Configuración de entidades de certificación para la autenticación basada en certificados de Microsoft Entra
La mejor manera de configurar las entidades de certificación (CA) es con el almacén de confianza basado en PKI (versión preliminar). Puede delegar la configuración con un almacén de confianza basado en PKI en roles con privilegios mínimos. Para obtener más información, consulte Paso 1: Configurar las entidades de certificación con el almacén de confianza basado en PKI (versión preliminar).
Como alternativa, un administrador global puede seguir los pasos descritos en este tema para configurar las entidades de certificación mediante el Centro de administración Microsoft Entra o las API REST de Microsoft Graph y los kits de desarrollo de software (SDK) admitidos, como Microsoft Graph PowerShell. La infraestructura de clave pública (PKI) o el administrador de PKI deben poder proporcionar la lista de entidades de certificación emisoras.
Para asegurarse de que ha configurado todas las entidades de certificación, abra el certificado de usuario y haga clic en la pestaña Ruta de certificación. Asegúrese de que se haya cargado en el almacén de confianza de Microsoft Entra ID cada entidad de certificación hasta la raíz. Se produce un error en la autenticación basada en certificados (CBA) de Microsoft Entra si faltan entidades de certificación.
Configuración de entidades de certificación mediante el Centro de administración Microsoft Entra
Para configurar entidades de certificación para habilitar CBA en el Centro de administración Microsoft Entra, complete los pasos siguientes:
-
Inicie sesión en el centro de administración de Microsoft Entra como administrador global.
Vaya a Protección>Mostrar más>Security Center (o puntuación de seguridad de la identidad) >autoridades del certificado.
Para cargar una CA, seleccione Cargar:
Seleccione el archivo de CA.
Seleccione Sí si la entidad de certificación es un certificado raíz; de lo contrario, seleccione No.
Para Dirección URL de lista de revocación de certificados, establezca la dirección URL accesible desde Internet para la CRL base de CA que contiene todos los certificados revocados. Si no se establece la dirección URL, no se producirá un error en la autenticación con certificados revocados.
Para Dirección URL de lista de revocación de certificados Delta, establezca la dirección URL accesible desde Internet para la CRL que contiene todos los certificados revocados desde que se ha publicado la última CRL base.
Seleccione Agregar.
Para eliminar un certificado de una CA, seleccione el certificado y seleccione Eliminar.
Haga clic en Columnas para agregar o eliminar columnas.
Nota:
Se produce un error en la carga de una nueva CA si ha expirado alguna CA existente. Debe eliminar cualquier CA expirada y volver a intentar cargar la nueva CA.
Se necesita un administrador global para administrar esta función.
Configuración de las autoridades de certificación (CA) mediante PowerShell
Solo se admite un punto de distribución de CRL (CDP) para una entidad de certificación de confianza. CDP solo puede ser direcciones URL HTTP. No se admiten las direcciones URL del Protocolo de estado de certificados en línea (OSCP) ni del Protocolo ligero de acceso a directorios (LDAP).
Para configurar las entidades de certificación en Microsoft Entra ID, para cada entidad de certificación, cargue lo siguiente:
- La parte pública del certificado en formato .cer .
- Las direcciones URL con conexión a Internet en las que se encuentran las listas de revocación de certificados (CRL).
A continuación se presenta el esquema para una entidad de certificación:
class TrustedCAsForPasswordlessAuth
{
CertificateAuthorityInformation[] certificateAuthorities;
}
class CertificateAuthorityInformation
{
CertAuthorityType authorityType;
X509Certificate trustedCertificate;
string crlDistributionPoint;
string deltaCrlDistributionPoint;
string trustedIssuer;
string trustedIssuerSKI;
}
enum CertAuthorityType
{
RootAuthority = 0,
IntermediateAuthority = 1
}
Para la configuración, puede usar Microsoft Graph PowerShell:
Inicie Windows PowerShell con privilegios de administrador.
Instale Microsoft Graph PowerShell:
Install-Module Microsoft.Graph
El primer paso de configuración consiste en establecer una conexión con el inquilino. En cuanto se establece la conexión con el inquilino, puede revisar, agregar, eliminar y modificar las entidades de certificación de confianza definidas en el directorio.
Conexión
Para establecer una conexión con el inquilino, use el cmdlet Connect-MgGraph:
Connect-MgGraph
Retrieve
Para recuperar las entidades de certificación de confianza definidas en el directorio, use el cmdlet Get-MgOrganizationCertificateBasedAuthConfiguration.
Get-MgOrganizationCertificateBasedAuthConfiguration
Sumar
Nota
Se producirá un error en la carga de nuevas CA cuando haya expirado cualquiera de las CA existentes. El administrador de inquilinos debe eliminar las CA expiradas y luego cargar la nueva CA.
Siga los pasos anteriores para agregar una entidad de certificación en el Centro de administración Microsoft Entra.
AuthorityType
- Use 0 para indicar que se trata de una entidad de certificación raíz.
- Use 1 para indicar que se trata de una entidad de certificación intermedia o emisora.
crlDistributionPoint
Descargue la CRL y compare el certificado de entidad de certificación y la información de la CRL. Asegúrese de que el valor de crlDistributionPoint del ejemplo de PowerShell anterior sea válido para la entidad de certificación que desea agregar.
En la tabla y el gráfico siguientes se muestra cómo asignar la información del certificado de la entidad de certificación a los atributos de la CRL descargada.
Información sobre el certificado de la entidad de certificación | = | Información sobre la CRL descargada |
---|---|---|
Asunto | = | Emisor |
Identificador de clave del firmante | = | Identificador de clave de la entidad (KeyID) |
Sugerencia
El valor de crlDistributionPoint en el ejemplo anterior es la ubicación http de la lista de revocación de certificados (CRL) de la entidad de certificación. Este valor se puede encontrar en varios lugares:
- En el atributo de punto de distribución (CDP) de la CRL de un certificado emitido desde la entidad de certificación.
Si la entidad de certificación emisora ejecuta Windows Server:
- En la opción Propiedades de la entidad de certificación en la entidad de certificación Microsoft Management Console (MMC).
- En la entidad de certificación, al ejecutar
certutil -cainfo cdp
. Para obtener más información, consulte: certutil.
Para más información, vea Descripción del proceso de revocación de certificados.
Configuración de entidades de certificación mediante las API de Microsoft Graph
Las API de Microsoft Graph se pueden usar para configurar entidades de certificación. Para actualizar el almacén de confianza de la entidad de certificación de Microsoft Entra, siga los pasos descritos en Comandos certificatebasedauthconfiguration de MSGraph.
Validación de la configuración de entidad de certificación
Asegúrese de que la configuración permita que la CBA de Microsoft Entra haga lo siguiente:
- Validar la cadena de confianza de la entidad de certificación
- Obtener la lista de revocación de certificados (CRL) desde el punto de distribución de CRL (CDP) de la entidad de certificación configurada
Para validar la configuración de la entidad de certificación, instale el módulo de PowerShell MSIdentity Tools y ejecute Test-MsIdCBATrustStoreConfiguration. Este cmdlet de PowerShell revisa la configuración de entidad de certificación del inquilino de Microsoft Entra. Notifica errores y advertencias para las configuraciones incorrectas comunes.
Contenido relacionado
Configuración de la autenticación basada en certificados de Microsoft Entra