Microsoft Intune 证书连接器

要让 Microsoft Intune 支持使用证书进行身份验证以及使用 S/MIME 对电子邮件进行签名和加密,可使用 Microsoft Intune 证书连接器。 该证书连接器是安装在本地服务器上的软件,可帮助交付和管理 Intune 托管设备的证书。

本文介绍 Microsoft Intune 证书连接器、其生命周期以及如何使其保持最新状态。

提示

从 2021 年 7 月 29 日开始, 用于Microsoft Intune的证书连接器将替换对 Microsoft IntuneMicrosoft Intune 连接器的PFX 证书连接器的使用。 新连接器包括先前两个连接器的功能。 随着 Microsoft 证书连接器版本 6.2109.51.0 的发布,不再支持以前的连接器。

连接器概述

若要使用证书连接器,首先需要从 Microsoft Intune 管理中心内下载软件,然后将其安装在 Windows Server 上。

在安装过程中,可以安装一个或多个连接器功能,包括对以下内容的支持:

  • 私钥和公钥对 (PKCS) 证书
  • PKCS 导入的证书
  • 简单证书注册协议 (SCEP)
  • 证书吊销

还需分配一个服务帐户来运行连接器。 此帐户用于处理与证书颁发机构进行的所有交互,以及用于证书颁发、吊销和续订。 服务帐户支持的选项包括连接器服务器系统帐户或域帐户。

连接器安装完成后,可以随时再次运行连接器的配置以对其进行更新,或更改已安装的功能。 安装并配置后,连接器可以自动安装将来的更新,使连接器保持最新版本。

Intune 支持在租户中安装多个连接器实例,并且每个实例都可支持不同的功能。 如果使用多个支持不同功能的连接器,则证书请求将始终路由到相关连接器。 例如,如果安装了两个支持 PKCS 的连接器,并安装了另外两个同时支持 PKCS 和 SCEP 的连接器,则可以通过四个连接器中的任何一个来管理 PKCS 的证书任务,但 SCEP 的任务仅定向到支持 SCEP 的两个连接器。

对于由 Intune 管理的设备,证书连接器的每个实例都具有相同的网络要求。 有关详细信息,请参阅 Microsoft Intune 的网络终结点Intune 网络配置要求和带宽

证书连接器的功能

Microsoft Intune 证书连接器支持以下内容:

  • PKCS #12 证书请求。

  • PKCS 导入的证书(PFX 文件),用于特定用户的 S/MIME 电子邮件加密。

  • 颁发简单证书注册协议 (SCEP) 证书。 如果使用 Active Directory 证书服务证书颁发机构 (CA)(也称为“Microsoft CA”),则还必须在承载连接器的服务器上配置网络设备注册服务 (NDES)

    将 SCEP 与第三方证书颁发机构一起使用,不需要使用 Microsoft Intune 证书连接器。

  • 证书吊销。

  • 自动更新为新版本。 如果托管证书连接器的服务器可以访问 Internet,它们会自动安装新更新以保持最新版本。 如果连接器无法自动更新,你可以手动更新连接器。

  • 每个 Intune 租户最多可安装 100 个连接器实例,每个实例位于不同的 Windows Server 上。 使用多个连接器时:

