CA intermedia

Si desea usar otra CA raíz como autoridad principal, puede crear un certificado de CA intermedia para operar SCEPman como una Autoridad de Certificación subordinada. Puede crear el certificado correcto directamente en Azure Key Vault y descargar la CSR para firmarla con su CA raíz. La solicitud firmada se puede cargar y combinar en Azure Key Vault. Este artículo le guía paso a paso a través de los pasos necesarios con detalle.

Permisos de Key Vault

Debe conceder acceso a Azure Key Vault a su cuenta de usuario para crear la CSR y combinar el certificado de CA intermedia. La forma de asignar los permisos depende de la configuración de acceso de su Key Vault:

Azure RBAC

Políticas de acceso del almacén

1. Navegue hasta su Azure Key Vault en el Azure Portal

2. Haz clic en Control de acceso (IAM) en el panel de navegación izquierdo.

3. Haz clic en Asignaciones de roles y agregue una nueva asignación de rol

1. Seleccione la Key Vault Certificate Officer rol y haga clic en Siguiente

1. Ahora busque y agregue su cuenta de administrador de AAD en la Miembros sección y continúe asignando el rol

Después de agregar la asignación de rol, su cuenta de Azure AD tiene permiso para crear una CSR y cargar el certificado.

Abrir la red de Key Vault al sistema de administración

Si estás usando un Private Endpoint para Key Vault, debe agregar una excepción que permita al cliente acceder a Key Vault a nivel de red. Si no está usando un Private Endpoint, puede omitir esta parte.

• Vaya a Azure Key Vault en el Azure Portal.

• Vaya al panel de Networking bajo Settings.

• Cambie a "Allow public access from specific virtual networks and IP addresses" si actualmente ha seleccionado "Disable public access".

• Agregue la dirección IP del cliente en el que desea ejecutar más adelante el módulo PowerShell de SCEPman. Si está usando Azure Cloud Shell y está conectado a una VNET, puede agregar esta VNET. De lo contrario, la forma más sencilla es permitir temporalmente la dirección IP pública de Cloud Shell, ya que una autenticación fuerte protege su Key Vault. Puede usar un comando como (Invoke-WebRequest -UseBasicParsing -uri "http://ifconfig.me/ip").Content para encontrar la dirección IP pública de la sesión.

Actualizar la configuración de Azure App Service

El siguiente paso es actualizar la configuración de Azure App Service para que coincida con el nombre de asunto de la CA intermedia que creará en el siguiente paso.

1. Navegue hasta su Azure App Service

2. Haz clic en Variables de entorno en el panel de navegación izquierdo

3. En Configuración de la aplicación, debe editar la siguiente configuración:

   1. AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName Cambie esto a un nombre común (CN) preferido para su CA intermedia.

   2. AppConfig:KeyVaultConfig:RootCertificateConfig:Subject Cambie solo el valor CN del nombre de asunto para que coincida con el nombre común usado arriba.

4. Haz clic en Aplique y confirme.

5. Reinicie el Azure App Service para aplicar los cambios y luego navegue a su URL de SCEPman.

Creación de un certificado de CA intermedia con el módulo PowerShell de SCEPman

Puede usar la versión 1.9 y posteriores del módulo PowerShell de SCEPman para crear una CSR para un certificado de CA intermedia. Puede instalar la última versión del módulo desde PowerShell Gallery con el siguiente comando:

Luego, puede indicar al módulo el nombre de su organización para que aparezca en el certificado:

Configure el asunto de su CA intermedia para que coincida con el que ha usado arriba en AppConfig:KeyVaultConfig:RootCertificateConfig:Subject (opcionalmente, puede modificar algunos ajustes adicionales para controlar el contenido de la CSR):

Finalmente, puede crear la CSR con el siguiente comando (o uno similar según su entorno):

El comando generará la CSR que debe enviar a su CA raíz para su firma.

Emitir el certificado de CA intermedia

Ahora, envíe su CSR a su CA raíz y recupere su certificado de CA intermedia emitido. Guarde el certificado en disco (.cer), para que en el siguiente paso pueda cargarlo y combinarlo con la clave privada en Azure Key Vault.

Pasos especiales para una CA raíz empresarial de ADCS

Si está usando Active Directory Certificate Services como una CA raíz integrada en Active Directory y, por tanto, debe elegir una plantilla de certificado, esta debe incluir los siguientes usos de clave: "CRLSign", "DigitalSignature", "KeyEncipherment" y "KeyCertSign". KeyEncipherment falta en la plantilla predeterminada "Subordinate Certificate Authority" y, además, no se puede seleccionar en plantillas nuevas. Consulte a continuación una solución si se encuentra con este problema. Esto no se aplica a las CA raíz independientes, también conocidas como CA raíz sin conexión, ya que toman correctamente los usos de clave de la CSR.

Esquema

Puede duplicar la plantilla SubCA o usarla según sea necesario. Luego solo emite un certificado con la plantilla basada en la CSR. Este certificado tendrá el uso de clave incorrecto (0x86). Después, vuelva a firmar el certificado con una extensión de uso de clave adaptada usando certutil -sign.

Paso a paso

1. Solicite y emita un certificado SubCA.

2. Exporte el nuevo certificado SubCA a un archivo (por ejemplo, c:\temp\SubCA.cer) en la CA raíz. Elija Base-64 encoded X.509 formato.

3. Cree un archivo "extfile.txt" con el contenido mostrado abajo para la CA raíz (por ejemplo, c:\temp\extfile.txt).

4. Abra la línea de comandos y ejecute: certutil -sign "c:\temp\SubCA.cer" "c:\temp\SubCAwithKeyEncipher.cer" @c:\temp\extfile.txt

5. El certificado SubCAwithKeyEncipher.cer ahora contiene el uso de clave solicitado (0xA6). La huella digital (firma) ha cambiado, pero el número de serie no.

6. La lista de certificados emitidos en ADCS contiene el certificado antiguo. Como el número de serie no ha cambiado, puede gestionar el nuevo certificado usando el identificador antiguo; por ejemplo, revocar el certificado antiguo revocará el nuevo certificado. Si esto no le gusta, puede eliminar la entrada del certificado antiguo usando certutil -deleterow y luego importar el nuevo certificado usando certutil -importcert.

extfile.txt

Cargar el certificado de CA intermedia

1. En Azure Key Vault, haga clic en su certificado y pulse Certificate Operation

2. Ahora puede ver las opciones Download CSR y Merge Signed Request

1. Haz clic en Merge Signed Request y cargue su certificado de CA intermedia. Después de haber cargado la solicitud firmada, puede ver el certificado válido en su Azure Key Vault en el área Completed

Verificar la idoneidad de la CA

En la página de estado de SCEPman, puede ver la nueva configuración y descargar el nuevo certificado de CA intermedia para implementarlo mediante Endpoint Manager.

Compruebe si el certificado de CA cumple todos los requisitos visitando su página principal de SCEPman. Revise lo que dice la página principal junto a "CA Suitability". Si, por ejemplo, dice CA Certificate is missing Key Usage "Key Encipherment", debe volver al paso Emitir el certificado de CA intermedia y corregir la emisión del certificado.

CAs intermedias y perfiles SCEP de Intune

En la plataforma Android, los perfiles de configuración SCEP en Intune deben hacer referencia a la CA raíz, no a la CA intermedia. De lo contrario, el perfil de configuración falla. Para Windows, es al revés: los perfiles de configuración SCEP en Intune deben hacer referencia a la CA intermedia, no a la CA raíz. Para iOS y macOS, no tenemos información concluyente sobre si una u otra forma es mejor.