Delen via

Certificeringsinstanties configureren voor verificatie op basis van Microsoft Entra-certificaten

  • Artikel

De beste manier om de certificeringsinstanties (CA's) te configureren, is met het op PKI gebaseerde vertrouwensarchief (preview). U kunt de configuratie delegeren met een vertrouwensarchief op basis van PKI naar rollen met minimale bevoegdheden. Zie stap 1 voor meer informatie: De certificeringsinstanties configureren met een op PKI gebaseerd vertrouwensarchief (preview).

Een globale beheerder kan ook de stappen in dit onderwerp volgen om CA's te configureren met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph REST API's en de ondersteunde SDK's (Software Development Kits), zoals Microsoft Graph PowerShell. De PKI-infrastructuur (Public Key Infrastructure) of PKI-beheerder moet de lijst met verlenende CA's kunnen opgeven.

Als u wilt controleren of u alle CA's hebt geconfigureerd, opent u het gebruikerscertificaat en klikt u op het tabblad Certificeringspad . Zorg ervoor dat elke CA totdat de hoofdmap is geüpload naar het vertrouwensarchief van Microsoft Entra ID. Verificatie op basis van Microsoft Entra-certificaten (CBA) mislukt als er ca's ontbreken.

Certificeringsinstanties configureren met behulp van het Microsoft Entra-beheercentrum

Voer de volgende stappen uit om certificeringsinstanties in te schakelen voor het inschakelen van CBA in het Microsoft Entra-beheercentrum:

  1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Protection>Show more>Security Center (or Identity Secure Score) >Certificeringsinstanties.

  3. Als u een CA wilt uploaden, selecteert u Uploaden:

    1. Kies het CA-bestand.

    2. Kies Ja als de CA een basiscertificaat is, kies anders Nee.

    3. Voor de URL van de certificaatintrekkingslijst stelt u de internetgerichte URL in voor de CA-basis-CRL die alle ingetrokken certificaten bevat. Als de URL niet is ingesteld, mislukt de verificatie met ingetrokken certificaten niet.

    4. Stel voor de URL van de Delta-certificaatintrekkingslijst de internet-URL in voor de CRL die alle ingetrokken certificaten bevat sinds de laatste basis-CRL is gepubliceerd.

    5. Selecteer Toevoegen.

      Schermopname van het uploaden van het certificaatinstantiebestand.

  4. Als u een CA-certificaat wilt verwijderen, selecteert u het certificaat en selecteert u Verwijderen.

  5. Selecteer Kolommen om kolommen toe te voegen of te verwijderen.

Notitie

Uploaden van een nieuwe CA mislukt als een bestaande CA is verlopen. Verwijder alle verlopen CA's en probeer de nieuwe CA opnieuw te uploaden.

Er is een globale beheerder nodig om deze functie te beheren.

Certificeringsinstanties (CA) configureren met Behulp van PowerShell

Er wordt slechts één CRL-distributiepunt (CDP) ondersteund voor een vertrouwde CA. Het CDP kan alleen HTTP-URL's zijn. ONLINE CERTIFICATE Status Protocol (OCSP) of LDAP-URL's (Lightweight Directory Access Protocol) worden niet ondersteund.

Als u uw certificeringsinstanties in Microsoft Entra-id wilt configureren, uploadt u voor elke certificeringsinstantie het volgende:

  • Het openbare gedeelte van het certificaat, in .cer-indeling
  • De internetgerichte URL's waar de certificaatintrekkingslijsten (CRL's) zich bevinden

Het schema voor een certificeringsinstantie ziet er als volgt uit:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Voor de configuratie kunt u Microsoft Graph PowerShell gebruiken:

  1. Start Windows PowerShell met beheerdersbevoegdheden.

  2. Installeer Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Als eerste configuratiestap moet u verbinding maken met uw tenant. Zodra er een verbinding met uw tenant bestaat, kunt u de vertrouwde certificeringsinstanties die in uw directory zijn gedefinieerd controleren, toevoegen, verwijderen en wijzigen.

Verbinden

Gebruik Connect-MgGraph om verbinding te maken met uw tenant:

    Connect-MgGraph

Retrieve

Als u de vertrouwde certificeringsinstanties wilt ophalen die zijn gedefinieerd in uw directory, gebruikt u Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Toevoegen

Notitie

Uploaden van nieuwe CA's mislukt wanneer een van de bestaande CA's is verlopen. Tenantbeheerder moet de verlopen CA's verwijderen en vervolgens de nieuwe CA uploaden.

Volg de voorgaande stappen om een CA toe te voegen in het Microsoft Entra-beheercentrum.

AuthorityType

  • Gebruik 0 om een basiscertificeringsinstantie aan te geven
  • Gebruik 1 om een tussenliggende of verlenende certificeringsinstantie aan te geven

crlDistributionPoint

Download de CRL en vergelijk het CA-certificaat en de CRL-informatie. Zorg ervoor dat de crlDistributionPoint-waarde in het voorgaande PowerShell-voorbeeld geldig is voor de CA die u wilt toevoegen.

In de volgende tabel en afbeelding ziet u hoe u informatie van het CA-certificaat kunt toewijzen aan de kenmerken van de gedownloade CRL.

CA-certificaatgegevens = Gedownloade CRL-informatie
Onderwerp = Verlener
Identifier onderwerpsleutel = Authority Key Identifier (Sleutel-ID)

CA-certificaat met CRL-informatie vergelijken.

Tip

De waarde voor crlDistributionPoint in het voorgaande voorbeeld is de http-locatie voor de certificaatintrekkingslijst van de CA (CRL). Deze waarde vindt u op een aantal plaatsen:

  • In het CRL-distributiepunt (CDP) kenmerk van een certificaat dat is uitgegeven door de CA.

Als de verlenende CA Windows Server uitvoert:

  • Op de eigenschappen van de CA in de Microsoft Management Console (MMC) van de certificeringsinstantie.
  • Op de CA door uit te voeren certutil -cainfo cdp. Zie certutil voor meer informatie.

Zie Inzicht in het certificaatintrekkingsproces voor meer informatie.

Certificeringsinstanties configureren met behulp van de Microsoft Graph-API's

Microsoft Graph-API's kunnen worden gebruikt om certificeringsinstanties te configureren. Als u het vertrouwensarchief van de Microsoft Entra-certificeringsinstantie wilt bijwerken, volgt u de stappen in MSGraph-opdrachten voor certificatebasedauthconfiguration.

De configuratie van de certificeringsinstantie valideren

Zorg ervoor dat de configuratie Microsoft Entra CBA toestaat:

  • De CA-vertrouwensketen valideren
  • Haal de certificaatintrekkingslijst (CRL) op van het geconfigureerde CRL-distributiepunt (CDP)

Als u de CA-configuratie wilt valideren, installeert u de PowerShell-module MSIdentity Tools en voert u Test-MsIdCBATrustStoreConfiguration uit. Met deze PowerShell-cmdlet wordt de CA-configuratie van de Microsoft Entra-tenant beoordeeld. Er worden fouten en waarschuwingen gerapporteerd voor veelvoorkomende onjuiste configuraties.

Gerelateerde inhoud

Verificatie op basis van Microsoft Entra-certificaten configureren