Delen via

Microsoft Cloud PKI configureren - Bring Your Own CA

In dit artikel wordt beschreven hoe u Microsoft Cloud PKI configureert voor Intune met uw eigen certificeringsinstantie (CA). Met het Intune-ondersteunde BYOCA-implementatiemodel (Bring Your Own CA) kunt u een persoonlijke verlenende CA in de cloud maken en verankeren aan uw on-premises of privé-CA. De privé-CA kan bestaan uit N+1 CA-hiërarchieën.

Vereisten

Zie voor meer informatie over het voorbereiden van uw tenant op Microsoft Cloud PKI, met inbegrip van de belangrijkste concepten en vereisten:

Op rollen gebaseerd toegangsbeheer

Het account dat u gebruikt om u aan te melden bij het Microsoft Intune-beheercentrum, moet zijn gemachtigd om een certificeringsinstantie (CA) te maken. Het account Microsoft Entra Intune Administrator (ook wel bekend als Intune-servicebeheerder) heeft de juiste ingebouwde machtigingen om CA's te maken. U kunt ook Cloud PKI CA-machtigingen toewijzen aan een gebruiker met beheerdersrechten. Zie Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie.

Stap 1: aanvragen voor verlenende CA en certificaatondertekening maken

Maak een verlenende CA in het Microsoft Intune-beheercentrum.

  1. Ga naar Tenantbeheer>Cloud PKI en selecteer vervolgens Maken.

    Afbeelding van de Cloud PKI-pagina van het Microsoft Intune-beheercentrum, waarin het pad voor het maken van een Cloud PKI basis-CA wordt gemarkeerd.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het CA-object. Geef het een naam zodat u deze later eenvoudig kunt identificeren. Voorbeeld: Contoso BYOCA geeft CA uit
    • Beschrijving: voer een beschrijving in voor het CA-object. Deze instelling is optioneel, maar wordt aanbevolen. Voorbeeld: Cloud PKI verlenende CA met bring-your-own-root-CA verankerd aan een on-premises ADCS-verlenende CA

  3. Selecteer Volgende om door te gaan naar Configuratie-instellingen.

  4. Selecteer het CA-type en de hoofd-CA-bron.

    Beheer centrum met de broninstellingen van het ca-type basis-CA voor bring your own CA Cloud PKI.

    Configureer de volgende instellingen voor de verlenende CA:

    • CA-type: selecteer Verlenende CA.
    • Basis-CA-bron: Selecteer Uw eigen basis-CA meenemen. Met deze instelling geeft u de bron van de basis-CA op die de verlenende CA verankert.

  5. Geldigheidsperiode overslaan. Deze instelling is niet beschikbaar om te configureren. De geldigheidsperiode wordt bepaald door de CA die u gebruikt om de aanvraag voor ondertekening van het BYOCA-certificaat te ondertekenen.

  6. Voor Uitgebreide sleutelgebruik selecteert u hoe u de CA wilt gebruiken.

    Afbeelding van het tabblad Configuratie-instellingen, met de sectie Uitgebreide sleutelgebruik voor Cloud PKI.

    Om potentiële beveiligingsrisico's te voorkomen, kunnen CA's alleen worden gebruikt. Uw opties:

    • Type: selecteer het doel van de CA. Het gebruik van de uitgebreide sleutel Any Purpose (2.5.29.37.0) is niet bedoeld voor gebruik, omdat het te toegestaan is en een potentieel beveiligingsrisico vormt. Zie Sjabloon voor te toegestane certificaten bewerken met bevoegde EKU voor meer informatie.
    • Als u een aangepast gebruik van uitgebreide sleutels wilt maken, voert u de naam en object-id in.

  7. Voer onder Onderwerpkenmerken een algemene naam (CN) in voor de verlenende CA.

    Intune beheercentrum met instellingen voor Cloud PKI onderwerpkenmerken.

    Optionele kenmerken zijn onder andere:

    • Organisatie (O)
    • Organisatie-eenheid (OE)
    • Land (C)
    • Staat/provincie (ST)
    • Plaats (L)

    Om te voldoen aan de PKI-standaarden, dwingt Intune een limiet van twee tekens af voor land/regio.