    • 连接器的每个实例必须可以访问用于加密每个上传的 PFX 文件的密码的私钥。

    • 连接器的每个实例都应为同一版本。 由于连接器支持自动更新到最新版本,因此可以由 Intune 为你管理更新。

    • 基础结构支持冗余和负载均衡,因为任何支持相同连接器功能的可用连接器实例都可以处理证书请求。

    • 可以配置代理以允许连接器与 Intune 进行通信。

    • 不应将证书连接器安装在与 Intune Active Directory 连接器相同的服务器上。

      注意

      支持 PKCS 的连接器的任何实例都可用于从 Intune 服务队列检索挂起的 PKCS 请求,处理导入的证书以及处理吊销请求。 无法定义处理每个请求的连接器。

      因此,支持 PKCS 的每个连接器必须具有相同的权限,并且能够与稍后在 PKCS 配置文件中定义的所有证书颁发机构连接。

生命周期

定期发布对证书连接器的更新。 新连接器更新的公告(包括每个更新的版本和发布日期)将显示在本文的“证书连接器的新增功能”部分。

每个新连接器版本

  • 在新版本发布后支持 6 个月。 在此期间,自动更新可以安装较新的连接器版本。 更新的连接器版本可以包括但不限于 bug 修复、性能和功能改进。

  • 如果超出支持范围的连接器失败,则需要更新到支持的最新版本。

  • 如果阻止自动更新连接器,计划在六个月内手动更新连接器,然后对已安装版本的支持结束。 支持结束后,需要将连接器更新为仍支持版本,以接收对连接器问题的支持。

  • 在新版本发布后,不受支持的连接器将持续运行长达 18 个月。 18 个月后,连接器功能可能会由于服务级别的改进、更新或解决将来可能出现的常见安全漏洞而失败。

例如,当连接器版本 6.2203.12.0 于 2022 年 5 月 4 日发布时,连接器以前的版本 6.2202.38.0 将在 2022 年 11 月 4 日从支持中删除。 连接器以前的版本应继续运行 (但) 在 2023 年 11 月之前不受支持。 2023 年 11 月之后,以前版本的连接器可能会停止与Intune通信。

自动更新

Intune 可以在发布该连接器版本后立即将连接器自动更新为最新版本。

要自动更新,托管连接器的服务器必须访问 Azure 更新服务

  • 端口:443
  • 终结点:autoupdate.msappproxy.net

如果防火墙、基础结构或网络配置限制自动更新,请解决阻塞性问题或将连接器手动更新为新版本。

手动更新

手动更新证书连接器的流程与重新安装连接器的流程相同。

即使证书连接器支持自动更新,你也可以手动更新。 例如,当网络配置阻止自动更新时,可以手动更新连接器。

重新安装证书连接器

  1. 在承载连接器的 Windows Server 上,运行连接器安装程序以卸载连接器。

  2. 要安装新版本,请使用该过程安装新版本连接器。 安装较新版本的连接器时,请务必检查是否有任何新增的或更新的先决条件

连接器状态

在Microsoft Intune管理中心,可以选择证书连接器以查看其状态信息:

  1. 登录到 Microsoft Intune 管理中心

  2. 转到“租户管理”>“连接器和令牌”>“证书连接器”

  3. 选择连接器以查看其状态。

查看连接器状态时:

  • 弃用的连接器会显示“警告”。 六个月的宽限期到期后,该警告将变为错误。
  • 超出宽限期的连接器将显示错误。 这些连接器不再受支持,并且随时可能停止工作。

日志记录

Microsoft Intune 证书连接器的日志作为安装连接器的服务器上的事件日志提供:

  • 事件查看器>应用程序和服务日志>Microsoft>Intune>证书连接器

以下日志可用,默认为 50 MB,并已启用自动存档:

  • 管理员日志 - 此日志对于每个连接器请求都包含一个日志事件。 事件包括带有关于请求信息的 成功,或带有关于请求信息和错误的 失败
  • 操作日志 - 该日志显示的信息比管理员日志中的信息多,可用于调试问题。 此日志还会显示正在进行的操作,而不是单个事件。

除了默认的日志级别,还可以为每个日志启用调试日志记录,以获取更多详细信息。

事件 ID

所有事件都具有以下 ID 之一:

  • 0001-0999 - 未与任何特定方案关联
  • 1000-1999 - PKCS
  • 2000-2999 - PKCS 导入
  • 3000-3999 - 撤销
  • 4000-4999 - SCEP
  • 5000-5999 - 连接器运行状况

任务类别

所有事件都带有任务类别标记,可帮助进行筛选。 任务类别包含但不限于以下列表:

