Zwischenzertifizierungsstelle (Intermediate CA)

Wenn Sie eine andere Root-CA als primäre Autorität verwenden möchten, können Sie ein Zwischen-CA-Zertifikat erstellen, um SCEPman als untergeordnete Zertifizierungsstelle zu betreiben. Sie können das korrekte Zertifikat direkt im Azure Key Vault erstellen und die CSR zum Signieren mit Ihrer Root-CA herunterladen. Die signierte Anforderung kann hochgeladen und in Azure Key Vault zusammengeführt werden. Dieser Artikel führt Sie detailliert durch die notwendigen Schritte.

Key Vault-Berechtigungen

Sie müssen Ihrem Benutzerkonto Zugriff auf den Azure Key Vault gewähren, um die CSR zu erstellen und das Intermediate-CA-Zertifikat zusammenzuführen. Die Art der Zuweisung der Berechtigungen hängt von der Zugriffskonfiguration Ihres Key Vault ab:

Azure RBAC

Vault-Zugriffsrichtlinien

1. Navigieren Sie zu Ihrem Azure Key Vault im Azure-Portal

2. Klicken Sie auf Zugriffssteuerung (IAM) im linken Navigationsbereich.

3. Klicken Sie auf Rollen-Zuweisungen und fügen Sie eine neue Rollenzuweisung hinzu

1. Wählen Sie das Key Vault Certificate Officer Rolle und klicken Sie inkl. MwSt.

1. Suchen Sie nun Ihr AAD-Adminkonto und fügen Sie es im Mitglieder Bereich hinzu und fahren Sie fort, die Rolle zuzuweisen

Nachdem Sie die Rollenzuweisung hinzugefügt haben, ist Ihrem Azure AD-Konto erlaubt, eine CSR zu erstellen und das Zertifikat hochzuladen.

Key Vault-Netzwerk für das Admin-System öffnen

Wenn Sie einen Privaten Endpunkt Für den Key Vault müssen Sie eine Ausnahme hinzufügen, die dem Client den Zugriff auf den Key Vault auf Netzwerkebene erlaubt. Wenn Sie keinen Private Endpoint verwenden, können Sie diesen Teil überspringen.

• Gehen Sie im Azure-Portal zum Azure Key Vault.

• Navigieren Sie zum Bereich Networking unter Einstellungen.

• Wechseln Sie zu "Öffentlichen Zugriff von bestimmten virtuellen Netzwerken und IP-Adressen zulassen", wenn Sie derzeit "Öffentlichen Zugriff deaktivieren" ausgewählt haben.

• Fügen Sie die IP-Adresse des Clients hinzu, auf dem Sie später das SCEPman PowerShell-Modul ausführen möchten. Wenn Sie die Azure Cloud Shell verwenden und sie mit einem VNET verbunden ist,können Sie dieses VNET hinzufügen. Andernfalls ist der einfachste Weg, vorübergehend die öffentliche IP-Adresse der Cloud Shell zuzulassen, da eine starke Authentifizierung Ihren Key Vault schützt. Sie können etwa einen Befehl wie (Invoke-WebRequest -UseBasicParsing -uri "http://ifconfig.me/ip").Content verwenden, um die öffentliche IP-Adresse der Sitzung zu ermitteln.

Azure App Service-Einstellungen aktualisieren

Der nächste Schritt besteht darin, die Konfiguration des Azure App Service zu aktualisieren, damit der Betreffname der Zwischen-CA dem entspricht, den Sie im nächsten Schritt erstellen werden.

1. Navigieren Sie zu Ihrem Azure App Service

2. Klicken Sie auf Umgebungsvariablen im linken Navigationsbereich

3. zeigen Anwendungseinstellungen, müssen Sie die folgenden Einstellungen bearbeiten:

   1. AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName Ändern Sie dies in einen bevorzugten allgemeinen Namen (CN) für Ihre Zwischen-CA.

   2. AppConfig:KeyVaultConfig:RootCertificateConfig:Subject Ändern Sie nur den CN-Wert des Betreffnamens, damit er mit dem oben verwendeten allgemeinen Namen übereinstimmt.

4. Klicken Sie auf Übernehmen und bestätigen.

5. Starten Sie die Azure App Service neu, um die Änderungen anzuwenden, und navigieren Sie dann zu Ihrer SCEPman-URL.

Erstellen eines Intermediate-CA-Zertifikats mit dem SCEPman PowerShell-Modul

Sie können das SCEPman PowerShell-Modul in Version 1.9 und höher verwenden, um eine CSR für ein Intermediate-CA-Zertifikat zu erstellen. Sie können die neueste Version des Moduls aus der PowerShell Gallery mit dem folgenden Befehl installieren:

Anschließend können Sie dem Modul den Namen Ihrer Organisation mitteilen, der im Zertifikat erscheinen soll:

Konfigurieren Sie den Betreff Ihrer Zwischen-CA so, dass er mit dem oben in AppConfig:KeyVaultConfig:RootCertificateConfig:Subject übereinstimmt (optional können Sie einige zusätzliche Einstellungen ändern, um den CSR-Inhalt zu steuern):

Schließlich können Sie die CSR mit dem folgenden Befehl erstellen (oder einem ähnlichen entsprechend Ihrer Umgebung):

Der Befehl gibt die CSR aus, die Sie zur Signatur an Ihre Root-CA übermitteln.

