Partager via

Configurer l’autorité de certification racine et émettrice pour PKI cloud Microsoft

Cet article explique comment créer et déployer une autorité de certification racine PKI cloud Microsoft et l’émission d’une autorité de certification dans Microsoft Intune. Une autorité de certification émettrice émet des certificats aux appareils en fonction des profils de certificat que vous créez dans Intune.

Configuration requise

Pour plus d’informations sur la façon de préparer votre locataire à PKI cloud Microsoft, y compris les concepts clés et les exigences, consultez :

  • Vue d’ensemble de PKI cloud Microsoft pour Intune : passez en revue l’architecture, les exigences du locataire, un résumé des fonctionnalités et les problèmes et limitations connus.

  • Modèles de déploiement : passez en revue les options de déploiement PKI cloud Microsoft.

  • Principes de base : passez en revue les concepts et concepts fondamentaux de l’infrastructure à clé publique qui sont importants à connaître avant la configuration et le déploiement.

Contrôle d’accès en fonction du rôle

Le compte que vous utilisez pour vous connecter au centre d’administration Microsoft Intune doit être autorisé à créer une autorité de certification. Le rôle Administrateur Microsoft Entra Intune (également appelé administrateur de service Intune) dispose des autorisations intégrées pour créer des autorités de certification. Vous pouvez également attribuer des autorisations d’autorité de certification PKI cloud à un utilisateur administrateur. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.

Étape 1 : Créer une autorité de certification racine dans le Centre d’administration

Avant de commencer à émettre des certificats pour des appareils gérés, vous devez créer une autorité de certification racine dans votre locataire pour agir en tant qu’ancre d’approbation. Cette section explique comment créer l’autorité de certification racine. Au moins une autorité de certification racine doit être créée avant de pouvoir créer une autorité de certification émettrice.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Administration>du locataire PKI cloud, puis sélectionnez Créer.

    Image de la page PKI cloud du centre d’administration Microsoft Intune, mettant en surbrillance le chemin d’accès permettant de créer une autorité de certification racine PKI cloud.

  3. Pour Informations de base, entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour l’objet d’autorité de certification. Nommez-le pour pouvoir l’identifier facilement par la suite. Exemple : Autorité de certification racine C-PKI Contoso

    • Description : entrez une description pour l’objet d’autorité de certification. Ce paramètre est facultatif, mais recommandé. Exemple : PKI cloud Microsoft autorité de certification racine pour Contoso corporation

  4. Sélectionnez Suivant pour passer à Paramètres de configuration.

  5. Configurez les paramètres suivants pour l’autorité de certification racine :

    • Type d’autorité de certification : sélectionnez Autorité de certification racine.

    • Période de validité : sélectionnez 5, 10, 15, 20 ou 25 ans. Pour créer une autorité de certification racine avec une période de validité personnalisée, utilisez Microsoft API Graph pour créer les autorités de certification.

  6. Pour Utilisations de clés étendues, sélectionnez la façon dont vous envisagez d’utiliser l’autorité de certification.

    Image de l’onglet Paramètres de configuration, montrant la section Utilisations de clés étendues pour PKI cloud.

    Pour éviter les risques de sécurité potentiels, les autorités de certification sont limitées à l’utilisation. Les options disponibles sont les suivantes :

    • Type : sélectionnez l’objectif de l’autorité de certification. La référence EKU Any Purpose (2.5.29.37.0) n’est pas destinée à être utilisée, car elle est trop permissive et présente un risque potentiel pour la sécurité. Pour plus d’informations, consultez Modifier un modèle de certificats trop permissifs avec une référence EKU privilégiée.

    • Vous pouvez également créer une utilisation de clé étendue personnalisée, entrez le nom et l’identificateur d’objet.

      Remarque

      N’oubliez pas que les contraintes EKU/OID de l’autorité de certification racine sont un sur-ensemble de l’autorité de certification émettrice. Cela signifie que lorsque vous créez une autorité de certification émettrice, vous pouvez uniquement sélectionner les EKU définies pour l’autorité de certification racine. Si vous ne définissez pas la référence EKU dans l’autorité de certification racine, elle n’apparaît pas en tant qu’option EKU pour l’autorité de certification émettrice.

  7. Sous Attributs de l’objet , entrez un nom commun (CN) pour l’autorité de certification racine. Si vous le souhaitez, vous pouvez entrer d’autres attributs, notamment :

    • Organisation (O)
    • Pays (C)
    • État ou province (ST)
    • Localité (L)

    Pour respecter les normes PKI, Intune applique une limite de deux caractères pour le pays/la région.

