Compartir a través de


Implementación de PKI en la nube de Microsoft para Microsoft Intune

En este artículo se describen los modelos de implementación compatibles con Microsoft Intune y el servicio PKI en la nube de Microsoft.

Tiene dos opciones de implementación:

  • PKI en la nube de Microsoft ca raíz: implemente PKI en la nube de Microsoft mediante la raíz y la emisión de CA en la nube.

  • Traiga su propia entidad de certificación (BYOCA): implemente PKI en la nube de Microsoft mediante su propia entidad de certificación privada.

Con el enfoque de ca raíz PKI en la nube de Microsoft, puede crear una o varias PKIs dentro de un único inquilino Intune. La implementación de PKI en la nube de esta manera crea una jerarquía de dos niveles, por lo que puede tener varias entidades de certificación emisoras subordinadas a la ca raíz. Estas entidades de certificación no son públicas. En su lugar, cree la CA raíz y la emisión de CA en la nube, privadas para el inquilino de Intune. La entidad de certificación emisora emite certificados a dispositivos administrados por Intune mediante el perfil de certificado SCEP de configuración de dispositivo.

Como alternativa, puede traer su propia entidad de certificación (BYOCA). Con este enfoque, implementará PKI en la nube de Microsoft mediante su propia entidad de certificación privada. Esta opción requiere que cree una entidad de certificación emisora en la nube que sea privada para el inquilino de Intune. La entidad de certificación emisora está anclada a una entidad de certificación privada, como Servicios de certificados de Active Directory (ADCS). Al crear una CA emisora de BYOCA PKI en la nube, también se crea una solicitud de firma de certificado (CSR) en Intune. La entidad de certificación privada es necesaria para firmar la CSR.

Antes de empezar

Es importante revisar y comprender las cadenas de confianza de certificados antes de comenzar la implementación. Para obtener más conceptos y aspectos básicos de PKI, consulte PKI en la nube de Microsoft aspectos básicos.

Identificación de usuarios de confianza

Identifique a los usuarios de confianza. El usuario de confianza es un usuario o sistema que consume los certificados generados por una PKI. Algunos ejemplos de usuarios de confianza son:

  • Un punto de acceso Wi-Fi mediante la autenticación basada en certificados radius.
  • Un servidor VPN que autentica a un usuario remoto.
  • Un usuario que visita un sitio web protegido con TLS/LLS en un explorador web.

Determinación de la ubicación del delimitador de confianza

Determine la ubicación del delimitador de confianza raíz. Un delimitador de confianza es un certificado de entidad de certificación o la clave pública de una CA que usa un usuario de confianza como punto de partida para la validación de la ruta de acceso o la confianza del certificado. Un usuario de confianza podría tener uno o varios delimitadores de confianza derivados de más de un origen. Un delimitador de confianza puede ser la clave pública de la entidad de certificación raíz o puede ser la clave pública de la entidad de certificación que emite un certificado de entidad final al usuario de confianza.

Garantizar la cadena de confianza

Al usar certificados para realizar la autenticación basada en certificados, asegúrese de que ambos usuarios de confianza tengan la cadena de confianza de certificados de CA (que incluye las claves públicas y la CA raíz) de todos los certificados implicados en una conversación basada en TLS/SSL. En este contexto, los usuarios de confianza son:

  • Los dispositivos administrados por Intune.
  • Los servicios de autenticación usados por Wi-Fi, VPN o servicios web.

Si falta el certificado de entidad de certificación emisora, un usuario de confianza puede solicitarlo a través de la propiedad Acceso a la información de autoridad (AIA) del certificado mediante el motor de encadenamiento de certificados de la plataforma del sistema operativo nativo.

Nota:

Al conectarse a un usuario de confianza, como un punto de acceso Wi-Fi o un servidor VPN, el dispositivo de Intune administrado establece primero una conexión TLS/SSL al intentar conectarse. PKI en la nube de Microsoft no proporciona estos certificados TLS/SSL. Debe obtener estos certificados a través de otro servicio PKI o CA. Como resultado, al crear un perfil de Wi-Fi o VPN, también tiene que crear un perfil de certificado de confianza y asignarlo a dispositivos administrados para confiar en la conexión TLS/SSL. El perfil de certificado de confianza debe contener las claves públicas para la raíz y emitir ca responsables de emitir el certificado TLS/SSL.

