Usuwanie urzędu certyfikacji PKI w chmurze firmy Microsoft

Usuń urząd wystawiający i główny urząd certyfikacji z usługi PKI w chmurze firmy Microsoft w Microsoft Intune. W centrum administracyjnym Microsoft Intune można użyć następujących akcji do zarządzania urzędami certyfikacji w dzierżawie:

• Wstrzymaj urząd certyfikacji — wstrzymaj urząd certyfikacji, aby zatrzymać jego użycie.
• Odwołaj urząd certyfikacji — odwołaj wszystkie aktywne certyfikaty liści, a następnie odwołaj urząd certyfikacji.
• Usuń urząd certyfikacji — usuń i usuń urząd certyfikacji z Microsoft Intune.

Nie można usunąć głównego urzędu certyfikacji, dopóki nie zostaną usunięte wszystkie zakotwiczone urzędy certyfikacji wystawiające certyfikaty. Jeśli zmienisz zdanie po wstrzymaniu urzędu certyfikacji, możesz go usunąć, aby wznowić korzystanie. Jednak odwoływanie i usuwanie urzędu certyfikacji to trwałe akcje, których nie można cofnąć.

W tym artykule opisano sposób usuwania urzędu wystawiającego certyfikaty i głównego urzędu certyfikacji z Microsoft Intune przy użyciu dostępnych akcji w centrum administracyjnym.

Wymagania dotyczące dostępu opartego na rolach

Te role administratora mogą usuwać urzędy certyfikacji w centrum administracyjnym Microsoft Intune:

• Intune Administrator, wbudowana rola Microsoft Entra
• Niestandardowa rola Intune, przypisana do następujących uprawnień Intune:
  • Odczytywanie urzędów certyfikacji
  • Wyłączanie i ponowne włączanie urzędów certyfikacji
  • Odwoływanie wystawionych certyfikatów liści

Usuwanie urzędu wystawiającego certyfikaty

Trwale usuń urząd wystawiający certyfikaty z Microsoft Intune. Jeśli próbujesz usunąć główny urząd certyfikacji, najpierw wykonaj te kroki, aby usunąć zakotwiczony urząd wystawiający certyfikaty.

1. Przejdź do obszaru Administracja> dzierżawą PKI w chmurze.

2. Wybierz aktywny urząd wystawiający certyfikaty z listy dostępnych urzędów certyfikacji. Wybranie urzędu certyfikacji powoduje otwarcie dostępnych akcji.

3. Wybierz pozycję Wstrzymaj.

   

4. Po wyświetleniu monitu o potwierdzenie wybierz pozycję Wstrzymaj ponownie.

   Uwaga

   Po wstrzymaniu wystawiającego urzędu certyfikacji:

   • Nie może wystawiać certyfikatów liści.
   • Nadal odpowiada na żądania listy odwołania certyfikatów (CRL) i żądania AIA.

5. Wstecz do listy urzędów certyfikacji i wybierz pozycję Odśwież. Następnie przejrzyj kolumnę Stan , aby potwierdzić wstrzymanie wystawiającego urzędu certyfikacji.

   

6. Wybierz wstrzymany urząd certyfikacji, aby ponownie otworzyć wszystkie dostępne opcje. Zostaną wyświetlone dwie nowe opcje:

   • Wznów: ta opcja powoduje odpieczętowanie urzędu certyfikacji i ponowne uaktywnienie go.
   • Odwołaj: ta opcja odwołuje urząd wystawiający certyfikaty.

7. Wybierz pozycję Odwołaj.

   Porada

   Aby ta akcja działała, wszystkie aktywne certyfikaty liści należące do urzędu certyfikacji muszą już zostać odwołane. Aby uzyskać więcej informacji i kroków, zobacz Odwoływanie certyfikatów aktywnego liścia w tym artykule.

   

8. Po wyświetleniu monitu o potwierdzenie wybierz ponownie pozycję Odwołaj .

   Ważna

   Tej akcji nie można cofnąć.

   Uwaga

   Po odwołaniu urzędu wystawiającego certyfikaty:

   • Nadal odpowiada na żądania CRL i AIA.
   • Nie jest już zaufana jednostkom uzależnionym wykonującym operację łańcucha zaufania.
   • Z listy CRL głównego urzędu certyfikacji wynika, że certyfikat wystawiającego certyfikat urzędu certyfikacji został odwołany.
   • Wszystkie istniejące certyfikaty liści wystawione przez urząd certyfikacji przestają być uwierzytelniane.

9. Wstecz do listy urzędów certyfikacji i wybierz pozycję Odśwież. Następnie zajrzyj do kolumny Stan , aby potwierdzić, że urząd wystawiający certyfikaty został odwołany.

   

10. Wybierz odwołany urząd certyfikacji, aby ponownie otworzyć wszystkie dostępne opcje.

11. Opcja usunięcia urzędu certyfikacji powinna być teraz dostępna. Wybierz pozycję Usuń, aby usunąć urząd certyfikacji z Microsoft Intune.

