11、利用 Intune 部署证书的全面指南

利用 Intune 部署证书的全面指南

1. 安装 Intune 证书连接器

要安装 Intune 证书连接器，可按以下步骤操作：
1. 打开 Microsoft Endpoint Manager 管理控制台（https://endpoint.microsoft.com/）。
2. 点击导航树中的“租户管理”。
3. 点击“连接器和令牌”。
4. 点击“证书连接器”。
5. 点击“添加”。
6. 点击“证书连接器”链接下载安装程序。
7. 点击“保存文件”。

下载完成后，将文件复制到要安装 Intune 证书连接器的计算机上，并执行以下步骤：
1. 打开服务器管理器（servermanager.exe），并在导航树中高亮显示“本地服务器”。
2. 点击“IE 增强安全配置”旁边的“启用”。
3. 在“管理员”部分点击“禁用”。
4. 点击“确定”。

接下来，启动 Intune 证书连接器安装程序可执行文件（IntuneCertificateConnector.exe），并执行以下步骤：
1. 勾选“我同意许可条款和条件”旁边的框。
2. 点击“安装”。
3. 点击“立即配置”。
4. 在欢迎屏幕上点击“下一步”。
5. 取消勾选“PKCS 导入证书”旁边的框，然后点击“下一步”。
6. 选择“SYSTEM 账户”，然后点击“下一步”。
7. 如果需要，输入代理服务器信息，然后点击“下一步”。
8. 在“先决条件”屏幕上点击“下一步”。
9. 从“环境”下拉列表中选择适当的 Azure 云基础架构，然后点击“登录”。
10. 提示时输入 Azure 全局管理员的凭据。
11. 登录完成后点击“下一步”。
12. 配置完成后点击“退出”。

安装完成后，管理员可以通过导航到“租户管理”➤“连接器和令牌”➤“证书连接器”来查看 Intune 中连接器的状态。此外，管理员还可以通过点击连接器，在“名称”字段中输入友好名称，然后点击“保存”来更改证书连接器的名称。

以下是安装 Intune 证书连接器的流程图：

graph TD;
    A[打开 Microsoft Endpoint Manager 管理控制台] --> B[点击租户管理];
    B --> C[点击连接器和令牌];
    C --> D[点击证书连接器];
    D --> E[点击添加];
    E --> F[点击证书连接器链接下载安装程序];
    F --> G[点击保存文件];
    G --> H[复制文件到目标计算机];
    H --> I[打开服务器管理器];
    I --> J[高亮显示本地服务器];
    J --> K[点击 IE 增强安全配置启用];
    K --> L[在管理员部分点击禁用];
    L --> M[点击确定];
    M --> N[启动 Intune 证书连接器安装程序];
    N --> O[勾选同意许可条款和条件];
    O --> P[点击安装];
    P --> Q[点击立即配置];
    Q --> R[在欢迎屏幕点击下一步];
    R --> S[取消勾选 PKCS 导入证书];
    S --> T[选择 SYSTEM 账户];
    T --> U[输入代理服务器信息（如有）];
    U --> V[在先决条件屏幕点击下一步];
    V --> W[选择 Azure 云基础架构并登录];
    W --> X[输入管理员凭据];
    X --> Y[登录完成后点击下一步];
    Y --> Z[配置完成后点击退出];

2. PKCS Intune 配置

2.1 导出 CA 证书

在颁发 CA 服务器或安装了远程管理工具的管理工作站上，打开企业 PKI 管理控制台（pkiview.msc），并执行以下步骤来使用 Intune 部署根证书和中间证书：
1. 在导航树中高亮显示根 CA。
2. 右键单击“CA 证书”，然后选择“查看证书”。
3. 选择“详细信息”选项卡，然后点击“复制到文件”。
4. 点击“下一步”。
5. 选择“DER 编码的二进制 X.509 (.CER)”，然后点击“下一步”。
6. 输入保存文件的位置。
7. 点击“下一步”。
8. 点击“完成”。
9. 点击“确定”。

