Microsoft Intune için Sertifika Bağlayıcısı
Microsoft Intune'un kimlik doğrulaması için sertifikaların kullanımını ve S/MIME kullanarak e-posta imzalama ve şifrelemeyi desteklemesi için, Microsoft Intune için Sertifika Bağlayıcısı'nı kullanabilirsiniz. Sertifika bağlayıcısı, Intune tarafından yönetilen cihazlarınız için sertifikaları teslim etmeye ve yönetmeye yardımcı olmak üzere şirket içi bir sunucuya yüklediğiniz yazılımdır.
Bu makalede Microsoft Intune için Sertifika Bağlayıcısı, yaşam döngüsü ve nasıl güncel tutulacakları açıklanmaktadır.
İpucu
29 Temmuz 2021'de, Microsoft Intune için Sertifika Bağlayıcısı, Microsoft Intune ve Microsoft Intune Bağlayıcısı için PFX Sertifika Bağlayıcısı'nın kullanımının yerini alır. Yeni bağlayıcı, önceki her iki bağlayıcının da işlevselliğini içerir. Microsoft için Sertifika Bağlayıcısı'nın 6.2109.51.0 sürümünün yayımlanmasıyla birlikte, önceki bağlayıcılar artık desteklenmiyor.
Bağlayıcıya genel bakış
Sertifika bağlayıcısını kullanmak için, önce Microsoft Intune yönetim merkezinden yazılım indireceksiniz ve ardından bir Windows Server'a yükleyeceksiniz.
Yükleme sırasında, aşağıdakiler için destek de dahil olmak üzere bir veya daha fazla bağlayıcı özelliği yükleyebilirsiniz:
- Özel ve ortak anahtar çifti (PKCS) sertifikaları
- PKCS içeri aktarılan sertifikaları
- Basit Sertifika Kayıt Protokolü (SCEP)
- Sertifika iptali
Bağlayıcıyı çalıştırmak için bir hizmet hesabı da atayacaksınız. Bu hesap Sertifika Yetkilinizle tüm etkileşimler ve sertifika verme, iptal ve yenileme için kullanılır. Hizmet hesabı için desteklenen seçenekler bağlayıcı sunucuları SYSTEM hesabını veya bir Etki alanı hesabını içerir.
Bağlayıcı yüklendikten sonra, bağlayıcıyı güncelleştirmek veya yüklediğiniz özellikleri değiştirmek için bağlayıcının yapılandırmasını istediğiniz zaman yeniden çalıştırabilirsiniz. Bağlayıcı, yüklendikten ve yapılandırıldıktan sonra bağlayıcılarınızı en son sürüme güncel tutmak için gelecekteki güncelleştirmeleri otomatik olarak yükleyebilir.
Intune, bağlayıcının birden çok örneğinin bir kiracıya yüklenmesini destekler ve her örnek farklı özellikleri destekleyebilir. Farklı özellikleri destekleyen birden çok bağlayıcı kullanıyorsanız, sertifika istekleri her zaman ilgili bağlayıcıya yönlendirilir. Örneğin, PKCS'yi destekleyen iki bağlayıcı yüklerseniz ve hem PKCS hem de SCEP'yi destekleyen iki bağlayıcı daha yüklerseniz, PKCS sertifika görevleri dört bağlayıcıdan herhangi biri tarafından yönetilebilir, ancak SCEP için görevler yalnızca SCEP'i destekleyen iki bağlayıcıya yönlendirilir.
Sertifika bağlayıcısının her örneği, Intune tarafından yönetilen cihazlarla aynı ağ gereksinimlerine sahiptir. Daha fazla bilgi için bkz. Microsoft Intune için ağ uç noktaları ve Intune ağ yapılandırma gereksinimleri ve bant genişliği.
Sertifika bağlayıcısının özellikleri
Microsoft Intune için Sertifika Bağlayıcısı aşağıdakileri destekler:
PKCS #12 sertifika istekleri.
Belirli bir kullanıcı için S/MIME e-posta şifrelemesi için PKCS içeri aktarılan sertifikalar (PFX dosyası).
