Guide pratique pour configurer les autorités de certification pour l’authentification basée sur les certificats Microsoft Entra
La meilleure façon de configurer les autorités de certification (AC) consiste à utiliser le magasin de confiance basé sur une infrastructure PKI (préversion). Vous pouvez déléguer la configuration d’un magasin de confiance basé sur une infrastructure PKI aux rôles privilégiés minimaux. Pour plus d’informations, consultez Étape 1 : Configurer les autorités de certification avec un magasin de confiance basé sur une infrastructure PKI (préversion).
En guise d’alternative, un Administrateur général peut suivre les étapes de cette rubrique pour configurer les autorités de certification (AC) à l’aide du centre d’administration Microsoft Entra, ou des API REST Microsoft Graph et des kits SDK (kits de développement logiciel) pris en charge, par exemple Microsoft Graph PowerShell. L’infrastructure PKI (infrastructure à clé publique) ou l’administrateur d’infrastructure PKI doit pouvoir fournir la liste des autorités de certification (AC) émettrices.
Pour vérifier que vous avez configuré toutes les autorités de certification (AC), ouvrez le certificat utilisateur, puis cliquez sur l’onglet Chemin d’accès de certification. Vérifiez que chaque autorité de certification (AC), jusqu’à la racine, est chargée dans le magasin de confiance Microsoft Entra ID. L’authentification CBA (authentification basée sur les certificats) Microsoft Entra échoue s’il manque des autorités de certification (AC).
Configurer les autorités de certification à l’aide du centre d’administration Microsoft Entra
Pour configurer les autorités de certification afin d’activer l’authentification CBA dans le centre d’administration Microsoft Entra, suivez les étapes ci-dessous :
-
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.
Accédez à Protection>Afficher plus>Security Center (ou score d'identité sécurisée) >Autorités de certification.
Pour charger un fichier, sélectionnez Charger :
Sélectionnez le fichier d’autorité de certification.
Sélectionnez Oui si l’autorité de certification est un certificat racine. Sinon, sélectionnez Non.
Pour URL de liste de révocation de certificats, définissez l’URL accessible sur Internet pour la liste de révocation de certificats de base de l’autorité de certification qui contient tous les certificats révoqués. Si l’URL n’est pas définie, l’authentification n’échoue pas avec les certificats révoqués.
Pour URL de liste de révocation de certificats Delta, définissez l’URL accessible sur Internet pour la liste de révocation de certificats qui contient tous les certificats révoqués depuis la dernière liste de révocation de certificats de base publiée.
Sélectionnez Ajouter.
Pour supprimer un certificat d’autorité de certification, sélectionnez le certificat et sélectionnez Supprimer.
Sélectionnez Colonnes pour ajouter ou supprimer des colonnes.
Remarque
Le chargement d’une nouvelle autorité de certification échoue si une autorité de certification existante a expiré. Vous devriez supprimer toute autorité de certification expirée et réessayer de charger la nouvelle autorité de certification.
Un administrateur général est nécessaire pour gérer cette fonctionnalité.
Configurer les autorités de certification (CA) avec PowerShell
Un seul point de distribution de liste de révocation de certificats (CDP) pour une autorité de certification approuvée est pris en charge. Le CDP peut uniquement être des URL HTTP. Les URL du protocole OSCP (Online Certificate Status Protocol) ou LDAP (Lightweight Directory Access Protocol) ne sont pas prises en charge.
Pour configurer vos autorités de certification dans Microsoft Entra ID, pour chaque autorité de certification, vous devez télécharger les éléments suivants :
- La partie publique du certificat, au format .cer
- Les URL accessibles sur Internet où résident les listes de révocation de certificat (CRL).
Le schéma d’une autorité de certification se présente comme suit :
class TrustedCAsForPasswordlessAuth
{
CertificateAuthorityInformation[] certificateAuthorities;
}
class CertificateAuthorityInformation
{
CertAuthorityType authorityType;
X509Certificate trustedCertificate;
string crlDistributionPoint;
string deltaCrlDistributionPoint;
string trustedIssuer;
string trustedIssuerSKI;
}
enum CertAuthorityType
{
RootAuthority = 0,
IntermediateAuthority = 1
}
Pour la configuration, vous pouvez utiliser Microsoft Graph PowerShell :
Démarrez Windows PowerShell avec les privilèges administrateur.
