Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
PKI cloud Microsoft est une fonctionnalité Intune Suite qui vous permet en tant que professionnel de l’informatique de gérer votre infrastructure à clé publique (PKI) dans le cloud. Vous pouvez créer, configurer et gérer vos propres autorités de certification et certificats sans avoir à installer et à gérer l’infrastructure locale. Le service PKI cloud Microsoft s’intègre à Microsoft Entra ID et Microsoft Intune pour fournir la gestion des identités et des appareils pour vos appareils et applications cloud.
Cet article décrit les principes fondamentaux et les concepts de base de l’infrastructure à clé publique que vous devez connaître lorsque vous configurez PKI cloud Microsoft. Nous vous recommandons de consulter toutes les informations avant de configurer le service PKI cloud Microsoft dans votre locataire Intune.
Types d’autorité de certification
Une autorité de certification effectue les tâches suivantes :
- Vérifie l’identité d’un demandeur de certificat
- Émet des certificats aux demandeurs
- Gère la révocation de certificats
PKI cloud Microsoft prend en charge ces types d’autorités de certification :
- Autorité de certification racine
- Émission d’une autorité de certification
Autorité de certification racine
Une autorité de certification racine est l’autorité de certification la plus élevée dans une hiérarchie d’autorité de certification. Dans une infrastructure à clé publique, l’autorité de certification racine agit comme point d’approbation pour les certificats émis par les autorités de certification dans la hiérarchie. Le certificat est considéré comme approuvé s’il peut être suivi via la hiérarchie de l’autorité de certification jusqu’à une autorité de certification racine approuvée par un utilisateur, un ordinateur, un appareil réseau ou un service.
Une autorité de certification racine est unique en ce que son certificat est auto-émis, ce qui signifie que le nom de l’émetteur et le nom de l’objet du certificat contiennent le même nom unique. La seule façon de vérifier si un certificat racine est valide ou non consiste à inclure le certificat d’autorité de certification racine dans un magasin racine approuvé. Le magasin racine approuvé contient le certificat d’autorité de certification racine réel pour indiquer que le certificat est approuvé.
L’autorité de certification racine peut émettre des certificats à d’autres autorités de certification ou à des utilisateurs, ordinateurs, périphériques réseau ou services sur le réseau. Lorsque l’autorité de certification racine émet un certificat pour une autre entité, le certificat d’autorité de certification racine signe le certificat avec sa clé privée. La signature protège contre la modification du contenu et indique que l’autorité de certification racine a émis le certificat.
Importante
PKI cloud Microsoft émet uniquement des certificats pour les appareils réseau inscrits à mdm.
Autorité de certification émettrice
Remarque
Les termes intermédiaire, émetteur et subordonné sont tous des étiquettes interchangeables utilisées pour faire référence au même rôle au sein d’une structure d’autorité de certification. PKI cloud Microsoft utilise le terme émission pour décrire ce type d’autorité de certification.
Une autorité de certification émettrice est une autorité de certification subordonnée à une autre autorité de certification et peut :
- Émettez des certificats à d’autres autorités de certification dans la hiérarchie de l’autorité de certification.
- Émettez des certificats feuille à une entité finale telle qu’un serveur, un service, un client ou un appareil.
L’autorité de certification émettrice peut exister à n’importe quel niveau de la hiérarchie de l’autorité de certification, sauf au niveau de l’autorité de certification racine.
Enchaînement
Le chaînage est le processus qui consiste à déterminer le meilleur chemin d’accès de confiance pour tout certificat donné devant être vérifié et approuvé. Chaque système d’exploitation ou service effectue ce processus de calcul généralement appelé moteur de chaîne de certificats.
Le processus de création de chaînes se compose des éléments suivants :
- Découverte de certificat : recherche du certificat d’autorité de certification émettrice d’un certificat feuille d’entité finale jusqu’au certificat d’autorité de certification racine d’approbation.
- Validation de certificat : crée toutes les chaînes de certificats possibles. Valide chaque certificat de la chaîne en fonction de différents paramètres tels que le nom, l’heure, la signature, la révocation et éventuellement d’autres contraintes définies.
- Retourne la chaîne de la meilleure qualité.
Lorsqu’un certificat est présenté pour vérification, un moteur de chaîne de certificats parcourt son magasin de certification et sélectionne les candidats de certificat intermédiaire et racine. Plusieurs certificats intermédiaires peuvent être nécessaires pour former une chaîne complète.
Le moteur de chaîne de certificats tente de sélectionner des certificats à l’aide de l’identificateur de clé d’objet (SKI) et de l’identificateur de clé d’autorité (AKI). Un certificat d’entité de fin émis par une autorité de certification Microsoft contient l’AKI. Par conséquent, le moteur de chaîne de certificats doit sélectionner un certificat intermédiaire avec un ski correspondant. Le processus se répète jusqu’à ce qu’un certificat auto-signé soit énuméré.
