circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

AC intermédiaire

circle-exclamation

Édition SCEPman Enterprise uniquement

Si vous souhaitez utiliser un autre Root CA comme autorité principale, vous pouvez créer un certificat CA intermédiaire pour exploiter SCEPman en tant qu’autorité de certification subordonnée. Vous pouvez créer le certificat approprié directement dans Azure Key Vault et télécharger le CSR pour le faire signer par votre Root CA. La demande signée peut être téléversée et fusionnée dans Azure Key Vault. Cet article vous guide en détail à travers les étapes nécessaires.

hashtag
Autorisations Key Vault

Vous devez accorder l’accès à Azure Key Vault à votre compte utilisateur pour créer le CSR et fusionner le certificat CA intermédiaire. La manière d’attribuer les autorisations dépend de la configuration d’accès de votre Key Vault :

  1. Accédez à votre Azure Key Vault dans le Azure Portal

  2. Cliquez sur Contrôle d’accès (IAM) dans le volet de navigation gauche.

  3. Cliquez sur Attributions de rôles et ajoutez une nouvelle attribution de rôle

Ajouter une nouvelle attribution de rôle à votre Key Vault

  1. Sélectionnez le Key Vault Certificate Officer rôle puis cliquez sur Suivant

  1. Recherchez et ajoutez maintenant votre compte administrateur AAD dans la Membres section, puis continuez pour attribuer le rôle

Après avoir ajouté l’attribution de rôle, votre compte Azure AD est autorisé à créer un CSR et à téléverser le certificat.

hashtag
Ouvrir le réseau Key Vault pour le système d’administration

Si vous utilisez un Private Endpoint pour Key Vault, vous devez ajouter une exception qui autorise le client à accéder au Key Vault au niveau réseau. Si vous n’utilisez pas de Private Endpoint, vous pouvez ignorer cette partie.

  • Rendez-vous sur Azure Key Vault dans le Azure Portal.

  • Accédez à la lame Networking sous Settings.

  • Passez à « Autoriser l’accès public depuis des réseaux virtuels et des adresses IP spécifiques » si vous avez actuellement sélectionné « Désactiver l’accès public ».

  • Ajoutez l’adresse IP du client sur lequel vous souhaitez exécuter plus tard le module PowerShell SCEPman. Si vous utilisez Azure Cloud Shell et qu’il est connecté à un VNETarrow-up-right, vous pouvez ajouter ce VNET. Sinon, la manière la plus simple consiste à autoriser temporairement l’adresse IP publique de Cloud Shell, car l’authentification forte protège votre Key Vault. Vous pouvez utiliser une commande telle que (Invoke-WebRequest -UseBasicParsing -uri "http://ifconfig.me/ip").Content pour trouver l’adresse IP publique de la session.

hashtag
Mettre à jour les paramètres du service d’application Azure

L’étape suivante consiste à mettre à jour la configuration de Azure App Service afin qu’elle corresponde au nom de sujet de l’autorité de certification intermédiaire que vous allez créer à l’étape suivante.

  1. Accédez à votre Azure App Service

  2. Cliquez sur Environment variables dans le volet de navigation gauche

  3. Dans Paramètres de l’application, vous devez modifier les paramètres suivants :

    1. AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName Modifiez ceci pour un nom commun (CN) préféré pour votre autorité de certification intermédiaire.

    2. AppConfig:KeyVaultConfig:RootCertificateConfig:Subject Modifiez uniquement la valeur CN du nom de sujet pour qu’elle corresponde au nom commun utilisé ci-dessus.

  4. Cliquez sur Appliquer et confirmer.

  5. Redémarrez le Azure App Service pour appliquer les changements, puis accédez à votre URL SCEPman.

circle-exclamation

Veuillez noter que la variable CertificateName correspondra directement à l’objet certificat qui sera créé dans Azure Key Vault. Vous ne pouvez donc utiliser que des noms de certificat contenant des caractères alphanumériques et des tirets

hashtag
Création d’un certificat CA intermédiaire avec le module PowerShell SCEPman

circle-exclamation

Pour garantir le bon fonctionnement de ce module, vous aurez besoin d’un poste de travail avec Azure CLIarrow-up-right (également appelé az) installé. Azure CLI est préinstallé dans le Azure Cloud Shellarrow-up-right, qui est l’environnement recommandé pour exécuter ce module.

