Compartir a través de

PKI en la nube de Microsoft aspectos básicos

PKI en la nube de Microsoft es una característica de Intune Suite que le permite, como profesional de TI, administrar la infraestructura de clave pública (PKI) en la nube. Puede crear, configurar y administrar sus propias entidades de certificación (CA) y certificados sin tener que instalar y mantener la infraestructura local. El servicio PKI en la nube de Microsoft se integra con Microsoft Entra ID y Microsoft Intune para proporcionar administración de identidades y dispositivos para sus aplicaciones y dispositivos basados en la nube.

En este artículo se describen los conceptos y aspectos básicos de PKI que necesita saber al configurar PKI en la nube de Microsoft. Se recomienda revisar toda la información antes de configurar el servicio de PKI en la nube de Microsoft en el inquilino de Intune.

Tipos de entidad de certificación

Una entidad de certificación realiza las siguientes tareas:

  • Comprueba la identidad de un solicitante de certificado
  • Emite certificados a los solicitantes
  • Administra la revocación de certificados

PKI en la nube de Microsoft admite estos tipos de entidades de certificación:

  • Entidad de certificación raíz
  • Entidad de certificación emisora

Entidad de certificación raíz

Una entidad de certificación raíz (CA) es la entidad de certificación más alta de una jerarquía de ca. En una PKI, la ENTIDAD de certificación raíz actúa como punto de confianza para los certificados emitidos por ca en la jerarquía. El certificado se considera de confianza si se puede realizar un seguimiento a través de la jerarquía de ca a una CA raíz de confianza para un usuario, equipo, dispositivo de red o servicio.

Una ENTIDAD de certificación raíz es única en que su certificado se emite por sí mismo, lo que significa que el nombre del emisor y el nombre del firmante del certificado contienen el mismo nombre distintivo. La única manera de comprobar si un certificado raíz es válido o no es incluir el certificado de ca raíz en un almacén raíz de confianza. El almacén raíz de confianza contiene el certificado de ca raíz real para designar que el certificado es de confianza.

La CA raíz puede emitir certificados a otras ENTIDADes de certificación o a usuarios, equipos, dispositivos de red o servicios de la red. Cuando la entidad de certificación raíz emite un certificado a otra entidad, el certificado de ca raíz firma el certificado con su clave privada. La firma protege contra la modificación de contenido e indica que la entidad de certificación raíz emitió el certificado.

Importante

PKI en la nube de Microsoft solo emite certificados a dispositivos de red inscritos en MDM.

Entidad de certificación emisora

Nota:

Los términos intermedio, emisor y subordinado son todas las etiquetas intercambiables que se usan para hacer referencia al mismo rol dentro de una estructura de CA. PKI en la nube de Microsoft usa el término que emite para describir este tipo de ENTIDAD de certificación.

Una ENTIDAD de certificación emisora es una entidad de certificación que está subordinada a otra entidad de certificación y puede:

  • Emita certificados a otras ENTIDADes de certificación en la jerarquía de ca.
  • Emita certificados hoja a una entidad final, como un servidor, servicio, cliente o dispositivo.

La entidad de certificación emisora puede existir en cualquier nivel de la jerarquía de ca, excepto en el nivel de entidad de certificación raíz.

Encadenamiento

El encadenamiento es el proceso de averiguar cuál es la mejor ruta de confianza para cualquier certificado determinado que tenga que comprobarse y confiar. Cada sistema operativo o servicio realiza este proceso de cálculo, lo que generalmente se conoce como motor de cadena de certificados.

El proceso de creación de cadenas consta de:

  • Detección de certificados: busque el certificado de entidad de certificación emisora de un certificado hoja de entidad final hasta el certificado de ca raíz de confianza.
  • Validación de certificados: crea todas las cadenas de certificados posibles. Valida todos los certificados de la cadena con respecto a varios parámetros, como nombre, hora, firma, revocación y otras restricciones potencialmente definidas.
  • Devuelve la cadena de mejor calidad.

Cuando se presenta un certificado para la comprobación, un motor de cadena de certificados recorre su almacén de certificación y selecciona los candidatos de certificado intermedio y raíz. Podría requerir más de un certificado intermedio para formar una cadena completa.

El motor de la cadena de certificados intenta seleccionar certificados mediante el identificador de clave de firmante (SKI) y el identificador de clave de autoridad (AKI). Un certificado de entidad final emitido por una CA de Microsoft contiene la AKI, por lo que el motor de la cadena de certificados tiene que seleccionar un certificado intermedio con un SKI coincidente. El proceso se repite hasta que se enumera un certificado autofirmado.

