Condividi tramite

Configurare la CA radice ed emittente per Microsoft Cloud PKI

Questo articolo descrive come creare e distribuire una CA radice Microsoft Cloud PKI ed eseguire l'autorità di certificazione in Microsoft Intune. Una CA emittente rilascia certificati ai dispositivi in base ai profili certificato creati in Intune.

Prerequisiti

Per altre informazioni su come preparare il tenant per Microsoft Cloud PKI, inclusi i concetti e i requisiti chiave, vedere:

Controllo degli accessi in base al ruolo

L'account usato per accedere all'interfaccia di amministrazione Microsoft Intune deve disporre dell'autorizzazione per creare un'autorità di certificazione. Il ruolo amministratore Microsoft Entra Intune (noto anche come amministratore del servizio Intune) dispone delle autorizzazioni predefinite per la creazione di ca. In alternativa, è possibile assegnare Cloud PKI autorizzazioni CA a un utente amministratore. Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Passaggio 1: Creare una CA radice nell'interfaccia di amministrazione

Prima di iniziare a rilasciare certificati ai dispositivi gestiti, è necessario creare una CA radice nel tenant per fungere da ancoraggio di trust. Questa sezione descrive come creare la CA radice. Prima di creare una CA emittente, è necessario creare almeno una CA radice.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Passare a Amministrazione> tenant Cloud PKI e quindi selezionare Crea.

    Immagine della pagina Cloud PKI dell'interfaccia di amministrazione Microsoft Intune, evidenziando il percorso per creare una CA radice Cloud PKI.

  3. Per Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per l'oggetto CA. Assegnarle un nome in modo che sia possibile identificarlo facilmente in un secondo momento. Esempio: CA radice C-PKI di Contoso

    • Descrizione: immettere una descrizione per l'oggetto CA. Questa impostazione è facoltativa ma consigliata. Esempio: Microsoft Cloud PKI CA radice per Contoso Corporation

  4. Selezionare Avanti per continuare con le impostazioni di configurazione.

  5. Configurare le impostazioni seguenti per la CA radice:

    • Tipo ca: selezionare CA radice.

    • Periodo di validità: selezionare 5, 10, 15, 20 o 25 anni. Per creare una CA radice con un periodo di validità personalizzato, usare Microsoft API Graph per creare le CA.

  6. Per Utilizzo chiavi estese selezionare il modo in cui si intende usare la CA.

    Immagine della scheda Impostazioni di configurazione che mostra la sezione Utilizzo chiavi estese per Cloud PKI.

    Per evitare potenziali rischi per la sicurezza, le CA si limitano a selezionare l'uso. Le opzioni disponibili sono:

    • Tipo: selezionare lo scopo della CA. L'EKU Qualsiasi scopo (2.5.29.37.0) non è destinato all'uso, perché è eccessivamente permissivo e un potenziale rischio per la sicurezza. Per altre informazioni, vedere Modificare un modello di certificati eccessivamente permissivi con EKU con privilegi.

    • In alternativa, per creare un utilizzo personalizzato della chiave estesa, immettere nome eidentificatore oggetto.

      Nota

      Tenere presente che i vincoli EKU/OID ca radice sono un superset della CA emittente. Ciò significa che quando si crea una CA emittente, è possibile selezionare solo le EKU definite per la CA radice. Se non si definisce l'EKU nella CA radice, non verrà visualizzata come opzione EKU per la CA emittente.

  7. In Attributi oggetto immettere un nome comune (CN) per la CA radice. Facoltativamente, è possibile immettere altri attributi, tra cui:

    • Organizzazione (O)
    • Paese (C)
    • Stato o provincia (ST)
    • Località (L)

    Per rispettare gli standard PKI, Intune applica un limite di due caratteri per paese/area geografica.

  8. In Crittografia immettere le dimensioni della chiave e l'algoritmo. Le opzioni disponibili sono:

    • RSA-2048 e SHA-256
    • RSA-3096 e SHA-384
    • RSA-4096 e SHA-512

    Immagine delle dimensioni chiave e dell'impostazione dell'algoritmo nelle impostazioni di configurazione Cloud PKI.

