Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die bereitstellungsmodelle beschrieben, die von Microsoft Intune und dem Microsoft Cloud PKI-Dienst unterstützt werden.
Sie haben zwei Bereitstellungsoptionen:
Microsoft Cloud PKI Stammzertifizierungsstelle: Stellen Sie Microsoft Cloud PKI bereit, indem Sie Stammzertifizierungsstellen verwenden und Zertifizierungsstellen in der Cloud ausstellen.
Bring Your Own Certification Authority (BYOCA): Stellen Sie Microsoft Cloud PKI mithilfe Ihrer eigenen privaten Zertifizierungsstelle bereit.
Mit dem Ansatz der Microsoft Cloud PKI Stammzertifizierungsstelle können Sie eine oder mehrere PKIs innerhalb eines einzelnen Intune Mandanten erstellen. Durch die Bereitstellung von Cloud PKI auf diese Weise wird eine Hierarchie mit zwei Ebenen erstellt, sodass Der Stammzertifizierungsstelle mehrere ausstellende Zertifizierungsstellen untergeordnet werden können. Diese Zertifizierungsstellen sind nicht öffentlich. Stattdessen erstellen Sie sowohl die Stammzertifizierungsstelle als auch die ausstellenden Zertifizierungsstellen in der Cloud, die für den Intune Mandanten privat sind. Die ausstellende Zertifizierungsstelle stellt Zertifikate für Intune verwaltete Geräte aus, indem sie das SCEP-Zertifikatprofil für die Gerätekonfiguration verwendet.
Alternativ können Sie Ihre eigene Zertifizierungsstelle (BYOCA) verwenden. Bei diesem Ansatz stellen Sie Microsoft Cloud PKI mithilfe Ihrer eigenen privaten Zertifizierungsstelle bereit. Diese Option erfordert, dass Sie eine ausstellende Zertifizierungsstelle in der Cloud erstellen, die für den Intune Mandanten privat ist. Die ausstellende Zertifizierungsstelle ist an einer privaten Zertifizierungsstelle verankert, z. B. Active Directory Certificate Services (ADCS). Wenn Sie eine Cloud PKI BYOCA ausstellende Zertifizierungsstelle erstellen, wird auch eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) in Intune erstellt. Ihre private Zertifizierungsstelle ist erforderlich, um die CSR zu signieren.
Bevor Sie beginnen
Es ist wichtig, zertifikatbasierte Vertrauensketten zu überprüfen und zu verstehen, bevor Sie mit der Bereitstellung beginnen. Weitere PKI-Konzepte und -Grundlagen finden Sie unter Microsoft Cloud PKI Grundlagen.
Identifizieren von vertrauenden Parteien
Identifizieren Sie Ihre vertrauenden Seiten. Die vertrauende Seite ist ein Benutzer oder System, der die von einer PKI generierten Zertifikate nutzt. Beispiele für vertrauende Seiten sind:
- Ein Wi-Fi Zugriffspunkt, der die zertifikatbasierte Radius-Authentifizierung verwendet.
- Ein VPN-Server, der einen Remotebenutzer authentifiziert.
- Ein Benutzer, der eine durch TLS/LLS geschützte Website in einem Webbrowser besucht.
Bestimmen des Speicherorts für den Vertrauensanker
Bestimmen Sie den Speicherort des Stammvertrauensankers. Ein Vertrauensanker ist ein Zertifizierungsstellenzertifikat oder der öffentliche Schlüssel einer Zertifizierungsstelle, das von einer vertrauenden Seite als Ausgangspunkt für die Zertifikatvertrauensstellung oder die Pfadüberprüfung verwendet wird. Eine vertrauende Seite kann über einen oder mehrere Vertrauensanker verfügen, die von mehr als einer Quelle abgeleitet werden. Ein Vertrauensanker kann der öffentliche Schlüssel der Stammzertifizierungsstelle oder der öffentliche Schlüssel der Zertifizierungsstelle sein, die der vertrauenden Seite ein Endentitätszertifikat ausgibt.
Sicherstellen der Vertrauenskette
Wenn Sie Zertifikate für die zertifikatbasierte Authentifizierung verwenden, stellen Sie sicher, dass beide vertrauenden Parteien über die Zertifikatvertrauenskette (einschließlich der öffentlichen Schlüssel und der Stammzertifizierungsstelle) aller Zertifikate verfügen, die an einer TLS/SSL-basierten Konversation beteiligt sind. In diesem Kontext sind die vertrauenden Parteien:
- Die Intune verwalteten Geräte.