  8. Voer onder Versleuteling de sleutelgrootte in.

    Afbeelding van sleutelgrootte en algoritme-instelling in Cloud PKI configuratie-instellingen.

    Uw opties:

    • RSA-2048

    • RSA-3072

    • RSA-4096

    Met deze instelling wordt de bovengrenssleutelgrootte afgedwongen die kan worden gebruikt bij het configureren van een SCEP-certificaatprofiel voor een apparaatconfiguratie in Intune. Hiermee kunt u elke sleutelgrootte selecteren tot wat is ingesteld op de Cloud PKI verlenende CA. Houd er rekening mee dat een 1024-sleutelgrootte en SHA-1-hash niet wordt ondersteund met Cloud PKI. U hoeft het hashing-algoritme echter niet op te geven. De CA die u gebruikt om de CSR te ondertekenen, bepaalt het hashing-algoritme.

  9. Selecteer Volgende om door te gaan naar Bereiktags.

  10. U kunt desgewenst bereiktags toevoegen om de zichtbaarheid en toegang tot deze CA te beheren.

  11. Selecteer Volgende om door te gaan met Beoordelen en maken.

  12. Bekijk de opgegeven samenvatting. Wanneer u klaar bent om alles te voltooien, selecteert u Maken.

    Belangrijk

    U kunt deze eigenschappen niet meer bewerken nadat u de CA hebt gemaakt. Selecteer Terug om de instellingen te bewerken en ervoor te zorgen dat ze juist zijn en voldoen aan uw PKI-vereisten. Als u later een EKU moet toevoegen, moet u een nieuwe CA maken.

  13. Ga terug naar de lijst met Microsoft Cloud PKI CA in het beheercentrum. Selecteer Vernieuwen om uw nieuwe CA weer te geven.

  14. Selecteer de CA. Onder Basisbeginselen moet de status Ondertekening vereist zijn.

  15. Ga naar Eigenschappen.

  16. Selecteer CSR downloaden. Wacht tot Intune een bestand met REQ-indeling downloadt met de naam van de CA. Bijvoorbeeld: Contoso BYOCA Issuing CA.req

Stap 2: Aanvraag voor certificaatondertekening ondertekenen

Een privé-CA is vereist om het csr-bestand (certificate signing request) te ondertekenen dat u hebt gedownload. De ondertekenende CA kan een hoofd- of verlenende CA zijn uit elke laag van de privé-CA. Er zijn twee manieren om te ondertekenen:

  • Optie 1: Gebruik De webinschrijving van de certificeringsinstantie, een functie van Active Directory Certificate Services (ADCS). Deze optie biedt een eenvoudige webinterface waarmee u beheerdersspecifieke taken kunt uitvoeren, zoals het aanvragen en vernieuwen van certificaten.

  • Optie 2: gebruik het uitvoerbare bestand van het Windows ADCS-opdrachtregelprogramma certreq.exe .

De volgende tabel bevat de object-id's (OID) die worden ondersteund voor ondertekeningscertificaten die worden gebruikt in BYOCA-implementaties.

Eigenschap Onderwerpnaam Object-id
Algemene naam (CN) OID.2.5.4.3
Organisatie (O) OID.2.5.4.10
Organisatie-eenheid (OE) OID.2.5.4.11
Plaats (L) OID.2.5.4.7
Staat (ST) of Provincie OID.2.5.4.8
Land (C) OID.2.5.4.6
Titel (T) OID.2.5.4.12
Serienummer OID.2.5.4.5
Email (E) OID.1.2.840.113549.1.9.1
Domeinonderdeel (DC) OID.0.9.2342.19200300.100.1.25
Straat OID.2.5.4.9
Roepnaam OID.2.5.4.42
Initialen OID.2.5.4.43
Postcode OID.2.5.4.17
Distinguished Name Qualifier OID.2.5.4.46

Zie de Help-documentatie van uw CA voor meer informatie over certificaatondertekening.

