Freigeben über

Konfigurieren des Stamms und der ausstellenden Zertifizierungsstelle für Microsoft Cloud PKI

In diesem Artikel wird beschrieben, wie Sie eine Microsoft Cloud PKI Stammzertifizierungsstelle und die ausstellende Zertifizierungsstelle in Microsoft Intune erstellen und bereitstellen. Eine ausstellende Zertifizierungsstelle stellt Zertifikate für Geräte basierend auf den Zertifikatprofilen aus, die Sie in Intune erstellen.

Voraussetzungen

Weitere Informationen zur Vorbereitung Ihres Mandanten für Microsoft Cloud PKI, einschließlich der wichtigsten Konzepte und Anforderungen, finden Sie unter:

  • Übersicht über Microsoft Cloud PKI für Intune: Überprüfen Sie die Architektur, die Mandantenanforderungen, eine Featurezusammenfassung sowie bekannte Probleme und Einschränkungen.

  • Bereitstellungsmodelle: Überprüfen Sie die Microsoft Cloud PKI Bereitstellungsoptionen.

  • Grundlagen: Sehen Sie sich die PKI-Grundlagen und -Konzepte an, die vor der Konfiguration und Bereitstellung wichtig sind.

Rollenbasierte Zugriffssteuerung

Das Konto, das Sie zum Anmelden beim Microsoft Intune Admin Center verwenden, muss über die Berechtigung zum Erstellen einer Zertifizierungsstelle verfügen. Die Rolle Microsoft Entra Intune Administrator (auch als Intune-Dienstadministrator bezeichnet) verfügt über die integrierten Berechtigungen zum Erstellen von Zertifizierungsstellen. Alternativ können Sie einem Administratorbenutzer Cloud PKI Zertifizierungsstellenberechtigungen zuweisen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.

Schritt 1: Erstellen einer Stammzertifizierungsstelle im Admin Center

Bevor Sie mit dem Ausstellen von Zertifikaten für verwaltete Geräte beginnen können, müssen Sie eine Stammzertifizierungsstelle in Ihrem Mandanten erstellen, die als Vertrauensanker fungiert. In diesem Abschnitt wird beschrieben, wie Sie die Stammzertifizierungsstelle erstellen. Es muss mindestens eine Stammzertifizierungsstelle erstellt werden, bevor eine ausstellende Zertifizierungsstelle erstellt werden kann.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Mandantenverwaltung>Cloud PKI, und wählen Sie dann Erstellen aus.

    Abbildung der Seite Microsoft Intune Admin Center Cloud PKI, auf der der Pfad zum Erstellen einer Cloud PKI Stammzertifizierungsstelle hervorgehoben ist.

  3. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen beschreibenden Namen für das ZS-Objekt ein. Benennen Sie ihn, damit Sie ihn später leicht identifizieren können. Beispiel: Contoso C-PKI Root CA

    • Beschreibung: Geben Sie eine Beschreibung für das Ca-Objekt ein. Diese Einstellung ist optional, wird jedoch empfohlen. Beispiel: Microsoft Cloud PKI Stammzertifizierungsstelle für contoso corporation

  4. Wählen Sie Weiter aus, um mit den Konfigurationseinstellungen fortzufahren.

  5. Konfigurieren Sie die folgenden Einstellungen für die Stammzertifizierungsstelle:

    • Zertifizierungsstellentyp: Wählen Sie Stammzertifizierungsstelle aus.

    • Gültigkeitszeitraum: Wählen Sie 5, 10, 15, 20 oder 25 Jahre aus. Um eine Stammzertifizierungsstelle mit einem benutzerdefinierten Gültigkeitszeitraum zu erstellen, verwenden Sie Microsoft Graph-API, um die Zertifizierungsstellen zu erstellen.

  6. Wählen Sie für Erweiterte Schlüsselverwendungen aus, wie Sie die Zertifizierungsstelle verwenden möchten.

    Abbildung der Registerkarte

    Um potenzielle Sicherheitsrisiken zu vermeiden, sind Zertifizierungsstellen auf die ausgewählte Verwendung beschränkt. Ihre Optionen:

    • Typ: Wählen Sie den Zweck der Zertifizierungsstelle aus. Die EKU Any Purpose (2.5.29.37.0) ist nicht zur Verwendung vorgesehen, da sie zu wenig einschränkend ist und ein potenzielles Sicherheitsrisiko darstellt. Weitere Informationen finden Sie unter Edit overly permissive certificates template with privileged EKU.For more information, see Edit overly permissive certificates template with privileged EKU.