    Questa impostazione impone le dimensioni della chiave associata superiore e l'algoritmo hash che possono essere usati durante la configurazione di un profilo certificato SCEP di configurazione del dispositivo in Intune. Consente di selezionare le dimensioni della chiave e l'hash fino a quanto impostato nella CA emittente Cloud PKI. Tenere presente che le dimensioni della chiave 1024 e l'hash SHA-1 non sono supportati con Cloud PKI.

  9. Selezionare Avanti per continuare con i tag ambito.

  10. Facoltativamente, è possibile aggiungere tag di ambito per controllare la visibilità e l'accesso a questa CA.

  11. Selezionare Avanti per continuare con Rivedi e crea.

  12. Esaminare il riepilogo fornito. Non sarà possibile modificare queste proprietà dopo aver creato la CA. Se necessario, selezionare Indietro per modificare le impostazioni e assicurarsi che siano corrette e soddisfino i requisiti PKI. Se in un secondo momento è necessario aggiungere un altro EKU, è necessario creare una nuova CA.

  13. Quando si è pronti per finalizzare tutto, selezionare Crea.

  14. Tornare all'elenco Cloud PKI CA nell'interfaccia di amministrazione. Selezionare Aggiorna per visualizzare la nuova CA.

    Immagine dell'elenco Microsoft Cloud PKI che mostra la nuova CA radice.

Passaggio 2: Creare un'autorità di certificazione emittente nell'interfaccia di amministrazione

Una CA emittente è necessaria per rilasciare certificati per i dispositivi gestiti da Intune. Cloud PKI fornisce automaticamente un servizio SCEP che funge da autorità di registrazione certificati. Richiede certificati dalla CA emittente per conto di dispositivi gestiti da Intune usando un profilo SCEP.

Nota

Con Microsoft Cloud PKI, non è necessario:

  • Installare e configurare un server NDES.
  • Installare e configurare il connettore di certificati Intune.
  • Configurare un servizio proxy per abilitare l'accesso all'URL del server NDES.

  1. Tornare a Amministrazione> tenant Cloud PKI.

  2. Immettere un nome e una descrizione facoltativa per in modo da poter distinguere questa CA dagli altri nel tenant.

  3. Selezionare Avanti per continuare con le impostazioni di configurazione.

  4. Selezionare il tipo di CA e l'origine CA radice.

    Amministrazione centro che mostra il tipo di CA selezionato e l'origine CA radice espansa, evidenziando l'opzione Intune.

    Le opzioni disponibili sono:

    • Tipo ca: selezionare CA emittente. Configurare quindi queste impostazioni aggiuntive:

      • Origine CA radice: selezionare Intune. Questa impostazione determina l'origine ca radice che ancora la CA emittente.

      • CA radice: selezionare una delle CA radice create in Intune a cui ancorare.

  5. Per Periodo di validità selezionare 2, 4, 6, 8 o 10 anni. Il periodo di validità della CA emittente non può essere più lungo della CA radice. Per creare una CA emittente con un periodo di validità personalizzato, usare Microsoft API Graph per creare le CA.

  6. Per Utilizzo chiavi estese selezionare il modo in cui si intende usare la CA. Per evitare potenziali rischi per la sicurezza, le CA sono limitate a tipi specifici di utilizzo. Le opzioni disponibili sono:

    • Tipo: selezionare lo scopo della CA. L'EKU Qualsiasi scopo (2.5.29.37.0) non è destinato all'uso, perché è eccessivamente permissivo e un potenziale rischio per la sicurezza.

    • In alternativa, per creare un EKU personalizzato, immettere nome eidentificatore oggetto.

      Nota

      È possibile selezionare solo da EKU definiti nella CA radice. Se non è stato definito un EKU nella CA radice, non verrà visualizzato come opzione EKU qui.

  7. In Attributi oggetto immettere un nome comune (CN) per la CA emittente.

    Intune'interfaccia di amministrazione che mostra Cloud PKI impostazioni degli attributi dell'oggetto.