对组织中的任何中间或颁发 CA 重复上述步骤。

2.2 部署 CA 证书

要使用 Intune 部署组织的根证书和中间证书，打开 Microsoft Endpoint Manager 管理控制台（https://endpoint.microsoft.com/），并执行以下步骤：
1. 点击导航树中的“设备”。
2. 点击“配置文件”。
3. 点击“创建配置文件”。
4. 从“平台”下拉列表中选择“Windows 10 及更高版本”。
5. 从“配置文件类型”下拉列表中选择“模板”。
6. 点击“受信任的证书”。
7. 点击“创建”。

配置受信任的证书配置文件的步骤如下：
1. 在“名称”字段中输入配置文件的描述性名称。
2. 在“描述”字段中输入描述（可选）。
3. 点击“下一步”。
4. 点击文件夹图标，选择之前导出的根证书文件。
5. 从“目标存储”下拉列表中选择“计算机证书存储 - 根”。
6. 点击“下一步”。
7. 点击“添加组”，选择要包含的适当组。
8. 点击“选择”。
9. 点击“下一步”。
10. 点击“下一步”。
11. 点击“创建”。

如果需要，重复上述步骤来部署任何中间 CA 证书。发布中间证书时，请确保从“目标存储”下拉列表中选择“计算机证书存储 - 中间”。

2.3 PKCS 用户证书

部署 PKCS 用户身份验证证书的步骤如下：
1. 点击导航树中的“设备”。
2. 点击“配置文件”。
3. 点击“创建配置文件”。
4. 从“平台”下拉列表中选择“Windows 10 及更高版本”。
5. 从“配置文件类型”下拉列表中选择“模板”。
6. 点击“PKCS 证书”。
7. 点击“创建”。

配置 PKCS 用户身份验证证书配置文件的步骤如下：
1. 在“名称”字段中输入配置文件的描述性名称。
2. 在“描述”字段中输入描述（可选）。
3. 点击“下一步”。
4. 如有必要，调整“续订阈值”和“证书有效期”的值，否则接受默认值。
5. 从“密钥存储提供程序 (KSP)”下拉列表中选择“注册到可信平台模块 (TPM) KSP，否则失败”。
- 注意：如果必须支持没有 TPM 的设备，或者需要回退到软件 KSP（不推荐），则选择“如果存在则注册到可信平台模块 (TPM) KSP，否则软件 KSP”。
6. 在“证书颁发机构”字段中输入颁发 CA 服务器的主机名（FQDN）。
7. 在“证书颁发机构名称”字段中输入证书颁发机构的通用名称。可以通过在任何加入域的工作站或服务器上运行 certuil.exe -dump 来查找 CA 的通用名称。
8. 在“证书模板名称”字段中输入之前创建的证书模板的名称。请确保在此处输入“模板名称”，而不是“模板显示名称”（模板名称是没有空格的模板显示名称）。
9. 从“证书类型”下拉列表中选择“用户”。
10. 在“主题名称格式”字段中输入“CN={{UserName}}”。
11. 在“主题备用名称”部分，从“属性”下拉列表中选择“用户主体名称 (UPN)”，并在“值”字段中输入“{{UserPrincipalName}}”。
12. 在“扩展密钥用法”部分，从“预定义值”下拉列表中选择“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。
13. 点击“下一步”。
14. 点击“添加组”，选择要包含的适当用户组。
15. 点击“选择”。
16. 点击“下一步”。
17. 点击“下一步”。
18. 点击“创建”。

2.4 PKCS 设备证书

使用 Intune 部署 PKCS 设备身份验证证书的过程与用户身份验证证书几乎相同，但有以下例外：
1. 从“证书类型”下拉列表中选择“设备”。
2. 在“主题名称格式”字段中输入“CN={{FullyQualifiedDomainName}}”。
3. 在“主题备用名称”部分，从“属性”下拉列表中选择“DNS”，然后在“值”字段中输入“{{FullyQualifiedDomainName}}”。
4. 扩展密钥用法与用户身份验证证书一样，为“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。

配置完成后，一旦端点与 Intune 同步，用户和/或设备身份验证证书将分别出现在用户或设备的证书存储中。已颁发证书的详细信息可以在 Intune 证书连接器服务器上的“C:\Program Files\Microsoft Intune\PFXCertificateConnector\PfxRequest\Succeed\”文件夹中找到。一个用于输出已颁发证书详细信息的 PowerShell 脚本可以在以下链接找到：https://github.com/richardhicks/aovpn/blob/master/Get-­IssuedPfxCertificates.ps1。