Basit Sertifika Kayıt Protokolü (SCEP) sertifikaları verme. Microsoft CA olarak da adlandırılan bir Active Directory Sertifika Hizmetleri Sertifika Yetkilisi (CA) kullandığınızda, bağlayıcıyı barındıran sunucuda Ağ Cihazı Kayıt Hizmeti'ni (NDES) de yapılandırmanız gerekir.
ScEP'in üçüncü taraf Bir Sertifika Yetkilisi ile kullanılması, Microsoft Intune için Sertifika Bağlayıcısı'nın kullanılmasını gerektirmez.
Sertifika iptali.
Yeni sürümlere otomatik güncelleştirmeler . Sertifika bağlayıcısını barındıran sunucular İnternet'e erişebildiğinde, güncel kalmak için yeni güncelleştirmeleri otomatik olarak yükler. Bağlayıcı otomatik olarak güncelleştirilemediğinde bağlayıcıyı el ile güncelleştirebilirsiniz.
Her örnek ayrı bir Windows Server'da olmak üzere Intune kiracısı başına bağlayıcının en fazla 100 örneğinin yüklenmesi. Birden çok bağlayıcı kullandığınızda:
Bağlayıcının her örneğinin, karşıya yüklenen her PFX dosyasının parolalarını şifrelemek için kullanılan özel anahtara erişimi olmalıdır.
Bağlayıcının her örneği aynı sürümde olmalıdır. Bağlayıcı en yeni sürüme yönelik otomatik güncelleştirmeleri desteklediğinden, güncelleştirmeler Sizin için Intune tarafından yönetilebilir.
Altyapınız yedekliliği ve yük dengelemeyi destekler, aynı bağlayıcı özelliklerini destekleyen tüm kullanılabilir bağlayıcı örnekleri sertifika isteklerinizi işleyebilir.
Bağlayıcının Intune ile iletişim kurmasına izin vermek için bir ara sunucu yapılandırabilirsiniz.
Sertifika Bağlayıcısı, Active Directory için Intune Bağlayıcısı ile aynı sunucuya yüklenmemelidir.
Not
PKCS'yi destekleyen bağlayıcının herhangi bir örneği Intune Hizmeti kuyruğundan bekleyen PKCS isteklerini almak, İçeri aktarılan sertifikaları işlemek ve iptal isteklerini işlemek için kullanılabilir. Her isteği hangi bağlayıcının işlediğini tanımlamak mümkün değildir.
Bu nedenle, PKCS'yi destekleyen her bağlayıcının aynı izinlere sahip olması ve PKCS profillerinde daha sonra tanımlanan tüm sertifika yetkilileriyle bağlantı kurabilmesi gerekir.
Yaşam döngüsü
Düzenli aralıklarla sertifika bağlayıcısı güncelleştirmeleri yayımlar. Her güncelleştirmenin sürümü ve yayın tarihi de dahil olmak üzere yeni bağlayıcı güncelleştirmeleri için duyurular, bu makalenin Sertifika Bağlayıcısı için yenilikler bölümünde görünür.
Her yeni bağlayıcı sürümü:
Yeni bir sürümün yayımlanmasından sonraki altı ay boyunca desteklenir. Bu süre boyunca, otomatik güncelleştirmeler daha yeni bir bağlayıcı sürümü yükleyebilir. Güncelleştirilmiş bağlayıcı sürümleri hata düzeltmeleri, performans ve özellik geliştirmeleri içerebilir ancak bunlarla sınırlı değildir.
Destek dışı bağlayıcı başarısız olursa desteklenen en son sürüme güncelleştirmeniz gerekir.
Bağlayıcının otomatik güncelleştirmesini engellerseniz, yüklü sürüm desteği sona ermeden önce bağlayıcıyı altı ay içinde el ile güncelleştirmeyi planlayın. Destek sona erdikten sonra bağlayıcıyla ilgili sorunlar için destek almak için bağlayıcıyı destekte kalan bir sürüme güncelleştirmeniz gerekir.
