Compartilhar via

Configurar PKI em nuvem da Microsoft - Traga a sua própria AC

Este artigo descreve como configurar PKI em nuvem da Microsoft para Intune com a sua própria autoridade de certificação (AC). O modelo de implementação BYOCA (Bring Your Own Ca) suportado pelo Intune permite-lhe criar e ancorar uma AC emissora privada na nuvem para a sua AC no local ou privada. A AC privada pode ser constituída por hierarquias de AC N+1.

Pré-requisitos

Para obter mais informações sobre como preparar o seu inquilino para PKI em nuvem da Microsoft, incluindo os principais conceitos e requisitos, consulte:

Controlo de acesso baseado em funções

A conta que utiliza para iniciar sessão no centro de administração do Microsoft Intune tem de ter permissão para criar uma autoridade de certificação (AC). A conta de Administrador Microsoft Entra Intune (também conhecida como administrador de serviços Intune) tem as permissões incorporadas adequadas para criar ACs. Em alternativa, pode atribuir permissões PKI em nuvem AC a um utilizador administrador. Para obter mais informações, confira RBAC (controle de acesso baseado em função) com o Microsoft Intune.

Passo 1: criar a AC emissora e o pedido de assinatura de certificados

Crie uma AC emissora no centro de administração do Microsoft Intune.

  1. Aceda a Administração de inquilinos>PKI em nuvem e, em seguida, selecione Criar.

    Imagem da página PKI em nuvem do centro de administração do Microsoft Intune, a realçar o caminho para criar uma AC de raiz PKI em nuvem.

  2. Para Informações Básicas, introduza as seguintes propriedades:

    • Nome: introduza um nome descritivo para o objeto de AC. Atribua-lhe um nome para que possa identificá-lo facilmente mais tarde. Exemplo: AC emissora BYOCA da Contoso
    • Descrição: introduza uma descrição para o objeto de AC. Essa configuração é opcional, mas recomendada. Exemplo: PKI em nuvem AC emissora com bring-your-own-root-CA ancorada a uma AC emissora do ADCS no local

  3. Selecione Seguinte para continuar para Definições de configuração.

  4. Selecione o tipo de AC e a origem da AC de raiz.

    Administração centro a mostrar as definições de origem da AC de raiz do tipo AC para traga a sua própria AC PKI em nuvem.

    Configure as seguintes definições para a AC emissora:

    • Tipo de AC: selecione Ac emissora.
    • Origem da AC de raiz: selecione Traga a sua própria AC de raiz. Esta definição especifica a origem da AC de raiz que ancora a AC emissora.

  5. Ignorar período de Validade. Esta definição não está disponível para configuração. A AC que está a utilizar para assinar o pedido de assinatura do certificado BYOCA determina o período de validade.

  6. Para Utilizações de Chaves Alargadas, selecione como pretende utilizar a AC.

    Imagem do separador Definições de configuração a mostrar a secção Utilizações de Chave Expandida para PKI em nuvem.

    Para evitar potenciais riscos de segurança, as ACs estão limitadas à utilização selecionada. Suas opções:

    • Tipo: selecione o objetivo da AC. A utilização da chave expandida qualquer final (2.5.29.37.0) não é para utilização, porque é excessivamente permissiva e um potencial risco de segurança. Para obter mais informações, veja Editar o modelo de certificados excessivamente permissivos com um EKU privilegiado.
    • Em alternativa, para criar uma utilização personalizada de chave expandida, introduza o Nome e o Identificador de Objeto.

  7. Em Atributos do requerente, introduza um Nome comum (CN) para a AC emissora.

    Intune centro de administração a mostrar PKI em nuvem definições de atributos do requerente.

    Os atributos opcionais incluem:

    • Organização (O)
    • Unidade organizacional (OU)
    • País (C)
    • Estado/província (ST)
    • Localidade (L)

    Para cumprir as normas PKI, Intune impõe um limite de dois carateres para o país/região.

  8. Em Encriptação, introduza o Tamanho da chave.

    Imagem da definição Tamanho da chave e algoritmo no PKI em nuvem definições de configuração.

