрос на получение длинного URI. В рамках потока запроса сертификата клиент выполняет запрос к сертификату в строке запроса. В результате длина URI может быть большой, размером до 40 КБ.
Ограничения протокола SCEP предотвращают использование предварительной проверки подлинности. При публикации URL-адреса NDES через обратный прокси-сервер необходимо установить для предварительной проверки подлинности значение Сквозное. Intune защищает URL-адрес NDES при установке соединителя сертификатов Intune, устанавливая модуль политики Intune-SCEP на сервер NDES. Модуль помогает защитить URL-адрес NDES, предотвращая выдачу сертификатов недопустимым или незаконным запросам сертификатов. Это ограничивает доступ только для зарегистрированных устройств Intune, которые управляются с помощью Intune и имеют сертификаты с правильным форматом.
Когда профиль сертификата SCEP Intune доставляется на устройство, Intune создает пользовательский большой двоичный объект запроса, который шифруется и подписывается. Большой двоичный объект не читается другим устройством. Только модуль политики и служба Intune могут читать и проверять большой двоичный объект запроса. Большой двоичный объект содержит сведения, которые Intune ожидает предоставить устройством в запросе на подпись сертификата (CSR). Например, ожидаемый субъект и альтернативное имя субъекта (SAN).
Модуль политики Intune обеспечивает следующие способы защиты NDES.
При попытке получить доступ к опубликованному URL-адресу NDES напрямую сервер возвращает ответ 403 — запрещено: отказано в доступе.
Когда получен запрос на сертификат SCEP с правильным форматом и полезные данные запроса включают в себя и большой двоичный объект, и CSR для устройства, модуль политики сравнивает сведения о CSR устройства с BLOB-объектом запроса:
Если проверка завершается сбоем, сертификат не выдается.
Сертификат выдается только для запросов на сертификат от зарегистрированного устройства Intune, который проходит проверку большого двоичного объекта запроса.
Учетные записи
Чтобы настроить соединитель для поддержки SCEP, используйте учетную запись с разрешениями на настройку NDES в Windows Server и управление центром сертификации. Дополнительные сведения см. в разделе Учетные записи в статье о предварительных требованиях для соединителя сертификатов для Microsoft Intune.
Требования к сети
В дополнение к требованиям к сети для соединителя сертификатов рекомендуется публиковать службу NDES с помощью обратного прокси-сервера, например прокси приложения Microsoft Entra, прокси-сервера веб-доступа или стороннего прокси-сервера. Если вы не используете обратный прокси-сервер, разрешите трафик TCP по порту 443 со всех узлов и IP-адресов в Интернете к службе NDES.
Разрешите все необходимые порты и протоколы для связи между сервером NDES и любой вспомогательной инфраструктурой в вашей среде. Например, компьютеру, где размещена служба NDES, необходимо взаимодействовать с ЦС, серверами DNS, контроллерами домена и, возможно, другими службами или серверами в вашей среде, например Configuration Manager.
Сертификаты и шаблоны
При использовании SCEP применяются следующие сертификаты и шаблоны.
Объект | Details |
---|---|
Шаблон сертификата SCEP | Шаблон, настроенный в выдавающем ЦС, который используется для полного выполнения запросов SCEP устройств. |
Сертификат проверки подлинности сервера | Сертификат веб-сервера запрашивается у выдающего или общедоступного ЦС. Этот SSL-сертификат устанавливается и привязывается в службах IIS на компьютере, на котором размещается NDES. |
Доверенный корневой сертификат ЦС | Чтобы использовать профиль сертификата SCEP, устройства должны доверять доверенному корневому центру сертификации (CA). Используйте профиль доверенного сертификата в Intune для предоставления доверенного корневого сертификата ЦС пользователям и устройствам. - Используйте один сертификат доверенного корневого ЦС для каждой платформы операционной системы и свяжите его с каждым создаваемым профилем доверенного сертификата. - При необходимости можно использовать дополнительные доверенные сертификаты корневого ЦС. Например, это можно сделать, чтобы предоставить доверие ЦС, подписывающему сертификаты проверки подлинности сервера для точек доступа Wi-Fi. При необходимости для выдающих ЦС можно использовать дополнительные доверенные корневые сертификаты ЦС. В профиле сертификата SCEP, созданном в Intune, обязательно укажите профиль доверенного корневого ЦС для выдающего ЦС. Сведения о профиле доверенного сертификата см. в статье Экспорт доверенного корневого сертификата ЦС и Создание профилей доверенных сертификатов в разделе Использование сертификатов для проверки подлинности в Intune. |
Примечание.
