Sdílet prostřednictvím

Konfigurace Microsoft Cloud PKI – Používání vlastní certifikační autority

Tento článek popisuje, jak nakonfigurovat Microsoft Cloud PKI pro Intune s vlastní certifikační autoritou (CA). Model nasazení BYOCA (Bring Your Own Ca) podporovaný Intune umožňuje vytvořit a ukotvit privátní certifikační autoritu v cloudu k vaší místní nebo privátní certifikační autoritě. Privátní certifikační autorita může být tvořená hierarchiemi N+1 certifikační autority.

Požadavky

Další informace o tom, jak připravit tenanta na Microsoft Cloud PKI, včetně klíčových konceptů a požadavků, najdete tady:

  • Přehled Microsoft Cloud PKI pro Intune: Projděte si architekturu, požadavky na tenanta, souhrn funkcí a známé problémy a omezení.

  • Modely nasazení: Zkontrolujte možnosti nasazení Microsoft Cloud PKI.

  • Základy: Projděte si základy a koncepty infrastruktury veřejných klíčů, které je důležité znát před konfigurací a nasazením.

Řízení přístupu na základě role

Účet, který používáte pro přihlášení do Centra pro správu Microsoft Intune, musí mít oprávnění k vytvoření certifikační autority (CA). Účet správce Microsoft Entra Intune (označovaný také jako správce služby Intune) má příslušná předdefinovaná oprávnění k vytváření certifikačních autorit. Případně můžete uživateli s rolí správce přiřadit oprávnění Cloud PKI certifikační autority. Další informace najdete v tématu Řízení přístupu na základě role (RBAC) s Microsoft Intune.

Krok 1: Vytvoření vydávající certifikační autority a žádosti o podepsání certifikátu

Vytvořte vydávající certifikační autoritu v Centru pro správu Microsoft Intune.

  1. Přejděte do části Správa> tenanta Cloud PKI a pak vyberte Vytvořit.

    Obrázek stránky Centra pro správu Microsoft Intune Cloud PKI se zvýrazněnou cestou k vytvoření Cloud PKI kořenové certifikační autority.

  2. Do pole Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název objektu certifikační autority. Pojmenujte ho, abyste ho později mohli snadno identifikovat. Příklad: Contoso BYOCA vydávající certifikační autoritu
    • Popis: Zadejte popis objektu certifikační autority. Toto nastavení není povinné, ale doporučujeme ho zadat. Příklad: Cloud PKI vydávající certifikační autority s použitím vlastní kořenové certifikační autority ukotvené k místní službě ADCS vydávající certifikační autoritu

  3. Vyberte Další a pokračujte na Nastavení konfigurace.

  4. Vyberte typ certifikační autority a zdroj kořenové certifikační autority.

    Správa centrum zobrazující nastavení zdroje kořenové certifikační autority typu certifikační autority pro Cloud PKI přineste si vlastní certifikační autoritu.

    Pro vydávající certifikační autoritu nakonfigurujte následující nastavení:

    • Typ certifikační autority: Vyberte Vydávající certifikační autorita.
    • Zdroj kořenové certifikační autority: Vyberte Přenést vlastní kořenovou certifikační autoritu. Toto nastavení určuje zdroj kořenové certifikační autority, který ukotví vydávající certifikační autoritu.

  5. Přeskočit období platnosti Toto nastavení není možné konfigurovat. Certifikační autorita, kterou používáte k podepsání žádosti o podepsání certifikátu BYOCA, určuje dobu platnosti.

  6. V části Rozšířené použití klíče vyberte, jak chcete certifikační autoritu používat.

    Obrázek karty Nastavení konfigurace s oddílem Rozšířené použití klíčů pro Cloud PKI

    Aby se zabránilo potenciálním bezpečnostním rizikům, jsou certifikační autority omezené na výběr použití. Možnosti:

    • Typ: Vyberte účel certifikační autority. Použití rozšířeného klíče Any Purpose (2.5.29.37.0) není určené k použití, protože je příliš přípustné a představuje potenciální bezpečnostní riziko. Další informace najdete v tématu Úprava šablony příliš povolených certifikátů pomocí privilegovaných EKU.
    • Pokud chcete vytvořit vlastní rozšířené použití klíče, zadejte Název a Identifikátor objektu.