    

12. Po wyświetleniu monitu o potwierdzenie wybierz ponownie pozycję Usuń .

    Ważna

    Tej akcji nie można cofnąć.

13. Wstecz do listy urzędów certyfikacji i wybierz pozycję Odśwież. Upewnij się, że urząd wystawiający certyfikaty nie jest już wyświetlany na liście.

Usuwanie głównego urzędu certyfikacji

Trwale usuń główny urząd certyfikacji z Microsoft Intune.

Porada

Przed usunięciem głównego urzędu certyfikacji usuń wszystkie zakotwiczone urzędy certyfikacji wystawiające certyfikaty.

1. Przejdź do obszaru Administracja> dzierżawą PKI w chmurze.

2. Wybierz główny urząd certyfikacji z listy dostępnych urzędów certyfikacji. Wybranie urzędu certyfikacji powoduje otwarcie dostępnych akcji.

   

3. Wybierz pozycję Usuń, aby usunąć urząd certyfikacji z Microsoft Intune.

   

4. Po wyświetleniu monitu o potwierdzenie wybierz ponownie pozycję Usuń .

   Ważna

   Tej akcji nie można cofnąć.

5. Wstecz do listy urzędów certyfikacji i wybierz pozycję Odśwież. Upewnij się, że główny urząd certyfikacji nie jest już wyświetlany na liście.

Odwoływanie aktywnych certyfikatów liści

Podczas próby odwołania urzędu wystawiającego certyfikaty należy najpierw odwołać wszystkie certyfikaty aktywnego liścia. Możesz odwołać jeden certyfikat liścia jednocześnie z urzędu wystawiającego certyfikaty lub zbiorczo odwołać certyfikaty liści.

Odwoływanie certyfikatu liścia

1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Administracja> dzierżawą PKI w chmurze.
2. Wybierz urząd wystawiający certyfikaty.
3. Wybierz pozycję Wyświetl wszystkie certyfikaty.
4. Wybierz certyfikat aktywnego liścia, a następnie wybierz pozycję Odwołaj. Powtórz ten krok dla każdego pozostałego certyfikatu liścia.

Odwoływanie wszystkich certyfikatów liści

Przykładowy skrypt programu PowerShell w tej sekcji umożliwia odwołanie wszystkich certyfikatów liści należących do urzędu certyfikacji. Skrypt pobiera informacje z dzierżawy Microsoft Intune o PKI w chmurze firmy Microsoft i odwołuje certyfikaty liścia dla urzędu wystawiającego certyfikaty w dzierżawie.

• Skrypt pobiera wszystkie certyfikaty liścia i wykonuje akcję odwołania dla każdego z nich.
• Skrypt monituje Użytkownika jako administratora o potwierdzenie, że chcesz odwołać wszystkie certyfikaty liści.
• Skrypt ma opcjonalną konfigurację, którą można dołączyć, która wysyła monit o potwierdzenie dla każdego certyfikatu. Sekcja w skryptze została w przykładzie oznaczona komentarzem, więc dodaj ją ponownie, jeśli chcesz uruchomić tę część.

Ważna

Użyj tego skryptu z ostrożnością. Nie można cofnąć akcji odwołania dla żadnego z certyfikatów liścia.

• Przejrzyj przykładowy skrypt przed uruchomieniem go, aby lepiej zrozumieć jego działanie i zastanowić się, jak wpływa on na dzierżawę.
• Najpierw uruchom przykładowy skrypt na koncie dzierżawy nieprodukcyjnym lub testowym.

Skrypt instaluje moduł Microsoft Graph PowerShell Microsoft.Graph. Urządzenie z uruchomionym skryptem musi mieć uprawnienia administracyjne do pomyślnej instalacji modułu.

Polecenie Connect-MgGraph musi zostać wydane przez administratora, który ma uprawnienia do odwoływania certyfikatów liścia w urzędzie wystawiającym certyfikaty.

Identyfikator urzędu certyfikacji jest wymagany do uruchomienia skryptu. Aby znaleźć te informacje w centrum administracyjnym:

1. Przejdź do obszaru Administracja> dzierżawą PKI w chmurze.

2. Wybierz urząd wystawiający certyfikaty.

3. Przyjrzyj się adresowi URL przeglądarki, aby znaleźć identyfikator urzędu certyfikacji. Hipnotyzowany ciąg alfanumeryczny na końcu adresu URL to identyfikator urzędu certyfikacji. Na przykład w następującym adresie URL identyfikator urzędu certyfikacji to f12345-acf1-12ab-1b2a-1a1234567a89:

   https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Przykładowy skrypt

Uruchom przykładowy skrypt programu PowerShell z administracyjnej stacji roboczej. Aby go uruchomić, musisz mieć następujące uprawnienia Intune:

• Odczytywanie urzędów certyfikacji
• Odwoływanie wystawionych certyfikatów liści

 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}