0

我一直在使用此处的 PowerShell 示例https://github.com/microsoftgraph/powershell-intune-samples并通过导出在 Intune 控制台中手动定义的当前配置文件然后导入来创建 SCEP 证书配置文件。导入成功。

SCEP 配置文件需要链接到已创建为受信任证书配置文件但无法通过 Graph Api 链接的根证书。

因此,当从导入创建 SCEP 配置文件时,它必须通过 Intune 控制台链接,当链接配置文件按预期工作时,证书是从本地 CA 颁发的。

API 参考: https ://developer.microsoft.com/en-us/graph/docs/api-reference/beta/api/intune_deviceconfig_windows81scepcertificateprofile_create

Intune SCEP 配置:(搜索“选择根 CA 证书”) https://docs.microsoft.com/en-us/intune/certificates-scep-configure

谢谢!

4

1 回答 1

0

这篇文章现在有一段时间了,但我的回答可能仍然对某人有所帮助。因此,您必须在有效负载上绑定受信任的证书策略。

EG:假设您有一个策略 ID 为“123456ab-1234-56df-97ce-12ab34cd5678”的可信根证书

该属性看起来像这样:

rootCertificate@odata.bind: "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations('123456ab-1234-56df-97ce-12ab34cd5678')"

创建 Windows8.1 Scep 配置文件的有效负载示例如下所示:

{"id":"00000000-0000-0000-0000-000000000000",
"displayName":"W81SCep",
"description":"",
"roleScopeTagIds":[],
"@odata.type":"#microsoft.graph.windows81SCEPCertificateProfile",
"renewalThresholdPercentage":20,
"subjectNameFormatString":null,
"certificateStore":"user",
"certificateValidityPeriodScale":"years",
"certificateValidityPeriodValue":1,
"rootCertificate@odata.bind":"https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations('123456ab-1234-56df-97ce-12ab34cd5678')",
"subjectNameFormat":"commonName",
"subjectAlternativeNameType":"userPrincipalName",
"keyStorageProvider":"useSoftwareKsp",
"keyUsage":"digitalSignature,keyEncipherment",
"keySize":"size2048",
"hashAlgorithm":"sha2",
"extendedKeyUsages":[{"name":"Any Purpose","objectIdentifier":"2.5.29.37.0"}],
"scepServerUrls":["URLSCEP.com"]}

此“rootCertficate”属性可在 Windows8.1Scep 配置文件的主要 API 参考页面中作为“关系”属性找到。你可以在这里找到它: https ://docs.microsoft.com/en-us/graph/api/resources/intune-deviceconfig-windows81scepcertificateprofile?view=graph-rest-beta

这真的不是很直接,我必须检查 Azure 门户上的请求才能找到答案。

于 2019-01-04T23:14:37.283 回答