  8. Sous Chiffrement, entrez la taille de la clé et l’algorithme. Les options disponibles sont les suivantes :

    • RSA-2048 et SHA-256
    • RSA-3096 et SHA-384
    • RSA-4096 et SHA-512

    Image de la taille de la clé et du paramètre d’algorithme dans PKI cloud paramètres de configuration.

    Ce paramètre applique la taille de clé liée supérieure et l’algorithme de hachage qui peuvent être utilisés lors de la configuration d’un profil de certificat SCEP de configuration d’appareil dans Intune. Il vous permet de sélectionner une taille de clé et un hachage jusqu’à ce qui est défini sur la PKI cloud’autorité de certification émettrice. Gardez à l’esprit une taille de clé de 1024 et le hachage SHA-1 n’est pas pris en charge avec PKI cloud.

  9. Sélectionnez Suivant pour passer à Balises d’étendue.

  10. Si vous le souhaitez, vous pouvez ajouter des balises d’étendue pour contrôler la visibilité et l’accès à cette autorité de certification.

  11. Sélectionnez Suivant pour continuer à Vérifier + créer.

  12. Passez en revue le résumé fourni. Vous ne pourrez plus modifier ces propriétés après avoir créé l’autorité de certification. Si nécessaire, sélectionnez Retour pour modifier les paramètres et vérifiez qu’ils sont corrects et répondent à vos besoins en matière d’infrastructure à clé publique. Si vous devez ajouter ultérieurement une autre référence EKU, vous devez créer une autorité de certification.

  13. Lorsque vous êtes prêt à tout finaliser, sélectionnez Créer.

  14. Revenez à la liste PKI cloud d’autorité de certification dans le Centre d’administration. Sélectionnez Actualiser pour afficher votre nouvelle autorité de certification.

    Image de la liste PKI cloud Microsoft montrant la nouvelle autorité de certification racine.

Étape 2 : Créer une autorité de certification émettrice dans le Centre d’administration

Une autorité de certification émettrice est nécessaire pour émettre des certificats pour les appareils gérés Intune. PKI cloud fournit automatiquement un service SCEP qui agit en tant qu’autorité d’enregistrement de certificat. Il demande des certificats à l’autorité de certification émettrice pour le compte d’appareils gérés par Intune à l’aide d’un profil SCEP.

Remarque

Avec PKI cloud Microsoft, vous n’avez pas besoin de :

  • Installez et configurez un serveur NDES.
  • Installez et configurez le connecteur de certificat Intune.
  • Configurez un service proxy pour activer l’accès à l’URL du serveur NDES.

  1. Revenez à Administration>du locataire PKI cloud.

  2. Entrez un nom et une description facultative pour afin de pouvoir distinguer cette autorité de certification des autres membres de votre locataire.

  3. Sélectionnez Suivant pour passer à Paramètres de configuration.

  4. Sélectionnez le type d’autorité de certification et la source d’autorité de certification racine.

    Administration centre montrant le type d’autorité de certification sélectionné et la source d’autorité de certification racine développée, en mettant en évidence l’option Intune.

    Les options disponibles sont les suivantes :

    • Type d’autorité de certification : sélectionnez Autorité de certification émettrice. Configurez ensuite ces paramètres supplémentaires :

      • Source de l’autorité de certification racine : sélectionnez Intune. Ce paramètre détermine la source d’autorité de certification racine qui ancre l’autorité de certification émettrice.

      • Autorité de certification racine : sélectionnez l’une des autorités de certification racine que vous avez créées dans Intune sur lesquelles s’ancrer.

  5. Pour Période de validité, sélectionnez 2, 4, 6, 8 ou 10 ans. La période de validité de l’autorité de certification émettrice ne peut pas être plus longue que celle de l’autorité de certification racine. Pour créer une autorité de certification émettrice avec une période de validité personnalisée, utilisez Microsoft API Graph pour créer les autorités de certification.

  6. Pour Utilisations de clés étendues, sélectionnez la façon dont vous envisagez d’utiliser l’autorité de certification. Pour éviter les risques potentiels pour la sécurité, les autorités de certification sont limitées à des types d’utilisation spécifiques. Les options disponibles sont les suivantes :

    • Type : sélectionnez l’objectif de l’autorité de certification. La référence EKU Any Purpose (2.5.29.37.0) n’est pas destinée à être utilisée, car elle est trop permissive et présente un risque potentiel pour la sécurité.

    • Vous pouvez également créer une référence EKU personnalisée, entrez le nom et l’identificateur d’objet.

