Condividi tramite

Eliminare l'autorità di certificazione PKI di Microsoft Cloud

  • Articolo

Eliminare un'autorità di certificazione radice e emittente dal servizio PKI di Microsoft Cloud in Microsoft Intune. È possibile usare le azioni seguenti nell'interfaccia di amministrazione di Microsoft Intune per gestire le autorità di certificazione (CA) nel tenant:

  • Sospendere la CA: sospendere l'uso della CA.
  • Revoca ca: revoca tutti i certificati foglia attivi e quindi revoca la CA.
  • Elimina CA: eliminare e rimuovere la CA da Microsoft Intune.

Non è possibile eliminare una CA radice finché non vengono eliminate tutte le CA emittenti ancorate. Se si cambia idea dopo aver sospeso una CA, è possibile annullarla per riprendere l'uso. Tuttavia, revocare ed eliminare una CA sono azioni permanenti e non possono essere annullate.

Questo articolo descrive come eliminare una CA emittente e una CA radice da Microsoft Intune usando le azioni disponibili nell'interfaccia di amministrazione.

Requisiti di accesso in base al ruolo

Questi ruoli di amministratore possono eliminare le CA nell'interfaccia di amministrazione di Microsoft Intune:

  • Amministratore di Intune, un ruolo predefinito di Microsoft Entra
  • Ruolo personalizzato di Intune, assegnato le autorizzazioni di Intune seguenti:
    • Leggere le CA
    • Disabilitare e riabilitare le CA
    • Revocare i certificati foglia rilasciati

Eliminare l'autorità di certificazione emittente

Rimuovere definitivamente una CA emittente da Microsoft Intune. Se si sta tentando di eliminare una CA radice, completare prima questi passaggi per eliminare la CA emittente ancorata.

  1. Passare a Amministrazione tenant>Cloud PKI.

  2. Selezionare un'autorità di certificazione emittente attiva dall'elenco delle CA disponibili. Selezionando una CA vengono aperte le azioni disponibili.

  3. Selezionare Sospendi.

    Screenshot di esempio che evidenzia l'azione Sospendi per L'infrastruttura a chiave pubblica cloud.

  4. Selezionare di nuovo Sospendi quando viene richiesto di confermare.

    Nota

    Dopo aver sospeso una CA emittente:

    • Non può emettere certificati foglia.
    • Continua a rispondere alle richieste dell'elenco di revoche di certificati (CRL) e alle richieste AIA.

  5. Tornare all'elenco di CA e scegliere Aggiorna. Cercare quindi sotto la colonna Stato per verificare che la CA emittente sia in pausa.

    Screenshot di esempio che evidenzia la colonna Stato nella tabella delle CA.

  6. Selezionare la CA sospesa per aprire di nuovo tutte le opzioni disponibili. Vengono visualizzate due nuove opzioni:

    • Riprendi: questa opzione annulla l'aggiornamento della CA e la rende nuovamente attiva.
    • Revoca: questa opzione revoca la CA emittente.

  7. Selezionare Revoca.

    Consiglio

    Per il funzionamento di questa azione, tutti i certificati foglia attivi appartenenti alla CA devono già essere revocati. Per altre informazioni e passaggi, vedere Revocare i certificati foglia attivi in questo articolo.

    Screenshot di esempio che evidenzia l'azione Revoke per la CA.

  8. Selezionare di nuovo Revoca quando viene richiesto di confermare.

    Importante

    Questa azione non può essere annullata.

    Nota

    Dopo aver revocato una CA emittente:

    • Continua a rispondere alle richieste CRL e AIA.
    • Non è più attendibile per le relying party che eseguono un'operazione di catena di trust.
    • Il CRL della CA radice mostra che il certificato ca emittente viene revocato.
    • Tutti i certificati foglia esistenti emessi dalla CA non vengono più autenticati.

  9. Tornare all'elenco di CA e scegliere Aggiorna. Esaminare quindi sotto la colonna Stato per verificare che la CA emittente sia revocata.

    Screenshot di esempio dell'elenco ca, che evidenzia lo stato revocato.

  10. Selezionare la CA revocata per aprire di nuovo tutte le opzioni disponibili.

  11. L'opzione per eliminare la CA dovrebbe essere ora disponibile. Selezionare Elimina per rimuovere la CA da Microsoft Intune.

