Microsoft Intune için Sertifika Bağlayıcısı önkoşulları

  • Makale

Microsoft Intune için Sertifika Bağlayıcısı'nı yükleyip yapılandırmadan önce önkoşulları ve altyapı gereksinimlerini gözden geçirin. Bu gereksinimler, bağlayıcı örneğini destekleyecek şekilde yapılandırabileceğiniz özelliklere bağlı olarak değişebilir.

Genel önkoşullar

Bağlayıcı yazılımını yüklediğiniz bilgisayar için gereksinimler:

PKCS

PKCS sertifika şablonları için gereksinimler:

  • PKCS istekleri için kullanacağınız sertifika şablonları, sertifika bağlayıcısı hizmet hesabının sertifikayı kaydetmesine izin veren izinlerle yapılandırılmalıdır.
  • Sertifika şablonları Sertifika Yetkilisi'ne (CA) eklenmelidir.

Not

PKCS'yi destekleyen bağlayıcının herhangi bir örneği Intune Hizmeti kuyruğundan bekleyen PKCS isteklerini almak, İçeri aktarılan sertifikaları işlemek ve iptal isteklerini işlemek için kullanılabilir. Her isteği hangi bağlayıcının işlediğini tanımlamak mümkün değildir.

Bu nedenle, PKCS'yi destekleyen her bağlayıcının aynı izinlere sahip olması ve PKCS profillerinde daha sonra tanımlanan tüm sertifika yetkilileriyle bağlantı kurabilmesi gerekir.

PKCS içeri aktarılan sertifikaları

PKCS içeri aktarılan sertifikalarını desteklemek için bağlayıcıyı barındıran sunucu, Bağlayıcı Hizmeti Kullanıcısı'nın anahtarları almasına izin vermek için Bir Anahtar depolama sağlayıcısı erişimi yapılandırma gibi ek yapılandırmalar gerektirir.

PKCS içeri aktarılan sertifikaların desteği hakkında bilgi için bkz. Intune ile içeri aktarılan PKCS sertifikalarını yapılandırma ve kullanma

İptal Önkoşulları

SCEP

Bağlayıcıyı barındıran Windows Server, genel önkoşullara ek olarak aşağıdaki önkoşulları karşılamalıdır:

  • IIS 7 veya üzeri
  • Active Directory Sertifika Hizmetleri rolünün bir parçası olan Ağ Cihazı Kayıt Hizmeti (NDES) hizmeti. Bağlayıcı, sertifika veren Sertifika Yetkilinizle (CA) aynı sunucuda desteklenmez. Daha fazla bilgi için bkz . Intune ile SCEP'i destekleyecek altyapıyı yapılandırma

Windows Server'da yapılandırarak aşağıdaki Sunucu Rollerini ve Özelliklerini seçin:

  • Sunucu Rolleri:

    • Active Directory Sertifika Hizmetleri
    • Web Sunucusu (IIS)

  • Özellikler:

    • .NET Framework 4.7 Özellikleri
      • .NET Framework 4.7
      • ASP.NET 4.7
      • WCF Hizmetleri
        • HTTP Etkinleştirme

  • AD CS > Rol Hizmetleri:

    • Ağ Cihazı Kayıt Hizmeti - Microsoft CA kullanırken bağlayıcı SCEP için Ağ Cihazı Kayıt Hizmeti (NDES) sunucu rolünü yükleyin ve yapılandırın. NDES'i yapılandırırken, NDES uygulama havuzu tarafından kullanılmak üzere bir kullanıcı hesabı atamanız gerekir. NDES'in kendi gereksinimleri de vardır.