PKCS

  • 管理员

    • 事件 ID:1000 - PkcsRequestSuccess
      已成功将 PKCS 请求上传到 Intune。

    • 事件 ID:1001 - PkcsRequestFailure
      未能完成 PKCS 请求或将请求上传到 Intune。

    • 事件 ID:1200 - PkcsRecryptRequestSuccess
      已成功处理 PKCS 重新加密请求。

    • 事件 ID:1201 - PkcsRecryptRequestFailure
      无法处理 PKCS 重新加密请求。

  • 操作

    • 事件 ID:1002 - PkcsDownloadSuccess
      已成功从 Intune 下载 PKCS 请求。

    • 事件 ID:1003 - PkcsDownloadFailure
      无法从 Intune 下载 PKCS 请求。

    • 事件 ID:1020 - PkcsDownloadedRequest
      已成功从 Intune 下载 PKCS 请求

    • 事件 ID:1032 - PkcsDigiCertRequest
      已成功从 Intune 下载 DigiCert CA 的 PKCS 请求。

    • 事件 ID:1050 - PkcsIssuedSuccess
      已成功颁发 PKCS 证书。

    • 事件 ID:1051 - PkcsIssuedFailedAttempt
      未能颁发 PKCS 证书,将重试。

    • 事件 ID:1052 - PkcsIssuedFailure
      无法颁发 PKCS 证书。

    • 事件 ID:1100 - PkcsUploadSuccess
      已成功将 PKCS 请求结果上传到 Intune。

    • 事件 ID:1101 - PkcsUploadFailure
      无法将 PKCS 请求结果上传到 Intune。

    • 事件 ID:1102 - PkcsUploadedRequest
      已成功将 PKCS 请求上传到 Intune。

    • 事件 ID:1202 - PkcsRecryptDownloadSuccess
      已成功下载 PKCS 重新加密请求。

    • 事件 ID:1203 - PkcsRecryptDownloadFailure
      无法下载 PKCS 重新加密请求。

    • 事件 ID:1220 - PkcsRecryptDownloadedRequest
      已成功下载 PKCS 重新加密请求。

    • 事件 ID:1250 - PkcsRecryptReencryptSuccess
      已成功重新加密 PKCS 证书有效负载。

    • 事件 ID:1251 - PkcsRecryptDecryptSuccess
      已成功解密 PKCS 证书有效负载。

    • 事件 ID:1252 - PkcsRecryptDecryptFailure
      未能解密 PKCS 证书有效负载。

    • 事件 ID:1253 - PkcsRecryptReencryptFailure
      无法重新加密 PKCS 证书有效负载。

    • 事件 ID:1300 - PkcsRecryptUploadSuccess
      已成功将 PKCS 重新加密请求结果上传到 Intune。

    • 事件 ID:1301 - PkcsRecryptUploadFailure
      无法将 PKCS 重新加密请求结果上传到 Intune。

    • 事件 ID:1302 - PkcsRecryptUploadedRequest
      已成功将 PKCS 重新加密请求上传到 Intune。

PKCS 导入

  • 管理员

    • 事件 ID:2000 - PkcsImportRequestSuccess
      已成功从 Intune 下载 PKCS 导入请求。

    • 事件 ID:2001 - PkcsImportRequestFailure
      无法处理来自 Intune 的 PKCS 导入请求。

  • 操作

    • 事件 ID:2202 - PkcsImportDownloadSuccess
      已成功从 Intune 下载 PKCS 导入请求。

    • 事件 ID:2203 - PkcsImportDownloadFailure
      无法从 Intune 下载 PKCS 导入请求。

    • 事件 ID:2020 - PkcsImportDownloadedRequest
      已成功从 Intune 下载 PKCS 导入请求。

    • 事件 ID:2050 - PkcsImportReencryptSuccess
      已成功重新加密 PKCS 导入证书。

    • 事件 ID:2051 - PkcsImportReencryptFailedAttempt
      未能重新加密 PKCS 导入证书,将重试。

    • 事件 ID:2052 - PkcsImportReencryptFailure
      无法重新加密导入的证书。

    • 事件 ID:2100 - PkcsImportUploadSuccess
      已成功将 PKCS 导入请求结果上传到 Intune。

    • 事件 ID:2101 - PkcsImportUploadFailure
      无法将 PKCS 请求结果上传到 Intune。

    • 事件 ID:2102 - PkcsImportUploadedRequest
      已成功将 PKCS 导入请求上传到 Intune。

吊销

  • 管理员

    • 事件 ID:3000 - RevokeRequestSuccess
      已成功从 Intune 下载吊销请求。

    • 事件 ID:3001 - RevokeRequestFailure
      从 Intune 下载吊销请求时出错。

  • 操作

    • 事件 ID:3002 - RevokeDownloadSuccess
      已成功从 Intune 下载吊销请求。

    • 事件 ID:3003 - RevokeDownloadFailure
      从 Intune 下载吊销请求时出错。

    • 事件 ID:3020 - RevokeDownloadedRequest
      从 Intune 下载的单个请求的详细信息

    • 事件 ID:3032 - RevokeDigicertRequest
      已收到来自 Intune 的吊销请求并将请求转发到 Digicert 以完成请求。