以下是 PKCS 证书部署的步骤对比表格：
| 证书类型 | 证书类型选择 | 主题名称格式 | 主题备用名称属性 | 主题备用名称值 | 扩展密钥用法 |
| — | — | — | — | — | — |
| PKCS 用户证书 | 用户 | CN={{UserName}} | 用户主体名称 (UPN) | {{UserPrincipalName}} | 客户端身份验证 (1.3.6.1.5.5.7.3.2) |
| PKCS 设备证书 | 设备 | CN={{FullyQualifiedDomainName}} | DNS | {{FullyQualifiedDomainName}} | 客户端身份验证 (1.3.6.1.5.5.7.3.2) |

3. SCEP 证书部署

3.1 部署前准备

3.1.1 服务器安装要求

建议将网络设备注册服务（NDES）安装在专用服务器上，而不是 CA 服务器本身。并且，Intune 证书连接器必须安装在 NDES 服务器上。虽然 NDES 角色支持在 Windows Server Core 上安装，但 Intune 证书连接器不支持，因此 NDES 必须安装在具有桌面体验（GUI）的 Windows Server 上。

3.1.2 服务账户配置

建议配置 NDES 使用服务账户访问颁发 CA。该服务账户是 Active Directory 中的标准用户账户，无需特殊权限，仅需是“域用户”组的成员，并在 NDES 服务器上具有“作为服务登录”的权限。

3.1.3 CA 权限设置

在颁发 CA 或安装了远程管理工具的管理工作站上，打开证书颁发机构管理控制台（certsrv.msc），执行以下步骤：
1. 右键单击颁发 CA，选择“属性”。
2. 选择“安全”选项卡。
3. 点击“添加”。
4. 输入 NDES 服务账户的名称。
5. 点击“确定”。
6. 授予“请求证书”和“颁发和管理证书”的“允许”权限。
7. 点击“确定”。

3.1.4 CA 配置更改

在颁发 CA 上打开提升权限的 PowerShell 窗口，运行以下命令，以允许 Intune 指定证书的有效期：

certutil.exe -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

然后，运行以下 PowerShell 命令重启 Active Directory 证书服务（CertSvc），使更改生效：

Restart-Service CertSvc -Passthru

3.2 创建和发布 SCEP 证书模板

在颁发 CA 或安装了远程管理工具的管理工作站上，打开证书模板管理控制台（certtmpl.msc），执行以下步骤：
1. 右键单击“用户”证书模板，选择“复制”。
2. 选择“兼容性”选项卡：
- 从“证书颁发机构”下拉列表中选择“Windows Server 2003”。
- 从“证书收件人”下拉列表中选择“Windows XP/Server 2003”。
3. 选择“常规”选项卡：
- 在“模板显示名称”字段中输入描述性名称。
- 取消勾选“在 Active Directory 中发布证书”旁边的框。
4. 选择“请求处理”选项卡，取消勾选“允许导出私钥”旁边的框。
5. 选择“加密”选项卡：
- 确保“旧版加密服务提供程序”列在“提供程序类别”下拉列表中。
- 在“最小密钥大小”字段中输入“2048”。
6. 选择“主题名称”选项卡，选择“在请求中提供”。
7. 选择“扩展”选项卡：
- 高亮显示“应用程序策略”，点击“编辑”。
- 高亮显示“安全电子邮件”，点击“删除”。
- 高亮显示“加密文件系统”，点击“删除”。
- 点击“确定”。
8. 选择“安全”选项卡：
- 点击“添加”。
- 输入 NDES 服务账户的名称，点击“确定”。
- 授予“读取”和“注册”的“允许”权限。
- 点击“确定”。

接着，打开证书颁发机构管理控制台（certsrv.msc），执行以下步骤发布证书模板：
1. 展开“证书颁发机构”，右键单击“证书模板”，选择“新建”➤“要颁发的证书模板”。
2. 高亮显示之前创建的证书模板，点击“确定”。

以下是创建和发布 SCEP 证书模板的流程图：

graph TD;
    A[打开证书模板管理控制台] --> B[复制用户证书模板];
    B --> C[设置兼容性选项];
    C --> D[设置常规选项];
    D --> E[设置请求处理选项];
    E --> F[设置加密选项];
    F --> G[设置主题名称选项];
    G --> H[设置扩展选项];
    H --> I[设置安全选项];
    I --> J[打开证书颁发机构管理控制台];
    J --> K[发布证书模板];

