Freigeben über

Microsoft Cloud PKI Grundlagen

Microsoft Cloud PKI ist ein Intune Suite-Feature, mit dem Sie als IT-Experte Ihre Public Key-Infrastruktur (PKI) in der Cloud verwalten können. Sie können Ihre eigenen Zertifizierungsstellen und Zertifikate erstellen, konfigurieren und verwalten, ohne eine lokale Infrastruktur installieren und verwalten zu müssen. Der Microsoft Cloud PKI-Dienst kann in Microsoft Entra ID und Microsoft Intune integriert werden, um Identitäts- und Geräteverwaltung für Ihre cloudbasierten Geräte und Apps bereitzustellen.

In diesem Artikel werden die PKI-Grundlagen und -Konzepte beschrieben, die Sie kennen müssen, wenn Sie Microsoft Cloud PKI konfigurieren. Es wird empfohlen, alle Informationen zu überprüfen, bevor Sie den Microsoft Cloud PKI-Dienst in Ihrem Intune-Mandanten konfigurieren.

Zertifizierungsstellentypen

Eine Zertifizierungsstelle führt die folgenden Aufgaben aus:

  • Überprüft die Identität eines Zertifikatantragstellers.
  • Stellt Zertifikate für Anforderer aus
  • Verwaltet die Zertifikatsperrung

Microsoft Cloud PKI unterstützt diese Arten von Zertifizierungsstellen:

  • Stammzertifizierungsstelle
  • Ausstellende Zertifizierungsstelle

Stammzertifizierungsstelle

Eine Stammzertifizierungsstelle (Ca) ist die oberste Zertifizierungsstelle in einer Zertifizierungsstellenhierarchie. In einer PKI fungiert die Stammzertifizierungsstelle als Vertrauenspunkt für Zertifikate, die von Zertifizierungsstellen in der Hierarchie ausgestellt werden. Das Zertifikat gilt als vertrauenswürdig , wenn es über die Zertifizierungsstellenhierarchie zu einer Stammzertifizierungsstelle nachverfolgt werden kann, die von einem Benutzer, Computer, Netzwerkgerät oder Dienst als vertrauenswürdig eingestuft wird.

Eine Stammzertifizierungsstelle ist eindeutig, da ihr Zertifikat selbst ausgestellt ist, was bedeutet, dass der Ausstellername und der Antragstellername des Zertifikats denselben Distinguished Name enthalten. Die einzige Möglichkeit, um zu überprüfen, ob ein Stammzertifikat gültig ist oder nicht, besteht darin, das Zertifikat der Stammzertifizierungsstelle in einen vertrauenswürdigen Stammspeicher einzuschließen. Der vertrauenswürdige Stammspeicher enthält das tatsächliche Zertifikat der Stammzertifizierungsstelle, um festzulegen, dass das Zertifikat vertrauenswürdig ist.

Die Stammzertifizierungsstelle kann Zertifikate für andere Zertifizierungsstellen oder für Benutzer, Computer, Netzwerkgeräte oder Dienste im Netzwerk ausstellen. Wenn die Stammzertifizierungsstelle ein Zertifikat an eine andere Entität ausgibt, signiert das Zertifikat der Stammzertifizierungsstelle das Zertifikat mit seinem privaten Schlüssel. Die Signatur schützt vor Inhaltsänderungen und gibt an, dass die Stammzertifizierungsstelle das Zertifikat ausgestellt hat.

Wichtig

Microsoft Cloud PKI nur Zertifikate für Netzwerkgeräte aus, die MDM-registriert sind.

Ausstellende Zertifizierungsstelle

Hinweis

Die Begriffe "Zwischen", "Ausgabe" und " Untergeordneter " sind austauschbare Bezeichnungen, die verwendet werden, um auf dieselbe Rolle innerhalb einer Zertifizierungsstellenstruktur zu verweisen. Microsoft Cloud PKI verwendet den Begriff Ausgabe, um diese Art von Zertifizierungsstelle zu beschreiben.

Eine ausstellende Zertifizierungsstelle ist eine Zertifizierungsstelle, die einer anderen Zertifizierungsstelle untergeordnet ist und eine der folgenden Aktionen ausführen kann:

  • Stellen Sie Zertifikate für andere Zertifizierungsstellen in der Zertifizierungsstellenhierarchie aus.
  • Stellen Sie Blattzertifikate für eine Endentität aus, z. B. für einen Server, einen Dienst, einen Client oder ein Gerät.