  7. V části Atributy předmětu zadejte Běžný název (CN) vydávající certifikační autority.

    Intune Centrum pro správu zobrazující nastavení atributů předmětu Cloud PKI.

    Mezi volitelné atributy patří:

    • Organizace (O)
    • Organizační jednotka (OU)
    • Země (C)
    • Stát/provincie (ST)
    • Lokalita (L)

    V souladu se standardy infrastruktury veřejných klíčů vynucuje Intune limit dvou znaků pro zemi nebo oblast.

  8. V části Šifrování zadejte velikost klíče.

    Obrázek nastavení velikosti klíče a algoritmu v nastavení konfigurace Cloud PKI

    Možnosti:

    • RSA-2048

    • RSA-3072

    • RSA-4096

    Toto nastavení vynucuje velikost horní hranice klíče, která se dá použít při konfiguraci profilu certifikátu SCEP konfigurace zařízení v Intune. Umožňuje vybrat libovolnou velikost klíče, která je nastavená na Cloud PKI vydávající certifikační autority. Mějte na paměti, že Cloud PKI nepodporuje velikost klíče 1024 a hodnotu hash SHA-1. Nemusíte ale zadávat algoritmus hash. Certifikační autorita, kterou používáte k podepsání csr, určuje algoritmus hash.

  9. Vyberte Další a pokračujte na Obor značek.

  10. Volitelně můžete přidat značky oboru pro řízení viditelnosti a přístupu k této certifikační autoritě.

  11. Vyberte Další a pokračujte na Zkontrolovat a vytvořit.

  12. Zkontrolujte poskytnuté shrnutí. Až budete připravení všechno dokončit, vyberte Vytvořit.

    Důležité

    Po vytvoření certifikační autority nebudete moct tyto vlastnosti upravovat. Výběrem možnosti Zpět upravte nastavení a ujistěte se, že jsou správná a splňují vaše požadavky na infrastrukturu veřejných klíčů. Pokud později budete potřebovat přidat EKU, musíte vytvořit novou certifikační autoritu.

  13. Vraťte se do seznamu Microsoft Cloud PKI certifikační autority v Centru pro správu. Pokud chcete novou certifikační autoritu zobrazit, vyberte Aktualizovat .

  14. Vyberte certifikační autoritu. V části Základy by měl být stav Požadováno podepsání.

  15. Přejděte na Vlastnosti.

  16. Vyberte Stáhnout CSR. Počkejte, než Intune stáhne soubor ve formátu REQ s názvem certifikační autority. Příklad: Contoso BYOCA Issuing CA.req

Krok 2: Podepsání žádosti o podepsání certifikátu

K podepsání staženého souboru žádosti o podepsání certifikátu (CSR) se vyžaduje privátní certifikační autorita. Podpisová certifikační autorita může být kořenová nebo vydávající certifikační autorita z libovolné úrovně privátní certifikační autority. Existují dva způsoby, jak se podepsat:

  • Možnost 1: Použijte webový zápis certifikační autority, funkci služby Active Directory Certificate Services (ADCS). Tato možnost poskytuje jednoduché webové rozhraní, které umožňuje provádět úlohy specifické pro správce, jako je vyžádání a prodloužení platnosti certifikátů.

  • Možnost 2: Použijte spustitelný soubor nástroje certreq.exe příkazového řádku Windows ADCS.

Následující tabulka uvádí identifikátory objektů (OID) podporované pro podpisové certifikáty používané v nasazeních BYOCA.

Vlastnost název subjektu Identifikátor objektu
Běžný název (CN) OID.2.5.4.3
Organizace (O) OID.2.5.4.10
Organizační jednotka (OU) OID.2.5.4.11
Lokalita (L) OID.2.5.4.7
Stát (ST) nebo provincie OID.2.5.4.8
Země (C) OID.2.5.4.6
Název (T) OID.2.5.4.12
Sériové číslo OID.2.5.4.5
Email (E) OID.1.2.840.113549.1.9.1
Komponenta domény (DC) OID.0.9.2342.19200300.100.1.25
Ulice OID.2.5.4.9
Křestní jméno OID.2.5.4.42
Iniciály OID.2.5.4.43
PSČ OID.2.5.4.17
Kvalifikátor rozlišujícího názvu OID.2.5.4.46

Další informace o podepisování certifikátů najdete v nápovědě poskytované vaší certifikační autoritou.