Следующий сертификат не используется с соединителем сертификатов для Microsoft Intune. Эти сведения предоставляются для тех, кто еще не заменил старый соединитель для SCEP (установленный с помощью NDESConnectorSetup.exe) на ПО нового соединителя.
Объект | Details |
---|---|
Сертификат проверки подлинности клиента | Запрашивается у выдающего или общедоступного ЦС. Этот сертификат устанавливается на компьютере, на котором размещена служба NDES, и используется соединителем сертификатов для Microsoft Intune. Если сертификат имеет набор вариантов использования ключей аутентификация клиента и аутентификация сервера (расширенные варианты использования ключей), вы можете использовать один сертификат для аутентификации сервера и клиента. |
Требование ПИН-кода для Android Enterprise
Для Android Enterprise версия шифрования на устройстве определяет необходимость настройки устройства с использованием ПИН-кода до того, как SCEP сможет подготавливать устройство с помощью сертификата. Доступные типы шифрования:
Полное шифрование диска, для которого требуется, чтобы на устройстве был настроен ПИН-код.
Шифрование на основе файлов, требуемое для устройств, на которых изготовитель оборудования установил Android 10 или более поздней версии. Для таких устройств не нужен ПИН-код. Устройства, для которых выполнено обновление до Android 10, могут по-прежнему требовать ПИН-код.
Примечание.
Microsoft Intune не может определить тип шифрования на устройстве Android.
Версия Android на устройстве может влиять на доступный тип шифрования:
Android 10 и более поздних версий: Устройства, установленные с Android 10 или более поздней версии oem, используют шифрование на основе файлов и не требуют ПИН-кода для SCEP для подготовки сертификата. Устройства, которые были обновлены до версии 10 и выше и начали использовать шифрование на основе файлов, по-прежнему могут требовать ПИН-код.
Android 8–9 — эти версии Android поддерживают шифрование на основе файлов, но оно необязательно. Каждый изготовитель оборудования выбирает, какой тип шифрования реализовать на устройстве. Также возможно, что внесенные изготовителем оборудования изменения приведут к тому, что ПИН-код не будет требоваться даже при использовании шифрования всего диска.
Дополнительные сведения см. в следующих статьях документации по Android:
Рекомендации для устройств, зарегистрированных как выделенные устройства Android Enterprise
Для устройств, зарегистрированных как выделенные устройства Android Enterprise, применение паролей может представлять проблему.
Для устройств, которые работают под управлением версии 9.0 и выше и получают политику режима киоска, можно использовать политику соответствия устройств или политику конфигурации устройств для соблюдения требований к паролю. Изучите советы службы поддержки по использованию новых экранов соответствия Google для режима киоска от группы поддержки Intune.
Для устройств под управлением версии 8.x и ниже можно также использовать политику соответствия устройств или политику конфигурации устройств для соблюдения требований к паролю. Однако для настройки ПИН-кода необходимо вручную ввести приложение параметров на устройстве и настроить ПИН-код.
Настройка центра сертификации
С помощью следующих разделов вы:
- Настроите и опубликуете требуемый шаблон для NDES.
- Зададите необходимые разрешения для отзыва сертификата.
Эти разделы предполагают, что вы знакомы с Windows Server 2012 R2 и более поздних версий и службами сертификатов Active Directory (ADCS).
Доступ к выдающему ЦС
Войдите в выдающий ЦС с помощью учетной записи домена с правами, достаточными для управления ЦС.
Откройте консоль управления (MMC) "Центр сертификации". Запустите certsrv.msc или в диспетчере сервера выберите Средства, а затем Центр сертификации.
Выберите узел Шаблоны сертификатов и выберите Управление действиями>.
Создание шаблона сертификата SCEP
В качестве шаблона сертификата NDES создайте шаблон сертификата версии 2 (с совместимостью с Windows 2003). Варианты действий:
- В выдающем ЦС создайте пользовательский шаблон с помощью оснастки Шаблоны сертификатов.
- Скопируйте существующий шаблон (например, шаблон веб-сервера) и обновите копию для использования в качестве шаблона NDES.
Настройте следующие параметры на указанных вкладках шаблона.
Общие
- Снимите флажок Опубликовать сертификат в Active Directory.