    Gli attributi facoltativi includono:

    • Organizzazione (O)
    • Unità organizzativa
    • Paese (C)
    • Stato/provincia (ST)
    • Località (L)

    Per rispettare gli standard PKI, Intune applica un limite di due caratteri per paese/area geografica.

  8. Selezionare Avanti per continuare con i tag ambito.

  9. Facoltativamente, è possibile aggiungere tag di ambito per controllare la visibilità e l'accesso a questa CA.

  10. Selezionare Avanti per continuare con Rivedi e crea.

  11. Esaminare il riepilogo fornito. Quando si è pronti per finalizzare tutto, selezionare Crea.

    Consiglio

    Non sarà possibile modificare queste proprietà dopo aver creato la CA. Se necessario, selezionare Indietro per modificare le impostazioni e assicurarsi che siano corrette e soddisfino i requisiti PKI. Se in un secondo momento sono necessarie EKU aggiuntive, è necessario creare una nuova CA.

  12. Tornare all'elenco Microsoft Cloud PKI CA nell'interfaccia di amministrazione. Selezionare Aggiorna per visualizzare la nuova CA emittente.

    Immagine dell'elenco Microsoft Cloud PKI che mostra la nuova CA emittente.

Per visualizzare le proprietà delle CA radice e delle CA emittenti nel tenant, selezionare la CA e quindi passare a Proprietà. Le proprietà disponibili includono:

  • URI del punto di distribuzione dell'elenco di revoche di certificati (CRL)
  • Authority Information Access (AIA) URI
  • URI SCEP - solo CA emittente

Prendere nota di queste posizioni degli endpoint in modo che siano disponibili per un secondo momento. Le relying party necessitano di visibilità di rete per questi endpoint. Ad esempio, è necessario conoscere l'endpoint URI SCEP quando si creano profili SCEP.

Nota

L'elenco CRL è valido per 7 giorni e viene aggiornato e ripubblicato nell'interfaccia di amministrazione ogni 3,5 giorni. Viene inoltre eseguito un aggiornamento ogni volta che viene revocato un certificato dell'entità finale.

Quando si crea il profilo certificato attendibile necessario per Cloud PKI, è necessario disporre delle chiavi pubbliche per i certificati CA radice e per l'emissione di certificati CA. Le chiavi pubbliche stabiliscono una catena di attendibilità tra Intune dispositivi gestiti e Cloud PKI quando si richiede un certificato usando profili certificato SCEP. Selezionare Scarica per scaricare le chiavi pubbliche per questi certificati. Ripetere questo passaggio per ogni CA disponibile. I certificati CA radice e emittente devono essere installati anche in tutte le relying party o negli endpoint di autenticazione, che supportano l'autenticazione basata su certificati.

Passaggio 3: Creare profili certificato

Per rilasciare i certificati, è necessario creare un profilo certificato attendibile per le CA radice ed emittenti. Il profilo certificato attendibile stabilisce l'attendibilità con l'autorità di registrazione del certificato Cloud PKI che supporta il protocollo SCEP. Profilo certificato attendibile necessario per ogni piattaforma (Windows, Android, iOS/iPad, macOS) che emette Cloud PKI certificati SCEP.

Questo passaggio richiede di:

  • Creare un profilo certificato attendibile per l'autorità di certificazione radice Cloud PKI.
  • Creare un profilo certificato attendibile per una CA emittente Cloud PKI.
  • Creare un profilo certificato SCEP per una CA emittente Cloud PKI.

Creare un profilo certificato attendibile

Nell'interfaccia di amministrazione creare un profilo certificato attendibile per ogni piattaforma del sistema operativo di destinazione. Creare un profilo certificato attendibile per il certificato CA radice e uno per la CA emittente.

Quando richiesto, immettere le chiavi pubbliche per la CA radice e l'autorità di certificazione emittente. Completare la procedura seguente per scaricare le chiavi pubbliche per le ca.