Installer microsoft Graph PowerShell :
Install-Module Microsoft.Graph
Comme première étape de configuration, vous devez établir une connexion avec votre client. Dès qu’une connexion est établie avec votre locataire, vous pouvez examiner, ajouter, supprimer et modifier les autorités de certification approuvées qui sont définies dans votre annuaire.
Se connecter
Pour établir une connexion avec votre locataire, utilisez Connect-MgGraph :
Connect-MgGraph
Récupération
Pour récupérer les autorités de certification approuvées définies dans votre répertoire, utilisez Get-MgOrganizationCertificateBasedAuthConfiguration.
Get-MgOrganizationCertificateBasedAuthConfiguration
Ajouter
Notes
Le chargement de nouvelles autorités de certification échoue lorsque l’une des autorités de certification existantes a expiré. L’Administrateur du locataire doit supprimer les autorités de certification expirées, puis charger la nouvelle autorité de certification.
Suivez les étapes précédentes pour ajouter une autorité de certification dans le centre d’administration Microsoft Entra.
AuthorityType
- Utilisez 0 pour indiquer une autorité de certification racine
- Utilisez 1 pour indiquer une autorité de certification intermédiaire ou émettrice
crlDistributionPoint
Téléchargez la liste de révocation de certificats, puis comparez le certificat d’autorité de certification (AC) aux informations de cette liste. Vérifiez que la valeur de crlDistributionPoint dans l’exemple PowerShell précédent est valide pour l’autorité de certification (AC) à ajouter.
Le tableau et le graphique suivants montrent comment mapper les informations du certificat d’autorité de certification aux attributs de la liste de révocation de certificats téléchargée.
| Informations du certificat d’autorité de certification | = | Informations de la liste de révocation de certificats téléchargée |
|---|---|---|
| Objet | = | Émetteur |
| Identificateur de la clé du sujet | = | Identificateur de la clé de l’autorité (KeyID) |
Conseil
La valeur de crlDistributionPoint dans l’exemple précédent est l’emplacement http pour la liste de révocation de certificats de l’autorité de certification. Cette valeur est disponible à plusieurs endroits :
- Dans l’attribut de point de distribution de liste de révocation de certificats d’un certificat émis par l’autorité de certification.
Si l’autorité de certification émettrice exécute Windows Server :
- Dans les Propriétés de l’autorité de certification (AC) au sein de la console MMC (Microsoft Management Console).
- Sur l’autorité de certification en exécutant
certutil -cainfo cdp. Pour plus d'informations, consultez certutil.
Pour plus d’informations, consultez Présentation du processus de révocation de certificat.
Configurer les autorités de certification à l’aide des API Microsoft Graph
Les API Microsoft Graph peuvent être utilisées pour configurer les autorités de certification. Pour mettre à jour le magasin de confiance de l’autorité de certification Microsoft Entra, suivez les étapes décrites dans Commandes MSGraph de certificatebasedauthconfiguration.
Valider la configuration de l’autorité de certification
Vérifiez que la configuration permet à l’authentification CBA Microsoft Entra d’effectuer les tâches suivantes :
- Valider la chaîne de certificats de l’autorité de certification (AC)
- Obtenir la liste de révocation de certificats à partir du point de distribution spécifié par l’autorité de certification configurée
Pour valider la configuration de l’autorité de certification (AC), installez le module PowerShell MSIdentity Tools, puis exécutez Test-MsIdCBATrustStoreConfiguration. Cette cmdlet PowerShell passe en revue la configuration de l’autorité de certification (AC) du tenant (locataire) Microsoft Entra. Elle signale les erreurs et les avertissements pour les mauvaises configurations courantes.
Contenu connexe
Comment configurer l’authentification Microsoft Entra basée sur certificat