Optie 1: Webinschrijving van certificeringsinstantie

Als u deze stappen wilt uitvoeren, gebruikt u notepad.exe op een Windows-apparaat of een equivalent programma op macOS.

  1. Open het REQ-bestand dat u hebt gedownload nadat u de verlenende CA hebt gemaakt. Kopieer (Ctrl + C) de inhoud van het bestand.

  2. Open een browser op een apparaat dat toegang heeft tot de webhost waarop CA-webinschrijving wordt uitgevoerd. Bijvoorbeeld:https://WebSrv_running_CAWebEnrollment/certsrv

  3. Selecteer Een certificaat aanvragen.

  4. Selecteer geavanceerde certificaataanvraag.

  5. Plak de inhoud die u eerder hebt gekopieerd in het gebied Opgeslagen aanvraag .

  6. Voor Certificaatsjabloon selecteert u Onderliggende certificeringsinstantie.

    Opmerking

    De onderliggende CA-sjabloon moet worden gepubliceerd en beschikbaar zijn op de CA die het certificaat ondertekent. Open certsrv.msc : beheerconsole van certificeringsinstantie op uw apparaat om beschikbare certificaatsjablonen weer te geven.

  7. Selecteer Verzenden om door te gaan.

  8. Kies onder Certificaat verleendde optie DER gecodeerd of Base 4 gecodeerd. Cloud PKI ondersteunt beide bestandsindelingen. Voer vervolgens deze stappen uit:

    1. Selecteer Certificaat downloaden. Het certificaatbestand wordt gedownload en opgeslagen als certnew.cer.

    2. Selecteer Certificaatketen downloaden. Het ondertekende certificaat wordt gedownload, inclusief de volledige certificaatketen, de basis-CA en eventuele tussenliggende of verlenende CA-certificaten in de privé-CA-hiërarchie. Het bestand wordt opgeslagen als certnew.p7b.

    Intune vereist beide bestanden om de verlenende CA in te schakelen voor Cloud PKI BYOCA.

  9. Ga door naar Ondertekend certificaat uploaden om BYOCA-verlenende CA in dit artikel in te schakelen.

Opmerking

Als u het beheercentrum en de CA-webinschrijvingsconsole van 2 verschillende werkstations gebruikt, moet u de 2 certificeringsbestanden kopiëren of toegang hebben tot het werkstation van het beheercentrum.

Optie 2: Windows ADCS-opdrachtregelprogramma

Gebruik het opdrachtregelprogrammacertreq.exe om een certificaataanvraag in te dienen bij een CA, waarin u de certificaatsjabloon en ondertekenings-CA kunt opgeven. Het REQ-bestand dat u eerder hebt gedownload, moet zich bevinden op de Windows-computer waarop u het opdrachtregelprogramma uitvoert.

U kunt de volgende syntaxis op de opdrachtregel gebruiken om een certificaataanvraag in te dienen met de geselecteerde sjabloon en ondertekenings-CA:

certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>

Vervang de variabelen in de opdracht als volgt:

  1. Vervang <template_name> door de naam van de certificaatsjabloon die u wilt gebruiken.

  2. Vervang <CA_server_name><CA_name> door respectievelijk de naam van de CA-server en de naam van de CA die u wilt gebruiken voor het ondertekenen van de certificaataanvraag.

Er is geen actie nodig voor <request_file> en <response_file>. Ze worden vervangen door de naam van het bestand dat de certificaataanvraag bevat en de naam van het bestand dat het antwoord van de CA bevat.

In de volgende voorbeelden wordt beschreven hoe u een certificaataanvraag verzendt met behulp van de onderliggende CA-sjabloon en hoe u deze kunt laten ondertekenen.

  • Voorbeeld 1: de ondertekenende CA, ContosoCA, wordt uitgevoerd op een server met de naam CA-Server. U kunt de volgende opdracht gebruiken:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer

  • Voorbeeld 2: de ondertekenings-CA heet CaleroCorp SubCA (VS) die wordt uitgevoerd op een server met de naam Win2k16-subCA. U kunt de volgende opdracht gebruiken:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"

  • Voorbeeld 3: Als u zonder parameters uitvoert certreq.exe , wordt u ook gevraagd het REQ-bestand eerst te identificeren. Deze benadering maakt gebruik van de Windows-gebruikersinterface om u door het ondertekeningsproces te leiden.

