企业环境的 Microsoft Intune 证书选择
Microsoft Intune Certificate selection for corporate environment
我们将很快开始在所有设备上使用 Microsoft Intune,在配置 Intune 时,出现了选择哪个证书进行身份验证等问题。
我关注了这个 link 和其他类似的:https://docs.microsoft.com/en-us/intune/certificates-configure
然而,这些 link 仅解释了如何安装 CA、配置设置等。我找不到 2 个证书(SCEP 和 PFX)之间的明确区别以及为什么选择一个而不是另一个。
是否有任何一般准则可遵循?
编辑:我们的设备主要是公司笔记本电脑,Windows 10。
很难说如何选择一种而不是另一种。这实际上取决于您使用的设备以及为这些设备运行的平台:
You can create and assign a PKCS or SCEP certificate profile for
devices running the following platforms:
iOS 8.0 and later
Android 4.0 and later
Android for Work Windows 10
(desktop and mobile) and later
You can only use a SCEP certificate
profile for devices running the following platforms:
macOS 10.9 and later
Windows Phone 8.1 and later
所以,很明显,如果您的设备使用的是 macOS 10.9 及更高版本
,Windows Phone 8.1及以后的平台,必须选择使用SCEP证书。
此外,有时这取决于您的网络设备支持的 CA。例如,如果您的 VPN 设备只支持 SCEP CA,您只需使用 SCEP CA。
您还可以参考 this Tech Note of Cisco 了解更多关于 SCEP 和 PKCS 的详细信息。
对于相同的设备:
如果您要构建原型或小型非关键服务,请使用 PKCS12。
如果您使用 SCEP 配置文件,则需要配置网络设备注册服务 (NDES) 服务器。因此,如果您正在构建一个重要的产品(生产和接触设备的有敏感信息的人)然后使用 SCEP(你可以获得免费的 SCEP 服务器。它并不那么复杂)。
希望对您有所帮助!
我们将很快开始在所有设备上使用 Microsoft Intune,在配置 Intune 时,出现了选择哪个证书进行身份验证等问题。
我关注了这个 link 和其他类似的:https://docs.microsoft.com/en-us/intune/certificates-configure
然而,这些 link 仅解释了如何安装 CA、配置设置等。我找不到 2 个证书(SCEP 和 PFX)之间的明确区别以及为什么选择一个而不是另一个。
是否有任何一般准则可遵循?
编辑:我们的设备主要是公司笔记本电脑,Windows 10。
很难说如何选择一种而不是另一种。这实际上取决于您使用的设备以及为这些设备运行的平台:
You can create and assign a PKCS or SCEP certificate profile for devices running the following platforms:
iOS 8.0 and later
Android 4.0 and later
Android for Work Windows 10
(desktop and mobile) and later
You can only use a SCEP certificate profile for devices running the following platforms:
macOS 10.9 and later
Windows Phone 8.1 and later
所以,很明显,如果您的设备使用的是 macOS 10.9 及更高版本 ,Windows Phone 8.1及以后的平台,必须选择使用SCEP证书。
此外,有时这取决于您的网络设备支持的 CA。例如,如果您的 VPN 设备只支持 SCEP CA,您只需使用 SCEP CA。
您还可以参考 this Tech Note of Cisco 了解更多关于 SCEP 和 PKCS 的详细信息。
对于相同的设备:
如果您要构建原型或小型非关键服务,请使用 PKCS12。
如果您使用 SCEP 配置文件,则需要配置网络设备注册服务 (NDES) 服务器。因此,如果您正在构建一个重要的产品(生产和接触设备的有敏感信息的人)然后使用 SCEP(你可以获得免费的 SCEP 服务器。它并不那么复杂)。
希望对您有所帮助!