CM2012_TN
Van toepassing op: System Center 2012 Configuration Manager SP2
Met Configuration Manager 2012 SP2 kunt u PFX-bestanden (Personal Information Exchange) inrichten op de apparaten van gebruikers. PFX-bestanden kunnen worden gebruikt om gebruikersspecifieke certificaten te maken ter ondersteuning van versleutelde gegevensuitwisseling. U kunt PFX-certificaten maken in Configuration Manager of ze importeren. Met Configuration Manager 2012 SP2 kunnen geïmporteerde en nieuwe PFX-certificaten worden geïmplementeerd op iOS-, Android- en Windows 10-apparaten. Deze bestanden kunnen worden geïmplementeerd op meerdere apparaten ter ondersteuning van gebruikersgebaseerde PKI-communicatie.
Tip
Een stapsgewijze beschrijving van dit proces is ook te vinden in PFX-certificaatprofielen maken en implementeren in Configuration Manager.
PFX-certificaatprofielen (Personal Information Exchange) maken en implementeren
PFX-certificaatprofielen (Personal Information Exchange) maken en implementeren
-
Klik in de Configuration Manager-console op Activa en naleving.
-
Vouw in de werkruimte Activa en naleving het gedeelte Instellingen voor naleving uit, vouw vervolgens Toegang tot bedrijfsbronnen uit en klik op Certificaatprofielen.
-
Klik op Certificaatprofiel maken in het tabblad Start in de groep Maken. De wizard Certificaatprofiel maken wordt geopend.
-
Geef op de pagina Algemeen van de wizard Certificaatprofiel maken de volgende informatie op:
- **Naam**: Voer een unieke naam in voor het certificaatprofiel. U kunt maximaal 256 tekens gebruiken. - **Beschrijving**: Geef een beschrijving met een overzicht van het certificaatprofiel en andere relevante informatie die u kan helpen bij het identificeren ervan in de Configuration Manager-console. U kunt maximaal 256 tekens gebruiken. - **Specificeer het type certificaatprofiel dat u wilt maken**: Kies een van de volgende certificaatprofieltypen: - **Vertrouwd CA-certificaat**: Selecteer dit certificaatprofieltype als u een vertrouwde basiscertificeringsinstantie (CA) of tussenliggend CA-certificaat wilt implementeren om een certificaatvertrouwensketen in te richten voor wanneer de gebruiker of het apparaat een ander apparaat moeten verifiëren. Het apparaat zou bijvoorbeeld een Remote Authentication Dial-In User Service (RADIUS)-server of een virtueel particulier netwerk (VPN)-server kunnen zijn. U moet ook een vertrouwd CA-certificaatprofiel configureren voordat u een SCEP-certificaatprofiel kunt maken. In dit geval moet het vertrouwde CA-certificaat het vertrouwde basiscertificaat zijn voor de CA die het certificaat aan de gebruiker of het apparaat zal verlenen. - **Instellingen voor het Simple Certificate Enrollment Protocol (SCEP)**: Selecteer dit certificaatprofieltype als u een certificaat wilt aanvragen voor een gebruiker of een apparaat, door gebruik te maken van het Simple Certificate Enrollment Protocol en de registratieservice voor netwerkapparaten. - **Personal Information Exchange-instellingen (PFX) importeren - PKCS \#12**: Selecteer deze optie om een PFX-certificaat te importeren.
-
In het venster Certificaateigenschappen van de wizard Certificaatprofiel maken geeft u op waar het PFX-certificaat moet worden opgeslagen op de doelapparaten.
- **Installeren op TPM (Trusted Platform Module) indien aanwezig** - **Installeren op TPM (Trusted Platform Module), anders niet installeren** - **Installeren op sleutelarchiefprovider van software**
Klik op Volgende.
-
In het venster Ondersteunde platforms van de wizard Certificaatprofiel maken geeft u op welke besturingssystemen of platforms het geïmporteerde PFX-bestand kunnen ontvangen.
- **Windows 10** - **iPhone** - **iPad** - **Android**
-
Klik op Volgende, bekijk de pagina Samenvatting en sluit de wizard.
-
Het certificaatprofiel met het PFX-bestand is nu beschikbaar via de werkruimte Certificaatprofielen. In de werkruimte Activa en naleving gaat u naar Instellingen voor naleving > Toegang tot bedrijfsbronnen > Certificaatprofielen en klik met de rechtermuisknop om het nieuwe certificaat te implementeren op de gebruikersverzamelingen.
-
Met behulp van de SDK voor Windows 8.1, die beschikbaar is via het Downloadcentrum (https://go.microsoft.com/fwlink/?LinkId=613525), implementeert u een script voor PFX maken. Het script voor PFX maken dat is toegevoegd in Configuration Manager 2012 SP2 voegt de klasse SMS_ClientPfxCertificate toe aan de SDK. Deze klasse omvat de volgende methoden:
- ImportForUser - DeleteForUser
Voorbeeld van een script:
$EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)
De volgende scriptvariabelen moeten worden gewijzigd voor uw script:
- \<blob\> = De PFX-blob met base64-versleuteling - $Password = Het wachtwoord van het PFX-bestand - $ProfileName = De naam van het PFX-profiel - ComputerName = Naam van de hostcomputer