- Укажите понятное Отображаемое имя шаблона, чтобы впоследствии можно было определить этот шаблон.
Имя субъекта.
Выберите пункт Предоставляется в запросе. Модуль политики Intune для NDES обеспечивает безопасность.
Расширения.
Убедитесь, что в разделе Описание политик приложений включен пункт Проверка подлинности клиента.
Важно!
Добавляйте только необходимые политики приложений. Согласуйте выбранные параметры с администраторами безопасности.
Для шаблонов сертификатов iOS/iPadOS и macOS также измените параметр Использование ключей и снимите флажок Подпись подтверждает подлинность.
Безопасность.
Добавьте учетную запись службы NDES. Этой учетной записи требуются разрешения на чтение и регистрацию для этого шаблона.
Добавьте дополнительные учетные записи для администраторов Intune, которые будут создавать профили SCEP. Эти учетные записи должны иметь разрешения на чтение шаблона, чтобы администраторы могли переходить к этому шаблону при создании профилей SCEP.
Обработка запросов
Ниже приведен пример экрана. Ваша конфигурация может отличаться.
Требования выдачи
Ниже приведен пример экрана. Ваша конфигурация может отличаться.
Сохраните шаблон сертификата.
Создание шаблона сертификата клиента
Примечание.
Следующий сертификат не используется с соединителем сертификатов для Microsoft Intune. Эти сведения предоставляются для тех, кто еще не заменил старый соединитель для SCEP (установленный с помощью NDESConnectorSetup.exe) на ПО нового соединителя.
Для соединителя Microsoft Intune требуется сертификат с расширенным использованием ключа проверки подлинности клиента и именем субъекта, равным полному доменному имени компьютера, на котором установлен соединитель. Требуется шаблон со следующими свойствами:
- Расширения>Политики приложений должны содержать Проверка подлинности клиента
- Имя субъекта>Предоставляется в запросе.
Если у вас уже есть шаблон, включающий эти свойства, можно использовать его повторно; в противном случае создайте новый шаблон путем дублирования существующего или создания пользовательского шаблона.
Создание шаблона сертификата сервера
При обмене данными между управляемыми устройствами и службами IIS на сервере NDES используется протокол HTTPS, который требует использования сертификата. Для выдаче этого сертификата можно использовать шаблон сертификата веб-сервера. Или, если вы предпочитаете использовать отдельный шаблон, необходимы следующие свойства:
- Расширения>Политики приложений должны содержать Проверку подлинности сервера.
- Имя субъекта>Предоставляется в запросе.
- На вкладке Безопасность учетная запись компьютера сервера NDES должна иметь разрешения на чтение и регистрацию.
Примечание.
При наличии сертификата, удовлетворяющего требованиям шаблонов сертификатов клиента и сервера, можно использовать один сертификат как для IIS, так и для соединителя сертификатов.
Предоставление разрешений для отзыва сертификата
Чтобы служба Intune могла отозвать сертификаты, которые больше не требуются, необходимо предоставить разрешения в центре сертификации.
На сервере, где размещен соединитель сертификатов, используйте системную учетную запись сервера NDES или конкретную учетную запись, например учетную запись службы NDES.
В консоли центра сертификации щелкните правой кнопкой мыши имя центра сертификации и выберите пункт Свойства.
На вкладке Безопасность выберите Добавить.
Предоставьте право Выдача сертификатов и управление ими:
- Если вы хотите использовать системную учетную записьсервера NDES, предоставьте разрешения для сервера NDES.
- Если вы хотите использовать учетную запись службы NDES, укажите вместо нее разрешения для этой учетной записи.
Изменение срока действия шаблона сертификата
Вы можете изменить срок действия шаблона сертификата.
После создания шаблона сертификата SCEP можно изменить шаблон, чтобы проверить срок действия на вкладке Общие.
По умолчанию Intune использует значение, настроенное в шаблоне, но вы можете настроить ЦС, чтобы разрешить запрашивающим вводить другое значение, чтобы это значение можно было задать в Центре администрирования Microsoft Intune.
Запланируйте использование срока действия пять дней или больше. Если срок действия менее пяти дней, существует высокая вероятность того, что сертификат вступает в состояние с истекшим сроком действия или истек, что может привести к тому, что агент MDM на устройствах отклонит сертификат до его установки.
Важно!
Для iOS/iPadOS и macOS всегда используйте значение, заданное в шаблоне.
