问题描述
我们正在为我们的 win10 队列从本地 Active Directory 迁移到 Azure AD/Intune 设备管理。作为此迁移的一部分,我们的 PKI 功能受到了打击。我们通过实施几个 scep 实例与我们的云托管 CA 通信来缓解大部分问题,每个实例都有自己的证书模板。
其中两个模板是用户签名证书,我们的员工使用它来获取签名证书以进行文档签名。作为我们监管要求的一部分,用户每次使用这些证书时都必须输入密码。在旧系统中,我们通过旧 CryptoAPI (CAPI) 框架中的强私钥保护来强制执行此操作。私钥存储在 Microsoft Enhanced Key Storage Provider 中,这使我们能够强制进行强大的私钥保护。
在 Intune 环境中,网络安全希望我们通过 CNG 的 Microsoft Platform Crypto Provider 将私钥存储在 TPM 芯片上。这也在 Intune scep 证书配置文件中指定,我们在其中设置了以下选项:
“将私钥存储在 TPM 中,如果没有 TPM,则请求失败”
虽然这按预期工作,但我们无法提示用户设置私钥密码。据我了解,这可以在设备和 scep 端点之间发生的 certreq 过程中完成。但是,该过程由 Intune 定义,我们没有看到在 Intune 中设置的位置。我们已经尝试设置注册表标志来强制强私钥保护,但这显然不起作用,因为强私钥保护是 CAPI 的一种机制,而不是 CNG。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)