    • Um eine benutzerdefinierte erweiterte Schlüsselverwendung zu erstellen, geben Sie alternativ den Namen und den Objektbezeichner ein.

      Hinweis

      Beachten Sie, dass EKU-/OID-Einschränkungen der Stammzertifizierungsstelle eine Obermenge der ausstellenden Zertifizierungsstelle sind. Dies bedeutet, dass Sie beim Erstellen einer ausstellenden Zertifizierungsstelle nur die für die Stammzertifizierungsstelle definierten EKUs auswählen können. Wenn Sie die EKU nicht in der Stammzertifizierungsstelle definieren, wird sie nicht als EKU-Option für die ausstellende Zertifizierungsstelle angezeigt.

  7. Geben Sie unter Antragstellerattribute einen allgemeinen Namen (Common Name, CN) für die Stammzertifizierungsstelle ein. Optional können Sie andere Attribute eingeben, darunter:

    • Organisation (O)
    • Land (C)
    • Bundesland oder Provinz (ST)
    • Ort (L)

    Um die PKI-Standards einzuhalten, erzwingt Intune ein Zweizeichenlimit für Land/Region.

  8. Geben Sie unter Verschlüsselung die Schlüsselgröße und den Algorithmus ein. Ihre Optionen:

    • RSA-2048 und SHA-256
    • RSA-3096 und SHA-384
    • RSA-4096 und SHA-512

    Abbildung der Schlüsselgröße und der Algorithmuseinstellung in Cloud PKI Konfigurationseinstellungen.

    Diese Einstellung erzwingt die Obergrenze der Schlüsselgröße und den Hashalgorithmus, die beim Konfigurieren eines SCEP-Zertifikatprofils für die Gerätekonfiguration in Intune verwendet werden können. Es ermöglicht Ihnen, eine beliebige Schlüsselgröße und einen Hash bis zu dem auszuwählen, was auf der Cloud PKI ausstellenden Zertifizierungsstelle festgelegt ist. Beachten Sie, dass die Schlüsselgröße 1024 und der SHA-1-Hash nicht mit Cloud PKI unterstützt werden.

  9. Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.

  10. Optional können Sie Bereichstags hinzufügen, um die Sichtbarkeit und den Zugriff auf diese Zertifizierungsstelle zu steuern.

  11. Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.

  12. Überprüfen Sie die bereitgestellte Zusammenfassung. Sie können diese Eigenschaften nach dem Erstellen der Zertifizierungsstelle nicht mehr bearbeiten. Wählen Sie bei Bedarf Zurück aus, um die Einstellungen zu bearbeiten und sicherzustellen, dass sie korrekt sind und Ihre PKI-Anforderungen erfüllen. Wenn Sie später eine weitere EKU hinzufügen müssen, müssen Sie eine neue Zertifizierungsstelle erstellen.

  13. Wenn Sie bereit sind, alles fertig zu stellen, wählen Sie Erstellen aus.

  14. Kehren Sie zur liste der Cloud PKI Zertifizierungsstellen im Admin Center zurück. Wählen Sie Aktualisieren aus, um Ihre neue Zertifizierungsstelle anzuzeigen.

    Abbildung der liste der Microsoft Cloud PKI mit der neuen Stammzertifizierungsstelle.

Schritt 2: Erstellen einer ausstellenden Zertifizierungsstelle im Admin Center

Eine ausstellende Zertifizierungsstelle ist erforderlich, um Zertifikate für Intune verwaltete Geräte auszustellen. Cloud PKI stellt automatisch einen SCEP-Dienst bereit, der als Zertifizierungsstelle fungiert. Sie fordert Zertifikate von der ausstellenden Zertifizierungsstelle im Namen von Intune verwalteten Geräten mithilfe eines SCEP-Profils an.

Hinweis

Mit Microsoft Cloud PKI müssen Sie folgendes nicht:

  • Installieren und Konfigurieren eines NDES-Servers
  • Installieren und konfigurieren Sie den Intune-Zertifikatconnector.
  • Konfigurieren Sie einen Proxydienst, um den Zugriff auf die NDES-Server-URL zu ermöglichen.

  1. Kehren Sie zur Mandantenverwaltung>zurück Cloud PKI.

  2. Geben Sie einen Namen und optional eine Beschreibung für ein, damit Sie diese Zertifizierungsstelle von anderen in Ihrem Mandanten unterscheiden können.

