Partilhar via

Configurar o Certificate Connector para Microsoft Intune para dar suporte à plataforma DigiCert PKI

  • Artigo

Você pode usar o Certificate Connector para Microsoft Intune para emitir certificados PKCS da plataforma DigiCert PKI para dispositivos gerenciados pelo Intune. O conector de certificado funciona apenas com uma autoridade de certificação (CA) da DigiCert ou com uma CA da DigiCert e uma CA da Microsoft.

Dica

A DigiCert adquiriu os negócios de Segurança de Site e Soluções de PKI relacionadas da Symantec. Para saber mais sobre essa alteração, confira o artigo de suporte técnico da Symantec.

Se você já usa o Certificate Connector para Microsoft Intune para emitir certificados por meio de uma AC da Microsoft usando o PKCS ou o protocolo SCEP, use esse mesmo conector para configurar e emitir certificados PKCS por meio de uma AC da DigiCert. Depois que você concluir a configuração para dar suporte à AC da DigiCert, o conector poderá emitir os seguintes certificados:

  • Certificados PKCS de uma AC Microsoft
  • Certificados PKCS de uma AC DigiCert
  • Certificados Endpoint Protection de uma AC Microsoft

Se você não tem o conector instalado, mas planeja usá-lo em uma AC Microsoft e em uma AC DigiCert, conclua a configuração do conector para a AC Microsoft primeiro. Depois, retorne a este artigo para configurar o conector a fim de também dar suporte à DigiCert. Para saber mais sobre perfis de certificado e sobre o conector, confira Configurar um perfil de certificado para seus dispositivos no Microsoft Intune.

Se você usar o conector somente com a AC DigiCert, poderá usar as instruções neste artigo para instalá-lo e configurá-lo.

Pré-requisitos

Você precisará do seguinte para dar suporte ao uso de uma AC da DigiCert:

  • Uma assinatura ativa na AC da DigiCert – A assinatura é necessária para obter um certificado da AR (autoridade de registro) da AC da DigiCert.

  • Certificate Connector para Microsoft Intune - Você será instruído a instalar e configurar o conector de certificado posteriormente neste artigo. Para ajudá-lo a planejar os prerequesitos dos conectores com antecedência, veja os seguintes artigos:

Instalar o certificado da AR da DigiCert

  1. Salve o seguinte snippet de código como um arquivo chamado certreq.ini e atualize-o conforme o necessário (por exemplo: Nome da entidade no formato CN).

    [Version] 
Signature="$Windows NT$" 

[NewRequest] 
;Change to your,country code, company name and common name 
Subject = "Subject Name in CN format"

KeySpec = 1 
KeyLength = 2048 
Exportable = TRUE 
MachineKeySet = TRUE 
SMIME = False 
PrivateKeyArchive = FALSE 
UserProtected = FALSE 
UseExistingKeySet = FALSE 
ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
ProviderType = 12 
RequestType = PKCS10 
KeyUsage = 0xa0 

[EnhancedKeyUsageExtension] 
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication  // Uncomment if you need a mutual TLS authentication

;-----------------------------------------------

  2. Abra um prompt de comando com privilégios elevados e gere uma CSR (solicitação de assinatura de certificado) usando o seguinte comando:

    Certreq.exe -new certreq.ini request.csr

  3. Abra o arquivo request.csr no Bloco de Notas e copie o conteúdo da CSR que está no seguinte formato:

    -----BEGIN NEW CERTIFICATE REQUEST-----
MIID8TCCAtkCAQAwbTEMMAoGA1UEBhMDVVNBMQswCQYDVQQIDAJXQTEQMA4GA1UE
…
…
fzpeAWo=
-----END NEW CERTIFICATE REQUEST-----

  4. Entre na AC da DigiCert e navegue até Obter um certificado da AR nas tarefas.

    a. Na caixa de texto, forneça o conteúdo da CSR da etapa 3.

    b. Forneça um nome amigável ao certificado.

    c. Selecione Continuar.

    d. Use o link fornecido para baixar o certificado da AR para o computador local.

  5. Importe o certificado da AR para o repositório de certificados do Windows:

    a. Abra um console do MMC.

    b. Selecione Arquivo>Adicionar ou remover snap-ins>Certificado>Adicionar.

    c. Selecione Conta de Computador>Avançar.

    d. Selecione Computador Local>Concluir.

    e. Selecione OK na janela Adicionar ou Remover Snap-ins. Expanda Certificados (Computador Local)>Pessoal>Certificados.

    f. Clique com o botão direito no nó Certificados e selecione Todas as Tarefas>Importar.

    g. Selecione o local do certificado da AR que você baixou da AC da DigiCert e selecione Avançar.

    h. Selecione Repositório de Certificados Pessoal>Avançar.

    i. Selecione Concluir para importar o certificado da AR e sua chave privada para o repositório Computador Local-Pessoal.

