Odstranění Microsoft Cloud PKI certifikační autority

Odstraňte vydávající a kořenovou certifikační autoritu (CA) ze služby Microsoft Cloud PKI v Microsoft Intune. V Centru pro správu Microsoft Intune můžete použít následující akce ke správě certifikačních autorit ve vašem tenantovi:

• Pozastavit certifikační autoritu – Pozastavte certifikační autoritu, abyste ji přestali používat.
• Odvolání certifikační autority – Odvolá všechny aktivní listové certifikáty a pak odvolá certifikační autoritu.
• Odstranit certifikační autoritu – Odstraní a odebere certifikační autoritu z Microsoft Intune.

Kořenovou certifikační autoritu nelze odstranit, dokud se neodstraní všechny ukotvené vydávající certifikační autority. Pokud po pozastavení certifikační autority změníte názor, můžete ji zrušit, abyste mohli pokračovat v používání. Odvolání a odstranění certifikační autority jsou ale trvalé akce, které nelze vrátit zpět.

Tento článek popisuje, jak odstranit vydávající certifikační autoritu a kořenovou certifikační autoritu z Microsoft Intune pomocí dostupných akcí v Centru pro správu.

Požadavky na přístup na základě role

Tyto role správce můžou odstranit certifikační autority v Centru pro správu Microsoft Intune:

• Intune Administrator, integrovaná role Microsoft Entra
• Vlastní role Intune přiřazená následujícím Intune oprávněním:
  • Číst certifikační autority
  • Zakázání a opětovné povolení certifikačních autorit
  • Odvolání vydaných listových certifikátů

Odstranění vydávající certifikační autority

Trvale odeberte vydávající certifikační autoritu z Microsoft Intune. Pokud se pokoušíte odstranit kořenovou certifikační autoritu, nejprve pomocí těchto kroků odstraňte ukotvenou vydávající certifikační autoritu.

1. Přejděte do části Správa> tenanta Cloud PKI.

2. Ze seznamu dostupných certifikačních autorit vyberte aktivní vydávající certifikační autoritu. Výběrem certifikační autority otevřete její dostupné akce.

3. Vyberte Pozastavit.

   

4. Po zobrazení výzvy k potvrzení znovu vyberte Pozastavit .

   Poznámka

   Po pozastavení vydávající certifikační autority:

   • Nemůže vystavovat listové certifikáty.
   • Nadále reaguje na žádosti seznamu odvolaných certifikátů (CRL) a žádosti AIA.

5. Zpět do seznamu certifikačních autorit a zvolte Aktualizovat. Pak ve sloupci Stav zkontrolujte, jestli je vydávající certifikační autorita pozastavená.

   

6. Výběrem pozastavené certifikační autority znovu otevřete všechny dostupné možnosti. Zobrazí se dvě nové možnosti:

   • Pokračovat: Tato možnost zruší pozastavení certifikační autority a znovu ji aktivuje.
   • Odvolání: Tato možnost odvolá vydávající certifikační autoritu.

7. Vyberte Odvolat.

   Tip

   Aby tato akce fungovala, musí být všechny aktivní certifikáty typu list, které patří certifikační autoritě, již odvolány. Další informace a postup najdete v části Odvolání aktivních listových certifikátů v tomto článku.

   

8. Po zobrazení výzvy k potvrzení znovu vyberte Odvolat .

   Důležité

   Tuto akci nelze vrátit zpět.

   Poznámka

   Po odvolání vydávající certifikační autority:

   • I nadále reaguje na požadavky seznamu CRL a AIA.
   • Už se nedůvěřuje předávajícím stranám provádějícím operaci řetězu důvěryhodnosti.
   • Seznam CRL kořenové certifikační autority ukazuje, že vydávající certifikát certifikační autority je odvolán.
   • Všechny existující listové certifikáty vydané certifikační autoritou se přestanou ověřovat.

9. Zpět do seznamu certifikačních autorit a zvolte Aktualizovat. Pak ve sloupci Stav zkontrolujte, jestli je vydávající certifikační autorita odvolána.

   

10. Výběrem odvolané certifikační autority znovu otevřete všechny dostupné možnosti.

11. Možnost odstranit certifikační autoritu by teď měla být dostupná. Výběrem možnosti Odstranit odeberte certifikační autoritu z Microsoft Intune.