Vous pouvez utiliser le module PowerShell SCEPman version 1.9 et ultérieure pour créer un CSR pour un certificat CA intermédiaire. Vous pouvez installer la dernière version du module depuis PowerShell Gallery avec la commande suivante :

Ensuite, vous pouvez indiquer au module le nom de votre organisation à faire apparaître dans le certificat :

Configurez le sujet de votre autorité de certification intermédiaire pour qu’il corresponde à celui que vous avez utilisé ci-dessus dans AppConfig:KeyVaultConfig:RootCertificateConfig:Subject (vous pouvez éventuellement modifier certains paramètres supplémentaires pour contrôler le contenu du CSR) :

Enfin, vous pouvez créer le CSR avec la commande suivante (ou une commande similaire selon votre environnement) :

La commande produira le CSR que vous soumettez à votre Root CA pour signature.

hashtag
Émettre le certificat CA intermédiaire

Soumettez maintenant votre CSR à votre Root CA et récupérez le certificat CA intermédiaire émis. Enregistrez le certificat sur le disque (.cer), afin de pouvoir, à l’étape suivante, le téléverser et le fusionner avec la clé privée dans Azure Key Vault.

hashtag
Étapes particulières pour une ADCS Enterprise Root CA

Si vous utilisez Active Directory Certificate Services comme Root CA intégrée à Active Directory et devez donc choisir un modèle de certificat, celui-ci doit inclure les Key Usages suivants : « CRLSign », « DigitalSignature », « KeyEncipherment » et « KeyCertSign ». KeyEncipherment est absent du modèle par défaut « Subordinate Certificate Authority » et ne peut en outre pas être sélectionné dans les nouveaux modèles. Veuillez consulter ci-dessous pour une solution si vous rencontrez ce problème. Cela ne s’applique pas aux Root CAs autonomes, aussi appelées Offline Root CAs, car elles reprennent correctement les Key Usages à partir du CSR.

hashtag
Vue d’ensemble

Vous pouvez dupliquer le modèle SubCA ou l’utiliser selon les besoins. Ensuite, vous émettez simplement un certificat avec le modèle basé sur le CSR. Ce certificat aura le mauvais Key Usage (0x86). Ensuite, vous resignez le certificat avec une extension Key Usage adaptée en utilisant certutil -sign.

hashtag
Étape par étape

  1. Demandez et émettez un certificat SubCA.

  2. Exportez le nouveau certificat SubCA vers un fichier (par ex. c:\temp\SubCA.cer) sur la Root CA. Choisissez X.509 encodé en Base-64 format.

  3. Créez un fichier « extfile.txt » avec le contenu indiqué ci-dessous sur la Root CA (par ex. c:\temp\extfile.txt).

  4. Ouvrez la ligne de commande et exécutez : certutil -sign "c:\temp\SubCA.cer" "c:\temp\SubCAwithKeyEncipher.cer" @c:\temp\extfile.txt

  5. Le certificat SubCAwithKeyEncipher.cer contient maintenant l’utilisation de clé demandée (0xA6). L’empreinte numérique (signature) a changé, mais pas le numéro de série.

  6. La liste des certificats émis dans ADCS contient l’ancien certificat. Comme le numéro de série n’a pas changé, vous pouvez gérer le nouveau certificat à l’aide de l’ancien descripteur ; par exemple, la révocation de l’ancien certificat révoquera le nouveau certificat. Si cela ne vous convient pas, vous pouvez supprimer l’entrée de l’ancien certificat à l’aide de certutil -deleterow puis importer le nouveau certificat à l’aide de certutil -importcert.

hashtag
extfile.txt

hashtag
Téléverser le certificat CA intermédiaire

  1. Dans Azure Key Vault, cliquez sur votre certificat et appuyez sur Certificate Operation

  2. Vous pouvez maintenant voir les options Download CSR et Merge Signed Request

  1. Cliquez sur Merge Signed Request et téléversez votre certificat CA intermédiaire. Après avoir téléversé la demande signée, vous pouvez voir le certificat valide dans votre Azure Key Vault dans la zone Completed

circle-exclamation

Le certificat CA intermédiaire doit être au format PEM (encodé en Base64). Si vous utilisez le format binaire DER, vous verrez un message d’erreur indiquant « Property x5c has invalid value X5C must have at least one valid item » dans les détails.

hashtag
Vérifier l’adéquation de l’AC

Sur la page d’état de SCEPman, vous pouvez voir la nouvelle configuration et télécharger le nouveau certificat CA intermédiaire pour le déployer via Endpoint Manager.

Veuillez vérifier si le certificat CA répond à toutes les exigences en visitant votre page d’accueil SCEPman. Vérifiez ce qui est indiqué sur la page d’accueil à côté de « CA Suitability ». Si, par exemple, il est indiqué Le certificat CA est dépourvu de l’utilisation de clé « Key Encipherment », vous devez revenir à l’étape Émettre le certificat CA intermédiaire et corriger l’émission du certificat.

hashtag
CA intermédiaires et profils Intune SCEP

Sur la plateforme Android, les profils de configuration SCEP dans Intune doivent faire référence à la Root CA, et non à la CA intermédiaire. Sinon, le profil de configuration échoue. Pour Windows, c’est l’inverse : les profils de configuration SCEP dans Intune doivent faire référence à la CA intermédiaire, et non à la Root CA. Pour iOS et macOS, nous n’avons pas d’informations concluantes permettant de dire si l’une ou l’autre méthode est préférable.

Mis à jour

Ce contenu vous a-t-il été utile ?