  6. Exportar e importar o certificado de chave privada:

    a. Expanda Certificados (Computador Local)>Pessoal>Certificados.

    b. Selecione o certificado que foi importado na etapa anterior.

    c. Clique com o botão direito do mouse no certificado e selecione Todas as Tarefas>Exportar.

    d. Selecione Avançar e insira a senha.

    e. Selecione o local para o qual exportar e selecione Concluir.

    f. Use o procedimento da Etapa 5 a fim de importar o certificado de chave privada para o repositório Computador Local-Pessoal.

    g. Copie a impressão digital do certificado da AR sem espaços. Abaixo temos um exemplo de impressão digital:

    RA Cert Thumbprint: "EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"

    Posteriormente, depois de instalar o Certificate Connector para Microsoft Intune, você usará esse valor para atualizar três arquivos .config para o conector.

    Observação

    Para obter ajuda na obtenção do certificado da AR da AC da DigiCert, entre em contato com o suporte ao cliente da DigiCert.

Configurar o conector do certificado para suportar o DigiCert

  1. Usar as informações em Instalar o Certificate Connector para Microsoft Intune para primeiro baixar e, em seguida, instalar e configurar o Certificate Connector para Microsoft Intune:

    • Durante a etapa de instalação 2 do procedimento de instalação do conector, selecionar as opções para PKCS e opcionalmente para Revogação de certificado.
    • Após concluir o procedimento de instalação e configuração do conector, retorne a este procedimento para continuar.

  2. Configurar o conector para dar suporte ao DigiCert modificando três arquivos .config para o conector e reiniciando seus serviços relacionados:

    1. No servidor onde o conector foi instalado, vá para %ProgramFiles%\Microsoft Intune\PFXCertificateConnector\ConnectorSvc. (Por padrão, o Certificate Connector para Microsoft Intune é instalado no %ProgramFiles%\Microsoft Intune\PFXCertificateConnector.)

    2. Usar um editor de texto simples como o Notepad.exe para atualizar o valor da chave RACertThumbprint nos três arquivos a seguir. Substitua o valor nos ficheiros pelo valor que copiou durante o passo 6.g. do procedimento na secção anterior:

      • Microsoft.Intune.ConnectorsPkiCreate.exe.config
      • Microsoft.Intune.ConnectorsPkiRevoke.exe.config
      • Microsoft.Intune.ConnectorsPkiCreateLegacy.exe.config

    Por exemplo, localizar a entrada em cada arquivo que é semelhante a <add key="RACertThumbprint" value="EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"/>, e substituir EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5 pelo novo valor RA Cert Thumbprint.

    1. Execute services.msc e pare e, em seguida, reinicie os três serviços seguintes:

      • PFX Revoke Certificate Connector para Microsoft Intune (PkiRevokeConnectorSvc)
      • PFX Criar Certificate Connector para Microsoft Intune (PkiCreateConnectorSvc)
      • PFX Criar Legacy Connector para Microsoft Intune (PfxCreateLegacyConnectorSvc)

Criar um perfil de certificado confiável

Os certificados PKCS que você implanta em dispositivos gerenciados pelo Intune devem ser encadeados com um certificado raiz confiável. Para estabelecer essa cadeia, crie um perfil de certificado confiável do Intune com o certificado raiz da Autoridade de Certificação DigiCert e implante o perfil de certificado confiável e o perfil de certificado PKCS nos mesmos grupos.

  1. Obtenha um certificado raiz confiável da AC da DigiCert:

    a. Entre no portal de administração da AC da DigiCert.

    b. Selecione Gerenciar ACs em Tarefas.

    c. Selecione na lista a AC apropriada.

    d. Selecione Baixar certificado raiz para baixar o certificado raiz confiável.

  2. Crie um perfil de certificado fidedigno no centro de administração do Microsoft Intune. Para obter diretrizes detalhadas, confira Criar um perfil de certificado confiável. Atribua esse perfil a dispositivos que receberão certificados. Para atribuir o perfil a grupos, confira Atribuir perfis de dispositivo.

    Depois da criação do perfil, ele é exibido na lista de perfis no painel Configuração do dispositivo – Perfis, com um tipo de perfil de Certificado confiável.

Obter o OID do perfil de certificado

O OID do perfil de certificado está associado a um modelo de perfil de certificado na AC DigiCert. Para criar um perfil de certificado PKCS no Intune, o nome do modelo de certificado deve estar na forma de um OID de perfil de certificado associado a um modelo de certificado na AC DigiCert.

  1. Entre no portal de administração da AC da DigiCert.

  2. Selecione Gerenciar Perfis de Certificado.

  3. Selecione o perfil de certificado que você deseja usar.

  4. Copie o OID do perfil de certificado. Ele é semelhante ao exemplo a seguir:

    Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109

Observação

Se você precisar de ajuda para obter o OID do perfil de certificado, entre em contato com o suporte ao cliente da DigiCert.

Criar um perfil de certificado PKCS

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Gerir dispositivos>Configuração>Criar.

  3. Insira as seguintes propriedades:

    • Plataforma: Escolha a plataforma dos dispositivos.
    • Perfil: selecione Certificado PKCS. Ou selecione Modelos>Certificado PKCS.

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  6. Em Definições de configuração, defina parâmetros com os valores da tabela a seguir. Esses valores são necessários para emitir certificados PKCS de uma AC DigiCert, por meio do Certificate Connector para Microsoft Intune.