Die ausstellende Zertifizierungsstelle kann auf jeder Ebene in der Zertifizierungsstellenhierarchie vorhanden sein, mit Ausnahme der Stammzertifizierungsstelle.

Verkettung

Verkettung ist der Prozess, bei dem ermittelt wird, welcher Der beste Vertrauenspfad für jedes bestimmte Zertifikat ist, das überprüft und vertrauenswürdig sein muss. Jedes Betriebssystem oder jeder Dienst führt diesen Berechnungsprozess aus, der im Allgemeinen als Zertifikatketten-Engine bezeichnet wird.

Der Prozess der Kettenerstellung besteht aus:

  • Zertifikatermittlung: Nachschlagen des ausstellenden Zertifizierungsstellenzertifikats eines Endentitätsblattzertifikats bis zum Zertifikat der vertrauenden Stammzertifizierungsstelle.
  • Zertifikatüberprüfung: Erstellt alle möglichen Zertifikatketten. Überprüft jedes Zertifikat in der Kette in Bezug auf verschiedene Parameter wie Name, Uhrzeit, Signatur, Sperrung und potenziell andere definierte Einschränkungen.
  • Gibt die kette mit der besten Qualität zurück.

Wenn ein Zertifikat zur Überprüfung vorgelegt wird, durchläuft eine Zertifikatketten-Engine ihren Zertifizierungsspeicher und wählt die Kandidaten für Zwischen- und Stammzertifikate aus. Es kann mehr als ein Zwischenzertifikat erfordern, um eine vollständige Kette zu bilden.

Die Zertifikatketten-Engine versucht, Zertifikate mithilfe des Antragstellerschlüsselbezeichners (Subject Key Identifier, SKI) und des Autoritätsschlüsselbezeichners (AKI) auszuwählen. Ein von einer Microsoft-Zertifizierungsstelle ausgestelltes Endentitätszertifikat enthält die AKI, sodass die Zertifikatketten-Engine ein Zwischenzertifikat mit einem übereinstimmenden SKI auswählen muss. Der Vorgang wird wiederholt, bis ein selbstsigniertes Zertifikat aufgezählt wird.

Prozess der Kettenvalidierung

Hinweis

Die Unterstützung für die Überprüfungsmethoden der Zertifikatkette variiert je nach Betriebssystemplattform. In diesem Abschnitt werden die Methoden beschrieben, die auf Geräten mit Windows 10 oder höher unterstützt werden.

Unter Windows gibt es drei Kettenvalidierungsprozesse: exakte Übereinstimmung, Schlüsselgleich und Namensgleich.

  • Genaue Übereinstimmung: Wenn die AKI-Erweiterung den Betreff, die Seriennummer des Ausstellers und die KeyID des Ausstellers enthält, werden im Prozess zur Erstellung der Kette nur übergeordnete Zertifikate ausgewählt, die mit dem Antragsteller, der Seriennummer und der KeyID übereinstimmen.

  • Schlüsselabgleich: Wenn die AKI-Erweiterung nur die KeyID enthält, werden nur Zertifikate, die eine übereinstimmende KeyID in der Ski-Erweiterung (Subject Key Identifier) enthalten, als gültige Aussteller ausgewählt.

  • Namensabgleich: Der Namensabgleich erfolgt, wenn keine Informationen in der AKI vorhanden sind oder wenn die AKI-Erweiterung nicht im Zertifikat enthalten ist. In diesem Fall muss der Antragstellername des Ausstellerzertifikats mit dem Ausstellersattribut des aktuellen Zertifikats übereinstimmen.

Für Zertifikate, die keine SKI- und AKI-Felder enthalten, versucht die Verkettungs-Engine, den Namensabgleich zum Erstellen einer Kette zu verwenden. Wenn Sie über zwei Zertifikate mit demselben Namen verfügen, wird das neuere ausgewählt.

