本文介绍 Microsoft Intune 和 Microsoft 云 PKI 服务支持的部署模型。
有两个部署选项:
Microsoft 云 PKI根 CA:在云中使用根 CA 和颁发 CA 来部署Microsoft 云 PKI。
将自己的证书颁发机构 (BYOCA) :使用自己的专用 CA 部署Microsoft 云 PKI。
使用Microsoft 云 PKI根 CA 方法,可以在单个Intune租户中创建一个或多个 PPI。 以这种方式部署云 PKI会创建一个两层层次结构,因此你可以拥有多个从属于根 CA 的颁发 CA。 这些 CA 不是公共的。 相反,在云中创建根 CA 和颁发 CA,专用于Intune租户。 颁发 CA 使用设备配置 SCEP 证书配置文件向Intune管理的设备颁发证书。
或者,可以将 自己的证书颁发机构 (BYOCA) 。 使用此方法,可以使用自己的专用 CA 部署Microsoft 云 PKI。 此选项要求在云中创建专用于Intune租户的颁发 CA。 颁发 CA 定位到专用 CA,例如 Active Directory 证书服务 (ADCS) 。 创建云 PKI BYOCA 颁发 CA 时,还会在 Intune 中创建证书签名请求 (CSR) 。 专用 CA 需要对 CSR 进行签名。
开始之前
在开始部署之前,请务必查看和了解证书信任链。 有关 PKI 的更多概念和基础知识,请参阅Microsoft 云 PKI基础知识。
确定信赖方
确定信赖方。 信赖方是使用 PKI 生成的证书的用户或系统。 信赖方的示例包括:
- 使用基于半径证书的身份验证的 Wi-Fi 接入点。
- 对远程用户进行身份验证的 VPN 服务器。
- 在 Web 浏览器中访问受 TLS/LLS 保护的网站的用户。
确定信任定位点的位置
确定 根信任定位点的位置。 信任定位点是 CA 证书或 CA 的公钥,由信赖方用作证书信任或路径验证的起点。 信赖方可以具有派生自多个源的一个或多个信任定位点。 信任定位点可以是根 CA 的公钥,也可以是向信赖方颁发最终实体证书的 CA 的公钥。
确保信任链
使用证书执行基于证书的身份验证时,请确保两个信赖方都具有 CA 证书信任链 (其中包括基于 TLS/SSL 的对话中涉及的所有证书的公钥和根 CA) 。 在此上下文中,信赖方包括:
- Intune管理的设备。
- Wi-Fi、VPN 或 Web 服务使用的身份验证服务。
如果缺少颁发 CA 证书,信赖方可以使用本机 OS 平台证书链引擎,通过证书中的颁发机构信息访问 (AIA) 属性请求该证书。
注意
连接到信赖方(如 Wi-Fi 接入点或 VPN 服务器)时,托管Intune设备在尝试连接时首先建立 TLS/SSL 连接。 Microsoft 云 PKI不提供这些 TLS/SSL 证书。 必须通过其他 PKI 或 CA 服务获取这些证书。 因此,创建 Wi-Fi 或 VPN 配置文件时,还必须创建受信任的证书配置文件并将其分配给托管设备以信任 TLS/SSL 连接。 受信任的证书配置文件必须包含根和颁发 CA 的公钥,这些 CA 负责颁发 TLS/SSL 证书。
部署选项
本部分介绍Microsoft 云 PKI Microsoft Intune支持的部署选项。
有一些方法可用于将 CA 证书部署到不由 Intune 管理的信赖方。 信赖方,例如 radius 服务器、Wi-Fi 接入点、VPN 服务器和支持基于证书的身份验证的 Web 应用服务器。
如果信赖方是Active Directory 域的成员,则使用 组策略 部署 CA 证书。 有关更多信息,请参阅:
如果信赖方不是Active Directory 域的成员,请确保在信赖方的安全存储中安装了Microsoft 云 PKI根和颁发 CA 的 CA 证书信任链。 相应的安全存储因 OS 平台和提供服务的托管应用程序而异。
还要考虑支持其他证书颁发机构所需的信赖方软件配置。
选项 1:Microsoft 云 PKI根 CA
在云 PKI根 CA 部署期间,需要将云 PKI根证书部署到所有信赖方。 如果信赖方上不存在颁发 CA 证书,则信赖方可以通过启动证书发现来自动检索并安装该证书。 此过程称为 CCE) (证书链接引擎,是特定于平台的,用于检索缺少的父证书。 颁发 CA 证书的 URL 位于叶证书的 AIA 属性中, (使用颁发 CA 云 PKI) 颁发给设备的证书。 信赖方可以使用 AIA 属性来检索父 CA 证书。 此过程类似于 CRL 下载。
