Delen via

Microsoft Cloud PKI-certificeringsinstantie verwijderen

  • Artikel

Verwijder een verlenende en basiscertificeringsinstantie (CA) uit de Microsoft Cloud PKI-service in Microsoft Intune. U kunt de volgende acties in het Microsoft Intune-beheercentrum gebruiken om certificeringsinstanties (CA's) in uw tenant te beheren:

  • CA onderbreken: pauzeer de CA om het gebruik ervan te stoppen.
  • CA intrekken: alle actieve leaf-certificaten intrekken en vervolgens de CA intrekken.
  • CA verwijderen: de CA verwijderen en verwijderen uit Microsoft Intune.

Een basis-CA kan pas worden verwijderd als alle verankerde verlenende CA's zijn verwijderd. Als u van gedachten verandert nadat u een CA hebt onderbroken, kunt u deze ongedaan maken om het gebruik te hervatten. Het intrekken en verwijderen van een CA zijn echter permanente acties en kunnen niet ongedaan worden gemaakt.

In dit artikel wordt beschreven hoe u een verlenende CA en basis-CA verwijdert uit Microsoft Intune met behulp van de beschikbare acties in het beheercentrum.

Op rollen gebaseerde toegangsvereisten

Deze beheerdersrollen kunnen CA's verwijderen in het Microsoft Intune-beheercentrum:

  • Intune-beheerder, een ingebouwde Microsoft Entra-rol
  • Aangepaste Intune-rol, waaraan de volgende Intune-machtigingen zijn toegewezen:
    • Ca's lezen
    • CA's uitschakelen en opnieuw in- en uitschakelen
    • Uitgegeven leaf-certificaten intrekken

Verlenende CA verwijderen

Een verlenende CA definitief verwijderen uit Microsoft Intune. Als u probeert een basis-CA te verwijderen, voert u eerst deze stappen uit om de verlenende CA te verwijderen die eraan is verankerd.

  1. Ga naar Tenantbeheer>Cloud PKI.

  2. Selecteer een actieve verlenende CA in de lijst met beschikbare CA's. Als u een CA selecteert, worden de beschikbare acties geopend.

  3. Selecteer Onderbreken.

    Voorbeeldschermopname waarin de actie Onderbreken voor Cloud PKI wordt gemarkeerd.

  4. Selecteer opnieuw Onderbreken wanneer u wordt gevraagd om te bevestigen.

    Opmerking

    Nadat u een verlenende CA hebt onderbroken:

    • Er kunnen geen bladcertificaten worden uitgegeven.
    • Het blijft reageren op aanvragen voor certificaatintrekkingslijsten (CRL) en AIA-aanvragen.

  5. Ga terug naar uw lijst met CA's en kies Vernieuwen. Kijk vervolgens onder de kolom Status om te bevestigen dat de verlenende CA is onderbroken.

    Voorbeeldschermopname van de kolom Status in de tabel met CA's.

  6. Selecteer de onderbroken CA om alle beschikbare opties opnieuw te openen. Er worden twee nieuwe opties weergegeven:

    • Hervatten: met deze optie wordt de CA ongedaan en wordt deze weer actief.
    • Intrekken: met deze optie wordt de verlenende CA ingetrokken.

  7. Selecteer Intrekken.

    Tip

    Deze actie werkt alleen als alle actieve leaf-certificaten van de CA al zijn ingetrokken. Zie Actieve leaf-certificaten intrekken in dit artikel voor meer informatie en stappen.

    Voorbeeldschermopname waarin de actie Intrekken voor de CA wordt gemarkeerd.

  8. Selecteer Opnieuw intrekken wanneer u wordt gevraagd om te bevestigen.

    Belangrijk

    Deze actie kan niet ongedaan worden gemaakt.

    Opmerking

    Nadat u een verlenende CA hebt ingetrokken:

    • Het blijft reageren op CRL- en AIA-aanvragen.
    • Het wordt niet meer vertrouwd aan de relying party's die een vertrouwensketenbewerking uitvoeren.
    • De CRL van de basis-CA geeft aan dat het verlenende CA-certificaat is ingetrokken.
    • Alle bestaande leaf-certificaten die door de CA zijn uitgegeven, worden niet meer geverifieerd.

  9. Ga terug naar uw lijst met CA's en kies Vernieuwen. Kijk vervolgens onder de kolom Status om te controleren of de verlenende CA is ingetrokken.

    Voorbeeldschermopname van de lijst met ca's, waarin de ingetrokken status wordt gemarkeerd.

  10. Selecteer de ingetrokken CA om alle beschikbare opties opnieuw te openen.

  11. De optie voor het verwijderen van de CA moet nu beschikbaar zijn. Selecteer Verwijderen om de CA uit Microsoft Intune te verwijderen.