    Screenshot di esempio che evidenzia l'azione di eliminazione per una CA emittente.

  12. Selezionare di nuovo Elimina quando viene richiesto di confermare.

    Importante

    Questa azione non può essere annullata.

  13. Tornare all'elenco di CA e scegliere Aggiorna. Verificare che la CA emittente non sia più visualizzata nell'elenco.

Eliminare la CA radice

Rimuovere definitivamente una CA radice da Microsoft Intune.

Consiglio

Eliminare tutte le CA emittenti ancorate prima di eliminare la CA radice.

  1. Passare a Amministrazione tenant>Cloud PKI.

  2. Selezionare una CA radice dall'elenco delle CA disponibili. Selezionando una CA vengono aperte le azioni disponibili.

    Screenshot di esempio dell'elenco ca, evidenziando una CA radice.

  3. Selezionare Elimina per rimuovere la CA da Microsoft Intune.

    Screenshot di esempio dell'interfaccia di amministrazione che evidenzia l'azione di eliminazione per la CA radice.

  4. Selezionare di nuovo Elimina quando viene richiesto di confermare.

    Importante

    Questa azione non può essere annullata.

  5. Tornare all'elenco di CA e scegliere Aggiorna. Verificare che la CA radice non sia più visualizzata nell'elenco.

Revocare i certificati foglia attivi

Quando si tenta di revocare una CA emittente, è importante revocare prima tutti i certificati foglia attivi. È possibile revocare un certificato foglia alla volta a una CA emittente oppure revocare in blocco i certificati foglia.

Revocare un certificato foglia

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Infrastruttura a chiavepubblica cloud di amministrazione> del tenant.
  2. Selezionare una CA emittente.
  3. Scegliere Visualizza tutti i certificati.
  4. Selezionare un certificato foglia attivo e quindi scegliere Revoca. Ripetere questo passaggio su ogni certificato foglia rimanente.

Revocare tutti i certificati foglia

È possibile usare lo script di PowerShell di esempio in questa sezione per revocare tutti i certificati foglia appartenenti a una CA. Lo script recupera le informazioni dal tenant di Microsoft Intune sull'infrastruttura a chiave pubblica di Microsoft Cloud e revoca i certificati foglia per una CA emittente nel tenant.

  • Lo script recupera tutti i certificati foglia ed esegue l'azione di revoca su ognuno di essi.
  • Lo script richiede all'amministratore di confermare che si desidera revocare tutti i certificati foglia.
  • Lo script ha una configurazione facoltativa che è possibile includere che invia una richiesta di conferma per ogni certificato. La sezione nello script è commentata nell'esempio, quindi aggiungerla di nuovo se si vuole eseguire tale parte.

Importante

Usare questo script con cautela. Non è possibile annullare l'azione di revoca per nessuno dei certificati foglia.

  • Esaminare lo script di esempio prima di eseguirlo per comprendere meglio il funzionamento e valutare l'impatto sul tenant.
  • Eseguire prima lo script di esempio in un account tenant non di produzione o di test.

Lo script installa il modulo Microsoft Graph PowerShell, Microsoft.Graph. Per installare correttamente il modulo, il dispositivo che esegue lo script deve disporre di privilegi amministrativi.

Il Connect-MgGraph comando deve essere emesso da un amministratore che dispone dell'autorizzazione per revocare i certificati foglia nella CA emittente.

L'ID CA è necessario per eseguire lo script. Per trovare queste informazioni nell'interfaccia di amministrazione:

  1. Passare a Amministrazione tenant>Cloud PKI.

  2. Selezionare una CA emittente.

  3. Esaminare l'URL del browser per trovare l'ID CA. La stringa alfanumerica sillabata alla fine dell'URL è l'ID CA. Nell'URL seguente, ad esempio, l'ID CA è f12345-acf1-12ab-1b2a-1a1234567a89:

    https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Script di esempio

Eseguire lo script di PowerShell di esempio da una workstation amministrativa. Per eseguirlo, è necessario disporre delle autorizzazioni di Intune seguenti:

  • Leggere le CA
  • Revocare i certificati foglia rilasciati
 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}