Предварительная подготовка

Для выполнения описанных ниже действий на компьютере с сервером Microsoft Exchange используемой учетной записи необходимо делегировать разрешения локального администратора.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Для выполнения описанных ниже действий на устройстве с Windows Mobile может потребоваться соединение Exchange ActiveSync между устройством и настольным или мобильным компьютером. Для установки этого соединения в системе Windows XP используется служба ActiveSync для настольных компьютеров. Для компьютеров с Windows Vista используйте центр устройств Windows Mobile (на английском языке). Необходимо иметь возможность скопировать файл сертификата на устройство перед установкой сертификата. Скопировать сертификат на устройство можно с помощью службы ActiveSync на настольном компьютере или центра устройств Windows Mobile (на английском языке). Можно также скопировать сертификат на карту памяти и использовать ее с мобильным устройством.

Процедура

Получение корневого сертификата от службы сертификатов Windows

На компьютере, подключенном к домену, запустите Internet Explorer, а затем перейдите на веб-узел администрирования служб сертификации.

Примечание.

Этот метод работает, только если при установке служб сертификатов была установлена служба подачи заявок на сертификат через Интернет. Если эта служба не была установлена, необходимо получить копию корневого сертификата, экспортировав ее из хранилища сертификатов доверенных корневых центров сертификации на локальном компьютере. Для этого воспользуйтесь оснасткой сертификатов в консоли управления (MMC).

На странице приветствия щелкните ссылку Загрузка сертификата ЦС, цепочки сертификатов или CRL, а затем ссылку Загрузка сертификата ЦС.

Сохраните файл certnew.cer на компьютере, затем переименуйте его, присвоив ему описательное имя, например root.cer.

Используйте механизм передачи файлов, например электронную почту или FTP-узел, чтобы передать CER-файл соответствующим удаленным пользователям.

После того как файл сертификата будет передан соответствующим пользователям, сертификат следует установить на устройства. Выберите процедуру в соответствии с операционной системой, установленной на данном устройстве.

Установка сертификата на устройство с Windows Mobile Professional или устройство Pocket PC с помощью службы ActiveSync или центра устройств Windows Mobile

Подключив устройство к компьютеру, откройте Мой компьютер.

Дважды щелкните Мобильное устройство, чтобы просмотреть папки на устройстве.

Перетащите CER-файл, созданный при выполнении предыдущей процедуры, в папку на устройстве.

На устройстве нажмите кнопку Пуск и выберите пункт Проводник.

Откройте папку, содержащую CER-файл, затем откройте этот файл.

В ответ на приглашение установить сертификат нажмите кнопку ОК.

Важно!
При установке сертификата не будет выводиться уведомление об успешной установке сертификата.

Установка сертификата на устройство с Windows Mobile Standard или на смартфон с помощью службы ActiveSync или центра устройств Windows Mobile

Подключив устройство к компьютеру, выберите в меню Сервис пункт Отобразить содержимое смартфона.

Перетащите CER-файл, созданный при выполнении первой процедуры, в папку на устройстве.

На устройстве нажмите кнопку Пуск и выберите пункт Проводник.

Откройте папку, содержащую CER-файл, затем откройте этот файл.

В ответ на приглашение установить сертификат нажмите кнопку ОК.

Примечание.
Для установки сертификата на устройство с Windows Mobile 6.0 не нужно использовать Exchange ActiveSync или центр устройств Windows Mobile. Вместо этого можно скопировать файл сертификата на карту памяти и установить его непосредственно с карты памяти.

Дополнительные сведения

Дополнительные сведения об устройствах с установленной операционной системой Windows Mobile см. на веб-узле центра устройств Windows Mobile.

Установка цифровых сертификатов в Windows 10 Mobile Install digital certificates on Windows 10 Mobile

Относится к Applies to

• Windows 10 Mobile Windows 10 Mobile

Цифровые сертификаты привязывают удостоверение пользователя или компьютера к паре ключей, которую можно использовать для шифрования и подписания цифровой информации. Digital certificates bind the identity of a user or computer to a pair of keys that can be used to encrypt and sign digital information. Сертификаты выдаются центром сертификации (ЦС), подтверждающим удостоверение владельца сертификата, и обеспечивают безопасную связь клиента с веб-сайтами и службами. Certificates are issued by a certification authority (CA) that vouches for the identity of the certificate holder, and they enable secure client communications with websites and services.