    Suas opções:

    • RSA-2048

    • RSA-3072

    • RSA-4096

    Esta definição impõe o tamanho da chave de limite superior que pode ser utilizado ao configurar um perfil de certificado SCEP de configuração do dispositivo no Intune. Permite-lhe selecionar qualquer tamanho de chave até ao que está definido na AC emissora de PKI em nuvem. Tenha em atenção que um tamanho de chave 1024 e um hash SHA-1 não são suportados com PKI em nuvem. No entanto, não precisa de fornecer o algoritmo hashing. A AC que está a utilizar para assinar o CSR determina o algoritmo de hashing.

  9. Selecione Seguinte para continuar para Etiquetas de âmbito.

  10. Opcionalmente, pode adicionar etiquetas de âmbito para controlar a visibilidade e o acesso a esta AC.

  11. Selecione Seguinte para continuar a Rever + criar.

  12. Reveja o resumo fornecido. Quando estiver pronto para finalizar tudo, selecione Criar.

    Importante

    Não poderá editar estas propriedades depois de criar a AC. Selecione Anterior para editar as definições e certifique-se de que estão corretas e satisfaz os seus requisitos de PKI. Se, posteriormente, precisar de adicionar um EKU, tem de criar uma nova AC.

  13. Regresse à lista PKI em nuvem da Microsoft AC no centro de administração. Selecione Atualizar para ver a nova AC.

  14. Selecione a AC. Em Noções básicas, o status deve ler a opção Assinatura necessária.

  15. Aceda a Propriedades.

  16. Selecione Transferir CSR. Aguarde enquanto Intune transfere um ficheiro formatado com REQ com o nome da AC. Por exemplo: AC.req emissora BYOCA da Contoso

Passo 2: assinar o pedido de assinatura do certificado

É necessária uma AC privada para assinar o ficheiro de pedido de assinatura de certificado (CSR) que transferiu. A AC de assinatura pode ser uma AC de raiz ou emissora a partir de qualquer camada da AC privada. Existem duas formas de assinar:

  • Opção 1: Utilizar a Inscrição Na Web da Autoridade de Certificação, uma funcionalidade dos Serviços de Certificados do Active Directory (ADCS). Esta opção fornece uma interface Web simples que lhe permite realizar tarefas específicas do administrador, como pedir e renovar certificados.

  • Opção 2: utilize o ficheiro executável da ferramenta certreq.exe de linha de comandos do Windows ADCS.

A tabela seguinte lista os identificadores de objeto (OID) suportados para assinar certificados utilizados em implementações BYOCA.

Propriedade do nome do requerente Identificador de objeto
CN (nome comum) OID.2.5.4.3
Organização (O) OID.2.5.4.10
Unidade Organizacional (UO) OID.2.5.4.11
Localidade (L) OID.2.5.4.7
Estado (ST) ou Província OID.2.5.4.8
País (C) OID.2.5.4.6
Título (T) OID.2.5.4.12
Número de série OID.2.5.4.5
Email (E) OID.1.2.840.113549.1.9.1
Componente de Domínio (DC) OID.0.9.2342.19200300.100.1.25
Street OID.2.5.4.9
Nome indicado OID.2.5.4.42
Iniciais OID.2.5.4.43
CEP OID.2.5.4.17
Qualificador de Nome Único OID.2.5.4.46

Para obter mais informações sobre a assinatura de certificados, veja a documentação de ajuda fornecida pela sua AC.

Opção 1: inscrição Na Web da autoridade de certificação

Para concluir estes passos, utilize notepad.exe num dispositivo Windows ou programa equivalente no macOS.

  1. Abra o ficheiro REQ que transferiu depois de criar a AC emissora. Copie (CTRL + C) o conteúdo do ficheiro.

  2. Abra um browser num dispositivo que tenha acesso ao anfitrião Web que executa a Inscrição na Web da AC. Por exemplo: https://WebSrv_running_CAWebEnrollment/certsrv

  3. Selecione Pedir um certificado.

  4. Selecione pedido de certificado avançado.

  5. Cole o conteúdo que copiou anteriormente na área Pedido Guardado .

  6. Para Modelo de Certificado, selecione Autoridade de Certificação Subordinada.

    Observação

    O modelo de AC subordinado tem de ser publicado e disponível na AC que está a assinar o certificado. Abra certsrv.msc – Autoridade de Certificação console de gerenciamento no seu dispositivo para ver os modelos de certificado disponíveis.