Destek dışı olan bağlayıcılar, yeni bir sürümün yayımlanmasından sonra 18 aya kadar çalışmaya devam eder. 18 ay sonra, hizmet düzeyi iyileştirmeleri, güncelleştirmeler veya gelecekte ortaya çıkabilir ortak güvenlik açıklarını giderme konusunda bağlayıcı işlevselliği başarısız olabilir.
Örneğin, 4 Mayıs 2022'de yayımlanan bağlayıcı sürümü 6.2203.12.0 olduğunda bağlayıcının önceki 6.2202.38.0 sürümü 4 Kasım 2022'de destekten düşecektir. Bağlayıcının önceki sürümü Kasım 2023'e kadar çalışmaya devam etmelidir (ancak desteklenmemelidir). Kasım 2023'den sonra bağlayıcının önceki sürümü Intune ile iletişimi durdurabilir.
Otomatik güncelleştirme
Intune, bağlayıcı sürümü yayımlandıktan kısa süre sonra bağlayıcıyı otomatik olarak en son sürüme güncelleştirebilir.
Otomatik olarak güncelleştirmek için bağlayıcıyı barındıran sunucunun Azure güncelleştirme hizmetine erişmesi gerekir:
- Bağlantı noktası: 443
- Uç nokta: autoupdate.msappproxy.net
Güvenlik duvarları, altyapı veya ağ yapılandırmaları otomatik güncelleştirme için erişimi sınırladığında, engelleme sorunlarını çözün veya bağlayıcıyı yeni sürüme el ile güncelleştirin.
El ile güncelleştirme
Sertifika bağlayıcısını el ile güncelleştirme işlemi, bağlayıcıyı yeniden yüklemek için aynıdır.
Sertifika bağlayıcısı otomatik güncelleştirmeleri desteklese bile el ile güncelleştirebilirsiniz. Örneğin, ağ yapılandırmanız otomatik güncelleştirmeyi engellediğinde bağlayıcıyı el ile güncelleştirebilirsiniz.
Sertifika bağlayıcısı yeniden yükleme
Bağlayıcıyı barındıran Windows Server'da bağlayıcıyı kaldırmak için bağlayıcı yükleme programını çalıştırın.
Yeni sürümü yüklemek için yordamını kullanarak bağlayıcının yeni bir sürümünü yükleyin. Bağlayıcının daha yeni bir sürümünü yüklerken yeni veya güncelleştirilmiş önkoşulları denetlediğinizden emin olun.
Bağlayıcı durumu
Microsoft Intune yönetim merkezinde, durumuyla ilgili bilgileri görüntülemek için bir sertifika bağlayıcısı seçebilirsiniz:
Microsoft Intune yönetim merkezinde oturum açın
Kiracı yönetimi>Bağlayıcıları ve belirteçleriSertifika bağlayıcıları'na> gidin.
Durumunu görüntülemek için bir bağlayıcı seçin.
Bağlayıcı durumunu görüntülerken:
- Kullanım dışı bırakılmış bağlayıcılar bir Uyarı gösterir. Altı aylık yetkisiz kullanım süresinden sonra uyarı Hata olarak değişir.
- Yetkisiz kullanım süresinin ötesindeki bağlayıcılar bir Hata gösterir. Bu bağlayıcılar artık desteklenmemektedir ve herhangi bir zamanda çalışmayı durdurabilir.
Günlüğe kaydetme
Microsoft Intune için Sertifika Bağlayıcısı günlükleri, bağlayıcının yüklü olduğu sunucuda Olay günlükleri olarak kullanılabilir:
- Olay Görüntüleyicisi>Uygulama ve Hizmet Günlükleri>Microsoft>Intune>Sertifika Bağlayıcıları
Aşağıdaki günlükler kullanılabilir ve varsayılan olarak 50 MB'dır ve otomatik arşivleme etkindir:
- Yönetici Günlüğü - Bu günlük, bağlayıcıya yapılan istek başına bir günlük olayı içerir. Olaylar, istekle ilgili bilgilerin başarılı olması veya istek ve hatayla ilgili bilgi içeren bir hata içerir.
- İşlem Günlüğü - Bu günlük, Yönetici günlüğünde bulunan ek bilgileri görüntüler ve hata ayıklama sorunlarında kullanılabilir. Bu günlük ayrıca tek olaylar yerine devam eden işlemleri de görüntüler.
