circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Windows

Stellen Sie Zertifikate über SCEP in Intune mit SCEPman auf Windows-Geräten bereit.

Der folgende Artikel beschreibt das Ausrollen von Geräte- und/oder Benutzerzertifikaten für Windows-Geräte. Das Ausrollen des SCEPman-Stammzertifikats ist zwingend. Anschließend können Sie wählen, ob Sie nur das Geräte-, nur das Benutzer- oder beide Zertifikatstypen bereitstellen möchten.

hashtag
Stammzertifikat

Die Grundlage für das Ausrollen von SCEP-Zertifikaten ist das Vertrauen in das Stammzertifikat von SCEPman. Daher müssen Sie das CA-Stammzertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:

circle-info

Beachten Sie, dass Sie dieselbe Gruppe für die Zuordnung des Vertrauenszertifikats und des SCEP-Profils verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

hashtag
Gerätezertifikate

chevron-rightZertifikatstyp: Geräthashtag

In diesem Fall richten wir ein Gerätezertifikat ein

chevron-rightFormat des Subject-Namens: CN={{DeviceName}} oder CN={{DeviceId}} oder CN={{AAD_Device_ID}}hashtag

Empfohlen: Verwenden Sie {{DeviceName}}für das CN-RDN, um einen aussagekräftigen Namen des Zertifikats auf dem Gerät oder bei der Suche nach dem Zertifikat zu haben.

Optional: Falls konfiguriert auf CN={{DeviceId}} oder CN={{AAD_Device_ID}}, verwendet SCEPman das CN-Feld des Subject-Namens, um das Gerät zu identifizieren und als Seed für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:

  • {{DeviceId}}: Diese ID wird von Intune generiert und verwendet. (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)

  • {{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.

Falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} für das CN-Feld verwendet wird (z. B. CN={{DeviceName}}), wird SCEPman das Gerät anhand der Intune-Geräte-ID identifizieren ((URI)Wert: IntuneDeviceId://{{DeviceId}}) die im Subject Alternative Name (SAN) bereitgestellt wird.

Wichtig: Die Wahl des CN-Feldes beeinflusst das automatische Widerrufsverhalten von an Ihre Intune-verwalteten Geräte ausgestellten Zertifikaten.

Sie können bei Bedarf andere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumentenarrow-up-right.

chevron-rightSubject Alternative Name: (URI)Wert: IntuneDeviceId://{{DeviceId}}hashtag

Das URI-Feld wird von Microsoft empfohlenarrow-up-right für NAC-Lösungen, um Geräte anhand ihrer Intune-Geräte-ID zu identifizieren. Der Wert sollte sein:

Das URI-Feld ist zwingend erforderlich falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} im Format des Subject-Namens Feld verwendet wird.

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

chevron-rightGültigkeitsdauer des Zertifikats: 1 Jahrhashtag

Die verbleibende Zeit bis zum Ablauf des Zertifikats. Standardmäßig ist ein Jahr eingestellt.

SCEPman begrenzt die Zertifikatsgültigkeit auf den in der Einstellung konfigurierten Maximalwert AppConfig:ValidityPeriodDays, verwendet ansonsten jedoch die im Request konfigurierte Gültigkeit.

chevron-rightKey Storage Provider (KSP): Enrollment in Trusted Platform Module (TPM) KSP, sonst fehlschlagenhashtag

Diese Einstellung bestimmt den Speicherort des privaten Schlüssels für Endbenutzerzertifikate. Die Speicherung im TPM ist sicherer als die Speicherung in Software, da das TPM eine zusätzliche Sicherheitsschicht bietet, um Schlüsselverlust zu verhindern.

Hinweis: Es gibt einen Fehler in einigen älteren TPM-Firmwareversionen der einige mit einem TPM-gestützten privaten Schlüssel erstellte Signaturen ungültig macht. In solchen Fällen kann das Zertifikat nicht für EAP-Authentifizierung verwendet werden, wie sie häufig für WLAN- und VPN-Verbindungen vorkommt. Außerdem kann dies Ihren Autopilot-Onboarding-Prozess beeinträchtigen.