Možnost 1: Webový zápis certifikační autority

K provedení těchto kroků použijte notepad.exe na zařízení s Windows nebo ekvivalentní program v systému macOS.

  1. Otevřete soubor REQ, který jste stáhli po vytvoření vydávající certifikační autority. Zkopírujte (CTRL +C) obsah souboru.

  2. Otevřete prohlížeč na zařízení, které má přístup k webovému hostiteli, na kterém běží webová registrace certifikační autority. Například: https://WebSrv_running_CAWebEnrollment/certsrv

  3. Vyberte Požádat o certifikát.

  4. Vyberte rozšířenou žádost o certifikát.

  5. Vložte obsah, který jste zkopírovali dříve, do oblasti Uložená žádost .

  6. Jako Šablona certifikátu vyberte Podřízená certifikační autorita.

    Poznámka

    Šablona podřízené certifikační autority musí být publikovaná a dostupná u certifikační autority, která certifikát podepisuje. Otevřete na svém zařízení konzolu pro správu certifikační autority certsrv.msc a zobrazte dostupné šablony certifikátů.

  7. Pokračujte výběrem možnosti Odeslat .

  8. V části Vystavený certifikát zvolte KÓD DER nebo Kódovaný base 4. Cloud PKI podporuje oba formáty souborů. Pak proveďte tyto kroky:

    1. Vyberte Stáhnout certifikát. Soubor certifikátu se stáhne a uloží jako certnew.cer.

    2. Vyberte Stáhnout řetěz certifikátů. Stáhne se podepsaný certifikát, včetně celého řetězu certifikátů, kořenové certifikační autority a všech zprostředkujících nebo vydávajících certifikátů certifikační autority v hierarchii privátní certifikační autority. Soubor se uloží jako certnew.p7b.

    Intune vyžaduje oba tyto soubory k povolení vydávající certifikační autority pro Cloud PKI BYOCA.

  9. Pokračujte v části Nahrání podepsaného certifikátu a povolte certifikační autoritu vydávající BYOCA v tomto článku.

Poznámka

Pokud používáte Centrum pro správu a konzolu webové registrace certifikační autority ze 2 různých pracovních stanic, budete muset zkopírovat nebo mít přístup k 2 certifikačním souborům z pracovní stanice Centra pro správu.

Možnost 2: Nástroj příkazového řádku Windows ADCS

Pomocí nástroje certreq.exe příkazového řádku odešlete žádost o certifikát certifikační autoritě, ve které můžete zadat šablonu certifikátu a podpisovou certifikační autoritu. Soubor REQ, který jste předtím stáhli, musí být na počítači s Windows, na kterém spouštíte nástroj příkazového řádku.

K odeslání žádosti o certifikát s vybranou šablonou a podpisovou certifikační autoritou můžete v příkazovém řádku použít následující syntaxi:

certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>

Proměnné v příkazu nahraďte následujícím způsobem:

  1. Nahraďte< template_name> názvem šablony certifikátu, kterou chcete použít.

  2. Nahraďte< CA_server_name><CA_name> názvem serveru certifikační autority a názvem certifikační autority, kterou chcete použít k podepsání žádosti o certifikát.

Pro request_file> a response_file není potřeba< žádná akce.>< Nahradí se názvem souboru, který obsahuje žádost o certifikát, a názvem souboru, který obsahuje odpověď od certifikační autority.

Následující příklady popisují, jak odeslat žádost o certifikát pomocí šablony podřízené certifikační autority a jak ji podepsat.