  3. Wählen Sie Weiter aus, um mit den Konfigurationseinstellungen fortzufahren.

  4. Wählen Sie den Zertifizierungsstellentyp und die Quelle der Stammzertifizierungsstelle aus.

    Admin Mitte, in der der Typ der Zertifizierungsstelle ausgewählt und die Stammzertifizierungsstelle-Quelle erweitert und die Option Intune hervorgehoben wird.

    Ihre Optionen:

    • Zertifizierungsstellentyp: Wählen Sie Ausstellende Zertifizierungsstelle aus. Konfigurieren Sie dann diese zusätzlichen Einstellungen:

      • Quelle der Stammzertifizierungsstelle: Wählen Sie Intune aus. Diese Einstellung bestimmt die Stammzertifizierungsstelle, die die ausstellende Zertifizierungsstelle verankert.

      • Stammzertifizierungsstelle: Wählen Sie eine der Stammzertifizierungsstellen aus, die Sie in Intune erstellt haben, für die Eine Verankerung durchgeführt werden soll.

  5. Wählen Sie für Gültigkeitszeitraum 2, 4, 6, 8 oder 10 Jahre aus. Der Gültigkeitszeitraum der ausstellenden Zertifizierungsstelle darf nicht länger als die Stammzertifizierungsstelle sein. Um eine ausstellende Zertifizierungsstelle mit einem benutzerdefinierten Gültigkeitszeitraum zu erstellen, verwenden Sie Microsoft Graph-API, um die Zertifizierungsstellen zu erstellen.

  6. Wählen Sie für Erweiterte Schlüsselverwendungen aus, wie Sie die Zertifizierungsstelle verwenden möchten. Um potenzielle Sicherheitsrisiken zu vermeiden, sind Zertifizierungsstellen auf bestimmte Verwendungsarten beschränkt. Ihre Optionen:

    • Typ: Wählen Sie den Zweck der Zertifizierungsstelle aus. Die EKU Any Purpose (2.5.29.37.0) ist nicht zur Verwendung vorgesehen, da sie zu wenig einschränkend ist und ein potenzielles Sicherheitsrisiko darstellt.

    • Alternativ können Sie zum Erstellen einer benutzerdefinierten EKU den Namen und den Objektbezeichner eingeben.

      Hinweis

      Sie können nur aus EKUs auswählen, die in der Stammzertifizierungsstelle definiert sind. Wenn Sie keine EKU in der Stammzertifizierungsstelle definiert haben, wird sie hier nicht als EKU-Option angezeigt.

  7. Geben Sie unter Antragstellerattribute einen allgemeinen Namen (Common Name, CN) für die ausstellende Zertifizierungsstelle ein.

    Intune Admin Center mit einstellungen für Cloud PKI Betreffattribute.

    Zu den optionalen Attributen gehören:

    • Organisation (O)
    • Organisationseinheit
    • Land (C)
    • Bundesland/Provinz (ST)
    • Ort (L)

    Um die PKI-Standards einzuhalten, erzwingt Intune ein Zweizeichenlimit für Land/Region.

  8. Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.

  9. Optional können Sie Bereichstags hinzufügen, um die Sichtbarkeit und den Zugriff auf diese Zertifizierungsstelle zu steuern.

  10. Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.

  11. Überprüfen Sie die bereitgestellte Zusammenfassung. Wenn Sie bereit sind, alles fertig zu stellen, wählen Sie Erstellen aus.

    Tipp

    Sie können diese Eigenschaften nach dem Erstellen der Zertifizierungsstelle nicht mehr bearbeiten. Wählen Sie bei Bedarf Zurück aus, um die Einstellungen zu bearbeiten und sicherzustellen, dass sie korrekt sind und Ihre PKI-Anforderungen erfüllen. Wenn Sie später zusätzliche EKUs benötigen, müssen Sie eine neue Zertifizierungsstelle erstellen.

  12. Kehren Sie zur liste der Microsoft Cloud PKI Zertifizierungsstellen im Admin Center zurück. Wählen Sie Aktualisieren aus, um Ihre neue ausstellende Zertifizierungsstelle anzuzeigen.

    Abbildung der Microsoft Cloud PKI Liste mit der neuen ausstellenden Zertifizierungsstelle.

Um die Eigenschaften von Stammzertifizierungsstellen und ausstellenden Zertifizierungsstellen in Ihrem Mandanten anzuzeigen, wählen Sie die Zertifizierungsstelle aus, und wechseln Sie dann zu Eigenschaften. Folgende Eigenschaften sind verfügbar:

  • Verteilungspunkt-URI der Zertifikatsperrliste (Certificate Revocation List, CRL)
  • AIA-URI (Authority Information Access)
  • SCEP-URI – nur ausstellende Zertifizierungsstelle

Notieren Sie sich diese Endpunktspeicherorte, damit Sie sie später verwenden können. Vertrauende Seiten benötigen Netzwerksichtbarkeit für diese Endpunkte. Beispielsweise müssen Sie den SCEP-URI-Endpunkt kennen, wenn Sie SCEP-Profile erstellen.