Varsayılan günlük düzeyine ek olarak, daha fazla ayrıntı elde etmek için her günlük için hata ayıklama günlüğünü etkinleştirebilirsiniz.
Olay Kimlikleri
Tüm olaylar aşağıdaki kimliklerden birine sahiptir:
- 0001-0999 - Belirli bir senaryoyla ilişkilendirilmemiş
- 1000-1999 - PKCS
- 2000-2999 - PKCS İçeri Aktarma
- 3000-3999 - İptal Et
- 4000-4999 - SCEP
- 5000-5999 - Bağlayıcı Durumu
Görev Kategorileri
Tüm olaylar, filtrelemeye yardımcı olmak için Görev Kategorisi ile etiketlenir. Görev kategorileri aşağıdaki listeyi içerir ancak bunlarla sınırlı değildir:
PKCS
Yönetici
Olay Kimliği: 1000 - PkcsRequestSuccess
Bir PKCS İsteği Intune'a başarıyla yüklendi.Olay Kimliği: 1001 - PkcsRequestFailure
PkCS İsteği Intune'a karşılanamadı veya karşıya yüklenemedi.Olay Kimliği: 1200 - PkcsRecryptRequestSuccess
PKCS Yeniden Şifreleme isteği başarıyla işlendi.Olay Kimliği: 1201 - PkcsRecryptRequestFailure
PKCS Yeniden Şifreleme isteği işlenemedi.
Operasyonel
Olay Kimliği: 1002 - PkcsdownloadSuccess
Intune'dan PKCS istekleri başarıyla indirildi.Olay Kimliği: 1003 - PkcsDownloadFailure
Intune'dan PKCS istekleri indirilemedi.Olay Kimliği: 1020 - PkcsDownloadedRequest
Intune'dan PKCS isteği başarıyla indirildiOlay Kimliği: 1032 - PkcsDigiCertRequest
Intune'dan DigiCert CA için bir PKCS isteği başarıyla indirildi.Olay Kimliği: 1050 - PkcsIssuedSuccess
Başarıyla bir PKCS sertifikası verildi.Olay Kimliği: 1051 - PkcsIssuedFailedAttempt
PKCS sertifikası düzenlenemedi, yeniden deneyecek.Olay Kimliği: 1052 - PkcsIssuedFailure
PKCS sertifikası düzenlenemedi.Olay Kimliği: 1100 - PkcsUploadSuccess
PKCS isteği sonuçları Intune'a başarıyla yüklendi.Olay Kimliği: 1101 - PkcsUploadFailure
PKCS isteği sonuçları Intune'a yüklenemedi.Olay Kimliği: 1102 - PkcsUploadedRequest
PKCS isteği Intune'a başarıyla yüklendi.Olay Kimliği: 1202 - PkcsRecryptDownloadSuccess
PKCS Yeniden Şifreleme istekleri başarıyla indirildi.Olay Kimliği: 1203 - PkcsRecryptDownloadFailure
PKCS Yeniden Şifreleme istekleri indirilemedi.Olay Kimliği: 1220 - PkcsRecryptDownloadedRequest
PKCS Yeniden Şifreleme isteği başarıyla indirildi.Olay Kimliği: 1250 - PkcsRecryptReencryptSuccess
PKCS sertifika yükü başarıyla yeniden şifrelenir.Olay Kimliği: 1251 - PkcsRecryptDecryptSuccess
PKCS sertifika yükünün şifresi başarıyla çözüldü.Olay Kimliği: 1252 - PkcsRecryptDecryptFailure
PKCS sertifika yükünün şifresi çözülemedi.Olay Kimliği: 1253 - PkcsRecryptReencryptFailure
PKCS sertifika yükü yeniden şifrelanamadı.Olay Kimliği: 1300 - PkcsRecryptUploadSuccess
PKCS Yeniden Şifreleme isteği sonuçları Intune'a başarıyla yüklendi.Olay Kimliği: 1301 - PkcsRecryptUploadFailure
PKCS Yeniden Şifreleme isteği sonuçları Intune'a yüklenemedi.Olay Kimliği: 1302 - PkcsRecryptUploadedRequest
Bir PKCS Yeniden Şifreleme isteği Intune'a başarıyla yüklendi.
