Configuración de la entidad de certificación raíz y emisora para PKI en la nube de Microsoft

En este artículo se describe cómo crear e implementar una entidad de certificación raíz de PKI en la nube de Microsoft y la entidad de certificación emisora en Microsoft Intune. Una entidad de certificación emisora emite certificados a los dispositivos en función de los perfiles de certificado que cree en Intune.

Requisitos previos

Para obtener más información sobre cómo preparar el inquilino para PKI en la nube de Microsoft, incluidos los conceptos y requisitos clave, consulte:

• Información general de PKI en la nube de Microsoft para Intune: revise la arquitectura, los requisitos de inquilino, un resumen de características y los problemas y limitaciones conocidos.

• Modelos de implementación: revise las opciones de implementación de PKI en la nube de Microsoft.

• Aspectos básicos: revise los conceptos y aspectos básicos de PKI que son importantes conocer antes de la configuración y la implementación.

Control de acceso basado en roles

La cuenta que use para iniciar sesión en el centro de administración de Microsoft Intune debe tener permiso para crear una entidad de certificación (CA). El rol administrador de Microsoft Entra Intune (también conocido como administrador de servicios de Intune) tiene los permisos integrados para crear CA. Como alternativa, puede asignar permisos de ca de PKI en la nube a un usuario administrador. Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.

Paso 1: Creación de una entidad de certificación raíz en el centro de administración

Antes de empezar a emitir certificados en dispositivos administrados, debe crear una entidad de certificación raíz en el inquilino para que actúe como delimitador de confianza. En esta sección se describe cómo crear la entidad de certificación raíz. Se debe crear al menos una entidad de certificación raíz para poder crear una ca emisora.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Administración> de inquilinos PKI en la nube y seleccione Crear.

   

3. En Aspectos básicos, escriba las siguientes propiedades:

   • Nombre: escriba un nombre descriptivo para el objeto de CA. Asígnele un nombre para que pueda identificarlo fácilmente más adelante. Ejemplo: Contoso C-PKI Root CA

   • Descripción: escriba una descripción para el objeto ca. Esta configuración es opcional pero recomendada. Ejemplo: PKI en la nube de Microsoft entidad de certificación raíz para Contoso corporation

4. Seleccione Siguiente para continuar con Configuración.

5. Configure los siguientes valores para la entidad de certificación raíz:

   • Tipo de ENTIDAD de certificación: seleccione Entidad de certificación raíz.

   • Período de validez: seleccione 5, 10, 15, 20 o 25 años. Para crear una ENTIDAD de certificación raíz con un período de validez personalizado, use Microsoft Graph API para crear las CA.

6. En Usos de claves extendidas, seleccione cómo piensa usar la CA.

   

   Para evitar posibles riesgos de seguridad, las CA se limitan a seleccionar el uso. Las opciones son:

   • Tipo: seleccione el propósito de la entidad de certificación. El EKU de cualquier propósito (2.5.29.37.0) no está destinado a su uso, ya que es excesivamente permisivo y un riesgo de seguridad potencial. Para obtener más información, consulte Edición de una plantilla de certificados excesivamente permisivos con EKU con privilegios.

   • Como alternativa, para crear un uso de clave extendida personalizado, escriba el nombre y el identificador de objeto.

     Nota:

     Tenga en cuenta que las restricciones EKU/OID de ca raíz son un superconjunto de la ca emisora. Esto significa que al crear una CA emisora, solo puede seleccionar las EEKU definidas para la CA raíz. Si no define el EKU en la CA raíz, no se mostrará como una opción de EKU para la ca emisora.

7. En Atributos del firmante , escriba un nombre común (CN) para la CA raíz. Opcionalmente, puede escribir otros atributos, como:

   • Organización (O)
   • País (C)
   • Estado o provincia (ST)
   • Localidad (L)

   Para cumplir los estándares de PKI, Intune aplica un límite de dos caracteres para el país o región.

8. En Cifrado, escriba el algoritmo y el tamaño de la clave. Las opciones son:

   • RSA-2048 y SHA-256
   • RSA-3096 y SHA-384
   • RSA-4096 y SHA-512

   

   Esta configuración aplica el tamaño de clave enlazado superior y el algoritmo hash que se pueden usar al configurar un perfil de certificado SCEP de configuración de dispositivo en Intune. Permite seleccionar cualquier tamaño de clave y aplicar un hash a lo que se establece en la ca emisora de PKI en la nube. Tenga en cuenta que no se admite un tamaño de clave 1024 y el hash SHA-1 con PKI en la nube.

9. Seleccione Siguiente para continuar con Etiquetas de ámbito.

10. Opcionalmente, puede agregar etiquetas de ámbito para controlar la visibilidad y el acceso a esta ca.

11. Seleccione Siguiente para continuar con Revisar y crear.

12. Revise el resumen proporcionado. No podrá editar estas propiedades después de crear la ca. Si es necesario, seleccione Atrás para editar la configuración y asegurarse de que son correctas y cumplen los requisitos de PKI. Si más adelante necesita agregar otro EKU, debe crear una nueva entidad de certificación.