Hinweis

Die Zertifikatsperrliste ist 7 Tage lang gültig und wird alle 3,5 Tage aktualisiert und im Admin Center erneut veröffentlicht. Eine Aktualisierung erfolgt auch jedes Mal, wenn ein Endentitätszertifikat widerrufen wird.

Wenn Sie das für Cloud PKI erforderliche vertrauenswürdige Zertifikatprofil erstellen, müssen Sie über die öffentlichen Schlüssel für die Zertifikate der Stammzertifizierungsstelle und die ausstellenden Zertifizierungsstellenzertifikate verfügen. Die öffentlichen Schlüssel stellen eine Vertrauenskette zwischen Intune verwalteten Geräten und Cloud PKI beim Anfordern eines Zertifikats mithilfe von SCEP-Zertifikatprofilen her. Wählen Sie Herunterladen aus, um die öffentlichen Schlüssel für diese Zertifikate herunterzuladen. Wiederholen Sie diesen Schritt für jede Zertifizierungsstelle, über die Sie verfügen. Die Stammzertifikate und die ausstellenden Zertifizierungsstellenzertifikate müssen auch auf allen vertrauenden Seiten oder Authentifizierungsendpunkten installiert werden, die die zertifikatbasierte Authentifizierung unterstützen.

Schritt 3: Erstellen von Zertifikatprofilen

Zum Ausstellen von Zertifikaten müssen Sie ein vertrauenswürdiges Zertifikatprofil für Ihre Stamm- und ausstellenden Zertifizierungsstellen erstellen. Das vertrauenswürdige Zertifikatprofil stellt eine Vertrauensstellung mit der Cloud PKI Zertifikatregistrierungsstelle her, die das SCEP-Protokoll unterstützt. Ein vertrauenswürdiges Zertifikatprofil, das für jede Plattform (Windows, Android, iOS/iPad, macOS) erforderlich ist, die Cloud PKI SCEP-Zertifikate ausgibt.

Für diesen Schritt müssen Sie Folgendes ausführen:

  • Erstellen Sie ein vertrauenswürdiges Zertifikatprofil für die Cloud PKI Stammzertifizierungsstelle.
  • Erstellen Sie ein vertrauenswürdiges Zertifikatprofil für eine Cloud PKI ausstellenden Zertifizierungsstelle.
  • Erstellen Sie ein SCEP-Zertifikatprofil für eine Cloud PKI ausstellende Zertifizierungsstelle.

Erstellen eines vertrauenswürdigen Zertifikatprofils

Erstellen Sie im Admin Center ein vertrauenswürdiges Zertifikatprofil für jede Betriebssystemplattform, auf die Sie abzielen. Erstellen Sie ein vertrauenswürdiges Zertifikatprofil für das Zertifikat der Stammzertifizierungsstelle und eines für die ausstellende Zertifizierungsstelle.

Wenn Sie dazu aufgefordert werden, geben Sie die öffentlichen Schlüssel für die Stammzertifizierungsstelle und die ausstellende Zertifizierungsstelle ein. Führen Sie die folgenden Schritte aus, um die öffentlichen Schlüssel für Ihre Zertifizierungsstellen herunterzuladen.

Für die Stammzertifizierungsstelle:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wechseln Sie zu Mandantenverwaltung>Cloud PKI.
  3. Wählen Sie eine Zertifizierungsstelle mit einem Stammtyp aus.
  4. Wechseln Sie zu Eigenschaften.
  5. Klicken Sie auf Herunterladen. Warten Sie, während der öffentliche Schlüssel heruntergeladen wird.

Für die ausstellende Zertifizierungsstelle:

  1. Kehren Sie zu Ihrer Cloud PKI-Liste zurück.
  2. Wählen Sie eine Zertifizierungsstelle mit einem Ausgabetyp aus.
  3. Wechseln Sie zu Eigenschaften.
  4. Klicken Sie auf Herunterladen. Warten Sie, während der öffentliche Schlüssel heruntergeladen wird.

Die Cloud PKI Stammzertifizierungsstelle und der ausstellenden Zertifizierungsstelle, die Sie herunterladen, müssen auf allen vertrauenden Seiten installiert sein.