Opciones de implementación

En esta sección se describen las opciones de implementación compatibles con Microsoft Intune para PKI en la nube de Microsoft.

Hay métodos para implementar certificados de entidad de certificación en usuarios de confianza no administrados por Intune. Los usuarios de confianza, como los servidores radius, los puntos de acceso Wi-Fi, los servidores VPN y los servidores de aplicaciones web que admiten la autenticación basada en certificados.

Si el usuario de confianza es miembro de un Dominio de Active Directory, use directiva de grupo para implementar certificados de CA. Para más información, vea:

Si el usuario de confianza no es miembro de Dominio de Active Directory, asegúrese de que la cadena de confianza del certificado de ca para la entidad de certificación raíz y emisora de PKI en la nube de Microsoft esté instalada en el almacén de seguridad del usuario de confianza. El almacén de seguridad adecuado varía según la plataforma del sistema operativo y la aplicación de hospedaje que proporciona el servicio.

Tenga en cuenta también la configuración de software de usuario de confianza necesaria para admitir otras entidades de certificación.

Opción 1: PKI en la nube de Microsoft entidad de certificación raíz

Durante una implementación de ca raíz de PKI en la nube, el certificado raíz de PKI en la nube debe implementarse en todos los usuarios de confianza. Si un certificado de entidad de certificación emisora no está presente en un usuario de confianza, el usuario de confianza puede recuperarlo e instalarlo automáticamente iniciando la detección de certificados. Este proceso, conocido como el motor de encadenamiento de certificados (CCE), es específico de la plataforma y se usa para recuperar el certificado primario que falta. La dirección URL del certificado de ca emisora se encuentra en la propiedad AIA de un certificado hoja (el certificado emitido al dispositivo mediante una ca PKI en la nube emisora). Un usuario de confianza puede usar la propiedad AIA para recuperar certificados de ENTIDAD de certificación primarios. El proceso es similar a la descarga de CRL.

Nota:

El sistema operativo Android requiere que los servidores devuelvan una cadena de certificados completa y no realice la detección de certificados siguiendo las rutas de acceso de AIA. Para obtener más información, consulte la documentación para desarrolladores de Android. Asegúrese de implementar la cadena de certificados completa en dispositivos administrados android y usuarios de confianza.

Intune dispositivos administrados, independientemente de la plataforma del sistema operativo, requieren la siguiente cadena de confianza de certificados de CA.

Tipo de certificado de CA Cadena de confianza de certificados de CA Método de implementación
certificado de ca de PKI en la nube Certificado de ENTIDAD de certificación raíz requerido, la emisión de ca opcional pero recomendada Intune perfil de configuración de certificado de confianza
Certificado de entidad de certificación privada Se requiere un certificado de CA raíz, la emisión de un certificado de CA es opcional, pero se recomienda Intune perfil de configuración de certificado de confianza

Los usuarios de confianza requieren la siguiente cadena de confianza de certificados de CA.

Tipo de certificado de CA Cadena de confianza de certificados de CA Método de implementación
certificado de ca de PKI en la nube Certificado de ENTIDAD de certificación raíz requerido, la emisión de ca opcional pero recomendada Si el servidor o servicio del usuario de confianza es un servidor miembro en el dominio de Active Directory (AD), use directiva de grupo para implementar certificados de CA. Si no está en el dominio de AD, podría ser necesario un método de instalación manual.
Certificado de entidad de certificación privada Se requiere un certificado de CA raíz, la emisión de un certificado de ENTIDAD de certificación es opcional, pero se recomienda Si el servidor o servicio del usuario de confianza es un servidor miembro en el dominio de Active Directory (AD), use directiva de grupo para implementar certificados de CA. Si no está en el dominio de AD, podría ser necesario un método de instalación manual.

En el diagrama siguiente se muestran los certificados en acción para clientes y usuarios de confianza.

Diagrama del flujo de certificado para el cliente y los usuarios de confianza.