      Remarque

      Vous pouvez uniquement sélectionner parmi les EKU définies dans l’autorité de certification racine. Si vous n’avez pas défini de référence EKU dans l’autorité de certification racine, elle n’apparaît pas en tant qu’option EKU ici.

  7. Sous Attributs de l’objet , entrez un nom commun (CN) pour l’autorité de certification émettrice.

    Intune centre d’administration affichant PKI cloud paramètres des attributs du sujet.

    Les attributs facultatifs sont les suivants :

    • Organisation (O)
    • Unités d'organisation (UO)
    • Pays (C)
    • État/province (ST)
    • Localité (L)

    Pour respecter les normes PKI, Intune applique une limite de deux caractères pour le pays/la région.

  8. Sélectionnez Suivant pour passer à Balises d’étendue.

  9. Si vous le souhaitez, vous pouvez ajouter des balises d’étendue pour contrôler la visibilité et l’accès à cette autorité de certification.

  10. Sélectionnez Suivant pour continuer à Vérifier + créer.

  11. Passez en revue le résumé fourni. Lorsque vous êtes prêt à tout finaliser, sélectionnez Créer.

    Conseil

    Vous ne pourrez plus modifier ces propriétés après avoir créé l’autorité de certification. Si nécessaire, sélectionnez Retour pour modifier les paramètres et vérifiez qu’ils sont corrects et répondent aux exigences de votre infrastructure à clé publique. Si vous avez besoin ultérieurement d’EKUs supplémentaires, vous devez créer une autorité de certification.

  12. Revenez à la liste des PKI cloud Microsoft d’autorité de certification dans le Centre d’administration. Sélectionnez Actualiser pour voir votre nouvelle autorité de certification émettrice.

    Image de la liste PKI cloud Microsoft montrant la nouvelle autorité de certification émettrice.

Pour afficher les propriétés des autorités de certification racine et des autorités de certification émettrices dans votre locataire, sélectionnez l’autorité de certification, puis accédez à Propriétés. Les propriétés disponibles sont les suivantes :

  • URI du point de distribution de liste de révocation de certificats (CRL)
  • URI d’accès aux informations d’autorité (AIA)
  • URI SCEP : émission d’une autorité de certification uniquement

Notez ces emplacements de point de terminaison afin de les avoir pour plus tard. Les parties de confiance ont besoin d’une visibilité réseau sur ces points de terminaison. Par exemple, vous devez connaître le point de terminaison de l’URI SCEP lorsque vous créez des profils SCEP.

Remarque

La liste de révocation de certificats est valide pendant 7 jours et est actualisée et republiée dans le centre d’administration tous les 3,5 jours. Une actualisation se produit également chaque fois qu’un certificat d’entité finale est révoqué.

Lorsque vous créez le profil de certificat approuvé requis pour PKI cloud, vous devez disposer des clés publiques des certificats d’autorité de certification racine et de l’émission des certificats d’autorité de certification. Les clés publiques établissent une chaîne d’approbation entre Intune appareils gérés et PKI cloud lors de la demande d’un certificat à l’aide de profils de certificat SCEP. Sélectionnez Télécharger pour télécharger les clés publiques de ces certificats. Répétez cette étape pour chaque autorité de certification dont vous disposez. Les certificats d’autorité de certification racine et émettrice doivent également être installés sur les parties de confiance ou les points de terminaison d’authentification, prenant en charge l’authentification basée sur les certificats.

Étape 3 : Créer des profils de certificat

Pour émettre des certificats, vous devez créer un profil de certificat approuvé pour vos autorités de certification racine et émettrices. Le profil de certificat approuvé établit l’approbation avec l’autorité d’enregistrement de certificat PKI cloud prenant en charge le protocole SCEP. Un profil de certificat approuvé requis pour chaque plateforme (Windows, Android, iOS/iPad, macOS) qui émet PKI cloud certificats SCEP.

Cette étape vous oblige à :

  • Créez un profil de certificat approuvé pour l’autorité de certification racine PKI cloud.
  • Créez un profil de certificat approuvé pour une PKI cloud l’autorité de certification émettrice.
  • Créez un profil de certificat SCEP pour un PKI cloud l’autorité de certification émettrice.

Créer un profil de certificat approuvé

Dans le centre d’administration, créez un profil de certificat approuvé pour chaque plateforme de système d’exploitation que vous ciblez. Créez un profil de certificat approuvé pour le certificat d’autorité de certification racine et un profil pour l’autorité de certification émettrice.