    Voorbeeldschermopname van de verwijderingsactie voor een verlenende CA.

  12. Selecteer opnieuw Verwijderen wanneer u wordt gevraagd om te bevestigen.

    Belangrijk

    Deze actie kan niet ongedaan worden gemaakt.

  13. Ga terug naar uw lijst met CA's en kies Vernieuwen. Controleer of de verlenende CA niet meer wordt weergegeven in de lijst.

Hoofd-CA verwijderen

Een basis-CA definitief verwijderen uit Microsoft Intune.

Tip

Verwijder alle verankerde verlenende CA's voordat u de basis-CA verwijdert.

  1. Ga naar Tenantbeheer>Cloud PKI.

  2. Selecteer een basis-CA in de lijst met beschikbare CA's. Als u een CA selecteert, worden de beschikbare acties geopend.

    Voorbeeldschermopname van de lijst met ca's, waarin een basis-CA wordt gemarkeerd.

  3. Selecteer Verwijderen om de CA uit Microsoft Intune te verwijderen.

    Voorbeeldschermopname van het beheercentrum waarin de verwijderingsactie voor de hoofd-CA wordt gemarkeerd.

  4. Selecteer opnieuw Verwijderen wanneer u wordt gevraagd om te bevestigen.

    Belangrijk

    Deze actie kan niet ongedaan worden gemaakt.

  5. Ga terug naar uw lijst met CA's en kies Vernieuwen. Controleer of de basis-CA niet meer wordt weergegeven in de lijst.

Actieve leaf-certificaten intrekken

Wanneer u probeert een verlenende CA in te trekken, is het belangrijk om eerst alle actieve leaf-certificaten in te trekken. U kunt één bladcertificaat tegelijk intrekken van een verlenende CA of u kunt bladcertificaten bulksgewijs intrekken.

Een leaf-certificaat intrekken

  1. Ga in het Microsoft Intune-beheercentrum naar Tenantbeheer>Cloud PKI.
  2. Selecteer een verlenende CA.
  3. Kies Alle certificaten weergeven.
  4. Selecteer een actief leaf-certificaat en kies intrekken. Herhaal deze stap voor elk resterende leaf-certificaat.

Alle leaf-certificaten intrekken

U kunt het PowerShell-voorbeeldscript in deze sectie gebruiken om alle leaf-certificaten van een CA in te trekken. Het script haalt informatie op van uw Microsoft Intune-tenant over Microsoft Cloud PKI en trekt leaf-certificaten in voor een verlenende CA in uw tenant.

  • Het script haalt alle leaf-certificaten op en voert de intrekkingsactie uit op elke certificaat.
  • Het script vraagt u als beheerder om te bevestigen dat u alle leaf-certificaten wilt intrekken.
  • Het script heeft een optionele configuratie die u kunt opnemen en waarmee een bevestigingsprompt voor elk certificaat wordt verzonden. De sectie in het script is gemarkeerd als commentaar in het voorbeeld, dus voeg deze weer toe als u dat onderdeel wilt uitvoeren.

Belangrijk

Gebruik dit script met de nodige voorzichtigheid. U kunt de intrekkingsactie voor een van de leaf-certificaten niet ongedaan maken.

  • Bekijk het voorbeeldscript voordat u het uitvoert om beter te begrijpen hoe het werkt en om na te gaan hoe het van invloed is op uw tenant.
  • Voer het voorbeeldscript eerst uit in een niet-productie- of testtenantaccount.

Met het script wordt de Microsoft Graph PowerShell-module Microsoft.Graph geïnstalleerd. Het apparaat waarop het script wordt uitgevoerd, moet beheerdersbevoegdheden hebben om de module te installeren.

De Connect-MgGraph opdracht moet worden uitgegeven door een beheerder die gemachtigd is om leaf-certificaten in te trekken op de verlenende CA.

De CA-id is vereist om het script uit te voeren. Ga als volgt te werk om deze informatie te vinden in het beheercentrum:

  1. Ga naar Tenantbeheer>Cloud PKI.

  2. Selecteer een verlenende CA.

  3. Bekijk de URL van de browser om de CA-id te vinden. De afbreekstreepje alfanumerieke tekenreeks aan het einde van de URL is de CA-id. In de volgende URL is de CA-id bijvoorbeeld f12345-acf1-12ab-1b2a-1a1234567a89:

    https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Voorbeeldscript

Voer het PowerShell-voorbeeldscript uit vanaf een beheerwerkstation. Als u deze wilt uitvoeren, moet u de volgende Intune-machtigingen hebben:

  • Ca's lezen
  • Uitgegeven leaf-certificaten intrekken
 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}