CA intermedia

Si desea utilizar otra CA raíz como autoridad primaria, puede crear un certificado de CA intermedia para operar SCEPman como una Autoridad de Certificación Subordinada. Puede crear el certificado correcto directamente en Azure Key Vault y descargar la CSR para firmarla con su CA raíz. La solicitud firmada puede subirse y fusionarse en Azure Key Vault. Este artículo le guía a través de los pasos necesarios en detalle.

Permisos de Key Vault

Necesita conceder acceso al Azure Key Vault a su cuenta de usuario para crear la CSR y fusionar el certificado de CA intermedia. La manera de asignar los permisos depende de la configuración de acceso de su Key Vault:

Azure RBAC

Políticas de acceso al Vault

1. Navegue a su Azure Key Vault en el Portal de Azure

2. Haga clic en Control de acceso (IAM) en el panel de navegación izquierdo.

3. Haga clic en Asignaciones de roles y agregue una nueva asignación de rol

1. Seleccione el Oficial de certificados de Key Vault rol y haga clic Siguiente

1. Ahora busque y agregue su cuenta de administrador AAD en el Miembros sección y continúe para asignar el rol

Después de agregar la asignación de rol, su cuenta de Azure AD tiene permiso para crear una CSR y subir el certificado.

Abra la red del Key Vault al sistema administrador

Si está utilizando un Private Endpoint para Key Vault, necesita agregar una excepción que permita al cliente acceder al Key Vault a nivel de red. Si no está utilizando un Punto de conexión privado (Private Endpoint), puede omitir esta parte.

• Vaya a Azure Key Vault en el Portal de Azure.

• Navegue a la sección de Redes (Networking) en Configuración.

• Cambie a "Permitir acceso público desde redes virtuales y direcciones IP específicas" si actualmente tiene seleccionada la opción "Deshabilitar acceso público".

• Agregue la dirección IP del cliente en el que desea ejecutar el módulo SCEPman PowerShell más adelante. Si está utilizando Azure Cloud Shell y está conectado a una VNET, puede agregar esta VNET. De lo contrario, la forma más sencilla es permitir temporalmente la dirección IP pública del Cloud Shell, ya que la autenticación fuerte protege su Key Vault. Puede usar un comando como (Invoke-WebRequest -UseBasicParsing -uri "http://ifconfig.me/ip").Content para encontrar la dirección IP pública de la sesión.

Actualizar la configuración del servicio de aplicaciones de Azure

El siguiente paso es actualizar la configuración de Azure App Service para que coincida con el nombre del sujeto de la CA intermedia que creará en el paso siguiente.

1. Navegue a su Azure App Service

2. Haga clic en Variables de entorno en el panel de navegación izquierdo

3. En Configuración de la aplicación, debe editar las siguientes configuraciones:

   1. AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName Cambie esto por un nombre común (CN) preferido para su CA intermedia.

   2. AppConfig:KeyVaultConfig:RootCertificateConfig:Subject Solo cambie el valor CN del nombre del sujeto para que coincida con el nombre común usado arriba.

4. Haga clic en Aplicar y confirmar.

5. Reinicie el Azure App Service para aplicar los cambios y luego navegue a su URL de SCEPman.

Crear el certificado de CA intermedia con el módulo SCEPman PowerShell

Puede usar el módulo SCEPman PowerShell versión 1.9 y posteriores para crear una CSR para un certificado de CA intermedia. Puede instalar la versión más reciente del módulo desde PowerShell Gallery con el siguiente comando:

Luego, puede indicar al módulo el nombre de su organización para que aparezca en el certificado:

Configure el sujeto de su CA intermedia para que coincida con el que ha usado arriba en AppConfig:KeyVaultConfig:RootCertificateConfig:Subject (opcionalmente, puede modificar algunas configuraciones adicionales para controlar el contenido de la CSR):

Finalmente, puede crear la CSR con el siguiente comando (o uno similar según su entorno):

El comando mostrará la CSR que usted enviará a su CA raíz para su firma.