  • Příklad 1: Podpisová certifikační autorita ContosoCA běží na serveru s názvem CA-Server. Můžete použít následující příkaz:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer

  • Příklad 2: Podpisová certifikační autorita má název CaleroCorp SubCA (US) běžící na serveru s názvem Win2k16-subCA. Můžete použít následující příkaz:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"

  • Příklad 3: Pokud spustíte příkaz certreq.exe bez parametrů, systém Windows vás vyzve k identifikaci souboru REQ jako první. Tento přístup používá uživatelské rozhraní Windows, které vás provede procesem podepisování.

Kromě podepsaného certifikátu potřebujete celý řetězec klíčů privátní certifikační autority. Celý řetězec klíčů zahrnuje kořenovou certifikační autoritu a všechny zprostředkující, vydávající nebo podřízené certifikační autority v řetězci. K exportu celého řetězce klíčů do souboru P7B použijte v nástroji příkazového řádku následující syntaxi:

certutil [options] -ca.chain OutCACertChainFile [Index]

Spusťte příkaz z počítače s Windows připojeným k doméně se síťovým přístupem k ADCS. Příklady:

certutil -ca.chain c:\temp\fullChain.p7b

Zobrazení exportovaného řetězce a ověření, že k exportu došlo v Průzkumníku souborů Windows:

  1. Přejděte do umístění cesty, kam byl soubor exportován.
  2. Poklikáním otevřete soubor.

V souboru byste měli vidět celý řetězec, včetně kořenových a zprostředkujících certifikačních autorit.

Poznámka

Případně můžete použít certmgr.msc nebo certlm.msc k exportu jednotlivých veřejných klíčů pro každou certifikační autoritu v řetězu privátních certifikačních autorit. Každý z těchto souborů má příponu CER.

Krok 3: Nahrání podepsaného certifikátu pro povolení certifikační autority vydávající BYOCA

Pokud chcete dokončit Cloud PKI BYOCA, který vyžaduje podepsání certifikační autority, a umožnit certifikační autoritě v cloudu, aby začala vydávat certifikáty pro Intune spravovaná zařízení, musíte mít:

  • Podepsaný certifikát pro certifikační autoritu vydávající BYOCA.
  • Úplný řetěz privátní certifikační autority použité k podepsání žádosti o certifikát.

Informace o tom, jak provést tyto úlohy, které jsou nutné k pokračování, najdete v tématu Krok 2: Podepsat žádost o podepsání certifikátu. Soubory musí být dostupné na stejném počítači, na kterém je spuštěné centrum pro správu Microsoft Intune.

  1. Vraťte se do seznamu Cloud PKI certifikační autority v Centru pro správu. Vyberte certifikační autoritu. Jeho stav by měl být Povinný podpis.

  2. Přejděte na Vlastnosti a vyberte Nahrát podepsaný certifikát.

  3. Otevře se okno Nahrát podepsaný certifikát . V části Nahrát soubor podepsaného certifikátu (.cer, .crt nebo .pem) vyberte Procházet. Zvolte soubor podepsaného certifikátu.

  4. V části Nahrát jeden nebo více řetězu důvěryhodných certifikátů (.cer, .crt .pem nebo .p7b) přetáhněte soubory nebo vyberte Procházet a vyhledejte soubor v počítači.

  5. Vyberte Uložit a počkejte, než Intune nahraje certifikát. Může to trvat několik minut.

  6. Aktualizujte seznam certifikačních autorit. Sloupec stavu vaší certifikační autority by se teď měl zobrazit jako Aktivní. Běžný název kořenového adresáře se zobrazí jako Externí kořenová certifikační autorita.

    Obrázek znázorňující nově vytvořenou certifikační autoritu v Centru pro správu

V seznamu můžete vybrat certifikační autoritu a zobrazit dostupné vlastnosti. Mezi vlastnosti patří:

  • Identifikátor URI distribučního bodu seznamu odvolaných certifikátů (CRL).

  • Identifikátor URI AIA (Authority Information Access).

  • Cloud PKI vydávající certifikační autority se zobrazí identifikátor URI SCEP. Identifikátor URI SCEP se musí zkopírovat do konfiguračního profilu SCEP pro každý certifikát vystavený platformou.

    Až budete připraveni stáhnout veřejný klíč důvěryhodnosti certifikační autority, vyberte Stáhnout.

