Usuwanie urzędu certyfikacji infrastruktury kluczy publicznych w chmurze firmy Microsoft
Usuń urząd wystawiający certyfikaty i główny urząd certyfikacji z usługi Microsoft Cloud PKI w usłudze Microsoft Intune. W centrum administracyjnym usługi Microsoft Intune możesz użyć następujących akcji, aby zarządzać urzędami certyfikacji w dzierżawie:
- Wstrzymaj urząd certyfikacji — wstrzymaj urząd certyfikacji, aby zatrzymać jego użycie.
- Odwołaj urząd certyfikacji — odwołaj wszystkie aktywne certyfikaty liści, a następnie odwołaj urząd certyfikacji.
- Usuń urząd certyfikacji — usuń i usuń urząd certyfikacji z usługi Microsoft Intune.
Nie można usunąć głównego urzędu certyfikacji, dopóki nie zostaną usunięte wszystkie zakotwiczone urzędy certyfikacji wystawiające certyfikaty. Jeśli zmienisz zdanie po wstrzymaniu urzędu certyfikacji, możesz go usunąć, aby wznowić korzystanie. Jednak odwoływanie i usuwanie urzędu certyfikacji to trwałe akcje, których nie można cofnąć.
W tym artykule opisano sposób usuwania urzędu wystawiającego certyfikaty i głównego urzędu certyfikacji z usługi Microsoft Intune przy użyciu dostępnych akcji w centrum administracyjnym.
Wymagania dotyczące dostępu opartego na rolach
Te role administratora mogą usuwać urzędy certyfikacji w centrum administracyjnym usługi Microsoft Intune:
- Administrator usługi Intune, wbudowana rola usługi Microsoft Entra
- Niestandardowa rola usługi Intune, przypisana do następujących uprawnień usługi Intune:
- Odczytywanie urzędów certyfikacji
- Wyłączanie i ponowne włączanie urzędów certyfikacji
- Odwoływanie wystawionych certyfikatów liści
Usuwanie urzędu wystawiającego certyfikaty
Trwale usuń urząd wystawiający certyfikaty z usługi Microsoft Intune. Jeśli próbujesz usunąć główny urząd certyfikacji, najpierw wykonaj te kroki, aby usunąć zakotwiczony urząd wystawiający certyfikaty.
Przejdź do pozycji Administracja >dzierżawąInfrastruktura kluczy publicznych w chmurze.
Wybierz aktywny urząd wystawiający certyfikaty z listy dostępnych urzędów certyfikacji. Wybranie urzędu certyfikacji powoduje otwarcie dostępnych akcji.
Wybierz pozycję Wstrzymaj.
Po wyświetleniu monitu o potwierdzenie wybierz pozycję Wstrzymaj ponownie.
Uwaga
Po wstrzymaniu wystawiającego urzędu certyfikacji:
- Nie może wystawiać certyfikatów liści.
- Nadal odpowiada na żądania listy odwołania certyfikatów (CRL) i żądania AIA.
Wróć do listy urzędów certyfikacji i wybierz pozycję Odśwież. Następnie przejrzyj kolumnę Stan , aby potwierdzić wstrzymanie wystawiającego urzędu certyfikacji.
Wybierz wstrzymany urząd certyfikacji, aby ponownie otworzyć wszystkie dostępne opcje. Zostaną wyświetlone dwie nowe opcje:
- Wznów: ta opcja powoduje odpieczętowanie urzędu certyfikacji i ponowne uaktywnienie go.
- Odwołaj: ta opcja odwołuje urząd wystawiający certyfikaty.
Wybierz pozycję Odwołaj.
Porada
Aby ta akcja działała, wszystkie aktywne certyfikaty liści należące do urzędu certyfikacji muszą już zostać odwołane. Aby uzyskać więcej informacji i kroków, zobacz Odwoływanie certyfikatów aktywnego liścia w tym artykule.
Po wyświetleniu monitu o potwierdzenie wybierz ponownie pozycję Odwołaj .
Ważna
Tej akcji nie można cofnąć.
Uwaga
Po odwołaniu urzędu wystawiającego certyfikaty:
- Nadal odpowiada na żądania CRL i AIA.
- Nie jest już zaufana jednostkom uzależnionym wykonującym operację łańcucha zaufania.
- Z listy CRL głównego urzędu certyfikacji wynika, że certyfikat wystawiającego certyfikat urzędu certyfikacji został odwołany.
- Wszystkie istniejące certyfikaty liści wystawione przez urząd certyfikacji przestają być uwierzytelniane.
Wróć do listy urzędów certyfikacji i wybierz pozycję Odśwież. Następnie zajrzyj do kolumny Stan , aby potwierdzić, że urząd wystawiający certyfikaty został odwołany.
Wybierz odwołany urząd certyfikacji, aby ponownie otworzyć wszystkie dostępne opcje.
Opcja usunięcia urzędu certyfikacji powinna być teraz dostępna. Wybierz pozycję Usuń , aby usunąć urząd certyfikacji z usługi Microsoft Intune.
Po wyświetleniu monitu o potwierdzenie wybierz ponownie pozycję Usuń .