3.3 安装和配置 NDES

3.3.1 安装 NDES 角色

在 NDES 服务器上打开提升权限的 PowerShell 窗口，运行以下命令：

Install-WindowsFeature ADCS-Device-Enrollment -IncludeManagementTools
Install-WindowsFeature -Name @("Web-Filtering", "Web-ASP-Net", "Web-ASP-Net45", "Web-WMI", "NET-HTTP-Activation", "NET-WCF-HTTP-Activation45")

完成后，运行以下 PowerShell 命令将 NDES 服务账户添加到 NDES 服务器上的“IIS_IUSRS”本地组：

Add-LocalGroupMember -Group IIS_IUSRS -Member 'lab\svc_ndes'

最后，运行以下命令在 Active Directory 中为 NDES 服务账户注册服务主体名称（SPN）：

setspn.exe -s http/ndes lab\svc_ndes
setspn.exe -s http/ndes.lab.richardhicks.net lab\svc_ndes

3.3.2 配置 NDES

在 NDES 服务器上，打开本地组策略编辑器（gpedit.msc），执行以下步骤：
1. 展开“计算机配置”➤“Windows 设置”➤“安全设置”，高亮显示“用户权利分配”。
2. 双击“作为服务登录”。
3. 点击“添加用户或组”。
4. 输入 NDES 服务账户的名称，点击“确定”。
5. 点击“确定”。

然后，运行以下 PowerShell 命令配置 NDES 角色，需相应替换密码、NDES 服务账户名称和 CA 通用名称：

$pwdtext = 'sUPerSecReTp@sSw0rd'
$pwd = ConvertTo-SecureString -String $pwdtext -AsPlainText -Force
Install-AdcsNetworkDeviceEnrollmentService -ServiceAccountName lab\svc_ndes -ServiceAccountPassword $pwd -caconfig 'CA1.lab.richardhicks.net\Richard M. Hicks Consulting LabNet A Issuing CA' -Force

接着，运行以下 PowerShell 命令配置 NDES 使用之前创建的证书模板，确保使用“模板名称”而非“模板显示名称”：

$Template = 'IntuneSCEPEnrollment'
Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP\ -Name EncryptionTemplate -Value $Template -Force
Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP\ -Name GeneralPurposeTemplate -Value $Template -Force
Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP\ -Name SignatureTemplate -Value $Template -Force

运行以下 PowerShell 命令在 IIS 中启用长 URL 支持：

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\' -Name MaxFieldLength -Type DWORD -Value 65534
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\' -Name MaxRequestBytes -Type DWORD -Value 65534

运行以下命令更新 IIS 中的最大 URL 长度和最大查询字符串请求过滤值：

c:\windows\system32\inetsrv\appcmd.exe set config /section:requestfiltering /requestlimits.maxurl:65534
c:\windows\system32\inetsrv\appcmd.exe set config /section:requestfiltering /requestlimits.maxquerystring:65534

完成后，重启计算机，不能仅运行“iisreset.exe”，需完全重启才能使更改生效。

3.4 发布 NDES

NDES 服务器必须在 Internet 上发布，以便端点可以注册证书，可通过以下几种方式实现：
- 边缘防火墙 ：管理员可以配置企业边缘防火墙，允许入站 TCP 端口 443 访问 NDES 服务器。
- 反向代理 ：可以配置反向代理设备或应用程序交付控制器（ADC），将 HTTPS 发布到公共 Internet。选择此选项时，不要配置预身份验证。
- Web 应用程序代理 ：可以配置 Windows Server 的 Web 应用程序代理（WAP）角色，将 NDES 代理到公共 Internet。
- Azure AD 应用程序代理 ：也可以配置 Azure AD 应用程序代理，将 NDES 发布到公共 Internet。

3.5 NDES TLS 证书安装

无论使用哪种解决方案允许公共 Internet 流量访问 NDES 服务器，都必须安装 TLS 证书以提供安全通信。建议为此使用公共 TLS 证书。如果 NDES 服务器直接发布到 Internet，应使用公共 TLS 证书；如果使用反向代理（负载均衡器或应用程序代理）将 NDES 服务器发布到 Internet，则可以使用内部 PKI 颁发的证书。