13. Cuando esté listo para finalizar todo, seleccione Crear.

14. Vuelva a la lista de entidades de certificación de PKI en la nube en el centro de administración. Seleccione Actualizar para ver la nueva entidad de certificación.

    

Paso 2: Creación de una entidad de certificación emisora en el Centro de administración

Se requiere una entidad de certificación emisora para emitir certificados para dispositivos administrados por Intune. PKI en la nube proporciona automáticamente un servicio SCEP que actúa como entidad de registro de certificados. Solicita certificados de la entidad de certificación emisora en nombre de dispositivos administrados por Intune mediante un perfil SCEP.

Nota:

Con PKI en la nube de Microsoft, no es necesario:

• Instale y configure un servidor NDES.
• Instale y configure el conector de certificado de Intune.
• Configure un servicio proxy para habilitar el acceso a la dirección URL del servidor NDES.

1. Vuelva a Administración> de inquilinos PKI en la nube.

2. Escriba un nombre y una descripción opcional para poder distinguir esta entidad de certificación de otras del inquilino.

3. Seleccione Siguiente para continuar con Configuración.

4. Seleccione el tipo de entidad de certificación y el origen de ca raíz.

   

   Las opciones son:

   • Tipo de CA: seleccione Entidad de certificación emisora. A continuación, configure estas opciones adicionales:

     • Origen de ca raíz: seleccione Intune. Esta configuración determina el origen de ca raíz que delimita la ca emisora.

     • CA raíz: seleccione una de las ENTIDADes de certificación raíz que creó en Intune con las que se va a anclar.

5. En Período de validez, seleccione 2, 4, 6, 8 o 10 años. El período de validez de la entidad de certificación emisora no puede ser mayor que la entidad de certificación raíz. Para crear una entidad de certificación emisora con un período de validez personalizado, use Microsoft Graph API para crear las CA.

6. En Usos de claves extendidas, seleccione cómo piensa usar la CA. Para evitar posibles riesgos de seguridad, las CA se limitan a tipos de uso específicos. Las opciones son:

   • Tipo: seleccione el propósito de la entidad de certificación. El EKU de cualquier propósito (2.5.29.37.0) no está destinado a su uso, ya que es excesivamente permisivo y un riesgo de seguridad potencial.

   • Como alternativa, para crear un EKU personalizado, escriba el nombre y el identificador de objeto.

     Nota:

     Solo puede seleccionar entre EEKU definidas en la entidad de certificación raíz. Si no definió un EKU en la CA raíz, no se mostrará como una opción de EKU aquí.

7. En Atributos de sujeto, escriba un nombre común (CN) para la ca emisora.

   

   Los atributos opcionales incluyen:

   • Organización (O)
   • Unidad organizativa (OU)
   • País (C)
   • Estado o provincia (ST)
   • Localidad (L)

   Para cumplir los estándares de PKI, Intune aplica un límite de dos caracteres para el país o región.

8. Seleccione Siguiente para continuar con Etiquetas de ámbito.

9. Opcionalmente, puede agregar etiquetas de ámbito para controlar la visibilidad y el acceso a esta ca.

10. Seleccione Siguiente para continuar con Revisar y crear.

11. Revise el resumen proporcionado. Cuando esté listo para finalizar todo, seleccione Crear.

    Sugerencia

    No podrá editar estas propiedades después de crear la ca. Si es necesario, seleccione Atrás para editar la configuración y asegurarse de que son correctas y cumplen los requisitos de PKI. Si más adelante necesita EEKU adicionales, debe crear una nueva ENTIDAD de certificación.

12. Vuelva a la lista de entidades de certificación de PKI en la nube de Microsoft en el centro de administración. Seleccione Actualizar para ver la nueva entidad de certificación emisora.

    

Para ver las propiedades de las CA raíz y la emisión de CA en el inquilino, seleccione la ENTIDAD de certificación y, a continuación, vaya a Propiedades. Las propiedades disponibles incluyen:

• URI de punto de distribución de lista de revocación de certificados (CRL)
• URI de acceso a la información de autoridad (AIA)
• URI de SCEP: solo ca emisora

Tome nota de estas ubicaciones de punto de conexión para que las tenga para más adelante. Los usuarios de confianza necesitan visibilidad de red para estos puntos de conexión. Por ejemplo, debe conocer el punto de conexión del URI de SCEP al crear perfiles de SCEP.

Nota:

La CRL es válida durante 7 días y se actualiza y se vuelve a publicar en el centro de administración cada 3,5 días. Una actualización también se produce cada vez que se revoca un certificado de entidad final.

Al crear el perfil de certificado de confianza necesario para PKI en la nube, debe tener las claves públicas para los certificados de ca raíz y la emisión de certificados de CA. Las claves públicas establecen una cadena de confianza entre Intune dispositivos administrados y PKI en la nube al solicitar un certificado mediante perfiles de certificado SCEP. Seleccione Descargar para descargar las claves públicas de estos certificados. Repita este paso para cada ca que tenga. También es necesario instalar los certificados de entidad de certificación raíz y emisora en cualquier usuario de confianza o en puntos de conexión de autenticación que admitan la autenticación basada en certificados.