Die Zertifikatermittlung wird initiiert, wenn sich das unmittelbare übergeordnete Element nicht lokal auf dem Computer befindet. Der Client verwendet diesen Prozess, um fehlende übergeordnete Zertifikate abzurufen. Die urLs, die im Feld zugriff auf Autoritätsinformationen des Zertifikats angezeigt werden, werden analysiert und zum Abrufen übergeordneter Zertifizierungsstellenzertifikate verwendet. Der Prozess ähnelt dem Herunterladen von Zertifikatsperrlisten.

Nachdem die Kette erstellt wurde, werden die folgenden Überprüfungen für jedes Zertifikat in der Kette durchgeführt:

  • Überprüfen Sie, ob sie ordnungsgemäß formatiert und signiert ist. Führen Sie eine Hashprüfung des Zertifikats durch.
  • Überprüfen Sie die Felder from und to im Zertifikat, um sicherzustellen, dass es nicht abgelaufen ist.
  • Überprüfen Sie, ob das Zertifikat widerrufen wurde.
  • Überprüfen Sie, ob die Kette in einem Zertifikat endet, das sich im vertrauenswürdigen Stammspeicher befindet.

Das Zertifikat und seine Kette gelten nach Abschluss aller Überprüfungen als gültig und kehren erfolgreich zurück.

Eine Zertifikatkette mit einer sortierten Liste von Zertifikaten ermöglicht es der vertrauenden Seite, zu überprüfen, ob ein Absender vertrauenswürdig ist. Es funktioniert in beiden Arten, von Client zu Server und Server-zu-Client.

Das folgende Diagramm veranschaulicht den Ablauf der Überprüfung der Namensabgleichskette .

Diagramm des Prozesses der Kettenvalidierung mit der Methode zur Namensüberstimmung.

Sicherstellen einer Vertrauenskette

Wenn Sie Zertifikate für die zertifikatbasierte Authentifizierung verwenden, müssen Sie sicherstellen, dass beide vertrauenden Seiten über die Vertrauenskette des Zertifizierungsstellenzertifikats (öffentliche Schlüssel) verfügen. In diesem Fall sind die vertrauenden Parteien die Intune verwalteten Gerät und der Authentifizierungszugriffspunkt, z. B. WLAN, VPN oder Webdienst.

Die Stammzertifizierungsstelle muss vorhanden sein. Wenn das ausstellende Zertifizierungsstellenzertifikat nicht vorhanden ist, kann es von der vertrauenden Seite mithilfe der nativen Zertifikatketten-Engine für die beabsichtigte Betriebssystemplattform angefordert werden. Die vertrauende Seite kann das ausstellende Zertifizierungsstellenzertifikat mithilfe der Zugriffseigenschaft für Autoritätsinformationen des Blattzertifikats anfordern.

Diagramm der Kette des Validierungsprozesses.

Zertifikatbasierte Authentifizierung

Dieser Abschnitt enthält grundlegende Informationen zu den verschiedenen Zertifikaten, die verwendet werden, wenn ein Client oder Gerät eine zertifikatbasierte Authentifizierung durchführt.

In den folgenden Schritten wird der Handshake beschrieben, der zwischen einem Client und einem Dienst der vertrauenden Seite während der zertifikatbasierten Authentifizierung stattfindet.

  1. Der Client gibt eine Form des Hallo-Pakets an die vertrauende Seite aus.
  2. Die vertrauende Seite antwortet und gibt an, dass sie über sicheres TLS/SSL kommunizieren möchte. Der Client und die vertrauende Seite führen den SSL-Handshake aus, und ein sicherer Kanal wird eingerichtet.
  3. Die vertrauende Seite fordert die Verwendung eines Zertifikats für die Clientauthentifizierung an.
  4. Der Client stellt sein Clientauthentifizierungszertifikat der vertrauenden Seite zur Authentifizierung vor.

Diagramm eines Handshakes zwischen einem Client und dem Dienst der vertrauenden Seite.

In einer Umgebung ohne Microsoft Cloud PKI ist eine private Zertifizierungsstelle dafür verantwortlich, sowohl das TLS/SSL-Zertifikat auszustellen, das von der vertrauenden Seite verwendet wird, als auch das Authentifizierungszertifikat des Geräteclients. Microsoft Cloud PKI können verwendet werden, um das Authentifizierungszertifikat des Geräteclients ausstellen und die private Zertifizierungsstelle für diese spezifische Aufgabe effektiv zu ersetzen.