Naast het ondertekende certificaat hebt u de volledige sleutelketen van de privé-CA nodig. De volledige sleutelketen omvat de basis-CA en alle tussenliggende, verlenende of onderliggende CA's in de keten. Gebruik de volgende syntaxis in het opdrachtregelprogramma om de volledige sleutelketen te exporteren naar een P7B-bestand:

certutil [options] -ca.chain OutCACertChainFile [Index]

Voer de opdracht uit vanaf een computer die lid is van een Windows-domein met netwerktoegang tot ADCS. Bijvoorbeeld:

certutil -ca.chain c:\temp\fullChain.p7b

De geëxporteerde keten weergeven en controleren of de export is uitgevoerd in Windows Verkenner:

  1. Ga naar de padlocatie waar het bestand is geëxporteerd.
  2. Dubbelklik op het bestand om het te openen.

In het bestand ziet u de volledige keten, inclusief hoofd- en tussenliggende CA's.

Opmerking

U kunt ook de afzonderlijke openbare sleutel voor elke CA in de privé-CA-keten gebruiken certmgr.msc of certlm.msc exporteren. Elk van deze bestanden heeft een CER-extensie.

Stap 3: ondertekend certificaat uploaden om BYOCA-verlenende CA in te schakelen

Als u het byoca-Cloud PKI vereist proces voor het verlenen van CA-ondertekening wilt voltooien en de CA in de cloud in staat wilt stellen certificaten uit te geven voor Intune beheerde apparaten, hebt u het volgende nodig:

  • Een ondertekend certificaat voor de BYOCA-verlenende CA.
  • De volledige keten van de privé-CA die wordt gebruikt om de certificaataanvraag te ondertekenen.

Zie Stap 2: Aanvraag voor certificaatondertekening ondertekenen voor meer informatie over het voltooien van deze taken die nodig zijn om door te gaan. De bestanden moeten beschikbaar zijn op dezelfde computer waarop het Microsoft Intune-beheercentrum wordt uitgevoerd.

  1. Ga terug naar de lijst met Cloud PKI CA in het beheercentrum. Selecteer een CA. De status moet Ondertekening vereist zijn.

  2. Ga naar Eigenschappen en selecteer Ondertekend certificaat uploaden.

  3. Het venster Ondertekend certificaat uploaden wordt geopend. Selecteer bladeren onder Bestand met ondertekend certificaat (.cer, .crt of .pem) uploaden. Kies het ondertekende certificaatbestand.

  4. Sleep onder Een of meer keten van vertrouwenscertificaten uploaden (.cer, .crt .pem of .p7b) de bestanden of selecteer Bladeren om het bestand op uw computer te zoeken.

  5. Selecteer Opslaan en wacht tot Intune het certificaat uploadt. Het kan enkele minuten duren.

  6. Vernieuw de ca-lijst. De statuskolom voor uw CA moet nu worden weergegeven als Actief. De algemene naam van de hoofdmap wordt weergegeven als Externe basis-CA.

    Afbeelding van de zojuist gemaakte CA in het beheercentrum.

U kunt de CA in de lijst selecteren om de beschikbare eigenschappen weer te geven. Eigenschappen zijn onder andere:

  • Certificaatintrekkingslijst (CRL) distributiepunt-URI.

  • AIA-URI (Authority Information Access).

  • In de Cloud PKI verlenende CA wordt de SCEP-URI weergegeven. De SCEP-URI moet worden gekopieerd naar het SCEP-configuratieprofiel voor elk door het platform uitgegeven certificaat.

    Wanneer u klaar bent om de openbare sleutel van de CA-vertrouwensrelatie te downloaden, selecteert u Downloaden.

    Opmerking

    De AIA-eigenschap voor een BYOCA-verlenende CA wordt gedefinieerd door de privé-CA en bevat de eigenschappen die zijn gedefinieerd door de AIA-configuratie van de privé-CA. ADCS gebruikt een standaard LDAP AIA-locatie. Als de privé-CA een HTTP AIA-locatie biedt, wordt in de BYOCA-eigenschappen de HTTP AIA-locatie weergegeven.

