CA Intermediária

Se você quiser usar outra CA Raiz como autoridade primária, pode criar um certificado de CA intermediária para operar o SCEPman como uma Autoridade Certificadora Subordinada. Você pode criar o certificado correto diretamente no Azure Key Vault e baixar o CSR para assinatura com sua CA Raiz. A solicitação assinada pode ser carregada e mesclada no Azure Key Vault. Este artigo orienta você detalhadamente pelos passos necessários.

Permissões do Key Vault

Você precisa conceder acesso ao Azure Key Vault à sua conta de usuário para criar o CSR e mesclar o certificado da CA Intermediária. A forma de atribuir as permissões depende da configuração de acesso do seu Key Vault:

Azure RBAC

Políticas de Acesso ao Cofre

1. Navegue até seu Azure Key Vault no Portal do Azure

2. Clique em Controle de acesso (IAM) no painel de navegação à esquerda.

3. Clique em Atribuições de função e adicione uma nova atribuição de função

1. Selecione o Oficial de Certificados do Key Vault função e clique Próximo

1. Agora pesquise e adicione sua conta de administrador AAD em Membros seção e continue para atribuir a função

Depois de adicionar a atribuição de função, sua conta do Azure AD estará autorizada a criar um CSR e carregar o certificado.

Abrir a Rede do Key Vault para o Sistema Administrador

Se você estiver usando um Private Endpoint para o Key Vault, você precisa adicionar uma exceção que permita ao cliente acessar o Key Vault em nível de rede. Se você não estiver usando um Endpoint Privado, pode pular esta parte.

• Vá ao Azure Key Vault no Portal do Azure.

• Navegue até a lâmina Rede (Networking) em Configurações.

• Altere para "Permitir acesso público a partir de redes virtuais e endereços IP específicos" se você tiver atualmente selecionado "Desabilitar acesso público".

• Adicione o endereço IP do cliente no qual você deseja executar o módulo SCEPman PowerShell posteriormente. Se você estiver usando o Azure Cloud Shell e ele estiver conectado a uma VNET, você pode adicionar essa VNET. Caso contrário, a maneira mais fácil é permitir temporariamente o endereço IP público do Cloud Shell, já que a autenticação forte protege seu Key Vault. Você pode usar um comando como (Invoke-WebRequest -UseBasicParsing -uri "http://ifconfig.me/ip").Content para encontrar o endereço IP público da sessão.

Atualizar Configurações do Azure App Service

O próximo passo é atualizar a configuração do Azure App Service para corresponder ao nome do assunto da CA intermediária que você criará no próximo passo.

1. Navegue até seu Azure App Service

2. Clique em Variáveis de ambiente no painel de navegação à esquerda

3. Em Configurações de Aplicativo, você deve editar as seguintes configurações:

   1. AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName Altere isto para um nome comum (CN) preferido para sua CA intermediária.

   2. AppConfig:KeyVaultConfig:RootCertificateConfig:Subject Altere apenas o valor CN do nome do assunto para corresponder ao nome comum usado acima.

4. Clique em Aplicar e Confirmar.

5. Reinicie o Azure Serviço de Aplicativo para aplicar as alterações e então navegue até sua URL do SCEPman.

Criando o Certificado de CA Intermediária com o Módulo SCEPman PowerShell

Você pode usar o módulo SCEPman PowerShell versão 1.9 e posteriores para criar um CSR para um certificado de CA Intermediária. Você pode instalar a versão mais recente do módulo do PowerShell Gallery com o seguinte comando:

Em seguida, você pode informar ao módulo o nome da sua organização para aparecer no certificado:

Configure o sujeito da sua CA intermediária para corresponder ao que você usou acima em AppConfig:KeyVaultConfig:RootCertificateConfig:Subject (opcionalmente, você pode modificar algumas configurações adicionais para controlar o conteúdo do CSR):

Finalmente, você pode criar o CSR com o seguinte comando (ou um similar conforme seu ambiente):

O comando irá gerar o CSR que você submeterá à sua CA Raiz para assinatura.