Lorsque vous y êtes invité, entrez les clés publiques de l’autorité de certification racine et de l’autorité de certification émettrice. Effectuez les étapes suivantes pour télécharger les clés publiques de vos autorités de certification.

Pour l’autorité de certification racine :

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Accédez à Administration>du locataire PKI cloud.
  3. Sélectionnez une autorité de certification qui a un type racine.
  4. Accédez à Propriétés.
  5. Sélectionnez Télécharger. Patientez pendant le téléchargement de la clé publique.

Pour l’autorité de certification émettrice :

  1. Revenez à votre liste PKI cloud.
  2. Sélectionnez une autorité de certification qui a un type d’émission.
  3. Accédez à Propriétés.
  4. Sélectionnez Télécharger. Patientez pendant le téléchargement de la clé publique.

L’PKI cloud’autorité de certification racine et l’autorité de certification émettrice que vous téléchargez doivent être installées sur toutes les parties de confiance.

Le nom de fichier donné aux clés publiques téléchargées est basé sur les noms communs spécifiés dans l’autorité de certification. Certains navigateurs, comme Microsoft Edge, affichent un avertissement si vous téléchargez un fichier avec une .cer ou une autre extension de certificat connue. Si vous recevez cet avertissement, sélectionnez Conserver.

Image de l’invite Téléchargements mettant en surbrillance l’option conserver.

Créer un profil de certificat SCEP

Remarque

Seules PKI cloud autorités de certification émettrices (y compris l’autorité de certification émettrice BYOCA) peuvent être utilisées pour émettre des certificats SCEP à Intune appareils gérés.

Comme vous l’avez fait pour les profils de certificat approuvés, créez un profil de certificat SCEP pour chaque plateforme de système d’exploitation que vous ciblez. Le profil de certificat SCEP est utilisé pour demander un certificat d’authentification client feuille à l’autorité de certification émettrice. Ce type de certificat est utilisé dans les scénarios d’authentification basée sur des certificats, par exemple pour l’accès Wi-Fi et VPN.

  1. Revenez à Administration>du locataire PKI cloud.

  2. Sélectionnez une autorité de certification qui a un type d’émission .

  3. Accédez à Propriétés.

  4. En regard de la propriété d’URI SCEP, sélectionnez Copier dans le Presse-papiers.

  5. Dans le centre d’administration, créez un profil de certificat SCEP pour chaque plateforme de système d’exploitation que vous ciblez.

  6. Dans le profil, sous Certificat racine, liez le profil de certificat approuvé. Le certificat approuvé que vous sélectionnez doit être le certificat d’autorité de certification racine auquel l’autorité de certification émettrice est ancrée dans la hiérarchie de l’autorité de certification.

    Image du paramètre de certificat racine, avec un certificat d’autorité de certification racine sélectionné.

  7. Pour LES URL du serveur SCEP, collez l’URI SCEP. Il est important de laisser la chaîne {{CloudPKIFQDN}} telle qu’elle est. Intune remplace cette chaîne d’espace réservé par le nom de domaine complet approprié lorsque le profil est remis à l’appareil. Le nom de domaine complet s’affiche dans l’espace de noms *.manage.microsoft.com, un point de terminaison principal Intune. Pour plus d’informations sur les points de terminaison Intune, consultez Points de terminaison réseau pour Microsoft Intune.

  8. Configurez les paramètres restants, en suivant les bonnes pratiques suivantes :

    • Format du nom de l’objet : vérifiez que les variables spécifiées sont disponibles sur l’objet utilisateur ou appareil dans Microsoft Entra ID. Par exemple, si l’utilisateur cible de ce profil n’a pas d’attribut d’adresse e-mail, mais que l’adresse e-mail de ce profil est renseignée, le certificat n’est pas émis. Une erreur apparaît également dans le rapport de profil de certificat SCEP.

    • Utilisation étendue de la clé (EKU) : PKI cloud Microsoft ne prend pas en charge l’option N’importe quel objectif.

      Remarque

      Vérifiez que la ou les références EKU que vous sélectionnez sont configurées sur l’PKI cloud’autorité de certification émettrice. Si vous sélectionnez une référence EKU qui n’est pas présente sur le PKI cloud autorité de certification émettrice, une erreur se produit avec le profil SCEP. De plus, aucun certificat n’est émis pour l’appareil.

    • URL du serveur SCEP : ne combinez pas les URL NDES et SCEP avec PKI cloud Microsoft émettant des URL SCEP ca.

  9. Affectez et passez en revue le profil. Lorsque vous êtes prêt à tout finaliser, sélectionnez Créer.