CM2012_TN
Gäller för: System Center 2012 Configuration Manager SP2
Configuration Manager 2012 SP2 gör det möjligt att etablera Personal Information Exchange-filer (.pfx) på användares enheter. PFX-filer kan användas för att generera användarspecifika certifikat som stöd för krypterad datautväxling. PFX-certifikat kan skapas i Configuration Manager eller importeras. Med Configuration Manager 2012 SP2 kan importerade eller nya PFX-certifikat distribueras till iOS-, Android- och Windows 10-enheter. De här filerna kan sedan distribueras till flera enheter som har stöd för användarbaserad PKI-kommunikation.
Tips |
---|
En stegvis beskrivning av denna process finns även i Skapa och distribuera PFX-certifikatprofiler i Configuration Manager. |
Skapa och distribuera Personal Information Exchange-certifikatprofiler (PFX)
Skapa och distribuera en Personal Information Exchange-certifikatprofil (PFX)
-
Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.
-
Gå till arbetsytan Tillgångar och efterlevnad, expandera Kompatibilitetsinställningar, expandera Åtkomst till företagsresurs och klicka sedan på Certifikatprofiler.
-
På fliken Start går du till gruppen Skapa och klickar på Skapa certifikatprofil. Guiden Skapa certifikatprofil startar.
-
Gå till sidan Allmänt i guiden Skapa certifikatprofil och ange följande:
- **Namn**: Ange ett unikt namn för certifikatprofilen. Använd högst 256 tecken. - **Beskrivning**: Ange en lämplig beskrivning av certifikatprofilen och annan information som gör det enkelt att identifiera profilen i Configuration Manager-konsolen. Använd högst 256 tecken. - **Ange vilken typ av certifikatprofil du vill skapa**: Välj en av följande certifikatprofiltyper: - **Certifikat för betrodd certifikatutfärdare**: Ange den här typen av certifikatprofil om du vill distribuera ett certifikat från en betrodd certifikatutfärdare eller certifikat från en mellanliggande certifikatutfärdare för att bilda en certifikatkedja med förtroenden när användare eller enheten måste autentisera en annan enhet. Enheten kan exempelvis vara en RADIUS-server (Remote Authentication Dial-In User Service) eller en server för virtuellt privat nätverk (VPN). Du måste också konfigurera en certifikatprofil för betrodd certifikatutfärdare innan du kan skapa en SCEP-certifikatprofil. I det här fallet måste certifikatet från betrodd certifikatutfärdare vara det betrodda rotcertifikatet för den certifikatutfärdare som ska utfärda certifikatet till användaren eller enheten. - **SCEP-inställningar (Simple Certificate Enrollment Protocol)**: Välj den här certifikatprofilen om du vill begära ett certifikat för en användare eller enhet med SCEP och rolltjänsten Registreringstjänsten för nätverksenheter. - **Personal Information Exchange – PKCS \#12-inställningar (PFX) – importera**: Välj det här alternativet för att importera ett PFX-certifikat.
-
I fönstret Certifikategenskaper i guiden Skapa certifikatprofil anger du var PFX-certifikatet ska lagras på målenheter.
- **Installera till TPM (Trusted Platform Module) om den är tillgänglig** - **Installera till TPM (Trusted Platform Module), rapportera annars ett fel** - **Installera till programvaruprovidern för nyckellagring**
Klicka på Nästa.
-
I fönstret Plattformar som stöds i guiden Skapa certifikatprofil anger du vilka operativsystem eller plattformar som kan ta emot den importerade PFX-filen.
- **Windows 10** - **iPhone** - **iPad** - **Android**
-
Klicka på Nästa, läs igenom sidan Sammanfattning och stäng sedan guiden.
-
Certifikatprofilen som innehåller PFX-filen är nu tillgänglig från arbetsytan Certifikatprofiler. I arbetsytan Tillgångar och efterlevnad går du till Kompatibilitetsinställningar > Åtkomst till företagsresurser > Certifikatprofiler och högerklickar för att distribuera det nya certifikatet till användarsamlingar.
-
Med hjälp av SDK för Windows 8.1 som finns i Download Center (https://go.microsoft.com/fwlink/?LinkId=613525 distribuerar du ett Skapa PFX-skript. Skapa PFX-skriptet som läggs till i Configuration Manager 2012 SP2 lägger till en SMS_ClientPfxCertificate-klass i SDK. Den här klassen innehåller följande metoder:
- ImportForUser - DeleteForUser
Exempelskript:
$EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)
Följande skriptvariabler måste ändras för skriptet:
- \<blob\> = den PFX base64-krypterade blobben - $Password = lösenordet för PFX-filen - $ProfileName = namnet på PFX-profilen - ComputerName = namnet på värddatorn