В Windows 10 Mobile сертификаты применяются преимущественно для следующих целей: Certificates in Windows 10 Mobile are primarily used for the following purposes:

• Создание безопасного канала между телефоном и веб-сервером или службой с использованием протокола SSL. To create a secure channel using Secure Sockets Layer (SSL) between a phone and a web server or service.
• Проверка подлинности пользователя на обратном прокси-сервере, используемом для включения Microsoft Exchange ActiveSync (EAS) для электронной почты. To authenticate a user to a reverse proxy server that is used to enable Microsoft Exchange ActiveSync (EAS) for email.
• Установка и лицензирование приложений (из Microsoft Store или настраиваемого сайта распространения организации). For installation and licensing of applications (from the Windows Phone Store or a custom company distribution site).

В Windows10 версии 1607, если у вас есть несколько сертификатов, подготовленных на устройстве, а в подготовленном профиле Wi-Fi отсутствуют строгие критерии фильтрации, то при подключении к сети Wi-Fi могут наблюдаться сбои сетевого подключения. In Windows 10, Version 1607, if you have multiple certificates provisioned on the device and the Wi-Fi profile provisioned does not have a strict filtering criteria, you may see connection failures when connecting to Wi-Fi. Подробнее об этой известной проблеме в версии 1607 Learn more about this known issue in Version 1607

Установка сертификатов с помощью Microsoft Edge Install certificates using Microsoft Edge

Сертификат можно разместить на веб-сайте и сделать доступным для пользователей посредством URL-адреса, перейдя по которому на устройстве, они смогут скачать сертификат. A certificate can be posted on a website and made available to users through a device-accessible URL that they can use to download the certificate. Когда пользователь заходит на страницу и касается сертификата, сертификат открывается на устройстве. When a user accesses the page and taps the certificate, it opens on the device. Пользователь может проверить сертификат, и в случает подтверждения сертификат устанавливается на устройство с Windows 10 Mobile. The user can inspect the certificate, and if they choose to continue, the certificate is installed on the Windows 10 Mobile device.

Установка сертификатов с помощью электронной почты Install certificates using email

Установщик сертификатов Windows 10 Mobile поддерживает файлы CER, P7B, PEM и PFX. The Windows 10 Mobile certificate installer supports .cer, .p7b, .pem, and .pfx files. Некоторые почтовые программы блокируют CER-файлы из соображений безопасности. Some email programs block .cer files for security reasons. Если в вашей организации существует такая практика, воспользуйтесь альтернативным способом развертывания сертификата. If this is the case in your organization, use an alternative method to deploy the certificate. Сертификаты, отправляемые по электронной почте, отображаются в виде вложений сообщения. Certificates that are sent via email appear as message attachments. После получения сертификата пользователь может коснуться один раз для просмотра содержимого и еще раз — для установки сертификата. When a certificate is received, a user can tap to review the contents and then tap to install the certificate. Как правило, после установки сертификата удостоверения пользователю предлагается ввести пароль (или парольную фразу), который используется для его защиты. Typically, when an identity certificate is installed, the user is prompted for the password (or passphrase) that protects it.

Установка сертификатов с помощью системы управления мобильными устройствами (MDM) Install certificates using mobile device management (MDM)