Der Dateiname, der den heruntergeladenen öffentlichen Schlüsseln zugewiesen wird, basiert auf den allgemeinen Namen, die in der Zertifizierungsstelle angegeben sind. Einige Browser, z. B. Microsoft Edge, zeigen eine Warnung an, wenn Sie eine Datei mit einer .cer oder einer anderen bekannten Zertifikaterweiterung herunterladen. Wenn Sie diese Warnung erhalten, wählen Sie Beibehalten aus.

Abbildung der Aufforderung zum Herunterladen, in der die Option

Erstellen eines SCEP-Zertifikatprofils

Hinweis

Nur Cloud PKI ausstellenden Zertifizierungsstellen (einschließlich byoca-ausstellende Zertifizierungsstelle) können verwendet werden, um SCEP-Zertifikate für Intune verwaltete Geräte auszustellen.

Erstellen Sie genau wie für die vertrauenswürdigen Zertifikatprofile ein SCEP-Zertifikatprofil für jede Betriebssystemplattform, die Sie als Ziel verwenden. Das SCEP-Zertifikatprofil wird verwendet, um ein untergeordnetes Clientauthentifizierungszertifikat von der ausstellenden Zertifizierungsstelle anzufordern. Diese Art von Zertifikat wird in zertifikatbasierten Authentifizierungsszenarien verwendet, z. B. für Wi-Fi und VPN-Zugriff.

  1. Kehren Sie zur Mandantenverwaltung>zurück Cloud PKI.

  2. Wählen Sie eine Zertifizierungsstelle mit einem Ausgabetyp aus.

  3. Wechseln Sie zu Eigenschaften.

  4. Wählen Sie neben der EIGENSCHAFT SCEP-URI die Option In Zwischenablage kopieren aus.

  5. Erstellen Sie im Admin Center ein SCEP-Zertifikatprofil für jede Betriebssystemplattform, auf die Sie abzielen.

  6. Verknüpfen Sie im Profil unter Stammzertifikat das Profil des vertrauenswürdigen Zertifikats. Das ausgewählte vertrauenswürdige Zertifikat muss das Zertifikat der Stammzertifizierungsstelle sein, an dem die ausstellende Zertifizierungsstelle in der Zertifizierungsstellenhierarchie verankert ist.

    Abbildung der Stammzertifikateinstellung mit ausgewähltem Zertifikat der Stammzertifizierungsstelle.

  7. Fügen Sie für SCEP-Server-URLS den SCEP-URI ein. Es ist wichtig, die Zeichenfolge {{CloudPKIFQDN}} unverändert zu belassen. Intune ersetzt diese Platzhalterzeichenfolge durch den entsprechenden FQDN, wenn das Profil an das Gerät übermittelt wird. Der FQDN wird im *.manage.microsoft.com-Namespace angezeigt, einem Kern Intune-Endpunkt. Weitere Informationen zu Intune-Endpunkten finden Sie unter Netzwerkendpunkte für Microsoft Intune.

  8. Konfigurieren Sie die verbleibenden Einstellungen gemäß den folgenden bewährten Methoden:

    • Format des Antragstellernamens: Stellen Sie sicher, dass die angegebenen Variablen für das Benutzer- oder Geräteobjekt in Microsoft Entra ID verfügbar sind. Wenn der Zielbenutzer dieses Profils beispielsweise kein E-Mail-Adress-Attribut hat, aber die E-Mail-Adresse in diesem Profil ausgefüllt ist, wird das Zertifikat nicht ausgestellt. Ein Fehler wird auch im SCEP-Zertifikatprofilbericht angezeigt.

    • Erweiterte Schlüsselverwendung (Extended Key Usage, EKU): Microsoft Cloud PKI unterstützt die Option "Beliebiger Zweck" nicht.

      Hinweis

      Stellen Sie sicher, dass die ausgewählten EKU(n) auf der Cloud PKI ausstellenden Zertifizierungsstelle (Certificate Authority, CA) konfiguriert sind. Wenn Sie eine EKU auswählen, die auf der Cloud PKI ausstellenden Zertifizierungsstelle nicht vorhanden ist, tritt beim SCEP-Profil ein Fehler auf. Außerdem wird kein Zertifikat für das Gerät ausgestellt.

    • SCEP-Server-URLs: Kombinieren Sie keine NDES- und SCEP-URLs mit Microsoft Cloud PKI ausstellenden CA SCEP-URLs.

  9. Weisen Sie das Profil zu, und überprüfen Sie es. Wenn Sie bereit sind, alles fertig zu stellen, wählen Sie Erstellen aus.