Windows
Zertifikate über SCEP in Intune auf Windows-Geräten mit SCEPman bereitstellen.
Der folgende Artikel beschreibt die Bereitstellung von Geräte- und/oder Benutzerzertifikaten für Windows-Geräte. Die Bereitstellung des SCEPman-Stammzertifikats ist obligatorisch. Anschließend können Sie wählen, ob Sie nur das Geräte-, nur das Benutzer- oder beide Zertifikatstypen bereitstellen möchten.
Stammzertifikat
Die Grundlage für die Bereitstellung von SCEP-Zertifikaten ist das Vertrauen in das Stammzertifikat von SCEPman. Daher müssen Sie das CA-Stammzertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:
Beachten Sie, dass Sie dieselbe Gruppe für die Zuweisung des Vertrauenswürdigen Zertifikats und des SCEP-Profils verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Gerätezertifikate
Format des Subject-Namens: CN={{DeviceName}} oder CN={{DeviceId}} oder CN={{AAD_Device_ID}}
Empfohlen: Verwenden Sie {{DeviceName}}für das CN-RDN, um einen aussagekräftigen Namen des Zertifikats auf dem Gerät oder bei der Suche nach dem Zertifikat zu haben.
Optional: Wenn konfiguriert auf CN={{DeviceId}} oder CN={{AAD_Device_ID}}, verwendet SCEPman das CN-Feld des Subject-Namens, um das Gerät zu identifizieren und als Seed für die Generierung der Zertifikat-Seriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:
{{DeviceId}}: Diese ID wird von Intune generiert und verwendet. (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune){{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.
Falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} für das CN-Feld verwendet wird (z. B. CN={{DeviceName}}), identifiziert SCEPman das Gerät anhand der Intune-Geräte-ID ((URI)Wert: IntuneDeviceId://{{DeviceId}}) die im Subject Alternative Name (SAN) bereitgestellt wird.
Wichtig: Die Wahl des CN-Feldes beeinflusst das automatische Sperrverhalten von Zertifikaten, die an Ihre von Intune verwalteten Geräte ausgegeben werden.
Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.
Subject Alternative Name: (URI)Wert: IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um Geräte anhand ihrer Intune-Geräte-ID zu identifizieren. Der Wert sollte sein:
Das URI-Feld ist zwingend erforderlich falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} im Format des Subject-Namens Feld verwendet wird.
Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahr
Die verbleibende Zeit bis zum Ablauf des Zertifikats. Standardmäßig ist ein Jahr eingestellt.
SCEPman begrenzt die Zertifikatsgültigkeit auf das in der Einstellung konfigurierte Maximum AppConfig:ValidityPeriodDays, verwendet ansonsten die im Antrag konfigurierte Gültigkeit.
Key Storage Provider (KSP): In TPM (Trusted Platform Module) KSP einschreiben, andernfalls fehlschlagen
Diese Einstellung bestimmt den Speicherort des privaten Schlüssels für Endbenutzerzertifikate. Die Speicherung im TPM ist sicherer als die softwarebasierte Speicherung, da das TPM eine zusätzliche Sicherheitsschicht bietet, um Schlüsselklau zu verhindern.
Hinweis: Es gibt einen Fehler in einigen älteren TPM-Firmwareversionen der einige mit einem TPM-gesicherten privaten Schlüssel erzeugte Signaturen ungültig macht. In solchen Fällen kann das Zertifikat nicht für EAP-Authentifizierung verwendet werden, wie es bei Wi‑Fi- und VPN-Verbindungen üblich ist. Darüber hinaus kann dies Ihren Autopilot-Onboarding-Prozess beeinträchtigen.
Betroffene TPM-Firmwareversionen sind unter anderem:
STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
Intel: 11.8.50.3399, 2.0.0.2060
Infineon: 7.63.3353.0
IFX: Version 3.19 / Spezifikation 1.2
IFX Version 7.63.3353.0 Spezifikation 2.0
Wenn Sie TPM mit dieser Firmware verwenden, aktualisieren Sie entweder Ihre Firmware auf eine neuere Version oder wählen Sie "Software KSP" als Key Storage Provider aus.
Aktualisierung: Sie können den TPM-Fehler umgehen, indem Sie die RSA-PSS-Signaturalgorithmen – die das Problem verursachen – aus der Registry entfernen. Weitere Informationen finden Sie in Richard Hicks' Artikel und Microsoft Q&A
Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselung
Bitte aktivieren Sie beide kryptografischen Aktionen.
SCEPman setzt die Schlüsselverwendung automatisch auf Digitale Signatur und Schlüsselverschlüsselung und überschreibt die hier vorgenommene Einstellung, sofern die Einstellung AppConfig:UseRequestedKeyUsages auf true.
