circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

CA intermédiaire

circle-exclamation

Uniquement SCEPman Enterprise Edition

Si vous souhaitez utiliser une autre CA racine comme autorité principale, vous pouvez créer un certificat de CA intermédiaire pour faire fonctionner SCEPman en tant qu'autorité de certification subordonnée. Vous pouvez créer le certificat approprié directement dans Azure Key Vault et télécharger la CSR pour la signer avec votre CA racine. La demande signée peut être téléchargée et fusionnée dans Azure Key Vault. Cet article vous guide en détail à travers les étapes nécessaires.

hashtag
Autorisations Key Vault

Vous devez accorder l'accès au coffre de clés Azure (Azure Key Vault) à votre compte utilisateur pour créer la CSR et fusionner le certificat de la CA intermédiaire. La manière d'attribuer les autorisations dépend de la configuration d'accès de votre coffre :

  1. Accédez à votre Azure Key Vault dans le portail Azure

  2. Cliquez sur Contrôle d'accès (IAM) dans le volet de navigation gauche.

  3. Cliquez sur Attributions de rôle et ajoutez une nouvelle attribution de rôle

Ajoutez une nouvelle attribution de rôle à votre Key Vault

  1. Sélectionnez le Responsable des certificats Key Vault rôle et cliquez TTC

  1. Maintenant recherchez et ajoutez votre compte administrateur AAD dans le Membres section puis continuez pour attribuer le rôle

Après avoir ajouté l'attribution de rôle, votre compte Azure AD est autorisé à créer une CSR et à télécharger le certificat.

hashtag
Ouvrir le réseau du Key Vault au système administrateur

Si vous utilisez un point de terminaison privé pour Key Vault, vous devez ajouter une exception qui permet au client d'accéder au Key Vault au niveau du réseau. Si vous n'utilisez pas de point de terminaison privé (Private Endpoint), vous pouvez ignorer cette partie.

  • Allez dans Azure Key Vault dans le portail Azure.

  • Accédez à la lame Réseau (Networking) sous Paramètres.

  • Passez à « Autoriser l'accès public à partir de réseaux virtuels et d'adresses IP spécifiques » si vous avez actuellement sélectionné « Désactiver l'accès public ».

  • Ajoutez l'adresse IP du client sur lequel vous souhaitez exécuter le module PowerShell SCEPman plus tard. Si vous utilisez le Cloud Shell Azure et qu'il est connecté à un VNETarrow-up-right, vous pouvez ajouter ce VNET. Sinon, la façon la plus simple est d'autoriser temporairement l'adresse IP publique du Cloud Shell, puisque l'authentification forte protège votre Key Vault. Vous pouvez utiliser une commande comme (Invoke-WebRequest -UseBasicParsing -uri "http://ifconfig.me/ip").Content pour trouver l'adresse IP publique de la session.

hashtag
Mettre à jour les paramètres du Azure App Service

L'étape suivante consiste à mettre à jour la configuration de l'Azure App Service pour correspondre au nom du sujet de la CA intermédiaire que vous créerez à l'étape suivante.

  1. Accédez à votre Azure App Service

  2. Cliquez sur Variables d'environnement dans le volet de navigation gauche

  3. Dans Paramètres d'application, vous devez modifier les paramètres suivants :

    1. AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName Changez ceci pour un nom commun (CN) préféré pour votre CA intermédiaire.

    2. AppConfig:KeyVaultConfig:RootCertificateConfig:Subject Ne changez que la valeur CN du nom du sujet pour correspondre au nom commun utilisé ci-dessus.

  4. Cliquez sur Appliquer et confirmer.

  5. Redémarrez l'Azure service d’application pour appliquer les modifications puis accédez à votre URL SCEPman.

circle-exclamation

Veuillez noter que la variable CertificateName correspondra directement à l'objet certificat qui sera créé dans Azure Key Vault. Vous ne pouvez donc utiliser que des noms de certificats contenant des caractères alphanumériques et des tirets

hashtag
Création du certificat de CA intermédiaire avec le module PowerShell SCEPman

circle-exclamation

Pour garantir le bon fonctionnement de ce module, vous aurez besoin d'une station de travail avec Azure CLIarrow-up-right (également connu sous le nom az) installé. L'interface en ligne de commande Azure (Azure CLI) est préinstallée dans le Azure Cloud Shellarrow-up-right, qui est l'environnement recommandé pour exécuter ce module.