Proceso de validación de cadena

Nota:

La compatibilidad con los métodos de validación de la cadena de certificados varía según la plataforma del sistema operativo. En esta sección se describen los métodos admitidos en dispositivos que ejecutan Windows 10 o posterior.

En Windows, hay tres procesos de validación de cadena: coincidencia exacta, coincidencia de clave y coincidencia de nombre.

  • Coincidencia exacta: si la extensión AKI contiene el asunto del emisor, el número de serie del emisor y KeyID, solo se eligen los certificados primarios que coincidan con su asunto, número de serie y KeyID en el proceso de creación de la cadena.

  • Coincidencia de clave: si la extensión AKI contiene solo el KeyID, solo se eligen como emisores válidos los certificados que contienen un KeyID coincidente en la extensión de identificador de clave de firmante (SKI).

  • Coincidencia de nombre: la coincidencia de nombres se produce cuando no existe información en la AKI o si la extensión AKI no está en el certificado. En este caso, el nombre del firmante del certificado del emisor debe coincidir con el atributo issuer del certificado actual.

En el caso de los certificados que no contienen campos SKI y AKI, el motor de encadenamiento intenta usar la coincidencia de nombres para compilar una cadena. Cuando tiene dos certificados con el mismo nombre, se selecciona el más reciente.

La detección de certificados se inicia cuando el elemento primario inmediato no es local en el equipo. El cliente usa este proceso para recuperar los certificados primarios que faltan. Las direcciones URL que se muestran en el campo de acceso a la información de entidad de certificación del certificado se analizan y se usan para recuperar certificados de entidad de certificación primaria. El proceso es similar a la descarga de CRL.

Una vez creada la cadena, se realizan las siguientes comprobaciones en cada certificado de la cadena:

  • Compruebe que tiene el formato y la firma correctos. Realice una comprobación hash del certificado.
  • Compruebe los campos de yhacia en el certificado para asegurarse de que no ha expirado.
  • Compruebe si se revoca el certificado.
  • Compruebe que la cadena finaliza en un certificado que se encuentra en el almacén raíz de confianza.

El certificado y su cadena se consideran válidos una vez completadas todas las comprobaciones y vuelven a realizarse correctamente.

Una cadena de certificados con una lista ordenada de certificados permite al usuario de confianza comprobar que un remitente es de confianza. Funciona de ambas maneras, de cliente a servidor y de servidor a cliente.

En el diagrama siguiente se muestra el flujo de validación de la cadena que coincide con el nombre .

Diagrama del proceso de validación de la cadena mediante el método de coincidencia de nombre.

Garantizar una cadena de confianza

Cuando se usan certificados para realizar la autenticación basada en certificados, debe asegurarse de que ambos usuarios de confianza tengan la cadena de confianza del certificado de entidad de certificación (claves públicas). En este caso, los usuarios de confianza son el dispositivo administrado Intune y el punto de acceso de autenticación, como Wi-Fi, VPN o servicio web.

La entidad de certificación raíz debe estar presente. Si el certificado de ca emisora no está presente, el usuario de confianza puede solicitarlo mediante el motor de cadena de certificados nativo para la plataforma del sistema operativo prevista. El usuario de confianza puede solicitar el certificado de entidad de certificación emisora mediante la propiedad de acceso a la información de autoridad del certificado hoja.

Diagrama de la cadena del proceso de validación.

Autenticación basada en certificados

En esta sección se proporciona un conocimiento básico de los distintos certificados que se usan cuando un cliente o dispositivo realiza la autenticación basada en certificados.

En los pasos siguientes se describe el protocolo de enlace que tiene lugar entre un cliente y un servicio de usuario de confianza durante la autenticación basada en certificados.

  1. El cliente emite algún tipo de paquete hello al usuario de confianza.
  2. El usuario de confianza responde, indicando que desea comunicarse a través de TLS/SSL seguro. El cliente y el usuario de confianza realizan el protocolo de enlace SSL y se establece un canal seguro.
  3. El usuario de confianza solicita que se use un certificado para la autenticación de cliente.
  4. El cliente presenta su certificado de autenticación de cliente al usuario de confianza para autenticarse.

Diagrama de un protocolo de enlace entre un cliente y un servicio de usuario de confianza.

En un entorno sin PKI en la nube de Microsoft, una ENTIDAD de certificación privada es responsable de emitir el certificado TLS/SSL usado por el usuario de confianza y el certificado de autenticación de cliente de dispositivo. PKI en la nube de Microsoft se puede usar para emitir el certificado de autenticación de cliente de dispositivo, reemplazando de forma eficaz la entidad de certificación privada para esta tarea específica.