  7. Selecione Submeter para continuar.

  8. Em Certificado Emitido, selecione Codificado por DER ou Codificado com Base 4. PKI em nuvem suporta ambos os formatos de ficheiro. Em seguida, conclua estes passos:

    1. Selecione Transferir certificado. O ficheiro de certificado é transferido e guardado como certnew.cer.

    2. Selecione Transferir cadeia de certificados. O certificado assinado é transferido, incluindo a cadeia de certificados completa, a AC de raiz e quaisquer certificados de AC intermédios ou emissores na hierarquia de AC privada. O ficheiro é guardado como certnew.p7b.

    Intune requer que ambos os ficheiros ativem a AC emissora para PKI em nuvem BYOCA.

  9. Continue para Carregar o certificado assinado para ativar a AC emissora BYOCA neste artigo.

Observação

Se utilizar o centro de administração e a consola de inscrição Web de AC de 2 estações de trabalho diferentes, terá de copiar ou ter acesso aos dois ficheiros de certificação da estação de trabalho do centro de administração.

Opção 2: Ferramenta de linha de comandos do Windows ADCS

Utilize a ferramenta de linha de comandos certreq.exe para submeter um pedido de certificado para uma AC, na qual pode especificar o modelo de certificado e a AC de assinatura. O ficheiro REQ que transferiu anteriormente tem de estar no computador Windows onde está a executar a ferramenta de linha de comandos.

Pode utilizar a seguinte sintaxe na linha de comandos para submeter um pedido de certificado com o modelo selecionado e assinar a AC:

certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>

Substitua as variáveis no comando da seguinte forma:

  1. Substitua <template_name> pelo nome do modelo de certificado que pretende utilizar.

  2. Substitua <CA_server_name><CA_name> pelo nome do servidor de AC e pelo nome da AC, respetivamente, que pretende utilizar para assinar o pedido de certificado.

Não é necessária nenhuma ação para <request_file> e <response_file>. Serão substituídos pelo nome do ficheiro que contém o pedido de certificado e pelo nome do ficheiro que contém a resposta da AC, respetivamente.

Os exemplos seguintes descrevem como submeter um pedido de certificado com o modelo de AC subordinado e como obtê-lo assinado.

  • Exemplo 1: a AC de assinatura, ContosoCA, está em execução num servidor com o nome CA-Server. Pode utilizar o seguinte comando:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer

  • Exemplo 2: a AC de assinatura chama-se CaleroCorp SubCA (E.U.A.) em execução num servidor com o nome Win2k16-subCA. Pode utilizar o seguinte comando:

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"

  • Exemplo 3: em alternativa, se executar certreq.exe sem parâmetros, o Windows pede-lhe para identificar primeiro o ficheiro REQ. Esta abordagem utiliza a IU do Windows para orientá-lo ao longo do processo de assinatura.

Além do certificado assinado, precisa da cadeia de chaves completa da AC privada. A cadeia de chaves completa inclui a AC de raiz e todas as ACs intermédias, emissoras ou subordinadas na cadeia. Utilize a seguinte sintaxe na ferramenta de linha de comandos para exportar a cadeia de chaves completa para um ficheiro P7B:

certutil [options] -ca.chain OutCACertChainFile [Index]

Execute o comando a partir de um computador associado a um domínio do Windows com acesso de rede ao ADCS. Por exemplo:

certutil -ca.chain c:\temp\fullChain.p7b

Para ver a cadeia exportada e verificar se a exportação ocorreu no explorador de ficheiros do Windows:

  1. Aceda à localização do caminho onde o ficheiro foi exportado.
  2. Faça duplo clique no ficheiro para o abrir.

No ficheiro, deverá ver a cadeia completa, incluindo as ACs de raiz e intermédias.

Observação

Em alternativa, pode utilizar certmgr.msc ou certlm.msc exportar a chave pública individual para cada AC na cadeia de AC privada. Cada um destes ficheiros tem uma extensão CER.

Passo 3: Carregar o certificado assinado para ativar a AC emissora BYOCA

Para concluir o processo necessário de assinatura de AC de PKI em nuvem BYOCA e ativar a AC na cloud para iniciar a emissão de certificados para Intune dispositivos geridos, tem de ter:

  • Um certificado assinado para a AC emissora BYOCA.
  • A cadeia completa da AC privada utilizada para assinar o pedido de certificado.

Para obter informações sobre como concluir estas tarefas, que são necessárias para continuar, consulte Passo 2: Assinar Pedido de Assinatura de Certificado. Os ficheiros têm de estar disponíveis no mesmo computador onde o centro de administração do Microsoft Intune está em execução.

