• Artikel

Erstellen von PFX-Zertifikatprofilen in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager SP2

Configuration Manager 2012 SP2 ermöglicht Ihnen die Bereitstellung von PFX-Dateien (Personal Information Exchange) für Geräte des Benutzers. PFX-Dateien können zum Generieren benutzerspezifischer Zertifikate zur Unterstützung eines verschlüsselten Datenaustausches verwendet werden. PFX-Zertifikate können in Configuration Manager erstellt oder importiert werden. Mit Configuration Manager 2012 SP2 können importierte oder neue PFX-Zertifikate auf Geräten mit iOS, Android und Windows 10 bereitgestellt werden. Diese Dateien können dann auf mehreren Geräten zur Unterstützung der benutzerbasierten PKI-Kommunikation bereitgestellt werden.

System_CAPS_tipTipp

Unter How to Create and Deploy PFX Certificate Profiles in Configuration Manager (in englischer Sprache) steht außerdem eine schrittweise exemplarische Vorgehensweise für diesen Vorgang zur Verfügung.

Erstellen und Bereitstellen von PFX-Zertifikatprofilen (Personal Information Exchange)

So können Sie ein PFX-Zertifikatprofil (Personal Information Exchange) erstellen und bereitstellen

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. Erweitern Sie im Arbeitsbereich Bestand und Kompatibilität die Kompatibilitätseinstellungen, den Zugriff auf Unternehmensressourcen, und klicken Sie dann auf Zertifikatprofile.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Zertifikatprofil erstellen. DerAssistent zum Erstellen von Zertifikatprofilen wird geöffnet.

  4. Geben Sie auf der Seite Allgemein desAssistenten zum Erstellen von Zertifikatprofilen die folgenden Informationen an:

    - **Name**: Geben Sie einen eindeutigen Namen für das Zertifikatprofil ein. Sie können maximal 256 Zeichen verwenden.

- **Beschreibung**: Geben Sie eine Beschreibung mit einem Überblick über das Zertifikatprofil sowie weitere relevante Informationen ein, die der Identifikation des Profils in der Configuration Manager-Konsole dienen. Sie können maximal 256 Zeichen verwenden.

- **Geben Sie den Typ des Zertifikatprofils an, das Sie erstellen möchten**: Wählen Sie einen der folgenden Typen für das Zertifikatprofil aus:

    - **Vertrauenswürdiges Zertifikat der Zertifizierungsstelle**: Wählen Sie diesen Typ für das Zertifikatprofil aus, falls Sie ein vertrauenswürdiges Zertifikat der Stamm- oder Zwischenzertifizierungsstelle bereitstellen möchten, um eine Vertrauenskette zu bilden, wenn sich der Benutzer oder das Gerät bei einem anderen Gerät authentifizieren müssen. Hierbei könnte es sich etwa um einen RADIUS-Server (Remote Authentication Dial-In User Service) oder einen VPN-Server (Virtual Private Network) handeln. Darüber hinaus müssen Sie ein Profil mit einem vertrauenswürdigen Zertifikat der Zertifizierungsstelle konfigurieren, bevor Sie ein SCEP-Zertifikatprofil erstellen können. In diesem Fall muss das vertrauenswürdige Zertifikat der Zertifizierungsstelle das vertrauenswürdige Stammzertifikat für die Zertifizierungsstelle sein, von der das Zertifikat für den Benutzer oder das Gerät ausgestellt wird.

    - **Einstellungen für Simple Certificate Enrollment-Protokoll (SCEP)**: Wählen Sie diesen Typ für das Zertifikatprofil aus, wenn Sie mit dem Simple Certificate Enrollment-Protokoll und dem Rollendienst „Registrierungsdienst für Netzwerkgeräte“ ein Zertifikat für einen Benutzer oder ein Gerät anfordern möchten.

    - **Privater Informationsaustausch – PKCS \#12 (.PFX)-Einstellungen – Importieren**: Wählen Sie diese Option aus, um ein PFX-Zertifikat zu importieren.

  5. Geben Sie im Fenster Zertifikateigenschaften desAssistenten zum Erstellen von Zertifikatprofilen an, wo das PFX-Zertifikat auf den Zielgeräten gespeichert wird.

    - **In Trusted Platform Module (TPM) installieren (sofern vorhanden)**

- **In Trusted Platform Module (TPM) installieren (andernfalls Fehler)**

- **In Softwareschlüsselspeicher-Anbieter installieren**

    Klicken Sie auf Weiter.

  6. Geben Sie im Fenster Unterstützte Plattformen desAssistenten zum Erstellen von Zertifikatprofilen an, welche Betriebssysteme oder Plattformen die importierte PFX-Datei empfangen können.

    - **Windows 10**

- **iPhone**

- **iPad**

- **Android**

  7. Klicken Sie auf Weiter, überprüfen Sie die Seite Zusammenfassung, und schließen Sie dann den Assistenten.

  8. Das Zertifikatprofil mit der PFX-Datei steht nun im Arbeitsbereich Zertifikatprofile bereit. Wechseln Sie im Arbeitsbereich Bestand und Kompatibilität zu Kompatibilitätseinstellungen > Zugriff auf Unternehmensressourcen > Zertifikatprofile, und klicken Sie mit der rechten Maustaste, um das neue Zertifikat für Benutzersammlungen bereitzustellen.

  9. Stellen Sie mithilfe des SDK für Windows 8.1, das im Download Center (https://go.microsoft.com/fwlink/?LinkId=613525 verfügbar ist, ein PFX-Erstellungsskript bereit. Mit dem PFX-Erstellungsskript, das in Configuration Manager 2012 SP2 hinzugefügt wurde, wird eine SMS_ClientPfxCertificate-Klasse zum SDK hinzugefügt. Diese Klasse enthält die folgenden Methoden:

    - ImportForUser

- DeleteForUser

    Beispielskript:

      $EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)

    Die folgenden Skriptvariablen müssen für das Skript geändert werden:

    - \<blob\> = Der Base64-verschlüsselte Blob für PFX

- $Password = Das Kennwort für die PFX-Datei

- $ProfileName = Der Name des PFX-Profils

- ComputerName = Der Name des Hostcomputers