Stap 4: certificaatvertrouwensprofielen maken

Er moet een Intune vertrouwd certificaatprofiel worden gemaakt voor elk CA-certificaat in de privé-CA-hiërarchie als u een Cloud PKI BYOCA-verlenende CA gebruikt die is verankerd aan een privé-CA. Deze stap is een vereiste voor elk platform (Windows, Android, iOS/iPad, macOS) dat Cloud PKI SCEP-certificaten uitgeeft. Het is noodzakelijk om een vertrouwensrelatie tot stand te brengen met de Cloud PKI certificaatregistratie-instantie die het SCEP-protocol ondersteunt.

Zie Vertrouwde certificaatprofielen voor meer informatie over het maken van het profiel.

Certificaten exporteren

De geëxporteerde certificaten worden gebruikt om een vertrouwd certificaatprofiel te maken in Intune voor elke CA in de keten. Als u een privé-CA gebruikt, moet u de bijbehorende hulpprogramma's gebruiken om de CA-sleutelhanger te exporteren naar een met DER of Base 4 gecodeerde indeling met een CER-extensie. Als ADCS uw persoonlijke CA is, kunt u het opdrachtregelprogramma Windows certutil.exe gebruiken om de volledige sleutelhanger van de CA te exporteren naar een .p7b-bestand.

Voer de volgende opdracht uit vanaf een computer die lid is van een Windows-domein met netwerktoegang tot ADCS.

certutil [options] -ca.chain OutCACertChainFile [Index]

Bijvoorbeeld:

certutil -ca.chain c:\temp\fullChain.p7b

U kunt Windows Verkenner gebruiken om de geëxporteerde keten weer te geven.

  1. Ga naar de padlocatie waar het .p7b-bestand is geëxporteerd en dubbelklik op het bestand. U ziet de volledige keten, inclusief hoofd- en tussenliggende CA's in de keten.

  2. Klik met de rechtermuisknop op elk certificaat in de lijst.

  3. Selecteer Alle taken>exporteren. Exporteer het vertrouwde certificaat in DER-indeling. U wordt aangeraden het geëxporteerde certificaatbestand een naam te geven met dezelfde algemene naam van de CA die wordt weergegeven onder de kolom Uitgegeven aan van het hulpprogramma certmgr. De naam maakt het gemakkelijker om de basis-CA in de lijst te vinden, omdat de algemene naam onder Uitgegeven aan en Uitgegeven door hetzelfde is.

Een vertrouwd certificaatprofiel maken voor een privé-basis-CA

Maak een vertrouwd certificaatprofiel met het geëxporteerde basis-CA-bestand dat u hebt gedownload. Maak in het beheercentrum een vertrouwd certificaatprofiel voor elk besturingssysteemplatform waarop u zich richt en dat gebruikmaakt van het privé-CA-basiscertificaat.

Vertrouwde certificaatprofielen maken voor privé-onderliggende CA's

Maak een vertrouwd certificaatprofiel met het geëxporteerde tussenliggende of verlenende CA-bestand dat u hebt gedownload. Maak in het beheercentrum een vertrouwd certificaatprofiel voor elk OS-platform waarop u zich richt en dat gebruikmaakt van het verlenende CA-basiscertificaat.

Een vertrouwd certificaatprofiel maken voor het verlenen van een CA

Tip

Als u uw BYOCA-CA's in de lijst MET CA's wilt vinden, zoekt u naar CA's met de volgende waarden:

  • Type: Uitgeven
  • Algemene naam van de hoofdmap: Externe basis-CA

  1. Ga in het beheercentrum naar Tenantbeheer>Cloud PKI.

  2. Selecteer de Cloud PKI BYOCA-verlenende CA.

  3. Ga naar Eigenschappen.

  4. Selecteer Downloaden. Wacht totdat de openbare sleutel voor de verlenende CA wordt gedownload.

  5. Maak in het beheercentrum een vertrouwd certificaatprofiel voor elk besturingssysteemplatform waarop u zich richt. Wanneer u hierom wordt gevraagd, voert u de openbare sleutel in die u hebt gedownload.