  1. Regresse à lista PKI em nuvem AC no centro de administração. Selecione uma AC. O respetivo status deve ler a opção Assinatura necessária.

  2. Aceda a Propriedades e selecione Carregar certificado assinado.

  3. É aberta a janela Carregar certificado assinado . Em Carregar o certificado assinado (.cer, ficheiro .crt ou .pem), selecione Procurar. Escolha o ficheiro de certificado assinado.

  4. Em Carregar uma ou mais cadeias de certificados de fidedignidade (.cer, .crt .pem ou .p7b), arraste e largue os ficheiros ou selecione Procurar para procurar o ficheiro no seu computador.

  5. Selecione Guardar e aguarde enquanto Intune carrega o certificado. Pode demorar alguns minutos.

  6. Atualize a lista de AC. A coluna status da AC deverá agora aparecer como Ativa. O nome comum de raiz é apresentado como AC de raiz externa.

    Imagem a mostrar a AC recentemente criada no centro de administração.

Pode selecionar a AC na lista para ver as propriedades disponíveis. Propriedades incluem:

  • URI do ponto de distribuição da lista de revogação de certificados (CRL).

  • URI de acesso a informações de autoridade (AIA).

  • A AC emissora de PKI em nuvem mostra o URI do SCEP. O URI do SCEP tem de ser copiado para o perfil de configuração scep para cada certificado emitido pela plataforma.

    Quando estiver pronto para transferir a chave pública de confiança da AC, selecione Transferir.

    Observação

    A propriedade AIA para uma AC emissora BYOCA é definida pela AC privada e contém as propriedades definidas pela configuração de AIA da AC privada. O ADCS utiliza uma localização AIA LDAP predefinida. Se a AC privada fornecer uma localização HTTP AIA, as propriedades BYOCA mostrarão a localização do HTTP AIA.

Passo 4: criar perfis de fidedignidade de certificado

Um Intune perfil de certificado fidedigno tem de ser criado para cada certificado de AC na hierarquia de AC privada se utilizar uma AC emissora BYOCA PKI em nuvem ancorada a uma AC privada. Este passo é um requisito para todas as plataformas (Windows, Android, iOS/iPad, macOS) que emitem certificados SCEP PKI em nuvem. É necessário estabelecer confiança com a autoridade de registo de certificados PKI em nuvem que suporta o protocolo SCEP.

Para obter mais informações sobre como criar o perfil, veja Perfis de certificado fidedignos.

Exportar certificados

Os certificados exportados são utilizados para criar um perfil de certificado fidedigno no Intune para cada AC na cadeia. Se estiver a utilizar uma AC privada, tem de utilizar as ferramentas para exportar a AC keychain para um conjunto de ficheiros com codificação DER ou Base 4 com uma extensão CER. Se o ADCS for a sua AC privada, pode utilizar a ferramenta de linha de comandos do Windowscertutil.exe para exportar a keychain completa da AC para um ficheiro .p7b.

Execute o seguinte comando a partir de um computador associado a um domínio do Windows com acesso de rede ao ADCS.

certutil [options] -ca.chain OutCACertChainFile [Index]

Por exemplo:

certutil -ca.chain c:\temp\fullChain.p7b

Pode utilizar o explorador de ficheiros do Windows para ver a cadeia exportada.

  1. Aceda à localização do caminho onde o ficheiro .p7b foi exportado e faça duplo clique no ficheiro. Deverá ver a cadeia completa, incluindo as ACs de raiz e intermédias na cadeia.

  2. Clique com o botão direito do rato em cada certificado na lista.

  3. Selecione Todas as Tarefas>Exportar. Exportar o certificado fidedigno no formato DER. Recomendamos que atribua um nome ao ficheiro de certificado exportado com o mesmo Nome Comum da AC apresentado na coluna Emitido Para do utilitário certmgr. O nome torna mais fácil encontrar a AC de raiz na lista porque o nome comum em Emitido Para e Emitido Por será o mesmo.

Criar um perfil de certificado fidedigno para a AC de raiz privada

Crie um perfil de certificado fidedigno com o ficheiro de AC de raiz exportado que transferiu. No centro de administração, crie um perfil de certificado fidedigno para cada plataforma de SO que está a filtrar que está a utilizar o certificado de raiz da AC privada.