注意
Android OS 要求服务器返回整个证书链,并且不会按照 AIA 路径执行证书发现。 有关详细信息,请参阅 Android 开发人员文档。请务必将完整的证书链部署到 Android 托管设备和信赖方。
无论作系统平台如何,Intune托管设备都需要以下 CA 证书信任链。
| CA 证书类型 | CA 证书信任链 | 部署方法 |
|---|---|---|
| 云 PKI CA 证书 | 需要根 CA 证书,颁发 CA 可选,但建议 | Intune受信任的证书配置文件 |
| 专用 CA 证书 | 需要根 CA 证书,颁发 CA 证书是可选的,但建议 | Intune受信任的证书配置文件 |
信赖方需要以下 CA 证书信任链。
| CA 证书类型 | CA 证书信任链 | 部署方法 |
|---|---|---|
| 云 PKI CA 证书 | 需要根 CA 证书,颁发 CA 可选,但建议 | 如果信赖方的服务器或服务是 Active Directory (AD) 域中的成员服务器,请使用 组策略 部署 CA 证书。 如果它不在 AD 域中,可能需要手动安装方法。 |
| 专用 CA 证书 | 需要根 CA 证书,颁发 CA 证书是可选的,但建议 | 如果信赖方的服务器或服务是 Active Directory (AD) 域中的成员服务器,请使用 组策略 部署 CA 证书。 如果它不在 AD 域中,可能需要手动安装方法。 |
下图显示了客户端和信赖方在作中的证书。
下图显示了必须部署到托管设备和信赖方的相应 CA 证书信任链。 CA 信任链可确保颁发给Intune托管设备的云 PKI证书受信任,并可用于向信赖方进行身份验证。
选项 2:自带 CA (BYOCA)
在自带 CA 部署期间,Intune托管设备需要以下 CA 证书:
- 负责签署 BYOCA CSR 的 CA 的专用 CA 信任链,包括根 CA 证书和颁发 CA 证书。
- BYOCA 颁发的 CA 证书。
所有信赖方都应已具有专用 CA 证书链。
无论作系统平台如何,Intune托管设备都需要以下 CA 证书信任链。
| CA 证书类型 | CA 证书信任链 | 部署方法 |
|---|---|---|
| 云 PKI CA 证书 | 颁发 CA(可选,但建议) | Intune受信任的证书配置文件 |
| 专用 CA 证书 | 需要根 CA 证书,颁发 CA 可选,但建议 | Intune受信任的证书配置文件 |
信赖方应已具有专用 CA 证书链。 但是,还应将颁发 CA 证书的 BYOCA 部署到信赖方。 如果信赖方是 Active Directory 域 中的成员服务器,请使用 GPO 作为部署方法。
注意
如果云 PKI BYOCA 颁发 CA 证书未部署到信赖方平台,则信赖方的 CCE 可以使用云 PKI颁发的 SCEP 证书的 AIA (URL) 属性 (最终实体/叶证书) 请求并安装云 PKI BYOCA 颁发 CA 证书 (其信任存储中的公钥) 。 但是,此行为不能保证并且依赖于 CCE 的每个 OS/平台实现。 最佳做法是将 BYOCA 颁发 CA 证书部署到托管设备和信赖方。
信赖方信任云 PKI BYOCA 颁发的 SCEP 证书到托管设备,因为它链接到信赖方上已存在的专用 CA 信任链。
下图演示了如何将相应的 CA 证书信任链部署到Intune托管设备。
* 在此图中, private 是指 Active Directory 证书服务或非Microsoft服务。
摘要
云 PKI根 CA 和颁发 CA,以及定位到专用 CA 的 BYOCA 颁发 CA,可以存在于同一租户中,因为云 PKI可以同时支持这两种部署模型。
在开始部署和颁发证书之前,请确定 根信任定位点的位置。 它可以位于 云 PKI 根或专用根 CA 中。 该位置确定Intune托管设备和信赖方所需的证书信任链。
- 云 PKI根 CA:必须将云 PKI证书信任链(由颁发 CA 公钥的根 & 组成)部署到所有信赖方。
- 云 PKI BYOCA 使用专用根 CA 颁发 CA:由根 CA 和颁发 CA 组成的专用 CA 证书受信任链应已部署到整个基础结构的信赖方。 虽然不是必需的,但我们建议创建云 PKI BYOCA 颁发 CA 证书。