Sdílet prostřednictvím

Postup konfigurace certifikačních autorit pro ověřování na základě certifikátů Microsoft Entra

  • Článek

Nejlepší způsob konfigurace certifikačních autorit (CA) je s úložištěm důvěryhodnosti založeným na infrastruktuře veřejných klíčů (Preview). Konfiguraci můžete delegovat pomocí úložiště důvěryhodnosti založeného na infrastruktuře veřejných klíčů na nejméně privilegované role. Další informace najdete v kroku 1: Konfigurace certifikačních autorit s úložištěm důvěryhodnosti založeným na infrastruktuře veřejných klíčů (Preview).

Jako alternativu může globální správce postupovat podle kroků v tomto tématu a nakonfigurovat certifikační autority pomocí Centra pro správu Microsoft Entra nebo rozhraní REST API microsoft Graphu a podporovaných sad SDK (software Development Kit), jako je Microsoft Graph PowerShell. Infrastruktura veřejných klíčů (PKI) nebo správce infrastruktury veřejných klíčů by měl být schopný poskytnout seznam vydávajících certifikačních autorit.

Pokud chcete mít jistotu, že jste nakonfigurovali všechny certifikační autority, otevřete certifikát uživatele a klikněte na kartu Cesta k certifikátu. Ujistěte se, že se každá certifikační autorita nenahraje do úložiště důvěryhodnosti ID Microsoft Entra. Ověřování na základě certifikátů Microsoft Entra (CBA) selže, pokud chybí certifikační autority.

Konfigurace certifikačních autorit pomocí Centra pro správu Microsoft Entra

Pokud chcete nakonfigurovat certifikační autority pro povolení CBA v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

  2. Přejděte na stránku Protection>Show more>Security Center (nebo Identity Secure Score) >Certifikační autority.

  3. Pokud chcete nahrát certifikační autoritu, vyberte Nahrát:

    1. Vyberte soubor certifikační autority.

    2. Pokud je certifikační autorita kořenovým certifikátem, vyberte ano. V opačném případě vyberte Ne.

    3. Pro adresu URL seznamu odvolaných certifikátů nastavte internetovou adresu URL základního seznamu CRL certifikační autority, která obsahuje všechny odvolané certifikáty. Pokud adresa URL není nastavená, ověřování s odvolanými certifikáty se nezdaří.

    4. Pro adresu URL seznamu odvolaných certifikátů Delta nastavte internetovou adresu URL seznamu odvolaných certifikátů, která obsahuje všechny odvolané certifikáty od posledního publikování základního seznamu CRL.

    5. Vyberte Přidat.

      Snímek obrazovky znázorňuje, jak nahrát soubor certifikační autority

  4. Pokud chcete odstranit certifikát certifikační autority, vyberte certifikát a vyberte Odstranit.

  5. Vyberte Sloupce , které chcete přidat nebo odstranit.

Poznámka:

Nahrání nové certifikační autority selže, pokud vypršela platnost nějaké existující certifikační autority. Měli byste odstranit všechny certifikační autority, jejichž platnost vypršela, a zkuste novou certifikační autoritu nahrát znovu.

Ke správě této funkce je potřeba globální správce.

Konfigurace certifikačních autorit (CA) pomocí PowerShellu

Podporuje se pouze jeden distribuční bod seznamu CRL (CDP) pro důvěryhodnou certifikační autoritu. CdP může být pouze adresy URL HTTP. Adresy URL protokolu OCSP (Online Certificate Status Protocol) nebo LDAP (Lightweight Directory Access Protocol) se nepodporují.

Pokud chcete nakonfigurovat certifikační autority v MICROSOFT Entra ID, nahrajte pro každou certifikační autoritu následující:

  • Veřejná část certifikátu ve formátu .cer
  • Internetové adresy URL, ve kterých se nacházejí seznamy odvolaných certifikátů (CRL)

Schéma certifikační autority vypadá takto:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Pro konfiguraci můžete použít Microsoft Graph PowerShell:

  1. Spusťte Windows PowerShell s oprávněními správce.

  2. Nainstalujte Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Jako první krok konfigurace musíte vytvořit připojení k vašemu tenantovi. Jakmile existuje připojení k vašemu tenantovi, můžete zkontrolovat, přidat, odstranit a upravit důvěryhodné certifikační autority definované v adresáři.

Propojit

Pokud chcete vytvořit připojení k vašemu tenantovi, použijte Connect-MgGraph:

    Connect-MgGraph

Načtení

Pokud chcete načíst důvěryhodné certifikační autority definované v adresáři, použijte Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Přidání

Poznámka:

Při vypršení platnosti některého z existujících certifikačních autorit se nahrání nových certifikačních autorit nezdaří. Správce tenanta by měl odstranit certifikační autority, jejichž platnost vypršela, a pak nahrát novou certifikační autoritu.

Podle předchozích kroků přidejte certifikační autoritu do Centra pro správu Microsoft Entra.

AuthorityType

  • Použití 0 k označení kořenové certifikační autority
  • Použití 1 k označení zprostředkující nebo vydávající certifikační autority

crlDistributionPoint

Stáhněte si CRL a porovnejte certifikát certifikační autority a informace o seznamu CRL. Ujistěte se, že hodnota crlDistributionPoint v předchozím příkladu PowerShellu je platná pro certifikační autoritu, kterou chcete přidat.

Následující tabulka a obrázek ukazují, jak mapovat informace z certifikátu certifikační autority na atributy staženého seznamu CRL.

Informace o certifikátu certifikační autority = Stažené informace o seznamu CRL
Předmět = Issuer
Identifikátor klíče subjektu = Identifikátor klíče autority (KeyID)

Porovnejte certifikát certifikační autority s informacemi o seznamu CRL.

Tip

Hodnota crlDistributionPoint v předchozím příkladu je umístění http pro seznam odvolaných certifikátů certifikační autority (CRL). Tuto hodnotu najdete na několika místech:

  • V atributu distribučního bodu seznamu CRL (CDP) certifikátu vydaného certifikační autoritou.

Pokud vydávající certifikační autorita spouští Windows Server:

  • Ve vlastnostech certifikační autority v konzole Microsoft Management Console (MMC) certifikační autority.
  • Na certifikační autoritě spuštěním certutil -cainfo cdppříkazu . Další informace najdete v tématu certutil.

Další informace najdete v tématu Principy procesu odvolání certifikátu.

Konfigurace certifikačních autorit pomocí rozhraní Microsoft Graph API

Rozhraní Microsoft Graph API je možné použít ke konfiguraci certifikačních autorit. Chcete-li aktualizovat úložiště důvěryhodnosti certifikační autority Microsoft Entra, postupujte podle kroků v příkazech MSGraph pro certificatebasedauthconfiguration.

Ověření konfigurace certifikační autority

Ujistěte se, že konfigurace umožňuje jazyku Microsoft Entra CBA:

  • Ověření řetězu důvěryhodnosti certifikační autority
  • Získání seznamu odvolaných certifikátů (CRL) z nakonfigurovaného distribučního bodu CRL certifikační autority (CDP)

Pokud chcete ověřit konfiguraci certifikační autority, nainstalujte modul PowerShellu nástroje MSIdentity a spusťte Test-MsIdCBATrustStoreConfiguration. Tato rutina PowerShellu zkontroluje konfiguraci certifikační autority tenanta Microsoft Entra. Hlásí chyby a upozornění pro běžné chybné konfigurace.

Související obsah

Konfigurace ověřování založeného na certifikátech Microsoft Entra