Het verlenende CA-certificaat dat u hebt gedownload voor Cloud PKI BYOCA moet worden geïnstalleerd op alle relying party's.

De bestandsnaam die aan de gedownloade openbare sleutels wordt gegeven, is gebaseerd op de algemene namen die zijn opgegeven in de CA. Sommige browsers, zoals Microsoft Edge, geven een waarschuwing weer als u een bestand downloadt met een .cer of een andere bekende certificaatextensie. Als u deze waarschuwing ontvangt, selecteert u Behouden.

Afbeelding van downloadprompt met de optie Keep gemarkeerd.

Stap 5: SCEP-certificaatprofiel maken

Opmerking

Alleen Cloud PKI verlenende CA's en BYOCA-uitgifte-CA's kunnen worden gebruikt om SCEP-certificaten uit te geven aan Intune beheerde apparaten.

Maak een SCEP-certificaatprofiel voor elk besturingssysteemplatform waarop u zich richt, net als voor de vertrouwde certificaatprofielen. Het SCEP-certificaatprofiel wordt gebruikt om een leaf-clientverificatiecertificaat aan te vragen bij de verlenende CA. Dit type certificaat wordt gebruikt in verificatiescenario's op basis van certificaten, voor zaken als Wi-Fi en VPN-toegang.

  1. Ga terug naar Tenantbeheer>Cloud PKI.

  2. Selecteer een CA met een uitgiftetype .

  3. Ga naar Eigenschappen.

  4. Kopieer de SCEP-URI naar het klembord.

  5. Maak in het beheercentrum een SCEP-certificaatprofiel voor elk besturingssysteemplatform waarop u zich richt.

  6. Koppel in het profiel onder Basiscertificaat het vertrouwde certificaatprofiel. Het vertrouwde certificaat dat u selecteert, moet het basis-CA-certificaat zijn waaraan de verlenende CA is verankerd in de CA-hiërarchie.

    Afbeelding van de instelling voor het basiscertificaat, met een basis-CA-certificaat geselecteerd.

  7. Plak de SCEP-URI voor SCEP-server-URL's. Het is belangrijk om de tekenreeks {{CloudPKIFQDN}} te laten staan. Intune vervangt deze tijdelijke aanduidingstekenreeks door de juiste FQDN wanneer het profiel aan het apparaat wordt geleverd. De FQDN wordt weergegeven in de *.manage.microsoft.com-naamruimte, een kern-Intune-eindpunt. Zie Netwerkeindpunten voor Microsoft Intune voor meer informatie over Intune eindpunten.

  8. Configureer de overige instellingen volgens deze aanbevolen procedures:

    • Indeling van de onderwerpnaam: zorg ervoor dat de opgegeven variabelen beschikbaar zijn voor het gebruiker- of apparaatobject in Microsoft Entra ID. Als de doelgebruiker van dit profiel bijvoorbeeld geen e-mailadreskenmerk heeft, maar het e-mailadres in dit profiel wel is ingevuld, wordt het certificaat niet uitgegeven. Er wordt ook een fout weergegeven in het scep-certificaatprofielrapport.

    • Uitgebreide sleutelgebruik: Microsoft Cloud PKI biedt geen ondersteuning voor de optie Elk doel.

      Opmerking

      Zorg ervoor dat de EKU('s) die u selecteert, zijn geconfigureerd op de Cloud PKI verlenende certificeringsinstantie (CA). Als u een EKU selecteert die niet aanwezig is op de Cloud PKI verlenende CA, treedt er een fout op met het SCEP-profiel. En er wordt geen certificaat uitgegeven aan het apparaat.

    • URL's van SCEP-server: combineer NDES/SCEP-URL's niet met Microsoft Cloud PKI die CA SCEP-URL's uitgeven.

  9. Het profiel toewijzen en controleren. Wanneer u klaar bent om alles te voltooien, selecteert u Maken.