Compartir a través de

Configuración de PKI en la nube de Microsoft: Traiga su propia entidad de certificación

En este artículo se describe cómo configurar PKI en la nube de Microsoft para Intune con su propia entidad de certificación (CA). El modelo de implementación de bring your own CA (BYOCA) compatible con Intune le permite crear y delimitar una entidad de certificación emisora privada en la nube en la entidad de certificación local o privada. La entidad de certificación privada se puede componer de jerarquías de CA N+1.

Requisitos previos

Para obtener más información sobre cómo preparar el inquilino para PKI en la nube de Microsoft, incluidos los conceptos y requisitos clave, consulte:

Control de acceso basado en roles

La cuenta que use para iniciar sesión en el centro de administración de Microsoft Intune debe tener permiso para crear una entidad de certificación (CA). La cuenta de administrador de Microsoft Entra Intune (también conocida como administrador de servicios de Intune) tiene los permisos integrados adecuados para crear CA. Como alternativa, puede asignar permisos de ca de PKI en la nube a un usuario administrador. Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.

Paso 1: Creación de una entidad de certificación emisora y una solicitud de firma de certificado

Cree una entidad de certificación emisora en el centro de administración de Microsoft Intune.

  1. Vaya a Administración> de inquilinos PKI en la nube y seleccione Crear.

    Imagen de la página PKI en la nube del centro de administración de Microsoft Intune, que resalta la ruta de acceso para crear una ca raíz de PKI en la nube.

  2. En Aspectos básicos, escriba las siguientes propiedades:

    • Nombre: escriba un nombre descriptivo para el objeto de CA. Asígnele un nombre para que pueda identificarlo fácilmente más adelante. Ejemplo: Entidad de certificación de emisión BYOCA de Contoso
    • Descripción: escriba una descripción para el objeto ca. Esta configuración es opcional pero recomendada. Ejemplo: PKI en la nube entidad de certificación emisora mediante bring-your-own-root-CA anclada a una entidad de certificación emisora de ADCS local

  3. Seleccione Siguiente para continuar con Configuración.

  4. Seleccione el tipo de entidad de certificación y el origen de ca raíz.

    Administración centro que muestra la configuración de origen de CA raíz del tipo de CA para traer su propia PKI en la nube de CA.

    Configure los siguientes valores para la entidad de certificación emisora:

    • Tipo de CA: seleccione Entidad de certificación emisora.
    • Origen de ca raíz: seleccione Bring your own root CA (Traer su propia CA raíz). Esta configuración especifica el origen de ca raíz que delimita la ca emisora.

  5. Omita el período de validez. Esta configuración no está disponible para configurar. La entidad de certificación que usa para firmar la solicitud de firma de certificado BYOCA determina el período de validez.

  6. En Usos de claves extendidas, seleccione cómo piensa usar la CA.

    Imagen de la pestaña Configuración, en la que se muestra la sección Usos de clave extendida para PKI en la nube.

    Para evitar posibles riesgos de seguridad, las CA se limitan a seleccionar el uso. Las opciones son:

    • Tipo: seleccione el propósito de la entidad de certificación. El uso extendido de cualquier clave (2.5.29.37.0) no es para su uso, ya que es demasiado permisivo y un riesgo de seguridad potencial. Para obtener más información, consulte Edición de una plantilla de certificados excesivamente permisivos con EKU con privilegios.
    • Como alternativa, para crear un uso de clave extendida personalizado, escriba el nombre y el identificador de objeto.

  7. En Atributos de sujeto, escriba un nombre común (CN) para la ca emisora.

    Intune centro de administración que muestra PKI en la nube configuración de atributos de asunto.

    Los atributos opcionales incluyen:

    • Organización (O)
    • Unidad organizativa (OU)
    • País (C)
    • Estado o provincia (ST)
    • Localidad (L)

    Para cumplir los estándares de PKI, Intune aplica un límite de dos caracteres para el país o región.

  8. En Cifrado, escriba el tamaño de clave.

    Imagen de la configuración de algoritmo y tamaño de clave en PKI en la nube configuración.

    Las opciones son:

    • RSA-2048

    • RSA-3072

    • RSA-4096

    Esta configuración aplica el tamaño de clave límite superior que se puede usar al configurar un perfil de certificado SCEP de configuración de dispositivo en Intune. Permite seleccionar cualquier tamaño de clave hasta lo que se establece en la ca emisora de PKI en la nube. Tenga en cuenta que no se admite un tamaño de clave 1024 y el hash SHA-1 con PKI en la nube. Sin embargo, no es necesario proporcionar el algoritmo hash. La ENTIDAD de certificación que usa para firmar la CSR determina el algoritmo hash.

