Microsoft Intune için Sertifika Bağlayıcısı önkoşulları

  • Makale

Microsoft Intune için Sertifika Bağlayıcısı'nın önkoşullarını ve altyapı gereksinimlerini gözden geçirin. Bazı önkoşullar ve altyapı gereksinimleri, bağlayıcı örneğini destekleyecek şekilde yapılandırdığınız özelliklere bağlı olarak farklılık gösterebilir.

Genel önkoşullar

Bağlayıcı yazılımını yüklediğiniz bilgisayar için gereksinimler:

PKCS

Özel ve ortak anahtar çifti (PKCS) sertifika şablonları için gereksinimler:

  • PKCS istekleri için kullandığınız sertifika şablonları, sertifika bağlayıcısı hizmet hesabının sertifikayı kaydetmesine izin veren izinlerle yapılandırılmalıdır.
  • Sertifika şablonları Sertifika Yetkilisi'ne (CA) eklenmelidir.

Not

PKCS'yi destekleyen bağlayıcının herhangi bir örneği, Intune Hizmeti kuyruğundan bekleyen PKCS isteklerini almak, İçeri aktarılan sertifikaları işlemek ve iptal isteklerini işlemek için kullanılabilir. Her isteği hangi bağlayıcının işlediğini tanımlamak mümkün değildir.

Bu nedenle, PKCS'yi destekleyen her bağlayıcının aynı izinlere sahip olması ve PKCS profillerinde daha sonra tanımlanan tüm sertifika yetkilileriyle bağlantı kurabilmesi gerekir.

PKCS içeri aktarılan sertifikaları

PKCS içeri aktarılan sertifikalarını desteklemek için bağlayıcıyı barındıran sunucu, Bağlayıcı Hizmeti Kullanıcısı'nın anahtarları almasına izin vermek için Bir Anahtar depolama sağlayıcısı erişimi yapılandırma gibi ek yapılandırmalar gerektirir.

PKCS içeri aktarılan sertifikaların desteği hakkında bilgi için bkz. Intune ile içeri aktarılan PKCS sertifikalarını yapılandırma ve kullanma.

İptal Önkoşulları

SCEP

Basit Sertifika Kayıt Protokolü (SCEP) sertifikalarını desteklemek için, bağlayıcıyı barındıran Windows Server'ın genel önkoşullara ek olarak aşağıdaki önkoşulları karşılaması gerekir:

  • IIS 7 veya üzeri
  • Active Directory Sertifika Hizmetleri rolünün bir parçası olan Ağ Cihazı Kayıt Hizmeti (NDES) hizmeti. Bağlayıcı, sertifika veren Sertifika Yetkilinizle (CA) aynı sunucuda desteklenmez. Daha fazla bilgi için bkz. Intune ile SCEP'i destekleyecek altyapıyı yapılandırma.

Windows Server'da aşağıdaki Sunucu Rollerini ve Özelliklerini eklemek için öğesini seçin:

  • Sunucu Rolleri:

    • Active Directory Sertifika Hizmetleri
    • Web Sunucusu (IIS)

  • Özellikler:

    • .NET Framework 4.7 Özellikleri
      • .NET Framework 4.7
      • ASP.NET 4.7
      • WCF Hizmetleri
        • HTTP Etkinleştirme

  • AD CS > Rol Hizmetleri:

    • Ağ Cihazı Kayıt Hizmeti - Bir Microsoft CA kullandığınızda bağlayıcı SCEP için Ağ Cihazı Kayıt Hizmeti (NDES) sunucu rolünü yükleyin ve yapılandırın. NDES'yi yapılandırırken NDES uygulama havuzu tarafından kullanılmak üzere bir kullanıcı hesabı atamanız gerekir. NDES'in kendi gereksinimleri de vardır.