En el diagrama siguiente se muestran las cadenas de confianza de certificados de ca correspondientes que se deben implementar en dispositivos administrados y usuarios de confianza. Las cadenas de confianza de CA garantizan PKI en la nube certificados emitidos para dispositivos administrados por Intune son de confianza y se pueden usar para autenticarse en usuarios de confianza.

Diagrama del flujo de implementación de ca raíz de PKI en la nube de Microsoft.

Opción 2: Traiga su propia CA (BYOCA)

Durante una implementación de bring-your-own-CA, el dispositivo administrado Intune necesita los siguientes certificados de CA:

  • La cadena de confianza de ca privada, incluidos los certificados de entidad de certificación raíz y emisora, de la entidad de certificación responsable de firmar la CSR de BYOCA.
  • Certificado de entidad de certificación emisora de BYOCA.

Todos los usuarios de confianza ya deben tener la cadena de certificados de CA privada.

Intune dispositivos administrados, independientemente de la plataforma del sistema operativo, requieren la siguiente cadena de confianza de certificados de CA.

Tipo de certificado de CA Cadena de confianza de certificados de CA Método de implementación
certificado de ca de PKI en la nube Emisión de ca opcional pero recomendada Intune perfil de configuración de certificado de confianza
Certificado de entidad de certificación privada Certificado de ENTIDAD de certificación raíz requerido, la emisión de ca opcional pero recomendada Intune perfil de configuración de certificado de confianza

El usuario de confianza ya debe tener la cadena de certificados de CA privada. Sin embargo, el certificado de entidad de certificación emisora byoca también debe implementarse en los usuarios de confianza. Si el usuario de confianza es un servidor miembro de Dominio de Active Directory, use GPO como método de implementación.

Nota:

Si la PKI en la nube certificado de CA emisora de BYOCA no se implementa en la plataforma de usuario de confianza, el CCE del usuario de confianza puede usar la propiedad AIA (URL) del certificado SCEP emitido por PKI en la nube (certificado de entidad final o hoja) del usuario de confianza para solicitar e instalar el certificado de CA de emisión de PKI EN LA NUBE BYOCA (clave pública) en su almacén de confianza. Sin embargo, este comportamiento no está garantizado y depende de cada implementación del sistema operativo o plataforma del CCE. Es un procedimiento recomendado implementar el certificado de ENTIDAD de certificación emisora de BYOCA en el dispositivo administrado y el usuario de confianza.

Los usuarios de confianza confían en el certificado SCEP emitido por BYOCA PKI en la nube en el dispositivo administrado, ya que se encadena a la cadena de confianza de ca privada que ya está presente en el usuario de confianza.

En el diagrama siguiente se muestra cómo se implementan las cadenas de confianza de certificados de CA correspondientes para Intune dispositivos administrados.

Diagrama de las cadenas de confianza de certificados de ca que se deben implementar en Intune dispositivos administrados.
* En este diagrama, private hace referencia al servicio de certificados de Active Directory o a un servicio que no es de Microsoft.

Resumen

PKI en la nube entidades de certificación raíz y emisoras y BYOCA emisoras de CA ancladas a una CA privada, pueden existir en el mismo inquilino porque PKI en la nube pueden admitir ambos modelos de implementación simultáneamente.

Antes de iniciar una implementación y emitir certificados, determine la ubicación del delimitador de confianza raíz. Puede estar en la entidad de certificación raíz o privada de PKI en la nube. La ubicación determina la cadena de confianza de certificados requerida por Intune dispositivos administrados y usuarios de confianza.

  • PKI en la nube ca raíz: debe implementar la cadena de confianza de certificados de PKI en la nube, que se compone de la raíz & la emisión de claves públicas de CA, para todos los usuarios de confianza.
  • PKI en la nube CA emisora de BYOCA mediante una CA raíz privada: la cadena de confianza de certificados de CA privada, que está formada por la ca raíz y la entidad de certificación emisora, ya debe implementarse en entidades de confianza en toda la infraestructura. Aunque no es necesario, se recomienda crear un certificado de CA PKI en la nube BYOCA.