- Die Authentifizierungsdienste, die von WLAN-, VPN- oder Webdiensten verwendet werden.
Wenn das ausstellende Zertifizierungsstellenzertifikat fehlt, kann es von einer vertrauenden Seite über die AIA-Eigenschaft (Authority Information Access) im Zertifikat mithilfe der nativen Zertifikatverkettungs-Engine der Betriebssystemplattform angefordert werden.
Hinweis
Beim Herstellen einer Verbindung mit einer vertrauenden Seite, z. B. einem Wi-Fi-Zugriffspunkt oder VPN-Server, wird zunächst eine TLS/SSL-Verbindung vom verwalteten Intune Gerät hergestellt, wenn versucht wird, eine Verbindung herzustellen. Microsoft Cloud PKI stellt diese TLS/SSL-Zertifikate nicht bereit. Sie müssen diese Zertifikate über einen anderen PKI- oder Zertifizierungsstellendienst abrufen. Daher müssen Sie beim Erstellen eines Wi-Fi- oder VPN-Profils auch ein vertrauenswürdiges Zertifikatprofil erstellen und es verwalteten Geräten zuweisen, um der TLS/SSL-Verbindung zu vertrauen. Das Profil des vertrauenswürdigen Zertifikats muss die öffentlichen Schlüssel für den Stamm und die ausstellenden Zertifizierungsstellen enthalten, die für die Ausstellung des TLS/SSL-Zertifikats verantwortlich sind.
Bereitstellungsoptionen
In diesem Abschnitt werden die Microsoft Intune unterstützten Bereitstellungsoptionen für Microsoft Cloud PKI beschrieben.
Es gibt Methoden zum Bereitstellen von Zertifizierungsstellenzertifikaten für vertrauende Seiten, die nicht von Intune verwaltet werden. Vertrauende Parteien wie Radiusserver, Wi-Fi Zugriffspunkte, VPN-Server und Web-App-Server, die die zertifikatbasierte Authentifizierung unterstützen.
Wenn die vertrauende Seite Mitglied einer Active Directory-Domäne ist, verwenden Sie Gruppenrichtlinie, um Zertifizierungsstellenzertifikate bereitzustellen. Weitere Informationen finden Sie unter:
- Verteilen von Zertifikaten an Clientcomputer mithilfe von Gruppenrichtlinie
- Automatisches Registrieren eines Windows-Geräts mit Gruppenrichtlinie
Wenn die vertrauende Seite kein Mitglied von Active Directory-Domäne ist, stellen Sie sicher, dass die Vertrauenskette des Zertifizierungsstellenzertifikats für den Microsoft Cloud PKI Stamm und die ausstellende Zertifizierungsstelle im Sicherheitsspeicher der vertrauenden Seite installiert ist. Der geeignete Sicherheitsspeicher hängt von der Betriebssystemplattform und der Hostinganwendung ab, die den Dienst bereitstellt.
Berücksichtigen Sie auch die Softwarekonfiguration der vertrauenden Seite, die zur Unterstützung anderer Zertifizierungsstellen erforderlich ist.
Option 1: Microsoft Cloud PKI Stammzertifizierungsstelle
Während einer Cloud PKI Bereitstellung der Stammzertifizierungsstelle muss das Cloud PKI Stammzertifikat für alle vertrauenden Seiten bereitgestellt werden. Wenn kein ausstellendes Zertifizierungsstellenzertifikat für eine vertrauende Seite vorhanden ist, kann die vertrauende Seite es automatisch abrufen und installieren, indem die Zertifikatermittlung initiiert wird. Dieser Prozess, der als Certificate Chaining Engine (CCE) bezeichnet wird, ist plattformspezifisch und wird zum Abrufen fehlender übergeordneter Zertifikate verwendet. Die URL des ausstellenden Zertifizierungsstellenzertifikats befindet sich in der AIA-Eigenschaft eines Untergeordneten Zertifikats (das Zertifikat, das für das Gerät mit einer Cloud PKI ausstellenden Zertifizierungsstelle ausgestellt wurde). Eine vertrauende Seite kann die AIA-Eigenschaft verwenden, um zertifikate der übergeordneten Zertifizierungsstelle abzurufen. Der Prozess ähnelt dem Herunterladen von Zertifikatsperrlisten.