Windows 10 Mobile поддерживает настройку через систему MDM корневых и клиентских сертификатов, а также сертификатов ЦС. Windows 10 Mobile supports root, CA, and client certificate to be configured via MDM. С помощью MDM администратор может напрямую добавлять, удалять или запрашивать корневые сертификаты и сертификаты ЦС, а также настроить устройство для регистрации клиентского сертификата на сервере регистрации сертификатов, поддерживающем протокол SCEP. Using MDM, an administrator can directly add, delete, or query root and CA certificates, and configure the device to enroll a client certificate with a certificate enrollment server that supports Simple Certificate Enrollment Protocol (SCEP). Зарегистрированные SCEP сертификаты клиента используются Wi-Fi, VPN, электронной почтой и браузером для проверки подлинности клиента на основе сертификатов. SCEP enrolled client certificates are used by Wi-Fi, VPN, email, and browser for certificate-based client authentication. Сервер MDM также может запрашивать и удалять зарегистрированные SCEP сертификаты клиента (включая установленные пользователем) и инициировать новый запрос на регистрацию до истечения срока действия текущего сертификата. An MDM server can also query and delete SCEP enrolled client certificate (including user installed certificates), or trigger a new enrollment request before the current certificate is expired.

Не используйте SCEP для сертификатов шифрования для S/MIME. Do not use SCEP for encryption certificates for S/MIME. Для поддержки S/MIME в Windows 10 Mobile необходимо использовать профиль сертификата PFX. You must use a PFX certificate profile to support S/MIME on Windows 10 Mobile. Инструкции по созданию профиля сертификат PFX в Microsoft Intune см. в разделе Разрешение доступа к ресурсам компании с помощью Microsoft Intune. For instructions on creating a PFX certificate profile in Microsoft Intune, see Enable access to company resources using certificate profiles with Microsoft Intune.

Процесс установки сертификатов с помощью MDM Process of installing certificates using MDM

Сервер MDM создает первоначальный запрос на регистрацию сертификата, который содержит пароль вызова, URL-адрес сервера SCEP и другие связанные с регистрацией параметры. The MDM server generates the initial cert enroll request including challenge password, SCEP server URL, and other enrollment related parameters.

Политика преобразовывается в запрос OMA DM и отправляется на устройство. The policy is converted to the OMA DM request and sent to the device.

Сертификат доверенного ЦС устанавливается непосредственно во время запроса MDM. The trusted CA certificate is installed directly during MDM request.

Устройство принимает запрос на регистрацию сертификата. The device accepts certificate enrollment request.

Устройство создает пару из закрытого и открытого ключей. The device generates private/public key pair.

Устройство подключается к предоставленной MDM-сервером точке доступа в Интернете. The device connects to Internet-facing point exposed by MDM server.

Сервер MDM создает сертификат, подписанный соответствующим ЦС, и возвращает его на устройство. MDM server creates a certificate that is signed with proper CA certificate and returns it to device.

Устройство поддерживает функцию ожидания, которая позволяет провести на стороне сервера дополнительную проверку перед выдачей сертификата. В этом случае устройству отправляется состояние ожидания. The device supports the pending function to allow server side to do additional verification before issuing the cert. In this case, a pending status is sent back to the device. Устройство периодически связывается с сервером с учетом заданных параметров количества и периода повторений. The device will periodically contact the server, based on preconfigured retry count and retry period parameters. Повторные попытки прекращаются в любом из следующих случаев: Retrying ends when either:

• Сертификат успешно получен от сервера A certificate is successfully received from the server
• Сервер возвращает ошибку The server returns an error
• Число повторных попыток достигло предварительно настроенного ограничения The number of retries reaches the preconfigured limit

Сертификат установлен на устройство. The cert is installed in the device. Браузер, Wi-Fi, VPN, электронная почта и другие основные приложения имеют доступ к этому сертификату. Browser, Wi-Fi, VPN, email, and other first party applications have access to this certificate.

Если MDM запрашивает сохранение закрытого ключа в доверенном платформенном модуле (TPM) (настраивается в ходе запроса на регистрацию), закрытый ключ будет сохранен в TPM. If MDM requested private key stored in Trusted Process Module (TPM) (configured during enrollment request), the private key will be saved in TPM. Обратите внимание, что зарегистрированные SCEP сертификаты, защищенные TPM, не защищаются ПИН-кодом. Note that SCEP enrolled cert protected by TPM isn’t guarded by a PIN. При этом сертификаты, импортированные в поставщик хранилища ключей (KSP) службы Windows Hello для бизнеса, защищены ПИН-кодом Hello. However, if the certificate is imported to the Windows Hello for Business Key Storage Provider (KSP), it is guarded by the Hello PIN.