Processus de validation de chaîne
Remarque
La prise en charge des méthodes de validation de la chaîne de certificats varie selon la plateforme du système d’exploitation. Cette section décrit les méthodes prises en charge sur les appareils exécutant Windows 10 ou une version ultérieure.
Sur Windows, il existe trois processus de validation de chaîne : correspondance exacte, correspondance de clé et correspondance de nom.
Correspondance exacte : si l’extension AKI contient l’objet de l’émetteur, le numéro de série de l’émetteur et le KeyID, seuls les certificats parents qui correspondent à leur objet, numéro de série et KeyID sont choisis dans le processus de création de chaîne.
Correspondance de clé : si l’extension AKI contient uniquement le KeyID, seuls les certificats qui contiennent un KeyID correspondant dans l’extension SKI (Subject Key Identifier) sont choisis comme émetteurs valides.
Correspondance de nom : la correspondance de nom se produit lorsqu’il n’existe aucune information dans l’AKI ou si l’extension AKI ne figure pas dans le certificat. Dans ce cas, le nom d’objet du certificat émetteur doit correspondre à l’attribut émetteur du certificat actuel.
Pour les certificats qui ne contiennent pas de champs SKI et AKI, le moteur de chaînage tente d’utiliser la correspondance de nom pour créer une chaîne. Lorsque vous avez deux certificats portant le même nom, le plus récent est sélectionné.
La découverte de certificat est lancée lorsque le parent immédiat n’est pas local sur l’ordinateur. Le client utilise ce processus pour récupérer les certificats parents manquants. Les URL affichées dans le champ d’accès aux informations d’autorité du certificat sont analysées et utilisées pour récupérer les certificats d’autorité de certification parents. Le processus est similaire au téléchargement de la liste de révocation de certificats.
Une fois la chaîne générée, les vérifications suivantes sont effectuées sur chaque certificat de la chaîne :
- Vérifiez qu’il est correctement mis en forme et signé. Effectuez une case activée de hachage du certificat.
- Vérifiez les champs de et de vers dans le certificat pour vous assurer qu’il n’a pas expiré.
- Vérifiez si le certificat est révoqué.
- Vérifiez que la chaîne se termine dans un certificat qui se trouve dans le magasin racine approuvé.
Le certificat et sa chaîne sont considérés comme valides une fois que toutes les vérifications sont terminées et sont revenues avec succès.
Une chaîne de certificats avec une liste ordonnée de certificats permet à la partie de confiance de vérifier qu’un expéditeur est digne de confiance. Il fonctionne dans les deux sens, du client au serveur et du serveur au client.
Le diagramme suivant illustre le flux de validation de chaîne correspondant au nom .
Garantir une chaîne d’approbation
Lorsque vous utilisez des certificats pour effectuer une authentification basée sur des certificats, vous devez vous assurer que les deux parties de confiance disposent de la chaîne d’approbation de certificat d’autorité de certification (clés publiques). Dans ce cas, les parties de confiance sont l’appareil géré Intune et le point d’accès d’authentification, tel que le Wi-Fi, le VPN ou le service web.
L’autorité de certification racine doit être présente. Si le certificat d’autorité de certification émettrice n’est pas présent, il peut être demandé par la partie de confiance à l’aide du moteur de chaîne de certificats natif pour la plateforme de système d’exploitation prévue. La partie de confiance peut demander le certificat d’autorité de certification émettrice à l’aide de la propriété d’accès aux informations d’autorité du certificat feuille.
Authentification basée sur des certificats
Cette section fournit une compréhension de base des différents certificats utilisés lorsqu’un client ou un appareil effectue une authentification basée sur les certificats.
Les étapes suivantes décrivent l’établissement d’une liaison entre un client et un service de partie de confiance lors de l’authentification basée sur les certificats.
- Le client émet une forme de paquet hello à la partie de confiance.
- La partie de confiance répond en indiquant qu’elle souhaite communiquer via tls/SSL sécurisé. Le client et la partie de confiance effectuent l’établissement d’une liaison SSL et un canal sécurisé est établi.
- La partie de confiance demande qu’un certificat soit utilisé pour l’authentification du client.
- Le client présente son certificat d’authentification client à la partie de confiance pour s’authentifier.
Dans un environnement sans PKI cloud Microsoft, une autorité de certification privée est chargée d’émettre à la fois le certificat TLS/SSL utilisé par la partie de confiance et le certificat d’authentification du client de l’appareil. PKI cloud Microsoft pouvez être utilisé pour émettre le certificat d’authentification client de l’appareil, en remplaçant efficacement l’autorité de certification privée pour cette tâche spécifique.