Vous pouvez utiliser le module PowerShell SCEPman version 1.9 et ultérieure pour créer une CSR pour un certificat de CA intermédiaire. Vous pouvez installer la dernière version du module depuis le PowerShell Gallery avec la commande suivante :

Ensuite, vous pouvez indiquer au module le nom de votre organisation qui apparaîtra dans le certificat :

Configurez le sujet de votre CA intermédiaire pour qu'il corresponde à celui que vous avez utilisé ci-dessus dans AppConfig:KeyVaultConfig:RootCertificateConfig:Subject (facultativement, vous pouvez modifier quelques paramètres supplémentaires pour contrôler le contenu de la CSR) :

Enfin, vous pouvez créer la CSR avec la commande suivante (ou une commande similaire selon votre environnement) :

La commande affichera la CSR que vous soumettez à votre CA racine pour signature.

hashtag
Émettre le certificat de CA intermédiaire

Maintenant, soumettez votre CSR à votre CA racine et récupérez votre certificat de CA intermédiaire émis. Enregistrez le certificat sur le disque (.cer), afin que, dans l'étape suivante, vous puissiez le télécharger et le fusionner avec la clé privée dans Azure Key Vault.

hashtag
Étapes spéciales pour une CA racine ADCS Enterprise

Si vous utilisez Active Directory Certificate Services comme CA racine intégrée à AD et devez donc choisir un modèle de certificat, il doit inclure les usages de clé suivants : « CRLSign », « DigitalSignature », « KeyEncipherment » et « KeyCertSign ». KeyEncipherment est absent du modèle par défaut « Subordinate Certificate Authority » et ne peut en outre pas être sélectionné sur les nouveaux modèles. Veuillez consulter ci-dessous une solution si vous rencontrez ce problème. Ceci ne s'applique pas aux CA racines autonomes (Stand-alone Root CAs), aka CA racines hors ligne, car elles prennent correctement les usages de clé depuis la CSR.

hashtag
Aperçu

Vous pouvez dupliquer le modèle SubCA ou l'utiliser selon vos besoins. Ensuite, vous émettez simplement un certificat avec le modèle basé sur la CSR. Ce certificat aura le mauvais usage de clé (0x86). Par la suite, vous re-signez le certificat avec une extension d'usage de clé adaptée en utilisant certutil -sign.

hashtag
Étape par étape

  1. Demandez et émettez un certificat SubCA.

  2. Exportez le nouveau certificat SubCA vers un fichier (par ex. c:\temp\SubCA.cer) sur la CA racine. Choisissez X.509 encodé en Base-64 format.

  3. Créez un fichier « extfile.txt » avec le contenu indiqué ci-dessous sur la CA racine (par ex. c:\temp\extfile.txt).

  4. Ouvrez l'invite de commandes et exécutez : certutil -sign "c:\temp\SubCA.cer" "c:\temp\SubCAwithKeyEncipher.cer" @c:\temp\extfile.txt

  5. Le certificat SubCAwithKeyEncipher.cer contient maintenant l'usage de clé demandé (0xA6). L'empreinte (signature) a changé, mais le numéro de série n'a pas changé.

  6. La liste des certificats émis dans ADCS contient l'ancien certificat. Puisque le numéro de série n'a pas changé, vous pouvez gérer le nouveau certificat en utilisant l'ancien identifiant, par ex. révoquer l'ancien certificat révoquera le nouveau certificat. Si cela vous déplaît, vous pouvez supprimer l'ancienne entrée de certificat en utilisant certutil -deleterow puis importer le nouveau certificat en utilisant certutil -importcert.

hashtag
extfile.txt

hashtag
Télécharger le certificat de la CA intermédiaire

  1. Dans Azure Key Vault, cliquez sur votre certificat et appuyez sur Opération sur le certificat

  2. Vous pouvez maintenant voir les options Télécharger la CSR et Fusionner la demande signée

  1. Cliquez sur Fusionner la demande signée et téléversez votre certificat de CA intermédiaire. Après avoir téléchargé la demande signée, vous pouvez voir le certificat valide dans votre Azure Key Vault dans la zone Terminé

circle-exclamation

Le certificat de la CA intermédiaire doit être au format PEM (encodé en Base64). Si vous utilisez le format binaire DER, vous verrez un message d'erreur indiquant « Property x5c has invalid value X5C must have at least one valid item » dans les détails.

hashtag
Vérifier l'adéquation de la CA

Sur la page d'état de SCEPman, vous pouvez voir la nouvelle configuration et télécharger le nouveau certificat de CA intermédiaire pour le déployer via Endpoint Manager.

Veuillez vérifier si le certificat de la CA remplit toutes les exigences en visitant votre page d'accueil SCEPman. Vérifiez ce que la page d'accueil indique à côté de « CA Suitability ». Si, par exemple, elle indique Le certificat de la CA manque l'usage de clé « Key Encipherment », vous devez revenir à l'étape Émettre le certificat de CA intermédiaire et corriger l'émission du certificat.

hashtag
CAs intermédiaires et profils SCEP Intune

Sur la plateforme Android, les profils de configuration SCEP dans Intune doivent référencer la CA racine, et non la CA intermédiaire. Sinon, le profil de configuration échoue. Pour Windows, c'est l'inverse : les profils de configuration SCEP dans Intune doivent référencer la CA intermédiaire, et non la CA racine. Pour iOS et macOS, nous n'avons pas d'information concluante indiquant qu'une façon est meilleure que l'autre.

Mis à jour

Ce contenu vous a-t-il été utile ?