Megosztás a következőn keresztül:

Microsoft Cloud PKI alapjai

Microsoft Cloud PKI egy Intune Suite-funkció, amellyel informatikai szakemberként felügyelheti a nyilvános kulcsú infrastruktúrát (PKI) a felhőben. Saját hitelesítésszolgáltatókat és tanúsítványokat hozhat létre, konfigurálhat és kezelhet anélkül, hogy helyszíni infrastruktúrát kellene telepítenie és karbantartania. A Microsoft Cloud PKI szolgáltatás integrálható a Microsoft Entra ID és a Microsoft Intune, hogy identitás- és eszközfelügyeletet biztosítson a felhőalapú eszközök és alkalmazások számára.

Ez a cikk azokat az alapismereteket és fogalmakat ismerteti, amelyeket a Microsoft Cloud PKI konfigurálásakor ismernie kell. Javasoljuk, hogy tekintse át az összes információt, mielőtt konfigurálja a Microsoft Cloud PKI szolgáltatást a Intune bérlőben.

Hitelesítésszolgáltató-típusok

A hitelesítésszolgáltató a következő feladatokat látja el:

  • Ellenőrzi egy tanúsítványkérelmező identitását
  • Tanúsítványokat ad ki a kérelmezőknek
  • A tanúsítvány-visszavonás kezelése

Microsoft Cloud PKI az alábbi hitelesítésszolgáltatókat támogatja:

  • Legfelső szintű hitelesítésszolgáltató
  • Kiállító hitelesítésszolgáltató

Legfelső szintű hitelesítésszolgáltató

A legfelső szintű hitelesítésszolgáltató (CA) a legfelső hitelesítésszolgáltató a ca-hierarchiában. A nyilvános kulcsokra épülő infrastruktúrában a legfelső szintű hitelesítésszolgáltató szolgál a hitelesítésszolgáltatók által a hierarchiában kiadott tanúsítványok megbízhatósági pontjaként. A tanúsítvány megbízhatónak minősül, ha a hitelesítésszolgáltatói hierarchián keresztül egy felhasználó, számítógép, hálózati eszköz vagy szolgáltatás által megbízhatónak ítélt legfelső szintű hitelesítésszolgáltatóra vezethető vissza.

A legfelső szintű hitelesítésszolgáltató abban egyedi, hogy a tanúsítványa saját kezűleg van kibocsátva, ami azt jelenti, hogy a tanúsítvány kiállítójának neve és tulajdonosneve ugyanazt a megkülönböztető nevet tartalmazza. A főtanúsítvány érvényességének ellenőrzésének egyetlen módja a legfelső szintű hitelesítésszolgáltatói tanúsítvány megbízható legfelső szintű tárolóba való felvétele. A megbízható legfelső szintű tároló tartalmazza a tényleges legfelső szintű hitelesítésszolgáltatói tanúsítványt, amely kijelöli a tanúsítvány megbízhatóságát.

A legfelső szintű hitelesítésszolgáltató tanúsítványokat adhat ki más hitelesítésszolgáltatóknak, illetve a hálózaton lévő felhasználóknak, számítógépeknek, hálózati eszközöknek vagy szolgáltatásoknak. Amikor a legfelső szintű hitelesítésszolgáltató tanúsítványt ad ki egy másik entitásnak, a legfelső szintű hitelesítésszolgáltató tanúsítványa a titkos kulccsal aláírja a tanúsítványt. Az aláírás védelmet nyújt a tartalom módosítása ellen, és azt jelzi, hogy a legfelső szintű hitelesítésszolgáltató kiadta a tanúsítványt.

Fontos

Microsoft Cloud PKI csak az MDM-ben regisztrált hálózati eszközöknek ad ki tanúsítványokat.

Kiállító hitelesítésszolgáltató

Megjegyzés:

A köztes, a kiadási és az alárendelt kifejezések mind felcserélhető címkék, amelyek ugyanazt a szerepkört használják a CA-struktúrán belül. Microsoft Cloud PKI a kibocsátás kifejezést használja az ilyen típusú hitelesítésszolgáltató leírására.