Hinweis
Das Android-Betriebssystem erfordert, dass Server eine gesamte Zertifikatkette zurückgeben und keine Zertifikatermittlung nach AIA-Pfaden durchführen. Weitere Informationen finden Sie in der Dokumentation für Android-Entwickler. Stellen Sie sicher, dass Sie die vollständige Zertifikatkette für verwaltete Android-Geräte und vertrauende Seiten bereitstellen.
Intune verwalteten Geräte erfordern unabhängig von der Betriebssystemplattform die folgende Zertifikatvertrauenskette der Zertifizierungsstelle.
| Zertifikattyp der Zertifizierungsstelle | Zertifikatvertrauenskette der Zertifizierungsstelle | Bereitstellungsmethode |
|---|---|---|
| Cloud PKI ZS-Zertifikat | Zertifikat der Stammzertifizierungsstelle erforderlich, Ausstellen der Zertifizierungsstelle optional, aber empfohlen | Intune vertrauenswürdigen Zertifikatkonfigurationsprofils |
| Zertifikat einer privaten Zertifizierungsstelle | Zertifikat der Stammzertifizierungsstelle erforderlich. Das Ausstellen eines Zertifizierungsstellenzertifikats ist optional, wird jedoch empfohlen. | Intune vertrauenswürdigen Zertifikatkonfigurationsprofils |
Vertrauende Seiten erfordern die folgende Zertifikatvertrauenskette der Zertifizierungsstelle.
| Zertifikattyp der Zertifizierungsstelle | Zertifikatvertrauenskette der Zertifizierungsstelle | Bereitstellungsmethode |
|---|---|---|
| Cloud PKI ZS-Zertifikat | Zertifikat der Stammzertifizierungsstelle erforderlich, Ausstellen der Zertifizierungsstelle optional, aber empfohlen | Wenn der Server oder Dienst der vertrauenden Seite ein Mitgliedsserver in der Active Directory-Domäne (AD) ist, verwenden Sie Gruppenrichtlinie, um Zertifizierungsstellenzertifikate bereitzustellen. Wenn es sich nicht in der AD-Domäne befindet, ist möglicherweise eine manuelle Installationsmethode erforderlich. |
| Zertifikat einer privaten Zertifizierungsstelle | Zertifikat der Stammzertifizierungsstelle erforderlich, Ausstellen des Zertifizierungsstellenzertifikats optional, aber empfohlen | Wenn der Server oder Dienst der vertrauenden Seite ein Mitgliedsserver in der Active Directory-Domäne (AD) ist, verwenden Sie Gruppenrichtlinie, um Zertifizierungsstellenzertifikate bereitzustellen. Wenn es sich nicht in der AD-Domäne befindet, ist möglicherweise eine manuelle Installationsmethode erforderlich. |
Das folgende Diagramm zeigt Zertifikate in Aktion für Client und vertrauende Seiten.
Das folgende Diagramm zeigt die entsprechenden Vertrauensketten für Zertifizierungsstellenzertifikate, die sowohl auf verwalteten Geräten als auch auf vertrauenden Seiten bereitgestellt werden müssen. Die Zertifizierungsstellen-Vertrauensketten stellen sicher Cloud PKI Zertifikate, die für Intune verwaltete Geräte ausgestellt wurden, vertrauenswürdig sind und für die Authentifizierung bei vertrauenden Parteien verwendet werden können.
Option 2: Bring Your Own Ca (BYOCA)
Während einer Bereitstellung ihrer eigenen Zertifizierungsstelle benötigt das Intune verwaltete Gerät die folgenden Zertifizierungsstellenzertifikate:
- Die Vertrauenskette der privaten Zertifizierungsstelle, einschließlich des Stammzertifikats und der ausstellenden Zertifizierungsstelle, die für das Signieren der BYOCA-CSR zuständig ist.
- Das BYOCA-ausstellende Zertifizierungsstellenzertifikat.
Alle vertrauenden Seiten sollten bereits über die Zertifikatkette der privaten Zertifizierungsstelle verfügen.