Betroffene TPM-Firmwareversionen umfassen:

  • STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

  • Intel: 11.8.50.3399, 2.0.0.2060

  • Infineon: 7.63.3353.0

  • IFX: Version 3.19 / Spezifikation 1.2

  • IFX Version 7.63.3353.0 Spezifikation 2.0

Wenn Sie TPM mit dieser Firmware verwenden, aktualisieren Sie entweder Ihre Firmware auf eine neuere Version oder wählen Sie "Software KSP" als Key Storage Provider.

Aktualisierung: Sie können den TPM-Fehler umgehen, indem Sie die RSA-PSS-Signaturalgorithmen — die das Problem verursachen — aus der Registry entfernen. Weitere Informationen finden Sie bitte in Richard Hicks' Artikelarrow-up-right und Microsoft Q&Aarrow-up-right

chevron-rightSchlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselunghashtag

Bitte aktivieren Sie beide kryptografischen Aktionen.

SCEPman setzt die Schlüsselverwendung automatisch auf Digitale Signatur und Schlüsselverschlüsselung und überschreibt die hier vorgenommene Einstellung, sofern die Einstellung AppConfig:UseRequestedKeyUsages auf true.

chevron-rightgesetzt ist 2048hashtag

Schlüssellänge (Bits):

chevron-rightSCEPman unterstützt 2048 Bit. Hash-Algorithmus:hashtag

SHA-2

chevron-rightSCEPman unterstützt den SHA-2-Algorithmus. Stammzertifikat:hashtag

Profil aus dem vorherigen Schritt (Root certificate Profile) Bitte wählen Sie das Intune-Profil aus#Stammzertifikat . Wenn Sie eineZwischen-CA

chevron-rightverwenden, müssen Sie das Vertrauenszertifikatprofil für die Zwischen-CA auswählen, nicht für die Root-CA! Erweiterte Schlüsselnutzung:hashtag

Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte

chevron-right. Die anderen Felder werden automatisch ausgefüllt. 20hashtag

Erneuerungsschwelle (%): Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Gültigkeitsdauer des Zertifikats

chevron-rightund wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum hinweg zu erneuern. Ein Wert von 20 % würde es einem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen. SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL vonhashtag

Intune MDM

hashtag
Intune MDM

hashtag
Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.

Benutzerzertifikate Bitte folgen Sie den Anweisungen unter #Gerätezertifikate

chevron-rightZertifikatstyp: und beachten Sie die folgenden Unterschiede:hashtag

Benutzer

chevron-rightFormat des Subject-Namens: In diesem Abschnitt richten wir ein Benutzerzertifikat ein.hashtag

CN={{UserName}},E={{EmailAddress}} Microsoft-Dokumentenarrow-up-rightSie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den

chevron-rightSubject Alternative Name: . Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: [email protected]) als Basiseinstellung aufzunehmen.Wert: (UPN)hashtag

{{UserPrincipalName}} Sie müssen den User Principal Name als Subject Alternative Name hinzufügen. Fügen Sie '{{UserPrincipalName}}' als Subject Alternative Name vom Typ User Principal Name (UPN) hinzu.

Dies stellt sicher, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann. Die Einstellung für 'Format des Subject-Namens' ist frei wählbar.

circle-info

Andere SAN-Werte wie eine E-Mail-Adresse können bei Bedarf hinzugefügt werden.

hashtag
Intune MDM

hashtag
Basierend auf Kundenfeedback scheint es, dass einige VPN-Clients (z. B. Azure VPN Client für Virtual WAN) das Benutzerzertifikat nicht finden können, wenn es im TPM gespeichert ist. Versuchen Sie stattdessen, es im Software-KSP zu registrieren.