    Poznámka

    Vlastnost AIA pro certifikační autoritu vydávající BYOCA je definována privátní certifikační autoritou a obsahuje vlastnosti definované konfigurací AIA privátní certifikační autority. Služba ADCS používá výchozí umístění LDAP AIA. Pokud privátní certifikační autorita poskytuje umístění HTTP AIA, vlastnosti BYOCA zobrazí umístění HTTP AIA.

Krok 4: Vytvoření profilů důvěryhodnosti certifikátů

Pokud používáte Cloud PKI byOCA vydávající certifikační autoritu, která je ukotvená k privátní certifikační autoritě, musí být pro každý certifikát certifikační autority v hierarchii privátní certifikační autority vytvořen profil Intune důvěryhodného certifikátu. Tento krok je požadavek pro každou platformu (Windows, Android, iOS/iPad, macOS), která vydává Cloud PKI certifikáty SCEP. Je nutné navázat vztah důvěryhodnosti s Cloud PKI autoritou pro registraci certifikátů, která podporuje protokol SCEP.

Další informace o tom, jak profil vytvořit, najdete v tématu Profily důvěryhodných certifikátů.

Export certifikátů

Exportované certifikáty slouží k vytvoření profilu důvěryhodného certifikátu v Intune pro každou certifikační autoritu v řetězu. Pokud používáte privátní certifikační autoritu, musíte použít její nástroje k exportu řetězce klíčů certifikační autority do sady souborů s kódováním DER nebo Base 4 s příponou CER. Pokud je ADCS vaše privátní certifikační autorita, můžete pomocí nástroje příkazového řádku Windows certutil.exe exportovat úplnou klíčnici certifikační autority do souboru .p7b.

Na počítači připojeném k doméně Windows se síťovým přístupem k ADCS spusťte následující příkaz.

certutil [options] -ca.chain OutCACertChainFile [Index]

Příklady:

certutil -ca.chain c:\temp\fullChain.p7b

K zobrazení exportovaného řetězce můžete použít Průzkumník souborů Windows.

  1. Přejděte do umístění cesty, kam byl exportován soubor .p7b, a poklikejte na soubor. Měli byste vidět celý řetězec, včetně kořenových a zprostředkujících certifikačních autorit.

  2. Klikněte pravým tlačítkem na každý certifikát v seznamu.

  3. Vyberte Exportovat všechny úkoly>. Exportujte důvěryhodný certifikát ve formátu DER. Soubor exportovaného certifikátu doporučujeme pojmenovat pomocí stejného běžného názvu certifikační autority, který je uvedený ve sloupci Vystaveno v nástroji certmgr. Tento název usnadňuje vyhledání kořenové certifikační autority v seznamu, protože běžný název v části Vystaveno a Vystaveno bude stejný.

Vytvoření profilu důvěryhodného certifikátu pro privátní kořenovou certifikační autoritu

Vytvořte profil důvěryhodného certifikátu s exportovaným souborem kořenové certifikační autority, který jste stáhli. V Centru pro správu vytvořte profil důvěryhodného certifikátu pro každou platformu operačního systému, na kterou cílíte a která používá kořenový certifikát privátní certifikační autority.

Vytvoření profilů důvěryhodných certifikátů pro privátní podřízené certifikační autority

Vytvořte profil důvěryhodného certifikátu s exportovaným souborem zprostředkující nebo vydávající certifikační autority, který jste stáhli. V Centru pro správu vytvořte profil důvěryhodného certifikátu pro každou platformu sos, na kterou cílíte a která používá vydávající kořenový certifikát certifikační autority.

Vytvoření profilu důvěryhodného certifikátu pro vydávající certifikační autoritu

Tip

Pokud chcete najít certifikační autority BYOCA v seznamu certifikačních autorit, vyhledejte certifikační autority s následujícími hodnotami:

  • Typ: Vydávání
  • Běžný název kořenového adresáře: Externí kořenová certifikační autorita

  1. V Centru pro správu přejděte na Správa> tenanta Cloud PKI.

  2. Vyberte Cloud PKI certifikační autoritu vydávající BYOCA.

  3. Přejděte na Vlastnosti.

  4. Vyberte Stáhnout. Počkejte, než se stáhne veřejný klíč vydávající certifikační autority.

  5. V Centru pro správu vytvořte profil důvěryhodného certifikátu pro každou platformu operačního systému, na kterou cílíte. Po zobrazení výzvy zadejte veřejný klíč, který jste stáhli.