  9. Seleccione Siguiente para continuar con Etiquetas de ámbito.

  10. Opcionalmente, puede agregar etiquetas de ámbito para controlar la visibilidad y el acceso a esta ca.

  11. Seleccione Siguiente para continuar con Revisar y crear.

  12. Revise el resumen proporcionado. Cuando esté listo para finalizar todo, seleccione Crear.

    Importante

    No podrá editar estas propiedades después de crear la ca. Seleccione Atrás para editar la configuración y asegurarse de que son correctas y cumplen los requisitos de PKI. Si más adelante necesita agregar un EKU, debe crear una nueva ENTIDAD de certificación.

  13. Vuelva a la lista de entidades de certificación de PKI en la nube de Microsoft en el centro de administración. Seleccione Actualizar para ver la nueva entidad de certificación.

  14. Seleccione la entidad de certificación. En Aspectos básicos, el estado debe leer Firma necesaria.

  15. Vaya a Propiedades.

  16. Seleccione Descargar CSR. Espere mientras Intune descarga un archivo con formato REQ con el nombre de la entidad de certificación. Por ejemplo: Contoso BYOCA Issuing CA.req

Paso 2: Firmar solicitud de firma de certificado

Se requiere una ENTIDAD de certificación privada para firmar el archivo de solicitud de firma de certificado (CSR) que descargó. La ENTIDAD de certificación de firma puede ser una entidad de certificación raíz o emisora desde cualquier nivel de la entidad de certificación privada. Hay dos maneras de firmar:

  • Opción 1: Usar la inscripción web de entidad de certificación, una característica de Servicios de certificados de Active Directory (ADCS). Esta opción proporciona una interfaz web sencilla que le permite realizar tareas específicas del administrador, como solicitar y renovar certificados.

  • Opción 2: Use el archivo ejecutable de la herramienta certreq.exe de línea de comandos de Windows ADCS.

En la tabla siguiente se enumeran los identificadores de objeto (OID) admitidos para firmar los certificados usados en las implementaciones byoca.

Propiedad subject name Identificador de objeto
Nombre común (CN) OID.2.5.4.3
Organización (O) OID.2.5.4.10
Unidad organizativa (UO) OID.2.5.4.11
Localidad (L) OID.2.5.4.7
Estado (ST) o provincia OID.2.5.4.8
País (C) OID.2.5.4.6
Título (T) OID.2.5.4.12
Número de serie OID.2.5.4.5
Email (E) OID.1.2.840.113549.1.9.1
Componente de dominio (DC) OID.0.9.2342.19200300.100.1.25
Street OID.2.5.4.9
Nombre de pila OID.2.5.4.42
Initials OID.2.5.4.43
Código postal OID.2.5.4.17
Calificador de nombre distintivo OID.2.5.4.46

Para obtener más información sobre la firma de certificados, consulte la documentación de ayuda proporcionada por la entidad de certificación.

Opción 1: Inscripción web de entidad de certificación

Para completar estos pasos, use notepad.exe en un dispositivo Windows o un programa equivalente en macOS.

  1. Abra el archivo REQ que descargó después de crear la entidad de certificación emisora. Copie (CTRL + C) el contenido del archivo.

  2. Abra un explorador en un dispositivo que tenga acceso al host web que ejecuta la inscripción web de CA. Por ejemplo: https://WebSrv_running_CAWebEnrollment/certsrv

  3. Seleccione Solicitar un certificado.

  4. Seleccione solicitud de certificado avanzada.

  5. Pegue el contenido que copió anteriormente en el área Solicitud guardada .

  6. En Plantilla de certificado, seleccione Entidad de certificación subordinada.

    Nota:

    La plantilla de ENTIDAD de certificación subordinada debe publicarse y estar disponible en la entidad de certificación que firma el certificado. Abra certsrv.msc: consola de administración de entidad de certificación en el dispositivo para ver las plantillas de certificado disponibles.

  7. Seleccione Enviar para continuar.

  8. En Certificado emitido, elija DER codificado o Codificado en base 4. PKI en la nube admite ambos formatos de archivo. A continuación, complete estos pasos:

    1. Seleccione Descargar certificado. El archivo de certificado se descarga y guarda como certnew.cer.

    2. Seleccione Descargar cadena de certificados. Se descarga el certificado firmado, incluida la cadena de certificados completa, la entidad de certificación raíz y cualquier certificado de ENTIDAD de certificación intermedia o emisora en la jerarquía de CA privada. El archivo se guarda como certnew.p7b.