Benutzer-Digitale-Signatur-Zertifikat Sie können SCEPman für transaktionale digitale Signaturen

circle-exclamation

verwenden, z. B. für S/MIME-Signaturen in Microsoft Outlook. Wenn Sie die Zertifikate für das Signieren von Nachrichten verwenden möchten, müssen Sie die entsprechenden erweiterten Schlüsselnutzungen in der Intune-Profilkonfiguration hinzufügen. Verwenden Sie SCEPman nicht für E-Mail-Verschlüsselung z. B. für S/MIME-Mailverschlüsselung in Microsoft Outlook (ohne separate Technologie für das Schlüsselmanagement). Die Natur des SCEP-Protokolls beinhaltet keinen Mechanismus zum Sichern oder Archivieren von privatem Schlüsselmaterial.

  • AppConfig:UseRequestedKeyUsages Sie müssen diese Konfigurationsvariablen setzen, andernfalls werden die angeforderte Schlüsselverwendung und die erweiterte Gültigkeitsdauer im SCEP-Profil von SCEPman nicht beachtet: true

  • AppConfig:ValidityPeriodDays Sie müssen diese Konfigurationsvariablen setzen, andernfalls werden die angeforderte Schlüsselverwendung und die erweiterte Gültigkeitsdauer im SCEP-Profil von SCEPman nicht beachtet: 365 gesetzt auf

(ein Maximalwert von 1825 - 5 Jahre ist möglich) Um Benutzerzertifikate bereitzustellen, die für Digitale Signaturen verwendet werden, befolgen Sie bitte die Anweisungen von #Benutzerzertifikate

chevron-rightund beachten Sie die folgenden Unterschiede und Hinweise:hashtag

  • Subject Alternative Name (UPN)

  • (erforderlich) User Principal Name (UPN): (erforderlich) E-Mail-Adresse:

{{EmailAddress}}

chevron-rightDurch das Ausrollen eines digitalen Signaturzertifikats müssen Sie die UPN und die E-Mail-Adresse hinzufügen. Digitale Signaturhashtag

chevron-rightSchlüsselverwendung: nur Erweiterte Schlüsselnutzung:hashtag

Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Erweiterte Schlüsselnutzung: Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte

chevron-rightSichere E-Mail (1.3.6.1.5.5.7.3.4) 50hashtag

Erneuerungsschwelle (%):

hashtag
Intune MDM

Wir empfehlen, die Erneuerungsschwelle (%) auf einen Wert zu setzen, der sicherstellt, dass Zertifikate bei Ausstellung von S/MIME-Signaturzertifikaten mindestens 6 Monate vor Ablauf erneuert werden. Dies liegt daran, dass in Outlook E-Mails, die mit abgelaufenen Zertifikaten signiert wurden, als ungültig angezeigt werden, was Benutzer verwirrt. Ein neues Zertifikat lange vor dem Ablauf des alten stellt sicher, dass nur ältere E-Mails dieses Verhalten zeigen, auf die Benutzer weniger wahrscheinlich zugreifen. Beispielsweise sollten Sie bei Signaturzertifikaten mit einer Gültigkeit von einem Jahr die Erneuerungsschwelle auf mindestens 50 % setzen. Nach einer erfolgreichen Profilsynchronisierung sollten Sie das Benutzerzertifikat für die Verwendungszwecke sehen

Sichere E-Mail

hashtag
Das Zertifikat wird für die Verwendung der digitalen Signatur in z. B. Outlook verfügbar sein. Nachfolgend ein Beispiel für die Verwendung

circle-exclamation

Aktivieren von S/MIME-Signaturen in Microsoft Outlook Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Infoarrow-up-right.

hier Sobald Sie S/MIME-Signaturzertifikate auf Ihre Clientmaschinen bereitgestellt haben, müssen Sie Outlook so konfigurieren, dass diese Zertifikate zum Senden signierter E-Mails verwendet werden. Dies können Sie manuell tun oder unserarrow-up-right.

hashtag
PowerShell-Skript zum Konfigurieren von Outlook

Aktivieren von S/MIME-Signaturen in Outlook on the Web

Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true

Zuletzt aktualisiert

War das hilfreich?