    Parâmetro de certificado PKCS Valor Descrição
    Autoridade de certificação pki-ws.symauth.com Esse valor deve ser um FQDN de serviço base da AC DigiCert sem barras à direita. Se você não tiver certeza de que esse é o FQDN de serviço base correto para sua assinatura da AC DigiCert, entre em contato com o suporte ao cliente da DigiCert.

    Com a alteração da Symantec para a DigiCert, essa URL permaneceu inalterada.

    Se este FQDN estiver incorreto, o conector de certificado não emitirá certificados PKCS da DigiCert CA.
    Nome da autoridade de certificação Symantec Esse valor deve ser a cadeia de caracteres Symantec.

    Se houver alguma alteração nesse valor, o conector de certificado não emitirá certificados PKCS da DigiCert CA.
    Nome do modelo de certificado OID do perfil de certificado de AC da DigiCert. Por exemplo: 2.16.840.1.113733.1.16.1.2.3.1.1.61904612 Esse valor deve ser um OID de perfil de certificado obtido na seção anterior do modelo de perfil de certificado de AC da DigiCert.

    Se o conector de certificado não encontrar um modelo de certificado associado a este OID de perfil de certificado no DigiCert CA, ele não emitirá certificados PKCS do DigiCert CA.

    Seleções para modelo de certificado e de AC

    Observação

    O perfil de certificado PKCS para plataformas Windows não precisa ser associado a um perfil de certificado confiável. Mas isso é necessário para perfis que não são de plataformas do Windows, como Android.

  7. Conclua a configuração do perfil para atender às suas necessidades de negócios e selecione Criar para salvá-lo.

  8. Na página Visão geral do novo perfil, selecione Atribuições e configure um grupo apropriado que receberá esse perfil. Pelo menos um usuário ou dispositivo deve fazer parte do grupo atribuído.

Depois de concluir as etapas anteriores, o Certificate Connector para Microsoft Intune emitirá certificados PKCS da DigiCert CA para dispositivos gerenciados pelo Intune no grupo atribuído. Esses certificados estarão disponíveis no repositório Pessoal do repositório de certificados do Usuário Atual no dispositivo gerenciado pelo Intune.

Atributos com suporte para o perfil de certificado PKCS

Atributo Formatos com suporte pelo Intune Formatos com suporte da AC DigiCert Cloud resultado
Nome da entidade O Intune dá suporte ao nome da entidade apenas nos três formatos a seguir:

1. Nome comum
2. Nome comum que inclui email
3. Nome comum como email

Por exemplo:

CN = IWUser0 <br><br> E = IWUser0@samplendes.onmicrosoft.com		 A AC da DigiCert dá suporte a mais atributos. Se você quiser selecionar mais atributos, eles deverão ser definidos com valores fixos no modelo de perfil de certificado da DigiCert. Usamos o nome comum ou email da solicitação de Certificado PKCS.

Eventual incompatibilidade na seleção de atributos entre o perfil de certificado do Intune e do modelo de perfil de certificado da DigiCert resultará na não emissão de certificados da AC DigiCert.
SAN O Intune dá suporte apenas aos seguintes valores de campo de SAN:

AltNameTypeEmail
AltNameTypeUpn
AltNameTypeOtherName (valor codificado)		 A AC da DigiCert Cloud também dá suporte a esses parâmetros. Se você quiser selecionar mais atributos, eles deverão ser definidos com valores fixos no modelo de perfil de certificado da DigiCert.

AltNameTypeEmail: Se esse tipo não for encontrado na SAN, o conector de certificado usará o valor de AltNameTypeUpn. Se AltNameTypeUpn também não for encontrado na SAN, o conector de certificado usará o valor do nome do assunto se estiver no formato de email. Se o tipo ainda não for encontrado, o conector de certificado não emitirá os certificados.

Exemplo: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeUpn: Se esse tipo não for encontrado na SAN, o conector de certificado usará o valor de AltNameTypeEmail. Se AltNameTypeEmail também não for encontrado na SAN, o conector de certificado usará o valor do nome do assunto se estiver no formato de email. Se o tipo ainda não for encontrado, o conector de certificado não emitirá os certificados.

Exemplo: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeOtherName: Se esse tipo não for encontrado na SAN, o conector de certificado não emitirá os certificados.

Exemplo: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2c

O valor desse campo só tem suporte da AC DigiCert no formato codificado (valor hexadecimal). Para qualquer valor nesse campo, o conector de certificado o converte em codificação base64 antes de enviar a solicitação de certificado. O Certificate Connector para Microsoft Intune não valida se esse valor já está codificado ou não.		 Nenhum

Solução de problemas

Os logs do Certificate Connector para Microsoft Intune estão disponíveis como logs de eventos no servidor em que o conector está instalado. Esses logs fornecem detalhes sobre a operação dos conectores e podem ser usados para identificar problemas com o conector de certificado e as operações. Para mais informações, veja Registro em Log.

Próximas etapas

Use as informações deste artigo e as informações em O que são perfis de dispositivo do Microsoft Intune? para gerenciar os dispositivos de sua organização e os certificados contidos neles.