Condividi tramite

Come configurare le autorità di certificazione per l'autenticazione basata su certificati Microsoft Entra

  • Articolo

Il modo migliore per configurare le autorità di certificazione (CA) è con l'archivio attendibilità basato su PKI (anteprima). È possibile delegare la configurazione con un archivio trust basato su PKI a ruoli con privilegi minimi. Per altre informazioni, vedere Passaggio 1: Configurare le autorità di certificazione con l'archivio attendibilità basato su PKI (anteprima).

In alternativa, un amministratore globale può seguire la procedura descritta in questo argomento per configurare le ca usando l'interfaccia di amministrazione di Microsoft Entra o le API REST di Microsoft Graph e i software development kit (SDK) supportati, ad esempio Microsoft Graph PowerShell. L'infrastruttura a chiave pubblica (PKI) o l'amministratore PKI devono essere in grado di fornire l'elenco delle ca emittenti.

Per assicurarsi di aver configurato tutte le CA, aprire il certificato utente e fare clic sulla scheda Percorso certificazione. Assicurarsi che ogni CA non venga caricata nell'archivio attendibilità dell'ID di Microsoft Entra. L'autenticazione basata su certificati (CBA) di Microsoft Entra ha esito negativo se mancano ca.

Configurare le autorità di certificazione usando l'interfaccia di amministrazione di Microsoft Entra

Per configurare le autorità di certificazione per abilitare L'autorità di certificazione nell'interfaccia di amministrazione di Microsoft Entra, completare la procedura seguente:

  1. Accedere all’Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Protezione>Mostra altro>Centro sicurezza (o Punteggio di sicurezza delle identità) >Certifica autorità.

  3. Per caricare una CA, selezionare Carica:

    1. Selezionare il file CA.

    2. Selezionare se la CA è un certificato radice. In caso contrario, selezionare No.

    3. Per l’Elenco di revoche di certificati degli URL, imposta l'URL per internet per il CRL di base della CA che contiene tutti i certificati revocati. Se l'URL non è impostato, l'autenticazione con certificati revocati non ha esito negativo.

    4. Per l’URL dell'elenco di revoche di certificati Delta, imposta l'URL per internet per il CRL che contiene tutti i certificati revocati a partire dalla pubblicazione dell'ultimo CRL di base.

    5. Selezionare Aggiungi.

      Screenshot di come caricare il file dell'autorità di certificazione.

  4. Per eliminare un certificato della CA, seleziona il certificato e seleziona Elimina.

  5. Selezionare Etichette di colonna per aggiungere o eliminare colonne.

Nota

Il caricamento di una nuova CA ha esito negativo se una CA esistente è scaduta. È necessario eliminare qualsiasi CA scaduta e riprovare a caricare la nuova CA.

Per gestire questa funzionalità è necessario un amministratore globale.

Configurare le autorità di certificazione (CA) con PowerShell

Per ogni CA attendibile è supportato un solo punto di distribuzione CRL (CDP). Il CDP può essere solo degli URL HTTP. Gli URL protocollo di stato del certificato online (OCSP) o il Lightweight Directory Access Protocol (LDAP) non sono supportati.

Per configurare le proprie autorità di certificazione in Microsoft Entra ID, caricare gli elementi seguenti per ogni autorità:

  • La parte pubblica del certificato, nel formato .cer
  • Gli URL Internet in cui si trovano gli elenchi di revoche di certificati (Certificate Revocation List o CRL)

Lo schema per un'autorità di certificazione ha un aspetto simile al seguente:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Per la configurazione, è possibile usare Microsoft Graph PowerShell:

  1. Avviare Windows PowerShell con privilegi amministrativi.

  2. Installare Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Il primo passaggio di configurazione consiste nello stabilire una connessione con il tenant. Non appena viene stabilita la connessione al tenant è possibile rivedere, aggiungere, eliminare e modificare le autorità di certificazione attendibili definite nella directory.

Connessione

Per stabilire una connessione con il tenant, usare Connect-MgGraph:

    Connect-MgGraph

Retrieve

Per recuperare le autorità di certificazione attendibili definite nella directory, usare Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Aggiunta

Nota

Il caricamento di nuove CA avrà esito negativo se una delle CA esistenti è scaduta. L'amministratore tenant deve eliminare le CA scadute e quindi caricare la nuova CA.

Seguire i passaggi precedenti per aggiungere una CA nell'interfaccia di amministrazione di Microsoft Entra.

AuthorityType

  • Usare 0 per indicare un'autorità di certificazione radice
  • Usare 1 per indicare un'autorità di certificazione intermedia o emittente

crlDistributionPoint

Scaricare il CRL e confrontare il certificato CA e le informazioni CRL. Assicurarsi che il valore crlDistributionPoint nell'esempio di PowerShell precedente sia valido per la CA da aggiungere.

La tabella e l'immagine seguenti mostrano come eseguire il mapping delle informazioni dal certificato della CA agli attributi del CRL scaricato.

Informazioni del certificato della CA = Informazioni CRL scaricate
Oggetto = Autorità di certificazione
Identificatore della chiave del soggetto = Identificatore di chiave dell'autorità (KeyID)

Confrontare il certificato della CA con le informazioni CRL.

Suggerimento

Il valore di crlDistributionPoint nell'esempio precedente è il percorso http del CRL della CA. Questo valore è disponibile in poche posizioni:

  • Nell'attributo CRL Distribution Point (CDP) di un certificato emesso dalla CA.

Se la CA emittente esegue Windows Server:

  • Nelle proprietà della CA nell'autorità di certificazione Microsoft Management Console (MMC).
  • Nella CA, eseguendo certutil -cainfo cdp. Per altre informazioni, vedere certutil.

Per altre informazioni, consulta Comprensione del processo di revoca dei certificati.

Configurare le autorità di certificazione usando le API Microsoft Graph

Le API Microsoft Graph possono essere usate per configurare le autorità di certificazione. Per aggiornare l'archivio attendibilità dell'autorità di certificazione Microsoft Entra, seguire la procedura descritta nei comandi MSGraph certificatebasedauthconfiguration.

Convalidare la configurazione dell'autorità di certificazione

Assicurarsi che la configurazione consenta a Microsoft Entra CBA di:

  • Convalidare la catena di attendibilità della CA
  • Ottenere l'elenco di revoche di certificati (CRL) dal punto di distribuzione CRL configurato dell'autorità di certificazione (CDP)

Per convalidare la configurazione della CA, installare il modulo PowerShell MSIdentity Tools ed eseguire Test-MsIdCBATrustStoreConfiguration. Questo cmdlet di PowerShell esamina la configurazione della CA tenant di Microsoft Entra. Segnala errori e avvisi per errori di configurazione comuni.

Contenuto correlato

Come configurare l'autenticazione basata su certificati Microsoft Entra