Certifikát vydávající certifikační autority, který jste stáhli pro Cloud PKI BYOCA, musí být nainstalovaný na všech předávajících stranách.

Název souboru zadaný staženým veřejným klíčům je založený na běžných názvech zadaných v certifikační autoritě. Některé prohlížeče, například Microsoft Edge, zobrazují upozornění, pokud stáhnete soubor s .cer nebo jinou známou příponou certifikátu. Pokud se zobrazí toto upozornění, vyberte Zachovat.

Obrázek výzvy ke stažení se zvýrazněnou možností zachovat

Krok 5: Vytvoření profilu certifikátu SCEP

Poznámka

K vystavování certifikátů SCEP pro Intune spravovaných zařízení je možné použít pouze Cloud PKI vydávající certifikační autority a certifikační autority BYOCA.

Vytvořte profil certifikátu SCEP pro každou platformu operačního systému, na kterou cílíte, jako jste to udělali pro profily důvěryhodných certifikátů. Profil certifikátu SCEP se používá k vyžádání certifikátu koncového ověřování klienta od vydávající certifikační autority. Tento typ certifikátu se používá ve scénářích ověřování na základě certifikátů, například pro Wi-Fi a přístup k síti VPN.

  1. Vraťte se do části Správa> tenanta Cloud PKI.

  2. Vyberte certifikační autoritu, která má typ Vydávající .

  3. Přejděte na Vlastnosti.

  4. Zkopírujte identifikátor URI SCEP do schránky.

  5. V Centru pro správu vytvořte profil certifikátu SCEP pro každou platformu operačního systému, na kterou cílíte.

  6. V profilu v části Kořenový certifikát propojte profil důvěryhodného certifikátu. Vybraný důvěryhodný certifikát musí být kořenový certifikát certifikační autority, ke kterému je vydávající certifikační autorita ukotvená v hierarchii certifikační autority.

    Obrázek nastavení kořenového certifikátu s vybraným certifikátem kořenové certifikační autority

  7. Pro adresy URL serveru SCEP vložte identifikátor URI SCEP. Je důležité nechat řetězec {{CloudPKIFQDN}} tak, jak je. Intune nahradí tento zástupný řetězec odpovídajícím plně kvalifikovaným názvem domény při doručení profilu do zařízení. Plně kvalifikovaný název domény se zobrazí v oboru názvů *.manage.microsoft.com, koncovém bodu základního Intune. Další informace o koncových bodech Intune najdete v tématu Koncové body sítě pro Microsoft Intune.

  8. Nakonfigurujte zbývající nastavení podle těchto osvědčených postupů:

    • Formát názvu subjektu: Ujistěte se, že jsou zadané proměnné dostupné pro objekt uživatele nebo zařízení v Microsoft Entra ID. Pokud například cílový uživatel tohoto profilu nemá atribut e-mailové adresy, ale e-mailová adresa v tomto profilu je vyplněná, certifikát se nevystaví. Chyba se také zobrazí v sestavě profilu certifikátu SCEP.

    • Rozšířené použití klíče: Microsoft Cloud PKI nepodporuje možnost Jakýkoli účel.

      Poznámka

      Ujistěte se, že jsou vybrané klíče EKU nakonfigurované na Cloud PKI vydávající certifikační autoritě (CA). Pokud vyberete EKU, který není k dispozici na Cloud PKI vydávající certifikační autority, dojde k chybě s profilem SCEP. A pro zařízení se nevystaví certifikát.

    • Adresy URL serveru SCEP: Nekombinujte adresy URL NDES/SCEP s Microsoft Cloud PKI vydávajícími adresy URL SCEP certifikační autority.

  9. Přiřaďte a zkontrolujte profil. Až budete připravení všechno dokončit, vyberte Vytvořit.