    

12. Po zobrazení výzvy k potvrzení znovu vyberte Odstranit .

    Důležité

    Tuto akci nelze vrátit zpět.

13. Zpět do seznamu certifikačních autorit a zvolte Aktualizovat. Ověřte, že se vydávající certifikační autorita už v seznamu nezobrazuje.

Odstranit kořenovou certifikační autoritu

Trvale odeberte kořenovou certifikační autoritu z Microsoft Intune.

Tip

Před odstraněním kořenové certifikační autority odstraňte všechny ukotvené vydávající certifikační autority.

1. Přejděte do části Správa> tenanta Cloud PKI.

2. V seznamu dostupných certifikačních autorit vyberte kořenovou certifikační autoritu. Výběrem certifikační autority otevřete její dostupné akce.

   

3. Výběrem možnosti Odstranit odeberte certifikační autoritu z Microsoft Intune.

   

4. Po zobrazení výzvy k potvrzení znovu vyberte Odstranit .

   Důležité

   Tuto akci nelze vrátit zpět.

5. Zpět do seznamu certifikačních autorit a zvolte Aktualizovat. Ověřte, že se v seznamu už nezobrazuje kořenová certifikační autorita.

Odvolání aktivních listových certifikátů

Při pokusu o odvolání vydávající certifikační autority je důležité nejprve odvolat všechny její aktivní listové certifikáty. Od vydávající certifikační autority můžete současně odvolat jeden listový certifikát nebo můžete odvolávat listové certifikáty hromadně.

Odvolání listového certifikátu

1. V Centru pro správu Microsoft Intune přejděte na Správa> tenanta Cloud PKI.
2. Vyberte vydávající certifikační autoritu.
3. Zvolte Zobrazit všechny certifikáty.
4. Vyberte aktivní listový certifikát a pak zvolte Odvolat. Tento krok opakujte u všech zbývajících listových certifikátů.

Odvolání všech listových certifikátů

Pomocí ukázkového skriptu PowerShellu v této části můžete odvolat všechny listové certifikáty patřící certifikační autoritě. Skript načte z vašeho tenanta Microsoft Intune informace o Microsoft Cloud PKI a odvolává listové certifikáty pro vydávající certifikační autoritu ve vašem tenantovi.

• Skript načte všechny listové certifikáty a u každého z nich provede akci odvolání.
• Skript vás jako správce vyzve k potvrzení, že chcete odvolat všechny listové certifikáty.
• Skript má volitelnou konfiguraci, kterou můžete zahrnout a která odešle výzvu k potvrzení pro každý certifikát. Oddíl skriptu je v ukázce zakomentovaný, takže pokud chcete tuto část spustit, přidejte ji zpátky.

Důležité

Tento skript používejte s opatrností. Akci odvolání není možné vrátit zpět u žádného z listových certifikátů.

• Před spuštěním si ukázkový skript projděte, abyste lépe porozuměli tomu, jak funguje, a zvažte, jak ovlivňuje vašeho tenanta.
• Nejprve spusťte ukázkový skript v neprodukčním nebo testovacím účtu tenanta.

Skript nainstaluje modul Microsoft Graph PowerShellu Microsoft.Graph. Zařízení, na kterém je spuštěný skript, musí mít oprávnění správce, aby bylo moct modul úspěšně nainstalovat.

Příkaz Connect-MgGraph musí být vydaný správcem, který má oprávnění odvolat listové certifikáty ve vydávající certifikační autoritě.

Ke spuštění skriptu se vyžaduje ID certifikační autority. Tyto informace najdete v Centru pro správu:

1. Přejděte do části Správa> tenanta Cloud PKI.

2. Vyberte vydávající certifikační autoritu.

3. Id certifikační autority najdete v adrese URL prohlížeče. Alfanumerický řetězec s dělením slov na konci adresy URL je ID certifikační autority. Například v následující adrese URL je ID certifikační autority f12345-acf1-12ab-1b2a-1a1234567a89:

   https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Ukázkový skript

Spusťte ukázkový skript PowerShellu z pracovní stanice pro správu. Pokud ho chcete spustit, musíte mít následující Intune oprávnění:

• Číst certifikační autority
• Odvolání vydaných listových certifikátů

 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}