A kiállító hitelesítésszolgáltató olyan hitelesítésszolgáltató, amely egy másik hitelesítésszolgáltató alárendeltje, és a következők egyikét teheti:

  • Tanúsítványokat adhat ki a ca-hierarchiában lévő más hitelesítésszolgáltatóknak.
  • Levéltanúsítványokat adhat ki egy végfelhasználónak, például kiszolgálónak, szolgáltatásnak, ügyfélnek vagy eszköznek.

A kiállító hitelesítésszolgáltató a hitelesítésszolgáltatói hierarchia bármely szintjén létezhet, kivéve a legfelső szintű hitelesítésszolgáltatói szintet.

Láncolására

A láncolás az a folyamat, amely azt dolgozza ki, hogy mi a legjobb megbízhatósági útvonal minden olyan tanúsítványhoz, amelyet ellenőrizni és megbízhatónak kell minősíteni. Minden operációs rendszer vagy szolgáltatás elvégzi ezt a számítási folyamatot, amelyet általában tanúsítványláncmotornak neveznek.

A láncépítési folyamat a következőkből áll:

  • Tanúsítványfelderítés: Egy végfelhasználói levéltanúsítvány kiállító hitelesítésszolgáltatói tanúsítványának keresése a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványig.
  • Tanúsítványérvényesítés: Létrehozza az összes lehetséges tanúsítványláncot. A lánc összes tanúsítványát ellenőrzi különböző paraméterekkel, például névvel, időponttal, aláírással, visszavonással és potenciálisan más meghatározott korlátozásokkal.
  • A legjobb minőségi láncot adja vissza.

Amikor egy tanúsítvány megjelenik ellenőrzésre, a tanúsítványláncmotor végigvezeti a tanúsítványtárolón, és kiválasztja a köztes és főtanúsítvány-jelölteket. Egy teljes lánc létrehozásához több köztes tanúsítványra is szükség lehet.

A tanúsítványláncmotor a tulajdonoskulcs-azonosító (SKI) és a szolgáltatókulcs-azonosító (AKI) használatával próbál tanúsítványokat kiválasztani. A Microsoft CA által kibocsátott végfelhasználói tanúsítvány tartalmazza az AKI-t, ezért a tanúsítványláncmotornak ki kell választania egy köztes tanúsítványt egy megfelelő SKI-vel. A folyamat addig ismétlődik, amíg egy önaláírt tanúsítványt nem számba nem ad.

Láncérvényesítési folyamat

Megjegyzés:

A tanúsítványlánc-érvényesítési módszerek támogatása operációsrendszer-platformonként eltérő. Ez a szakasz a Windows 10 vagy újabb rendszerű eszközökön támogatott módszereket ismerteti.

Windows rendszeren három láncérvényesítési folyamat létezik: pontos egyezés, kulcsegyezés és névegyezés.

  • Pontos egyezés: Ha az AKI-bővítmény tartalmazza a kiállító tárgyát, a kiállító sorozatszámát és a KeyID-t, csak a tulajdonossal, sorozatszámmal és KeyID-vel egyező szülőtanúsítványok lesznek kiválasztva a láncépítési folyamatban.

  • Kulcsegyezés: Ha az AKI-bővítmény csak a KeyID azonosítót tartalmazza, csak azok a tanúsítványok lesznek érvényes kiállítók, amelyek a Tulajdonoskulcs-azonosító (SKI) bővítményben egyező KeyID-t tartalmaznak.

  • Névegyezés: A névegyeztetés akkor történik, ha nincs információ az AKI-ben, vagy ha az AKI-bővítmény nem szerepel a tanúsítványban. Ebben az esetben a kiállítói tanúsítvány tulajdonosnevének meg kell egyeznie az aktuális tanúsítvány kiállítói attribútumával.

A SKI- és AKI-mezőket nem tartalmazó tanúsítványok esetében a láncoló motor névegyeztetést próbál használni egy lánc létrehozásához. Ha két azonos nevű tanúsítvánnyal rendelkezik, a rendszer az újabbat választja ki.