PKCS İçeri Aktarma
Yönetici
Olay Kimliği: 2000 - PkcsImportRequestSuccess
PKCS İçeri Aktarma istekleri Intune'dan başarıyla indirildi.Olay Kimliği: 2001 - PkcsImportRequestFailure
Intune'dan PKCS İçeri Aktarma isteği işlenemedi.
Operasyonel
Olay Kimliği: 2202 - PkcsImportDownloadSuccess
PKCS İçeri Aktarma istekleri Intune'dan başarıyla indirildi.Olay Kimliği: 2203 - PkcsImportDownloadFailure
PKCS İçeri Aktarma istekleri Intune'dan indirilemedi.Olay Kimliği: 2020 - PkcsImportDownloadedRequest
Intune'dan pkcs içeri aktarma isteği başarıyla indirildi.Olay Kimliği: 2050 - PkcsImportReencryptSuccess
PKCS İçeri Aktarma sertifikası başarıyla yeniden şifrelenir.Olay Kimliği: 2051 - PkcsImportReencryptFailedAttempt
PKCS İçeri Aktarma sertifikası yeniden şifrelanamadı, yeniden denenecek.Olay Kimliği: 2052 - PkcsImportReencryptFailure
İçeri aktarılan bir sertifika yeniden şifrelenemedi.Olay Kimliği: 2100 - PkcsImportUploadSuccess
PKCS İçeri Aktarma isteği sonuçları Intune'a başarıyla yüklendi.Olay Kimliği: 2101 - PkcsImportUploadFailure
PKCS isteği sonuçları Intune'a yüklenemedi.Olay Kimliği: 2102 - PkcsImportUploadedRequest
PkCS İçeri Aktarma isteği Intune'a başarıyla yüklendi.
Iptal
Yönetici
Olay Kimliği: 3000 - RevokeRequestSuccess
Intune'dan iptal istekleri başarıyla indirildi.Olay Kimliği: 3001 - RevokeRequestFailure
Intune'dan İptal istekleri indirilirken bir hata oluştu.
Operasyonel
Olay Kimliği: 3002 - RevokeDownloadSuccess
Intune'dan iptal istekleri başarıyla indirildi.Olay Kimliği: 3003 - RevokeDownloadFailure
Intune'dan İptal istekleri indirilirken bir hata oluştu.Olay Kimliği: 3020 - RevokeDownloadedRequest
Intune'dan indirilen tek bir isteğin ayrıntılarıOlay Kimliği: 3032 - RevokeDigicertRequest
Intune'dan iptal isteği alındı ve isteğin yerine getirilmesi için istek Digicert'e iletildi.Olay Kimliği: 3050 - RevokeSuccess
Sertifika başarıyla iptal edilmiş.Olay Kimliği: 3051 - RevokeFailure
Sertifika iptal ederken bir hata oluştu.Olay Kimliği: 3052 - RevokeFailedAttempt
Sertifika iptal edilemedi, yeniden deneyecek.Olay Kimliği: 3100 - RevokeUploadSuccess
İptal isteği sonuçları Intune'a başarıyla yüklendi.Olay Kimliği: 3101 - RevokeUploadFailure
İptal isteği sonuçları Intune'a yüklenemedi.Olay Kimliği: 3102 - RevokeUploadedRequest
İptal isteği Intune'a başarıyla yüklendi.
SCEP
Yönetici
Olay Kimliği: 4000 - ScrepRequestSuccess
ScEP isteği başarıyla işlendi ve Intune'a bildirildi.Olay Kimliği: 4001 - ScepRequestIssuedFailure
ScEP isteği işlenemedi ve Intune'a bildirimde bulunulamadı.Olay Kimliği: 4002 - ScepRequestUploadFailure
SCEP isteği başarıyla işlendi ancak Intune'a bildiremedi.