Paso 3: Crear perfiles de certificado

Para emitir certificados, debe crear un perfil de certificado de confianza para las entidades de certificación raíz y emisoras. El perfil de certificado de confianza establece la confianza con la entidad de registro de certificados PKI en la nube que admite el protocolo SCEP. Un perfil de certificado de confianza necesario para cada plataforma (Windows, Android, iOS/iPad, macOS) que emite certificados SCEP PKI en la nube.

Este paso requiere que:

• Cree un perfil de certificado de confianza para la ca raíz de PKI en la nube.
• Cree un perfil de certificado de confianza para una ca emisora de PKI en la nube.
• Cree un perfil de certificado SCEP para una ca emisora de PKI en la nube.

Creación de un perfil de certificado de confianza

En el Centro de administración, cree un perfil de certificado de confianza para cada plataforma del sistema operativo de destino. Cree un perfil de certificado de confianza para el certificado de CA raíz y otro para la ca emisora.

Cuando se le pida, escriba las claves públicas para la CA raíz y la entidad de certificación emisora. Complete los pasos siguientes para descargar las claves públicas de las CA.

Para la CA raíz:

1. Inicie sesión en el Centro de administración de Microsoft Intune.
2. Vaya a Administración> de inquilinos PKI en la nube.
3. Seleccione una entidad de certificación que tenga un tipo raíz.
4. Vaya a Propiedades.
5. Seleccione Descargar. Espere mientras se descarga la clave pública.

Para la entidad de certificación emisora:

1. Vuelva a la lista de PKI en la nube.
2. Seleccione una entidad de certificación que tenga un tipo de emisión.
3. Vaya a Propiedades.
4. Seleccione Descargar. Espere mientras se descarga la clave pública.

La ca raíz PKI en la nube y la ca emisora que descargue deben instalarse en todos los usuarios de confianza.

El nombre de archivo proporcionado a las claves públicas descargadas se basa en los nombres comunes especificados en la CA. Algunos exploradores, como Microsoft Edge, muestran una advertencia si descarga un archivo con una .cer u otra extensión de certificado conocida. Si recibe esta advertencia, seleccione Mantener.

Creación de un perfil de certificado SCEP

Nota:

Solo se pueden usar PKI en la nube entidades de certificación emisoras (incluida la CA emisora de BYOCA) para emitir certificados SCEP para Intune dispositivos administrados.

Al igual que hizo con los perfiles de certificado de confianza, cree un perfil de certificado SCEP para cada plataforma del sistema operativo de destino. El perfil de certificado SCEP se usa para solicitar un certificado de autenticación de cliente hoja de la CA emisora. Este tipo de certificado se usa en escenarios de autenticación basada en certificados, para aspectos como Wi-Fi y acceso VPN.

1. Vuelva a Administración> de inquilinos PKI en la nube.

2. Seleccione una entidad de certificación que tenga un tipo de emisión .

3. Vaya a Propiedades.

4. Junto a la propiedad URI de SCEP, seleccione Copiar en el Portapapeles.

5. En el Centro de administración, cree un perfil de certificado SCEP para cada plataforma del sistema operativo de destino.

6. En el perfil, en Certificado raíz, vincule el perfil de certificado de confianza. El certificado de confianza que seleccione debe ser el certificado de CA raíz al que está anclada la entidad de certificación emisora en la jerarquía de ca.

   

7. Para las direcciones URL del servidor SCEP, pegue el URI de SCEP. Es importante dejar la cadena {{CloudPKIFQDN}} tal como está. Intune reemplaza esta cadena de marcador de posición por el FQDN adecuado cuando el perfil se entrega al dispositivo. El FQDN aparecerá en el espacio de nombres *.manage.microsoft.com, un punto de conexión de Intune principal. Para obtener más información sobre los puntos de conexión de Intune, consulte Puntos de conexión de red para Microsoft Intune.

8. Configure las opciones restantes, siguiendo estos procedimientos recomendados:

   • Formato de nombre de firmante: asegúrese de que las variables especificadas están disponibles en el objeto de usuario o dispositivo en Microsoft Entra ID. Por ejemplo, si el usuario de destino de este perfil no tiene un atributo de dirección de correo electrónico, pero la dirección de correo electrónico de este perfil está rellenada, no se emitirá el certificado. También aparece un error en el informe del perfil de certificado SCEP.

   • Uso extendido de claves (EKU): PKI en la nube de Microsoft no admite la opción Cualquier propósito.

     Nota:

     Asegúrese de que los EKU que seleccione estén configurados en la entidad de certificación (CA) emisora de PKI en la nube. Si selecciona un EKU que no está presente en la ca emisora de PKI en la nube, se produce un error con el perfil de SCEP. Además, no se emite un certificado para el dispositivo.

   • Direcciones URL del servidor SCEP: no combine direcciones URL de NDES y SCEP con PKI en la nube de Microsoft que emite direcciones URL de SCEP de CA.

9. Asigne y revise el perfil. Cuando esté listo para finalizar todo, seleccione Crear.