  • Web Sunucusu Rolü (IIS) > Rol Hizmetleri:

    • Güvenlik
      • İstek Filtreleme
    • Uygulama Geliştirme
      • .NET Genişletilebilirliği 4.7
      • ASP.NET 4.7
    • Yönetim Araçları
      • IIS Yönetim Konsolu
      • IIS 6 Yönetim Uyumluluğu
        • IIS 6 Metatabanı Uyumluluğu
        • IIS 6 WMI Uyumluluğu

    Ayrıca NDES için following.NET Framework 3.5 Özellikleri gerekir:

    • .NET Framework 3.5
    • HTTP Etkinleştirme

SCEP sertifika şablonları için gereksinimler:

  • SCEP istekleri için kullandığınız sertifika şablonları, Sertifika Bağlayıcısı hizmet hesabının sertifikayı otomatik olarak kaydetmesine izin veren izinlerle yapılandırılmalıdır.
  • Sertifika şablonları CA'ya eklenmelidir.

Hesaplar

Sertifika bağlayıcı yazılımını yüklemeden önce aşağıdaki hesapları hazırlayın.

Yükleme hesabı

Bağlayıcı yazılımını yüklemek için Windows Server'da yerel yönetim izinlerine sahip olan herhangi bir kullanıcı hesabını kullanabilirsiniz. SCEP ve Microsoft CA kullanıyorsanız Windows Server'ı NDES Windows sunucusu rolüyle yapılandırmak için aynı hesabı kullanabilirsiniz.

Sertifika bağlayıcısı hizmet hesabı

Sertifika bağlayıcısı, hizmet hesabı olarak kullanılacak bir hesap gerektirir. Bu hesap bağlayıcı tarafından Windows Server'a erişmek, Intune ile iletişim kurmak ve PKI isteklerine hizmet vermek için Sertifika Yetkilisi'ne erişmek için kullanılır.

Bağlayıcı hizmet hesabı aşağıdaki izinlere sahip olmalıdır:

  • Hizmet Olarak Oturum Aç
  • Sertifika Yetkilisi üzerinde Sertifika verme ve Yönetme izinleri (yalnızca iptal senaryoları için gereklidir).
  • Sertifika vermek için kullandığınız herhangi bir sertifika şablonunda okuma ve kaydetme izinleri.
  • PFX İçeri Aktarma tarafından kullanılan Anahtar Depolama Sağlayıcısı (KSP) izinleri. Bkz. PFX Sertifikalarını Intune İçeri Aktarma.

Sertifika bağlayıcısı hizmet hesabı olarak kullanmak için aşağıdaki seçenekler desteklenir:

  • SİSTEM
  • Etki alanı kullanıcısı - Windows Server'da yönetici olan herhangi bir etki alanı kullanıcı hesabını kullanın.

Daha fazla bilgi için bkz. Microsoft Intune için Sertifika Bağlayıcısı'nı yükleme.

NDES uygulama havuzu kullanıcısı

SCEP'i bir Microsoft CA ile kullanmak için bağlayıcıyı yüklemeden önce bağlayıcıyı barındıran sunucuya NDES eklemeniz gerekir. NDES'yi yapılandırırken, uygulama havuzu kullanıcısı olarak kullanılacak bir hesap belirtmeniz gerekir ve bu hesap NDES hizmet hesabı olarak da adlandırılır. Bu hesap yerel veya etki alanı kullanıcı hesabı olabilir ve aşağıdaki izinlere sahip olmalıdır:

  • Sertifika vermek için kullandığınız her SCEP sertifika şablonunda okuma ve kaydetme izinleri.
  • IIS_IUSRS grubunun üyesi.

Microsoft Intune için Sertifika Bağlayıcısı için NDES sunucu rolünü yapılandırma yönergeleri için bkz. altyapıyı Intune ile SCEP'i destekleyecek şekilde yapılandırma konusunda NDES'yi ayarlama.

Microsoft Entra kullanıcı

Bağlayıcıyı yapılandırırken, genel Yönetici veya Intune Yönetici olan ve Intune lisansı atanmış bir kullanıcı hesabı kullanmanız gerekir.

Sonraki adımlar

Microsoft Intune için Sertifika Bağlayıcısı'nı yükleme