Operasyonel
Olay Kimliği: 4003 - ScepRequestReceived
Bir cihazdan başarıyla SCEP isteği alındı.Olay Kimliği: 4004 - ScepVerifySuccess
Intune ile bir SCEP isteği başarıyla doğrulandı.Olay Kimliği: 4005 - ScepVerifyFailure
Intune ile SCEP isteği doğrulanamadı.Olay Kimliği: 4006 - ScepIssuedSuccess
ScEP isteği için sertifika başarıyla verildi.Olay Kimliği: 4007 - ScepIssuedFailure
SCEP isteği için sertifika verilmedi.Olay Kimliği: 4008 - ScepNotifySuccess
Bir SCEP isteği için sonucu Intune'a başarıyla bildirdi.Olay Kimliği: 4009 - ScepNotifyAttemptFailed
Bir SCEP isteğinin sonucu Intune'a bildirilemedi, yeniden denenecek.Olay Kimliği: 4010 - ScepNotifySaveToDiskFailed
Diske bildirim yazılamadı ve intune'a istek durumunu bildiremiyor.
Bağlayıcı Durumu
Operasyonel
Olay Kimliği: 5000 - HealthMessageUploadSuccess Sistem durumu iletileri Intune'a başarıyla yüklendi.
Olay Kimliği: 5001 - HealthMessageUploadFailedAttempt Sistem durumu iletileri Intune'a yüklenemedi, yeniden deneyecek.
Olay Kimliği: 5002 - HealthMessageUploadFailure Sistem durumu iletileri Intune'a yüklenemedi.
Sertifika Bağlayıcısı'na yönelik yenilikler
Microsoft Intune için Sertifika Bağlayıcısı güncelleştirmeleri düzenli aralıklarla yayımlanıp altı ay boyunca desteklenir. Bağlayıcıyı güncelleştirdiğimizde değişiklikler hakkında buradan bilgi edinebilirsiniz.
Bağlayıcıya yönelik yeni güncelleştirmelerin her kiracı için kullanılabilir duruma gelmesi bir hafta veya daha fazla sürebilir.
Önemli
Nisan 2022'den itibaren, 6.2101.13.0 sürümünden önceki sertifika bağlayıcıları kullanım dışı bırakılacak ve Hata durumu gösterilecektir. Ağustos 2022'den itibaren bu bağlayıcı sürümleri sertifikaları iptal edemeyecek . Eylül 2022'den itibaren bu bağlayıcı sürümleri sertifika veremez. Buna hem Microsoft Intune için PFX Sertifika Bağlayıcısı hem de 29 Temmuz 2021'de Microsoft Intune için Sertifika Bağlayıcısı ile değiştirilen Microsoft Intune Bağlayıcısı dahildir (bu makalede açıklandığı gibi).
15 Şubat 2023, Saat 2023
Sürüm 6.2301.1.0 - Bu sürümdeki değişiklikler:
- Intune Hizmet günlükleriyle bağıntı için günlük bilgileri
- PFX Sertifikası verme akışında günlük iyileştirmeleri
21 Eylül 2022, Cumartesi
Sürüm 6.2206.122.0 - Bu sürümdeki değişiklikler:
- Hata düzeltmelerine ve performans iyileştirmelerine ek olarak geliştirilmiş telemetri
30 Haziran 2022 Perşembe
Sürüm 6.2205.201.0 - Bu sürümdeki değişiklikler:
- Intune Yöneticisinin portalda veri toplamasına izin vermek için telemetri kanalı Intune'a güncelleştirildi
4 Mayıs 2022, Mayıs 2022
Sürüm 6.2203.12.0 - Bu sürümdeki değişiklikler:
- İstemci kimlik doğrulama sertifikaları için CNG sağlayıcılarını destekleme
- İstemci kimlik doğrulama sertifikalarının otomatik olarak yenilenmesi için geliştirilmiş destek
10 Mart 2022, Saat 2022, İstanbul
Sürüm 6.2202.38.0. Bu güncelleştirme şunları içerir:
- Otomatik güncelleştirme için TLS 1.2'yi destekleyen değişiklikler
Sonraki adımlar
Microsoft Intune için Sertifika Bağlayıcısı önkoşullarını gözden geçirin