    Intune requiere que ambos archivos habiliten la entidad de certificación emisora para PKI en la nube BYOCA.

  9. Continúe con Upload signed certificate (Cargar certificado firmado) para habilitar la entidad de certificación emisora de BYOCA en este artículo.

Nota:

Si usa el centro de administración y la consola de inscripción web de CA de 2 estaciones de trabajo diferentes, deberá copiar o tener acceso a los dos archivos de certificación desde la estación de trabajo del centro de administración.

Opción 2: Herramienta de línea de comandos de Windows ADCS

Use la herramienta de línea de comandoscertreq.exepara enviar una solicitud de certificado a una CA, en la que puede especificar la plantilla de certificado y la entidad de certificación de firma. El archivo REQ que descargó anteriormente debe estar en la máquina Windows donde ejecuta la herramienta de línea de comandos.

Puede usar la siguiente sintaxis en la línea de comandos para enviar una solicitud de certificado con la plantilla seleccionada y la entidad de certificación de firma:

certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>

Reemplace las variables en el comando como se indica a continuación:

  1. Reemplace <template_name> por el nombre de la plantilla de certificado que desea usar.

  2. Reemplace <CA_server_name><CA_name> por el nombre del servidor de CA y el nombre de la entidad de certificación, respectivamente, que desea usar para firmar la solicitud de certificado.

No se necesita ninguna acción para <request_file> y <response_file>. Se reemplazarán por el nombre del archivo que contiene la solicitud de certificado y el nombre del archivo que contiene la respuesta de la entidad de certificación, respectivamente.

En los ejemplos siguientes se describe cómo enviar una solicitud de certificado mediante la plantilla de entidad de certificación subordinada y cómo firmarla.

  • Ejemplo 1: La ENTIDAD de certificación de firma, ContosoCA, se ejecuta en un servidor denominado CA-Server. Puede usar el siguiente comando:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer

  • Ejemplo 2: La entidad de certificación de firma se denomina CaleroCorp SubCA (US) que se ejecuta en un servidor denominado Win2k16-subCA. Puede usar el siguiente comando:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"

  • Ejemplo 3: Como alternativa, si se ejecuta certreq.exe sin parámetros, Windows le pide que identifique primero el archivo REQ. Este enfoque usa la interfaz de usuario de Windows para guiarte a través del proceso de firma.

Además del certificado firmado, necesita la cadena de claves completa de la ca privada. La cadena de claves completa incluye la entidad de certificación raíz y todas las CA intermedias, emisoras o subordinadas de la cadena. Use la siguiente sintaxis en la herramienta de línea de comandos para exportar la cadena de claves completa a un archivo P7B:

certutil [options] -ca.chain OutCACertChainFile [Index]

Ejecute el comando desde un equipo unido a un dominio de Windows con acceso de red a ADCS. Por ejemplo:

certutil -ca.chain c:\temp\fullChain.p7b

Para ver la cadena exportada y comprobar que la exportación se produjo en el Explorador de archivos de Windows:

  1. Vaya a la ubicación de la ruta de acceso donde se exportó el archivo.
  2. Haga doble clic en el archivo para abrirlo.

En el archivo, debería ver la cadena completa, incluidas las ENTIDADes de certificación raíz e intermedias.

Nota:

Como alternativa, puede usar certmgr.msc o certlm.msc exportar la clave pública individual para cada ca de la cadena de CA privada. Cada uno de estos archivos tiene una extensión CER.

Paso 3: Carga de un certificado firmado para habilitar la entidad de certificación emisora byoca

Para completar el proceso necesario de firma de CA de byoca PKI en la nube emisión y habilitar la entidad de certificación en la nube para empezar a emitir certificados para Intune dispositivos administrados, debe tener:

  • Certificado firmado para la entidad de certificación emisora byoca.
  • Cadena completa de la entidad de certificación privada que se usa para firmar la solicitud de certificado.

Para obtener información sobre cómo completar estas tareas, que son necesarias para continuar, consulte Paso 2: Firmar solicitud de firma de certificado. Los archivos deben estar disponibles en la misma máquina donde se ejecuta el centro de administración de Microsoft Intune.

