使用 Device Posture 服务检查设备证书

要使用 Device Posture 服务配置设备证书检查,管理员必须从其设备导入颁发者证书。一旦Device Posture服务中存在有效的颁发者证书,管理员就可以将设备证书检查作为Device Posture策略的一部分。

注意事项:

  • Device Posture 服务仅支持 PEM 颁发者证书类型。
  • 要在 Windows 上进行设备证书检查,必须使用管理权限安装终端设备上的 EPA 客户端。对于其他支票,您不需要本地管理权限。有关支持的扫描的详细信息,请参阅 Device Posture支持的扫描
  • 要在 Windows 上安装具有管理权限的 EPA 客户端,请在下载 EPA 客户端插件的位置运行以下命令。

    msiexec /i epasetup.msi

  • 使用 Device Posture 服务进行的设备证书检查不支持证书吊销检查。
  • 如果设备证书由中间证书签名,则必须将包含根证书和中间证书的完整链上载到单个 PEM 文件中。

    Example: chain.pem
    
    -----BEGIN CERTIFICATE-----
    ******************************
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    ******************************
    -----END CERTIFICATE
    

上载设备证书

  1. 在 Device Posture 主页上单击“设置”。
  2. 单击“管理”,然后单击“导入颁发证书”。
  3. 证书类型中,选择证书类型。仅支持 PEM 类型。
  4. 在“证书文件”中,单击“选择证书”以选择颁发者证书。
  5. 单击“打开”,然后单击“导入”。

导入设备证书

所选证书列在“设置”>“颁发者证书”中。您可以导入多个证书。

查看导入的证书

  1. 在 Device Posture 主页上单击“设置”。
  2. 在“颁发者证书”中,单击“管理”。
  3. 颁发者证书页面列出了导入的颁发者证书。

导入的证书

在终端设备上安装设备证书

Windows:

  1. 从“开始”菜单中,打开“计算机证书管理器”。
  2. 确保证书安装在 Certificates - Local Computer\Personal\Certificates 中。

    • 预期目的必须包括客户身份验证
    • 发行者”列必须与管理员 GUI 上配置的发行者名称相匹配。

安装证书

macOS:

  1. 打开 Keychain Access,然后选择“系统”。
  2. 单击“文件”>“导入项目”以导入证书。

    颁发者字段必须显示证书颁发者名称。

安装证书 macOS

使用 Device Posture 服务检查设备证书