Intermediate-CA-Zertifikat ausstellen

Übermitteln Sie nun Ihre CSR an Ihre Root-CA und rufen Sie Ihr ausgestelltes Intermediate-CA-Zertifikat ab. Speichern Sie das Zertifikat auf der Festplatte (.cer), damit Sie es im nächsten Schritt mit dem privaten Schlüssel in Azure Key Vault hochladen und zusammenführen können.

Spezielle Schritte für eine ADCS Enterprise Root-CA

Wenn Sie Active Directory Certificate Services als AD-integrierte Root-CA verwenden und daher eine Zertifikatvorlage auswählen müssen, muss diese die folgenden Key Usages enthalten: "CRLSign", "DigitalSignature", "KeyEncipherment" und "KeyCertSign". KeyEncipherment fehlt in der Standardvorlage "Subordinate Certificate Authority" und kann außerdem in neuen Vorlagen nicht ausgewählt werden. Bitte sehen Sie unten nach einer Lösung, falls Sie auf dieses Problem stoßen. Dies gilt nicht für eigenständige Root-CAs, auch bekannt als Offline-Root-CAs, da diese die Key Usages korrekt aus der CSR übernehmen.

Übersicht

Sie können die SubCA-Vorlage duplizieren oder bei Bedarf verwenden. Dann stellen Sie einfach ein Zertifikat mit der auf der CSR basierenden Vorlage aus. Dieses Zertifikat wird die falsche Schlüsselverwendung haben (0x86). Danach signieren Sie das Zertifikat mit einer angepassten Key-Usage-Erweiterung erneut mit certutil -sign.

Schritt für Schritt

1. Fordern Sie ein SubCA-Zertifikat an und stellen Sie es aus.

2. Exportieren Sie das neue SubCA-Zertifikat in eine Datei (z. B. c:\temp\SubCA.cer) auf der Root-CA. Wählen Sie Base-64 codiertes X.509 Format.

3. Erstellen Sie auf der Root-CA eine Datei "extfile.txt" mit dem unten gezeigten Inhalt (z. B. c:\temp\extfile.txt).

4. Starten Sie die Eingabeaufforderung und führen Sie aus: certutil -sign "c:\temp\SubCA.cer" "c:\temp\SubCAwithKeyEncipher.cer" @c:\temp\extfile.txt

5. Das Zertifikat SubCAwithKeyEncipher.cer enthält jetzt die angeforderte Schlüsselverwendung (0xA6). Der Fingerabdruck (Signatur) hat sich geändert, aber die Seriennummer nicht.

6. Die Liste der ausgestellten Zertifikate in ADCS enthält das alte Zertifikat. Da sich die Seriennummer nicht geändert hat, können Sie das neue Zertifikat mit dem alten Handle verwalten, z. B. wird das Widerrufen des alten Zertifikats auch das neue Zertifikat widerrufen. Wenn Sie dies nicht wünschen, können Sie den alten Zertifikateintrag mit certutil -deleterow löschen und dann das neue Zertifikat mit certutil -importcert.

importieren.

Kritisch=2.5.29.15

1. Intermediate-CA-Zertifikat hochladen Klicken Sie im Azure Key Vault auf Ihr Zertifikat und drücken Sie

2. Zertifikatoperation Nun sehen Sie die Optionen und CSR herunterladen

1. Klicken Sie auf CSR herunterladen Signierte Anforderung zusammenführen und laden Sie Ihr Intermediate-CA-Zertifikat hoch. Nachdem Sie die signierte Anforderung hochgeladen haben, können Sie das gültige Zertifikat in Ihrem Azure Key Vault im Bereich sehen

Das Intermediate-CA-Zertifikat muss im PEM-Format (Base64-codiert) vorliegen. Wenn Sie das binäre DER-Format verwenden, erhalten Sie eine Fehlermeldung mit dem Hinweis "Property x5c has invalid value X5C must have at least one valid item" in den Details.

CA-Tauglichkeit überprüfen

Auf der SCEPman-Statusseite können Sie die neue Konfiguration sehen und das neue Intermediate-CA-Zertifikat herunterladen, um es über Endpoint Manager bereitzustellen. Bitte prüfen Sie, ob das CA-Zertifikat alle Anforderungen erfüllt, indem Sie Ihre SCEPman-Homepage besuchen. Prüfen Sie, was auf der Homepage neben "CA Suitability" steht. Wenn dort zum Beispiel stehtCA-Zertifikat fehlt Schlüsselverwendung "Key Encipherment" Intermediate-CA-Zertifikat ausstellen , sollten Sie zu Schritt

zurückkehren und die Ausstellung des Zertifikats korrigieren.

Intermediate-CAs und Intune SCEP-Profile