  1. Vuelva a la lista de entidades de certificación de PKI en la nube en el centro de administración. Seleccione una entidad de certificación. Su estado debe leer Firma requerida.

  2. Vaya a Propiedades y seleccione Cargar certificado firmado.

  3. Se abre la ventana Cargar certificado firmado . En Cargar archivo de certificado firmado (.cer, .crt o .pem), seleccione Examinar. Elija el archivo de certificado firmado.

  4. En Cargar una o varias cadenas de certificados de confianza (.cer, .crt .pem o .p7b), arrastre y coloque los archivos o seleccione Examinar para buscar el archivo en el equipo.

  5. Seleccione Guardar y esperar mientras Intune carga el certificado. Podría tardar unos minutos.

  6. Actualice la lista de entidades de certificación. La columna de estado de la entidad de certificación debería aparecer ahora como Activa. El nombre común raíz aparece como ENTIDAD de certificación raíz externa.

    Imagen que muestra la entidad de certificación recién creada en el Centro de administración.

Puede seleccionar la entidad de certificación en la lista para ver las propiedades disponibles. Entre las propiedades se incluyen las siguientes:

  • URI de punto de distribución de lista de revocación de certificados (CRL).

  • URI de acceso a la información de autoridad (AIA).

  • La ca emisora de PKI en la nube muestra el URI de SCEP. El URI de SCEP debe copiarse en el perfil de configuración de SCEP para cada certificado emitido por la plataforma.

    Cuando esté listo para descargar la clave pública de confianza de ca, seleccione Descargar.

    Nota:

    La propiedad AIA para una CA emisora de BYOCA la define la CA privada y contiene las propiedades definidas por la configuración de AIA de la ca privada. ADCS usa una ubicación de AIA LDAP predeterminada. Si la entidad de certificación privada proporciona una ubicación HTTP AIA, las propiedades BYOCA mostrarán la ubicación de HTTP AIA.

Paso 4: Creación de perfiles de confianza de certificados

Se debe crear un perfil de certificado de confianza Intune para cada certificado de CA de la jerarquía de CA privada si usa una ca emisora de PKI EN LA NUBE BYOCA que esté anclada a una CA privada. Este paso es un requisito para cada plataforma (Windows, Android, iOS/iPad, macOS) que emite certificados SCEP PKI en la nube. Es necesario establecer la confianza con la PKI en la nube entidad de registro de certificados que admite el protocolo SCEP.

Para obtener más información sobre cómo crear el perfil, consulte Perfiles de certificado de confianza.

Exportar certificados

Los certificados exportados se usan para crear un perfil de certificado de confianza en Intune para cada ca de la cadena. Si usa una ENTIDAD de certificación privada, debe usar sus herramientas para exportar la cadena de claves de CA a un conjunto de archivos con codificación DER o Base 4 con una extensión CER. Si ADCS es su entidad de certificación privada, puede usar la herramienta de línea de comandos de Windowscertutil.exe para exportar la cadena de claves completa de la CA a un archivo .p7b.

Ejecute el siguiente comando desde un equipo unido a un dominio de Windows con acceso de red a ADCS.

certutil [options] -ca.chain OutCACertChainFile [Index]

Por ejemplo:

certutil -ca.chain c:\temp\fullChain.p7b

Puede usar el Explorador de archivos de Windows para ver la cadena exportada.

  1. Vaya a la ubicación de ruta de acceso donde se exportó el archivo .p7b y haga doble clic en él. Debería ver la cadena completa, incluidas las ENTIDADes de certificación raíz e intermedias en la cadena.

  2. Haga clic con el botón derecho en cada certificado de la lista.

  3. Seleccione Todas las tareas>Exportar. Exporte el certificado de confianza en formato DER. Se recomienda asignar un nombre al archivo de certificado exportado con el mismo nombre común de la entidad de certificación que se muestra en la columna Emitido a de la utilidad certmgr. El nombre facilita la búsqueda de la entidad de certificación raíz en la lista porque el nombre común en Emitido a y Emitido por será el mismo.

Creación de un perfil de certificado de confianza para la entidad de certificación raíz privada

Cree un perfil de certificado de confianza con el archivo de entidad de certificación raíz exportada que descargó. En el Centro de administración, cree un perfil de certificado de confianza para cada plataforma del sistema operativo de destino que use el certificado raíz de CA privado.