    • 事件 ID:3050 - RevokeSuccess
      已成功吊销证书。

    • 事件 ID:3051 - RevokeFailure
      吊销证书时出错。

    • 事件 ID:3052 - RevokeFailedAttempt
      无法吊销证书,将重试。

    • 事件 ID:3100 - RevokeUploadSuccess
      已成功将吊销请求结果上传到 Intune。

    • 事件 ID:3101 - RevokeUploadFailure
      无法将吊销请求结果上传到 Intune。

    • 事件 ID:3102 - RevokeUploadedRequest
      已成功将吊销请求上传到 Intune。

SCEP

  • 管理员

    • 事件 ID:4000 - ScrepRequestSuccess
      已成功处理 SCEP 请求并通知 Intune。

    • 事件 ID:4001 - ScepRequestIssuedFailure
      无法处理 SCEP 请求并通知 Intune。

    • 事件 ID:4002 - ScepRequestUploadFailure
      已成功处理 SCEP 请求,但未能通知 Intune。

  • 操作

    • 事件 ID:4003 - ScepRequestReceived
      已成功从设备接收 SCEP 请求。

    • 事件 ID:4004 - ScepVerifySuccess
      已成功使用 Intune 验证 SCEP 请求。

    • 事件 ID:4005 - ScepVerifyFailure
      无法使用 Intune 验证 SCEP 请求。

    • 事件 ID:4006 - ScepIssuedSuccess
      已成功为 SCEP 请求颁发证书。

    • 事件 ID:4007 - ScepIssuedFailure
      无法为 SCEP 请求颁发证书。

    • 事件 ID:4008 - ScepNotifySuccess
      已成功通知 Intune 有关 SCEP 请求的结果。

    • 事件 ID:4009 - ScepNotifyAttemptFailed
      未能通知 Intune 有关 SCEP 请求的结果,将重试。

    • 事件 ID:4010 - ScepNotifySaveToDiskFailed
      无法将通知写入磁盘,并且无法通知 Intune 请求状态。

连接器运行状况

  • 操作

    • 事件 ID:5000 - HealthMessageUploadSuccess已成功将运行状况消息上传到Intune。

    • 事件 ID:5001 - HealthMessageUploadFailedAttempt未能将运行状况消息上传到Intune,将重试。

    • 事件 ID:5002 - HealthMessageUploadFailure无法将运行状况消息上传到Intune。

证书连接器的新增功能

Microsoft Intune 证书连接器的更新定期进行发布,并提供为期六个月的支持。 更新连接器时,可在此处阅读有关更改的信息。

连接器的新更新可能需要一周或更长时间才能提供给每个租户。

重要

从 2022 年 4 月开始,将弃用低于 版本 6.2101.13.0 的证书连接器,并显示 错误状态。 从 2022 年 8 月开始,这些连接器版本将 无法 吊销证书。 从 2022 年 9 月开始,这些连接器版本将 无法 颁发证书。 这包括适用于Microsoft Intune的 PFX 证书连接器Microsoft Intune连接器,这些连接器在 2021 年 7 月 29 日被用于Microsoft Intune (的证书连接器取代,如本文) 中所述。

2024 年 9 月 19 日

版本 6.2406.0.1001 - 此版本中的更改:

  • 更改以支持KB5014754要求
  • 改进了 PKCS 导入管道日志记录
  • 错误修补程序
  • 安全改进

2023 年 2 月 15 日

版本 6.2301.1.0 - 此版本中的更改:

  • 要与Intune服务日志关联的日志记录信息
  • PFX 证书颁发流中的日志记录改进

2022 年 9 月 21 日

版本 6.2206.122.0 - 此版本中的更改:

  • 除了 bug 修复和性能改进外,还改进了遥测

2022 年 6 月 30 日

版本 6.2205.201.0 - 此版本中的更改:

  • 已将遥测通道更新为 Intune,以允许 Intune 管理员在门户中收集数据

2022 年 5 月 4 日

版本 6.2203.12.0 - 此版本中的更改:

  • 支持客户端身份验证证书的 CNG 提供程序
  • 改进了对客户端身份验证证书自动续订的支持

2022 年 3 月 10 日

版本 6.2202.38.0。 此更新包括:

  • 对适用于自动更新的支持 TLS 1.2 的更改

后续步骤

查看 Microsoft Intune 证书连接器的先决条件