SCEPman unterstützt den SHA-2-Algorithmus. Stammzertifikat:
Profil aus dem vorherigen Schritt (Root certificate Profile) Bitte wählen Sie das Intune-Profil aus#Root Certificate . Wenn Sie eineZwischenzertifizierungsstelle
verwenden, müssen Sie das Vertrauenswürdigkeitszertifikat-Profil für die Zwischenzertifizierungsstelle auswählen, nicht das Root-CA-Profil! Erweiterte Schlüsselverwendung:
Clientauthentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Clientauthentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte
. Die anderen Felder werden automatisch ausgefüllt. 20
Erneuerungsschwelle (%): Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Laufzeit eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Gültigkeitsdauer des Zertifikats
und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 20 % würde dem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, die Erneuerung 73 Tage vor Ablauf zu starten. SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von
Intune MDM
Intune MDM
Nun können Sie dieses Profil auf Ihre Geräte bereitstellen. Bitte wählen Sie dieselben Gruppen für die Zuweisung wie für das Vertrauenswürdigkeitszertifikat-Profil.
Benutzerzertifikate Bitte folgen Sie den Anweisungen unter #Device certificates
Format des Subject-Namens: In diesem Abschnitt richten wir ein Benutzerzertifikat ein.
CN={{UserName}},E={{EmailAddress}} Microsoft-DokumentenSie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den
Subject Alternative Name: . Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: [email protected]) als Basiseinstellung aufzunehmen.Wert: (UPN)
{{UserPrincipalName}} Sie müssen den User Principal Name als Subject Alternative Name hinzufügen. Fügen Sie '{{UserPrincipalName}}' als Subject Alternative Name vom Typ User principal name (UPN) hinzu.
Dies stellt sicher, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann. Die Einstellung für 'Format des Subject-Namens' ist frei wählbar.
Andere SAN-Werte wie eine E-Mail-Adresse können bei Bedarf hinzugefügt werden.
Intune MDM
Basierend auf Kundenfeedback scheint es, dass einige VPN-Clients (z. B. Azure VPN Client für Virtual WAN) das Benutzerzertifikat nicht finden können, wenn es im TPM gespeichert ist. Versuchen Sie stattdessen, es im Software-KSP einzuschreiben.
Benutzerzertifikat für digitale Signatur Sie können SCEPman für transaktionale digitale Signaturen
verwenden, z. B. für S/MIME-Signaturen in Microsoft Outlook. Wenn Sie planen, die Zertifikate für das Signieren von Nachrichten zu verwenden, müssen Sie die entsprechenden erweiterten Schlüsselverwendungen in der Intune-Profilkonfiguration hinzufügen. Verwenden Sie SCEPman nicht für E-Mail-Verschlüsselung z. B. für S/MIME-Mail-Verschlüsselung in Microsoft Outlook (ohne eine separate Technologie für das Schlüsselmanagement). Die Natur des SCEP-Protokolls beinhaltet keinen Mechanismus zur Sicherung oder Archivierung von privaten Schlüsseln.
AppConfig:UseRequestedKeyUsagesSie müssen diese Konfigurationsvariablen setzen, da sonst die angeforderte Schlüsselverwendung und die erweiterte Gültigkeitsdauer im SCEP-Profil von SCEPman nicht berücksichtigt werden:trueAppConfig:ValidityPeriodDaysSie müssen diese Konfigurationsvariablen setzen, da sonst die angeforderte Schlüsselverwendung und die erweiterte Gültigkeitsdauer im SCEP-Profil von SCEPman nicht berücksichtigt werden:365auf
setzen (ein maximaler Wert von 1825 - 5 Jahre ist möglich) Um Benutzerzertifikate bereitzustellen, die für Digitale Signaturen verwendet werden, folgen Sie bitte den Anweisungen unter #User certificates
und beachten Sie die folgenden Unterschiede und Hinweise:
Subject Alternative Name
(UPN)(erforderlich) User Principal Name (UPN):
(erforderlich) E-Mail-Adresse:
{{EmailAddress}}
Durch die Bereitstellung eines digitalen Signaturzertifikats müssen Sie die UPN und die E-Mail-Adresse hinzufügen. Digitale Signatur
Schlüsselverwendung: nur Erweiterte Schlüsselverwendung:
Clientauthentifizierung, 1.3.6.1.5.5.7.3.2 Erweiterte Schlüsselverwendung: Clientauthentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte
Intune MDM
Wir empfehlen, die Erneuerungsschwelle (%) so einzustellen, dass Zertifikate bei Ausstellung von S/MIME-Signaturzertifikaten mindestens 6 Monate vor Ablauf erneuert werden. Dies liegt daran, dass in Outlook E-Mails, die mit abgelaufenen Zertifikaten signiert sind, als ungültig angezeigt werden, was die Benutzer verwirrt. Ein neues Zertifikat lange vor dem Ablauf des alten stellt sicher, dass nur ältere E-Mails dieses Verhalten zeigen, die Benutzer seltener ansehen. Wenn Ihre Signaturzertifikate beispielsweise ein Jahr gültig sind, sollten Sie die Erneuerungsschwelle auf mindestens 50 % setzen. Nach einer erfolgreichen Profilsynchronisierung sollten Sie das Benutzerzertifikat für die vorgesehenen Verwendungszwecke sehen
Sichere E-Mail
Das Zertifikat wird z. B. in Outlook für die Verwendung bei digitalen Signaturen verfügbar sein. Unten ist ein Beispiel für die Verwendung
S/MIME-Signaturen in Microsoft Outlook aktivieren Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Weitere Informationen.
PowerShell-Skript zur Konfiguration von Outlook
S/MIME-Signaturen in Outlook im Web aktivieren
Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true
Zuletzt aktualisiert
War das hilfreich?