Creación de perfiles de certificado de confianza para entidades de certificación subordinadas privadas

Cree un perfil de certificado de confianza con el archivo de ca intermedio exportado o emisora que descargó. En el centro de administración, cree un perfil de certificado de confianza para cada plataforma DEOS que tenga como destino y que use el certificado raíz de ca emisora.

Creación de un perfil de certificado de confianza para la emisión de ca

Sugerencia

Para buscar las CA BYOCA en la lista de CA, busque CA con los valores siguientes:

  • Tipo: Emisión
  • Nombre común de raíz: ENTIDAD de certificación raíz externa

  1. En el centro de administración, vaya a Administración> de inquilinos PKI en la nube.

  2. Seleccione la ca emisora de BYOCA PKI en la nube.

  3. Vaya a Propiedades.

  4. Seleccione Descargar. Espere mientras se descarga la clave pública de la ca emisora.

  5. En el Centro de administración, cree un perfil de certificado de confianza para cada plataforma del sistema operativo de destino. Cuando se le pida, escriba la clave pública que descargó.

El certificado de entidad de certificación emisora que descargó para PKI en la nube BYOCA debe instalarse en todos los usuarios de confianza.

El nombre de archivo proporcionado a las claves públicas descargadas se basa en los nombres comunes especificados en la CA. Algunos exploradores, como Microsoft Edge, muestran una advertencia si descarga un archivo con una .cer u otra extensión de certificado conocida. Si recibe esta advertencia, seleccione Mantener.

Imagen del símbolo del sistema de descargas que resalta la opción mantener.

Paso 5: Creación de un perfil de certificado SCEP

Nota:

Solo se pueden usar PKI en la nube entidades de certificación emisoras y entidades de certificación emisoras BYOCA para emitir certificados SCEP para Intune dispositivos administrados.

Cree un perfil de certificado SCEP para cada plataforma del sistema operativo de destino, como hizo con los perfiles de certificado de confianza. El perfil de certificado SCEP se usa para solicitar un certificado de autenticación de cliente hoja de la CA emisora. Este tipo de certificado se usa en escenarios de autenticación basada en certificados, para aspectos como Wi-Fi y acceso VPN.

  1. Vuelva a Administración> de inquilinos PKI en la nube.

  2. Seleccione una entidad de certificación que tenga un tipo de emisión .

  3. Vaya a Propiedades.

  4. Copie el URI de SCEP en el Portapapeles.

  5. En el Centro de administración, cree un perfil de certificado SCEP para cada plataforma del sistema operativo de destino.

  6. En el perfil, en Certificado raíz, vincule el perfil de certificado de confianza. El certificado de confianza que seleccione debe ser el certificado de CA raíz al que está anclada la entidad de certificación emisora en la jerarquía de ca.

    Imagen de la configuración del certificado raíz, con un certificado de ENTIDAD de certificación raíz seleccionado.

  7. Para las direcciones URL del servidor SCEP, pegue el URI de SCEP. Es importante dejar la cadena {{CloudPKIFQDN}} tal como está. Intune reemplaza esta cadena de marcador de posición por el FQDN adecuado cuando el perfil se entrega al dispositivo. El FQDN aparecerá en el espacio de nombres *.manage.microsoft.com, un punto de conexión de Intune principal. Para obtener más información sobre los puntos de conexión de Intune, consulte Puntos de conexión de red para Microsoft Intune.

  8. Configure las opciones restantes, siguiendo estos procedimientos recomendados:

    • Formato de nombre de firmante: asegúrese de que las variables especificadas están disponibles en el objeto de usuario o dispositivo en Microsoft Entra ID. Por ejemplo, si el usuario de destino de este perfil no tiene un atributo de dirección de correo electrónico, pero la dirección de correo electrónico de este perfil está rellenada, no se emitirá el certificado. También aparece un error en el informe del perfil de certificado SCEP.

    • Uso extendido de claves: PKI en la nube de Microsoft no admite la opción Cualquier propósito.

      Nota:

      Asegúrese de que los EKU que seleccione estén configurados en la entidad de certificación (CA) emisora de PKI en la nube. Si selecciona un EKU que no está presente en la ca emisora de PKI en la nube, se produce un error con el perfil de SCEP. Además, no se emite un certificado para el dispositivo.

    • Direcciones URL del servidor SCEP: no combine direcciones URL de NDES/SCEP con PKI en la nube de Microsoft que emite direcciones URL de SCEP de CA.

  9. Asigne y revise el perfil. Cuando esté listo para finalizar todo, seleccione Crear.