Intune verwalteten Geräte erfordern unabhängig von der Betriebssystemplattform die folgende Zertifikatvertrauenskette der Zertifizierungsstelle.
| Zertifikattyp der Zertifizierungsstelle | Zertifikatvertrauenskette der Zertifizierungsstelle | Bereitstellungsmethode |
|---|---|---|
| Cloud PKI ZS-Zertifikat | Ausstellen einer Zertifizierungsstelle optional, aber empfohlen | Intune vertrauenswürdigen Zertifikatkonfigurationsprofils |
| Zertifikat einer privaten Zertifizierungsstelle | Zertifikat der Stammzertifizierungsstelle erforderlich, Ausstellen der Zertifizierungsstelle optional, aber empfohlen | Intune vertrauenswürdigen Zertifikatkonfigurationsprofils |
Die vertrauende Seite sollte bereits über die Zertifikatkette der privaten Zertifizierungsstelle verfügen. Das BYOCA-Zertifikat, das die Zertifizierungsstelle ausstellt, sollte jedoch auch für vertrauende Seiten bereitgestellt werden. Wenn die vertrauende Seite ein Mitgliedsserver in Active Directory-Domäne ist, verwenden Sie GPO als Bereitstellungsmethode.
Hinweis
Wenn das Cloud PKI BYOCA-Zertifikat der ausstellenden Zertifizierungsstelle nicht auf der Plattform der vertrauenden Seite bereitgestellt wird, kann die AIA-Eigenschaft (URL) des Cloud PKI ausgestellten SCEP-Zertifikats (Endentität/Blattzertifikat) von der CCE der vertrauenden Seite verwendet werden, um das Cloud PKI byoca ausstellende Zertifizierungsstellenzertifikat (public-key) in ihrem Vertrauensspeicher anzufordern und zu installieren. Dieses Verhalten ist jedoch nicht garantiert und hängt von jeder Betriebssystem-/Plattformimplementierung der CCE ab. Es ist eine bewährte Methode, das BYOCA-Zertifikat für die ausstellende Zertifizierungsstelle für das verwaltete Gerät und die vertrauende Seite bereitzustellen.
Vertrauende Seiten vertrauen dem Cloud PKI von BYOCA ausgestellten SCEP-Zertifikat auf das verwaltete Gerät, da es mit der privaten Vertrauenskette der Zertifizierungsstelle verkettet ist, die bereits auf der vertrauenden Seite vorhanden ist.
Das folgende Diagramm veranschaulicht, wie die entsprechenden Zertifikatvertrauensketten der Zertifizierungsstelle auf Intune verwalteten Geräten bereitgestellt werden.
* In diesem Diagramm bezieht sich privat auf den Active Directory-Zertifikatdienst oder einen Nicht-Microsoft-Dienst.
Zusammenfassung
Cloud PKI stamm- und ausstellenden Zertifizierungsstellen sowie byoca, die an einer privaten Zertifizierungsstelle verankert sind, können im selben Mandanten vorhanden sein, da Cloud PKI beide Bereitstellungsmodelle gleichzeitig unterstützen kann.
Bevor Sie mit einer Bereitstellung beginnen und Zertifikate ausstellen, bestimmen Sie den Speicherort des Stammvertrauensankers. Es kann sich in der Cloud PKI Stammzertifizierungsstelle oder in der privaten Stammzertifizierungsstelle befinden. Der Standort bestimmt die Zertifikatvertrauenskette, die sowohl für Intune verwaltete Geräte als auch für die vertrauenden Seiten erforderlich ist.
- Cloud PKI Stammzertifizierungsstelle: Sie müssen die Cloud PKI Zertifikatvertrauenskette, die aus den stamm- & ausstellenden öffentlichen Schlüsseln der Zertifizierungsstelle besteht, für alle vertrauenden Seiten bereitstellen.
- Cloud PKI BYOCA- ausstellende Zertifizierungsstelle mit einer privaten Stammzertifizierungsstelle: Die vertrauenswürdige Kette des Zertifikats der privaten Zertifizierungsstelle, die aus der Stammzertifizierungsstelle und der ausstellenden Zertifizierungsstelle besteht, sollte bereits auf vertrauenden Seiten in Ihrer gesamten Infrastruktur bereitgestellt werden. Obwohl nicht erforderlich, wird empfohlen, ein Cloud PKI BYOCA ausstellenden Zertifizierungsstellenzertifikat zu erstellen.