  • Web Sunucusu Rolü (IIS) > Rol Hizmetleri:

    • Güvenlik
      • İstek Filtreleme
    • Uygulama Geliştirme
      • .NET Genişletilebilirliği 4.7
      • ASP.NET 4.7
    • Yönetim Araçları
      • IIS Yönetim Konsolu
      • IIS 6 Yönetim Uyumluluğu
        • IIS 6 Metatabanı Uyumluluğu
        • IIS 6 WMI Uyumluluğu

    Ayrıca NDES için following.NET Framework 3.5 Özellikleri gerekir:

    • .NET Framework 3.5
    • HTTP Etkinleştirme

SCEP sertifika şablonları için gereksinimler:

  • SCEP istekleri için kullanacağınız sertifika şablonları, Sertifika Bağlayıcısı hizmet hesabının sertifikayı otomatik olarak kaydetmesine izin veren izinlerle yapılandırılmalıdır.
  • Sertifika şablonları CA'ya eklenmelidir.

Hesaplar

Sertifika bağlayıcı yazılımını yüklemeden önce aşağıdaki hesapları hazırlayın.

Yükleme hesabı

Bağlayıcı yazılımını yüklemek için Windows Server'da yerel yönetim izinlerine sahip olan herhangi bir kullanıcı hesabını kullanabilirsiniz. SCEP ve Microsoft CA kullanıyorsanız Windows Server'ı NDES Windows sunucusu rolüyle yapılandırmak için aynı hesabı kullanabilirsiniz.

Sertifika bağlayıcısı hizmet hesabı

Sertifika bağlayıcısı, hizmet hesabı olarak kullanılacak bir hesap gerektirir. Bu hesap bağlayıcı tarafından Windows Server'a erişmek, Intune ile iletişim kurmak ve PKI isteklerine hizmet vermek için Sertifika Yetkilisi'ne erişmek için kullanılır.

Bağlayıcı hizmet hesabı aşağıdaki izinlere sahip olmalıdır:

  • Hizmet Olarak Oturum Aç
  • Sertifika Yetkilisi üzerinde Sertifika verme ve Yönetme izinleri (yalnızca iptal senaryoları için gereklidir).
  • Sertifika vermek için kullanacağınız herhangi bir sertifika şablonundaki okuma ve kaydetme izinleri.
  • PFX İçeri Aktarma tarafından kullanılan Anahtar Depolama Sağlayıcısı (KSP) izinleri. Bkz. PFX Sertifikalarını Intune'a aktarma.

Sertifika bağlayıcısı hizmet hesabı olarak kullanmak için aşağıdaki seçenekler desteklenir:

  • SİSTEM
  • Etki alanı kullanıcısı - Windows Server'da yönetici olan herhangi bir etki alanı kullanıcı hesabını kullanın.

Daha fazla bilgi için bkz. Microsoft Intune için Sertifika Bağlayıcısı'nı yükleme.

NDES uygulama havuzu kullanıcısı

SCEP'i bir Microsoft CA ile kullanmak için bağlayıcıyı yüklemeden önce bağlayıcıyı barındıran sunucuya NDES eklemeniz gerekir. NDES'i yapılandırırken, uygulama havuzu kullanıcısı olarak kullanılacak bir hesap belirtmeniz gerekir ve bu hesap NDES hizmet hesabı olarak da adlandırılır. Bu hesap yerel veya etki alanı kullanıcı hesabı olabilir ve aşağıdaki izinlere sahip olmalıdır:

  • Sertifika vermek için kullanacağınız her SCEP sertifika şablonunda okuma ve kaydetme izinleri.
  • IIS_IUSRS grubunun üyesi.

Microsoft Intune için Sertifika Bağlayıcısı için NDES sunucu rolünü yapılandırma yönergeleri için bkz. Intune ile SCEP'yi desteklemek için altyapıyı yapılandırma başlığı altında NDES'yi ayarlama.

Microsoft Entra kullanıcısı

Bağlayıcıyı yapılandırırken, Genel Yönetici veya Intune Yöneticisi olan ve atanmış bir Intune lisansı olan bir kullanıcı hesabı kullanmanız gerekir.

Sonraki adımlar

Microsoft Intune için Sertifika Bağlayıcısı'nı yükleme