A tanúsítványfelderítés akkor indul el, ha a közvetlen szülő nem helyi a számítógépen. Az ügyfél ezzel a folyamattal kéri le a hiányzó szülőtanúsítványokat. A rendszer elemzi a tanúsítvány szolgáltatói információ-hozzáférési mezőjében látható URL-címeket, és a szülő hitelesítésszolgáltatói tanúsítványok lekérésére szolgál. A folyamat hasonló a CRL letöltéséhez.

A lánc felépítése után a következő ellenőrzések lesznek végrehajtva a lánc minden tanúsítványán:

  • Ellenőrizze, hogy megfelelően van-e formázva és aláírva. Végezze el a tanúsítvány kivonatos ellenőrzését.
  • Ellenőrizze a tanúsítvány feladói és a következő mezőit, és győződjön meg arról, hogy az nem járt le.
  • Ellenőrizze, hogy visszavonták-e a tanúsítványt.
  • Ellenőrizze, hogy a lánc megszakad-e egy megbízható legfelső szintű tárolóban található tanúsítványban.

A tanúsítvány és a hozzá tartozó lánc érvényesnek minősül az összes ellenőrzés befejezése után, és sikeresen visszatér.

A tanúsítványok rendezett listáját tartalmazó tanúsítványlánc lehetővé teszi, hogy a függő entitás ellenőrizze, hogy a feladó megbízható-e. Ez mindkét módon működik, az ügyfél-kiszolgáló és a kiszolgáló-ügyfél között.

Az alábbi ábrán a névegyeztetési lánc ellenőrzési folyamata látható.

A láncérvényesítési folyamat ábrája a névegyeztetési módszerrel.

Megbízhatósági lánc biztosítása

Ha tanúsítványalapú hitelesítést használ tanúsítványokkal, meg kell győződnie arról, hogy mindkét függő entitás rendelkezik a hitelesítésszolgáltatói tanúsítvány (nyilvános kulcsok) megbízhatósági láncával. Ebben az esetben a függő entitások a Intune felügyelt eszköz és a hitelesítési hozzáférési pont, például a Wi-Fi, a VPN vagy a webszolgáltatás.

A legfelső szintű hitelesítésszolgáltatónak jelen kell lennie. Ha a kiállító hitelesítésszolgáltatói tanúsítvány nincs jelen, akkor a függő entitás kérheti a kívánt operációsrendszer-platform natív tanúsítványláncmotorjának használatával. A függő entitás a levéltanúsítvány szolgáltatói információ-hozzáférési tulajdonságával kérheti a kiállító hitelesítésszolgáltatói tanúsítványt.

Az ellenőrzési folyamat láncának ábrája.

Tanúsítványalapú hitelesítés

Ez a szakasz alapvető ismereteket nyújt az ügyfél vagy eszköz tanúsítványalapú hitelesítésekor használt különböző tanúsítványokról.

A következő lépések azt a kézfogást mutatják be, amely egy ügyfél és egy függő entitásszolgáltatás között történik a tanúsítványalapú hitelesítés során.

  1. Az ügyfél valamilyen hellocsomagot bocsát ki a függő entitásnak.
  2. A függő entitás válaszol, és kijelenti, hogy biztonságos TLS/SSL protokollon keresztül kíván kommunikálni. Az ügyfél és a függő entitás végrehajtja az SSL-kézfogást, és létrejön egy biztonságos csatorna.
  3. A függő entitás egy tanúsítványt kér az ügyfél-hitelesítéshez.
  4. Az ügyfél a hitelesítéshez bemutatja az ügyfél-hitelesítési tanúsítványát a függő entitásnak.

Az ügyfél és a függő entitásszolgáltatás közötti kézfogás ábrája.

Microsoft Cloud PKI nélküli környezetben a magánhálózati hitelesítésszolgáltató felelős a függő entitás által használt TLS-/SSL-tanúsítvány és az eszköz ügyfél-hitelesítési tanúsítványának kiállításáért. Microsoft Cloud PKI használható az eszköz ügyfél-hitelesítési tanúsítványának kiadására, ezzel hatékonyan lecserélve a magánhálózati hitelesítésszolgáltatót erre a feladatra.