生成公共 TLS 证书的证书请求过程与 SSTP 证书相同。证书上的“主题名称”必须与 NDES 服务器的公共 FQDN 匹配。

在 NDES 服务器上安装公共 TLS 证书后，打开提升权限的 PowerShell 窗口，运行以下命令，确保将以下示例中的指纹值替换为实际要使用的证书的指纹：

$Thumbprint = '6EBF08D01EB207DC9B5DF2F4FCCAA92DAB7BE4F1'
$Cert = Get-ChildItem -Path cert:\localmachine\my\$thumbprint
New-WebBinding -Name "Default Web Site" -IP "*" -Port 443 -Protocol https
Set-Location IIS:\sslbindings
$Cert | new-item 0.0.0.0!443
Set-Location C:\
iisreset.exe

3.6 安装 Intune 证书连接器

安装和配置用于 SCEP 的 Intune 证书连接器与 PKCS 类似，但有以下例外：
1. 提示选择“功能”时，选择“仅 SCEP 和证书吊销”。
2. 提示输入“服务账户”时，选择“域账户”，输入 NDES 服务账户的名称和密码。

3.7 SCEP 用户证书部署

部署 SCEP 用户身份验证证书的步骤如下：
1. 点击导航树中的“设备”。
2. 点击“配置文件”。
3. 点击“创建配置文件”。
4. 从“平台”下拉列表中选择“Windows 10 及更高版本”。
5. 从“配置文件类型”下拉列表中选择“模板”。
6. 点击“SCEP 证书”。
7. 点击“创建”。

配置 SCEP 用户身份验证证书配置文件的步骤如下：
1. 在“名称”字段中输入配置文件的描述性名称。
2. 在“描述”字段中输入描述（可选）。
3. 点击“下一步”。
4. 从“证书类型”下拉列表中选择“用户”。
5. 在“主题名称格式”字段中输入“CN={{UserName}}”。
6. 在“主题备用名称”部分，从“属性”下拉列表中选择“用户主体名称 (UPN)”，并在“值”字段中输入“{{UserPrincipalName}}”。
7. 如有必要，调整“证书有效期”的值，否则接受默认值。
8. 从“密钥存储提供程序 (KSP)”下拉列表中选择“注册到可信平台模块 (TPM) KSP，否则失败”。
- 注意：如果必须支持没有 TPM 的设备，或者需要回退到软件 KSP（不推荐），则选择“如果存在则注册到可信平台模块 (TPM) KSP，否则软件 KSP”。
9. 在“密钥用法”下拉列表中勾选“数字签名”和“密钥加密”旁边的框。
10. 从“密钥大小（位）”下拉列表中选择“2048”。
11. 在“哈希算法”下拉列表中勾选“SHA - 2”旁边的框。
12. 点击“根证书”，选择适当的根证书。
13. 点击“确定”。
14. 在“扩展密钥用法”部分，从“预定义值”下拉列表中选择“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。
15. 输入 NDES 服务器的公共 FQDN，格式为“https:// /certsrv/mscep/mscep.dll”。
16. 点击“下一步”。
17. 点击“添加组”，选择要包含的适当用户组。
18. 点击“选择”。

以下是 PKCS 和 SCEP 证书部署的部分对比表格：
| 证书类型 | 安装 Intune 证书连接器功能选择 | 服务账户选择 | 证书类型选择 | 主题名称格式 | 主题备用名称属性 | 主题备用名称值 |
| — | — | — | — | — | — | — |
| PKCS | 无特殊说明 | SYSTEM 账户 | 用户/设备 | CN={{UserName}}/CN={{FullyQualifiedDomainName}} | 用户主体名称 (UPN)/DNS | {{UserPrincipalName}}/{{FullyQualifiedDomainName}} |
| SCEP | 仅 SCEP 和证书吊销 | 域账户（NDES 服务账户） | 用户 | CN={{UserName}} | 用户主体名称 (UPN) | {{UserPrincipalName}} |

通过以上步骤，我们可以全面地利用 Intune 部署 PKCS 和 SCEP 证书，为企业的设备和用户提供安全的身份验证。