Per la CA radice:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
  2. Passare a Amministrazione> tenant Cloud PKI.
  3. Selezionare una CA con un tipo radice.
  4. Passare a Proprietà.
  5. Selezionare Scarica. Attendere il download della chiave pubblica.

Per la CA emittente:

  1. Tornare all'elenco Cloud PKI.
  2. Selezionare un'autorità di certificazione con un tipo emittente.
  3. Passare a Proprietà.
  4. Selezionare Scarica. Attendere il download della chiave pubblica.

La CA radice Cloud PKI e la CA emittente che si scarica devono essere installate in tutte le relying party.

Il nome file assegnato alle chiavi pubbliche scaricate si basa sui nomi comuni specificati nella CA. Alcuni browser, ad esempio Microsoft Edge, visualizzano un avviso se si scarica un file con un .cer o un'altra estensione di certificato nota. Se viene visualizzato questo avviso, selezionare Mantieni.

Immagine della richiesta download che evidenzia l'opzione mantieni.

Creare un profilo certificato SCEP

Nota

Solo Cloud PKI autorità di certificazione emittente (inclusa la CA emittente BYOCA) può essere usata per emettere certificati SCEP per Intune dispositivi gestiti.

Proprio come per i profili certificato attendibili, creare un profilo certificato SCEP per ogni piattaforma del sistema operativo di destinazione. Il profilo certificato SCEP viene usato per richiedere un certificato di autenticazione client foglia all'autorità di certificazione emittente. Questo tipo di certificato viene usato negli scenari di autenticazione basata su certificati, ad esempio Wi-Fi e accesso VPN.

  1. Tornare a Amministrazione> tenant Cloud PKI.

  2. Selezionare un'autorità di certificazione con un tipo emittente .

  3. Passare a Proprietà.

  4. Accanto alla proprietà URI SCEP selezionare Copia negli Appunti.

  5. Nell'interfaccia di amministrazione creare un profilo certificato SCEP per ogni piattaforma del sistema operativo di destinazione.

  6. Nel profilo, in Certificato radice, collegare il profilo certificato attendibile. Il certificato attendibile selezionato deve essere il certificato CA radice a cui è ancorata la CA emittente nella gerarchia ca.

    Immagine dell'impostazione del certificato radice, con un certificato CA radice selezionato.

  7. Per URL del server SCEP, incollare l'URI SCEP. È importante lasciare la stringa {{CloudPKIFQDN}} così come è. Intune sostituisce questa stringa segnaposto con il nome di dominio completo appropriato quando il profilo viene recapitato al dispositivo. Il nome di dominio completo verrà visualizzato all'interno dello spazio dei nomi *.manage.microsoft.com, un endpoint Intune principale. Per altre informazioni sugli endpoint Intune, vedere Endpoint di rete per Microsoft Intune.

  8. Configurare le impostazioni rimanenti seguendo queste procedure consigliate:

    • Formato del nome del soggetto: verificare che le variabili specificate siano disponibili nell'oggetto utente o dispositivo in Microsoft Entra ID. Ad esempio, se l'utente di destinazione di questo profilo non ha un attributo di indirizzo di posta elettronica, ma l'indirizzo di posta elettronica in questo profilo è compilato, il certificato non verrà emesso. Un errore viene visualizzato anche nel report del profilo certificato SCEP.

    • Utilizzo esteso delle chiavi (EKU): Microsoft Cloud PKI non supporta l'opzione Qualsiasi scopo.

      Nota

      Assicurarsi che gli EKU selezionati siano configurati nell'autorità di certificazione (CA) Cloud PKI emittente. Se si seleziona un EKU non presente nella CA emittente Cloud PKI, si verifica un errore con il profilo SCEP. Inoltre, non viene rilasciato un certificato al dispositivo.

    • URL del server SCEP: non combinare GLI URL di NDES e SCEP con Microsoft Cloud PKI URL SCEP della CA emittente.

  9. Assegnare ed esaminare il profilo. Quando si è pronti per finalizzare tutto, selezionare Crea.