Emitir el certificado de CA intermedia

Ahora, envíe su CSR a su CA raíz y recupere su certificado de CA intermedia emitido. Guarde el certificado en disco (.cer), para que en el siguiente paso pueda subirlo y fusionarlo con la clave privada en Azure Key Vault.

Pasos especiales para una CA raíz ADCS Enterprise

Si está utilizando Active Directory Certificate Services como una CA raíz integrada en AD y por tanto debe elegir una Plantilla de certificado, debe incluir los siguientes usos de clave (Key Usages): "CRLSign", "DigitalSignature", "KeyEncipherment" y "KeyCertSign". KeyEncipherment falta en la plantilla predeterminada "Subordinate Certificate Authority", y además no puede seleccionarse en nuevas plantillas. Vea abajo una solución si se encuentra con este problema. Esto no se aplica a las CA raíz independientes, también conocidas como CA raíz sin conexión (Offline Root CAs), ya que toman los usos de clave correctamente desde la CSR.

Resumen

Puede duplicar la plantilla SubCA o usarla según sea necesario. Luego simplemente emite un certificado con la plantilla basado en la CSR. Este certificado tendrá el uso de clave incorrecto (0x86). Después, vuelve a firmar el certificado con una extensión de Uso de Clave adaptada usando certutil -sign.

Paso a paso

1. Solicite y emita un certificado SubCA.

2. Exporte el nuevo certificado SubCA a un archivo (por ejemplo c:\temp\SubCA.cer) en la CA raíz. Elija X.509 codificado en Base-64 formato.

3. Cree un archivo "extfile.txt" con el contenido que se muestra abajo en la CA raíz (por ejemplo c:\temp\extfile.txt).

4. Inicie la línea de comandos y ejecute: certutil -sign "c:\temp\SubCA.cer" "c:\temp\SubCAwithKeyEncipher.cer" @c:\temp\extfile.txt

5. El certificado SubCAwithKeyEncipher.cer ahora contiene el uso de clave solicitado (0xA6). La huella (firma) ha cambiado, pero el número de serie no.

6. La lista de certificados emitidos en ADCS contiene el certificado antiguo. Dado que el número de serie no ha cambiado, puede gestionar el nuevo certificado usando el identificador antiguo, por ejemplo revocar el certificado antiguo revocará el nuevo certificado. Si no le gusta esto, puede eliminar la entrada del certificado antiguo usando certutil -deleterow y luego importe el nuevo certificado usando certutil -importcert.

extfile.txt

Subir el certificado de CA intermedia

1. En Azure Key Vault, haga clic en su certificado y presione Operación de certificado

2. Ahora puede ver las opciones Descargar CSR y Fusionar solicitud firmada

1. Haga clic en Fusionar solicitud firmada y subir su certificado de CA intermedia. Después de haber subido la solicitud firmada, puede ver el certificado válido en su Azure Key Vault en el área Completado

Verificar la idoneidad de la CA

En la página de estado de SCEPman, puede ver la nueva configuración y descargar el nuevo certificado de CA intermedia para implementarlo vía Endpoint Manager.

Por favor, verifique si el certificado de la CA cumple todos los requisitos visitando su página de inicio de SCEPman. Compruebe lo que dice la página junto a "CA Suitability". Si, por ejemplo, dice Al certificado de CA le falta el uso de clave "Key Encipherment", debe volver al paso Emitir el certificado de CA intermedia y corregir la emisión del certificado.

CAs intermedias y perfiles SCEP de Intune

En la plataforma Android, los perfiles de configuración SCEP en Intune deben referenciar la CA raíz, no la CA intermedia. De lo contrario, el perfil de configuración falla. Para Windows, es al contrario: los perfiles de configuración SCEP en Intune deben referenciar la CA intermedia, no la CA raíz. Para iOS y macOS, no tenemos información concluyente sobre si una u otra opción es mejor.