Настройка значения, которое можно задать в Центре администрирования Microsoft Intune
Выполните следующие команды в ЦС:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
Публикация шаблонов сертификатов
В выдающем ЦС используйте оснастку центра сертификации, чтобы опубликовать шаблон сертификата. Выберите узел Шаблоны сертификатов, щелкните Действие>Создать>Выдаваемый шаблон сертификата, а затем укажите шаблон, созданный в предыдущем разделе.
Убедитесь, что шаблон опубликован, просмотрев его в папке Шаблоны сертификата.
Настройка NDES
Следующие процедуры помогут настроить службу NDES для использования с Intune. Они приводятся в качестве примеров, так как фактическая конфигурация может зависеть от версии Windows Server. Убедитесь, что необходимые добавленные конфигурации, например для .NET Framework, соответствуют предварительным требованиям к соединителю сертификатов для Microsoft Intune.
Дополнительные сведения о службе см. в разделе Руководство по службе регистрации сертификатов для сетевых устройств.
Установка службы NDES
На сервер, где будет размещена NDES, необходимо войти как Администратор предприятия, а затем использовать мастер добавления ролей и компонентов для установки NDES:
В мастере выберите Службы сертификатов Active Directory, чтобы получить доступ к службам ролей служб сертификатов Active Directory. Выберите пункт Служба регистрации сертификатов для сетевых устройств, снимите флажок Центр сертификации, а затем завершите работу мастера.
Совет
В разделе Ход выполнения установки не нажимайте кнопку Закрыть. Вместо этого щелкните ссылку Настроить службы сертификатов Active Directory на конечном сервере. Откроется мастер настройки служб сертификатов Active Directory, который используется для следующей процедуры в этой статье, чтобы настроить службу NDES. После того, как откроется окно настройки служб сертификатов Active Directory, можно закрыть мастер добавления ролей и компонентов.
При добавлении NDES на сервер мастер также установит IIS. Убедитесь, что в IIS настройки заданы следующим образом:
Веб-сервер>Безопасность>Фильтрация запросов
Веб-сервер>Разработка приложений>ASP.NET 3.5.
При установке ASP.NET 3.5 устанавливается платформа .NET Framework 3.5. При установке .NET Framework 3.5 установите основной компонент .NET Framework 3.5 и компонент Активация по HTTP.
Веб-сервер>Разработка приложений>ASP.NET 4.7.2.
При установке ASP.NET 4.7.2 устанавливается платформа .NET Framework 4.7.2. При установке .NET Framework 4.7.2 установите основной компонент .NET Framework 4.7.2, компонент ASP.NET 4.7.2 и компонент Службы WCF>Активация по HTTP.
Средства управления>Совместимость управления IIS 6>Совместимость метабазы IIS 6
Средства управления>Совместимость управления IIS 6>Совместимость WMI в IIS 6
На сервере добавьте учетную запись службы NDES в качестве члена локальной группы IIS_IUSRS .
При необходимости настройте имя субъекта-службы в Active Directory. Сведения о настройке имени субъекта-службы см. в статье Проверка необходимости задания имени субъекта-службы для NDES.
Настройка службы NDES
Для настройки службы NDES используйте учетную запись администратора предприятия.
На компьютере, где размещена служба NDES, откройте мастер настройки служб сертификатов Active Directory и внесите следующие изменения.
Совет
Если вы продолжаете работу с последней процедуры и щелкнули ссылку Настройка служб сертификатов Active Directory на целевом сервере, этот мастер уже должен быть открыт. В противном случае откройте диспетчер серверов, чтобы получить доступ к настройке служб сертификатов Active Directory после развертывания.
- На странице Службы ролей выберите Служба регистрации сертификатов для сетевых устройств.
- На странице Учетная запись службы для NDES укажите учетную запись службы NDES.
- На странице ЦС для NDES щелкните Выбрать и укажите выдающий ЦС, в котором настроен шаблон сертификата.
- На странице Криптография для NDES задайте длину ключа, соответствующую требованиям компании.
- На странице Подтверждение щелкните Настроить, чтобы завершить работу мастера.
После завершения работы мастера измените следующий раздел реестра на компьютере, где размещена служба NDES:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\
Чтобы обновить этот раздел, определите назначение шаблона сертификата (на его вкладке Обработка запроса). Затем обновите соответствующую запись реестра, заменив существующие данные именем шаблона сертификата (не отображаемым именем шаблона), указанным, когда вы создали шаблон сертификата.