Emitir o Certificado da CA Intermediária

Agora, envie seu CSR à sua CA Raiz e recupere seu Certificado de CA Intermediária emitido. Salve o certificado no disco (.cer), para que no próximo passo você possa carregá-lo e mesclá-lo com a chave privada no Azure Key Vault.

Passos Especiais para uma CA Raiz ADCS Enterprise

Se você estiver usando os Serviços de Certificados do Active Directory como uma CA Raiz integrada ao AD e, portanto, deve escolher um Modelo de Certificado, ele deve incluir os seguintes Usos de Chave: "CRLSign", "DigitalSignature", "KeyEncipherment" e "KeyCertSign". KeyEncipherment está ausente no modelo padrão "Subordinate Certificate Authority" e, além disso, não pode ser selecionado em novos modelos. Veja abaixo uma solução se você encontrar esse problema. Isto não se aplica às CAs Raiz Stand-alone, também conhecidas como CAs Raiz Offline, pois elas obtêm os Usos de Chave corretamente do CSR.

Visão Geral

Você pode duplicar o Modelo SubCA ou usá-lo conforme necessário. Então você apenas emite um certificado com o modelo com base no CSR. Este certificado terá o Uso de Chave incorreto (0x86). Posteriormente, você re-assina o certificado com uma extensão de Uso de Chave adaptada usando certutil -sign.

Passo a passo

1. Solicite e emita um certificado SubCA.

2. Exporte o novo certificado SubCA para um arquivo (por exemplo c:\temp\SubCA.cer) na CA Raiz. Escolha X.509 codificado em Base-64 formato.

3. Crie um arquivo "extfile.txt" com o conteúdo mostrado abaixo na CA Raiz (por exemplo c:\temp\extfile.txt).

4. Abra a linha de comando e execute: certutil -sign "c:\temp\SubCA.cer" "c:\temp\SubCAwithKeyEncipher.cer" @c:\temp\extfile.txt

5. O certificado SubCAwithKeyEncipher.cer agora contém o uso de chave solicitado (0xA6). A impressão digital (assinatura) mudou, mas o número de série não.

6. A lista de certificados emitidos no ADCS contém o certificado antigo. Como o número de série não mudou, você pode gerenciar o novo certificado usando o identificador antigo, por exemplo, revogar o certificado antigo revogará o novo certificado. Se você não quiser isso, pode excluir a entrada do certificado antigo usando certutil -deleterow e então importar o novo certificado usando certutil -importcert.

extfile.txt

Carregar o Certificado da CA Intermediária

1. No Azure Key Vault, clique no seu certificado e pressione Operação de Certificado

2. Agora você pode ver as opções Baixar CSR e Mesclar Solicitação Assinada

1. Clique em Mesclar Solicitação Assinada e carregar seu Certificado da CA Intermediária. Depois de carregar a solicitação assinada, você poderá ver o certificado válido no seu Azure Key Vault na área Concluído

Verificar Adequação da CA

Na página de Status do SCEPman, você pode ver a nova configuração e baixar o novo certificado da CA intermediária para implantar via Endpoint Manager.

Por favor, verifique se o certificado da CA atende a todos os requisitos visitando sua Página Inicial do SCEPman. Verifique o que a página inicial diz ao lado de "Adequação da CA". Se, por exemplo, disser O certificado da CA está sem o Uso de Chave "Key Encipherment", você deve voltar ao passo Emitir o Certificado da CA Intermediária e corrigir a emissão do certificado.

CAs Intermediárias e Perfis SCEP do Intune

Na plataforma Android, os Perfis de Configuração SCEP no Intune devem referenciar a CA Raiz, não a CA Intermediária. Caso contrário, o perfil de configuração falha. Para Windows, é ao contrário: os Perfis de Configuração SCEP no Intune devem referenciar a CA Intermediária, não a CA Raiz. Para iOS e macOS, não temos informações conclusivas sobre qual das duas maneiras é melhor.