Criar perfis de certificado fidedignos para ACs subordinadas privadas

Crie um perfil de certificado fidedigno com o ficheiro de AC intermédio ou emissor exportado que transferiu. No centro de administração, crie um perfil de certificado fidedigno para cada plataforma DOOS que está a filtrar que está a utilizar o certificado de raiz da AC emissora.

Criar um perfil de certificado fidedigno para emitir AC

Dica

Para localizar as ACs BYOCA na lista de AC, procure ACs com os seguintes valores:

  • Tipo: Emissão
  • Nome comum de raiz: AC de raiz externa

  1. No centro de administração, aceda a Administração> de inquilinos PKI em nuvem.

  2. Selecione o PKI em nuvem AC emissora BYOCA.

  3. Aceda a Propriedades.

  4. Selecione Baixar. Aguarde enquanto a chave pública da AC emissora é transferida.

  5. No centro de administração, crie um perfil de certificado fidedigno para cada plataforma de SO que está a filtrar. Quando lhe for pedido, introduza a chave pública que transferiu.

O certificado de AC emissora que transferiu para PKI em nuvem BYOCA tem de estar instalado em todas as entidades confiadoras.

O nome de ficheiro atribuído às chaves públicas transferidas baseia-se nos Nomes Comuns especificados na AC. Alguns browsers, como o Microsoft Edge, apresentam um aviso se transferir um ficheiro com uma .cer ou outra extensão de certificado bem conhecida. Se receber este aviso, selecione Manter.

Imagem da linha de comandos Transferências a realçar a opção manter.

Passo 5: Criar perfil de certificado SCEP

Observação

Apenas as ACs emissoras PKI em nuvem e as ACs emissoras BYOCA podem ser utilizadas para emitir certificados SCEP para Intune dispositivos geridos.

Crie um perfil de certificado SCEP para cada plataforma de SO que está a filtrar, como fez para os perfis de certificado fidedignos. O perfil de certificado SCEP é utilizado para pedir um certificado de autenticação de cliente de folha à AC emissora. Este tipo de certificado é utilizado em cenários de autenticação baseada em certificados, para aspetos como Wi-Fi e acesso VPN.

  1. Regresse à administração>do inquilino PKI em nuvem.

  2. Selecione uma AC que tenha um Tipo de emissão .

  3. Aceda a Propriedades.

  4. Copie o URI do SCEP para a área de transferência.

  5. No centro de administração, crie um perfil de certificado SCEP para cada plataforma de SO que está a filtrar.

  6. No perfil, em Certificado de Raiz, ligue o perfil de certificado fidedigno. O certificado fidedigno que selecionar tem de ser o certificado de AC de raiz ao qual a AC emissora está ancorada na hierarquia da AC.

    Imagem da definição de certificado de raiz, com um certificado de AC de raiz selecionado.

  7. Para URLS do Servidor SCEP, cole o URI do SCEP. É importante deixar a cadeia {{CloudPKIFQDN}} tal como está. Intune substitui esta cadeia de marcador de posição pelo FQDN adequado quando o perfil é entregue no dispositivo. O FQDN aparecerá no espaço de nomes *.manage.microsoft.com, um ponto final de Intune principal. Para obter mais informações sobre Intune pontos finais, veja Pontos Finais de Rede para Microsoft Intune.

  8. Configure as restantes definições, seguindo estas melhores práticas:

    • Formato do nome do requerente: certifique-se de que as variáveis especificadas estão disponíveis no objeto utilizador ou dispositivo no Microsoft Entra ID. Por exemplo, se o utilizador de destino deste perfil não tiver um atributo de endereço de e-mail, mas o endereço de e-mail neste perfil for preenchido, o certificado não será emitido. Também é apresentado um erro no relatório do perfil de certificado SCEP.

    • Utilização Da Chave Expandida: PKI em nuvem da Microsoft não suporta a opção Qualquer Finalidade.

      Observação

      Certifique-se de que os EKU que selecionar estão configurados no PKI em nuvem autoridade de certificação (AC) emissora. Se selecionar um EKU que não está presente no PKI em nuvem AC emissora, ocorrerá um erro com o perfil SCEP. Além disso, não é emitido um certificado para o dispositivo.

    • URLs do Servidor SCEP: não combine URLs do NDES/SCEP com PKI em nuvem da Microsoft URLs SCEP de AC emissores.

  9. Atribua e reveja o perfil. Quando estiver pronto para finalizar tudo, selecione Criar.