Следующая таблица содержит соответствия назначений шаблона сертификата и значений в реестре.
Назначение шаблона сертификата (на вкладке "Обработка запросов") Изменяемое значение реестра Значение, которое можно увидеть в Центре администрирования Microsoft Intune для профиля SCEP Подпись SignatureTemplate Цифровые подписи Шифрование EncryptionTemplate Шифрование ключа Подпись и шифрование GeneralPurposeTemplate Шифрование ключа
Цифровые подписиНапример, если назначение шаблона сертификата — Шифрование, измените значение EncryptionTemplate на имя шаблона сертификата.
Перезапустите сервер, на котором размещена служба NDES. Не используйте iisreset; эта команда не выполняет необходимые изменения.
Перейдите по адресу http://полное доменное имя сервера/certsrv/mscep/mscep.dll. Вы должны увидеть страницу NDES, аналогичную следующей:
Если веб-адрес возвращает ответ 503 Служба недоступна, проверьте окно просмотра событий компьютера. Эта ошибка обычно возникает, когда пул приложений остановлен из-за отсутствия разрешения для учетной записи службы NDES.
Установка и привязка сертификатов на сервере NDES
На сервере NDES добавьте сертификат проверки подлинности сервера.
Сертификат проверки подлинности сервера
Этот сертификат используется для IIS. Это простой сертификат веб-сервера, который разрешает клиенту доверять URL-адресу NDES.
На сервере NDES запросите и установите сертификат проверки подлинности сервера из внутреннего или общедоступного ЦС.
В зависимости от того, как вы предоставляете доступ к NDES из Интернета, требования могут отличаться.
Вот пример правильной конфигурации.
- Имя субъекта. Укажите значение CN (Общее имя), которое совпадает с DNS-именем сервера, на котором устанавливается сертификат (сервер NDES).
- Альтернативное имя субъекта. Задайте записи DNS для каждого URL-адреса, на который должна отвечать служба NDES, в том числе для полного доменного имени во внутренней сети и внешних URL-адресов.
Примечание.
Если вы используете прокси приложения Microsoft Entra, соединитель прокси приложения Microsoft Entra преобразует запросы из внешнего URL-адреса во внутренний URL-адрес. Таким образом, NDES будет отвечать только на запросы, направленные на внутренний URL-адрес (обычно это полное доменное имя сервера NDES).
В этом случае внешний URL-адрес не требуется.
Привяжите сертификат проверки подлинности сервера (SSL-сертификат) в IIS:
после установки сертификата проверки подлинности сервера откройте диспетчер IIS и выберите Веб-сайт по умолчанию. В области Действия выберите элемент Привязки.
Нажмите Добавить, задайте для пункта Тип значение https, а затем укажите порт 443.
В качестве SSL-сертификата укажите сертификат проверки подлинности сервера.
Примечание.
При настройке NDES для соединителя сертификатов для Microsoft Intune используется только сертификат проверки подлинности сервера. Если вы настраиваете NDES для поддержки старшего соединителя сертификата (NDESConnectorSetup.exe), необходимо также настроить сертификат проверки подлинности клиента. Можно использовать один сертификат как для проверки подлинности сервера, так и для проверки подлинности клиента, если этот сертификат настроен в соответствии с критериями обоих способов. Что касается имени субъекта, оно должно соответствовать требованиям к сертификатам проверки подлинности клиента.
Следующие сведения предоставляются для тех, кто еще не заменил старый соединитель для SCEP (установленный с помощью NDESConnectorSetup.exe) ПО нового соединителя.
Сертификат проверки подлинности клиента
Этот сертификат используется во время установки соединителя сертификатов для Microsoft Intune для поддержки SCEP.
Запросите и установите сертификат проверки подлинности клиента из внутреннего или общедоступного ЦС.
Сертификат должен отвечать следующим требованиям.
- Расширенное использование ключа. Это значение должно включать проверку подлинности клиента.
- Имя субъекта. Укажите значение CN (Общее имя), которое совпадает с DNS-именем сервера, на котором устанавливается сертификат (сервер NDES).
Скачивание, установка и настройка соединителя сертификатов для Microsoft Intune
Инструкции см. в статье об установке и настройке соединителя сертификатов для Microsoft Intune.
- Соединитель сертификатов устанавливается на сервере, где запущена служба NDES.
- Соединитель не поддерживается на том же сервере, где находится выдающий центр сертификации (ЦС).