Ważna
Tej akcji nie można cofnąć.
Wróć do listy urzędów certyfikacji i wybierz pozycję Odśwież. Upewnij się, że urząd wystawiający certyfikaty nie jest już wyświetlany na liście.
Usuwanie głównego urzędu certyfikacji
Trwale usuń główny urząd certyfikacji z usługi Microsoft Intune.
Porada
Przed usunięciem głównego urzędu certyfikacji usuń wszystkie zakotwiczone urzędy certyfikacji wystawiające certyfikaty.
Przejdź do pozycji Administracja >dzierżawąInfrastruktura kluczy publicznych w chmurze.
Wybierz główny urząd certyfikacji z listy dostępnych urzędów certyfikacji. Wybranie urzędu certyfikacji powoduje otwarcie dostępnych akcji.
Wybierz pozycję Usuń , aby usunąć urząd certyfikacji z usługi Microsoft Intune.
Po wyświetleniu monitu o potwierdzenie wybierz ponownie pozycję Usuń .
Ważna
Tej akcji nie można cofnąć.
Wróć do listy urzędów certyfikacji i wybierz pozycję Odśwież. Upewnij się, że główny urząd certyfikacji nie jest już wyświetlany na liście.
Odwoływanie aktywnych certyfikatów liści
Podczas próby odwołania urzędu wystawiającego certyfikaty należy najpierw odwołać wszystkie certyfikaty aktywnego liścia. Możesz odwołać jeden certyfikat liścia jednocześnie z urzędu wystawiającego certyfikaty lub zbiorczo odwołać certyfikaty liści.
Odwoływanie certyfikatu liścia
- W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Administracja >dzierżawąInfrastruktura kluczy publicznych w chmurze.
- Wybierz urząd wystawiający certyfikaty.
- Wybierz pozycję Wyświetl wszystkie certyfikaty.
- Wybierz certyfikat aktywnego liścia, a następnie wybierz pozycję Odwołaj. Powtórz ten krok dla każdego pozostałego certyfikatu liścia.
Odwoływanie wszystkich certyfikatów liści
Przykładowy skrypt programu PowerShell w tej sekcji umożliwia odwołanie wszystkich certyfikatów liści należących do urzędu certyfikacji. Skrypt pobiera informacje z dzierżawy usługi Microsoft Intune dotyczące infrastruktury PKI w chmurze firmy Microsoft i odwołuje certyfikaty liści dla urzędu wystawiającego certyfikaty w dzierżawie.
- Skrypt pobiera wszystkie certyfikaty liścia i wykonuje akcję odwołania dla każdego z nich.
- Skrypt monituje Użytkownika jako administratora o potwierdzenie, że chcesz odwołać wszystkie certyfikaty liści.
- Skrypt ma opcjonalną konfigurację, którą można dołączyć, która wysyła monit o potwierdzenie dla każdego certyfikatu. Sekcja w skryptze została w przykładzie oznaczona komentarzem, więc dodaj ją ponownie, jeśli chcesz uruchomić tę część.
Ważna
Użyj tego skryptu z ostrożnością. Nie można cofnąć akcji odwołania dla żadnego z certyfikatów liścia.
- Przejrzyj przykładowy skrypt przed uruchomieniem go, aby lepiej zrozumieć jego działanie i zastanowić się, jak wpływa on na dzierżawę.
- Najpierw uruchom przykładowy skrypt na koncie dzierżawy nieprodukcyjnym lub testowym.
Skrypt instaluje moduł Microsoft Graph PowerShell Microsoft.Graph. Urządzenie z uruchomionym skryptem musi mieć uprawnienia administracyjne do pomyślnej instalacji modułu.
Polecenie Connect-MgGraph musi zostać wydane przez administratora, który ma uprawnienia do odwoływania certyfikatów liścia w urzędzie wystawiającym certyfikaty.
Identyfikator urzędu certyfikacji jest wymagany do uruchomienia skryptu. Aby znaleźć te informacje w centrum administracyjnym:
Przejdź do pozycji Administracja >dzierżawąInfrastruktura kluczy publicznych w chmurze.
Wybierz urząd wystawiający certyfikaty.
Przyjrzyj się adresowi URL przeglądarki, aby znaleźć identyfikator urzędu certyfikacji. Hipnotyzowany ciąg alfanumeryczny na końcu adresu URL to identyfikator urzędu certyfikacji. Na przykład w następującym adresie URL identyfikator urzędu certyfikacji to f12345-acf1-12ab-1b2a-1a1234567a89:
https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89
Przykładowy skrypt
Uruchom przykładowy skrypt programu PowerShell z administracyjnej stacji roboczej. Aby go uruchomić, musisz mieć następujące uprawnienia usługi Intune:
- Odczytywanie urzędów certyfikacji
- Odwoływanie wystawionych certyfikatów liści
param (
[string]$caId = $(Read-Host "Input CaId")
)
Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"
Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"
### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"
# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")
if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
Write-Host "Aborted"
Stop-Transcript
exit
}
# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
Write-Host ""
if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping"
continue
}
Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)"
# Uncomment next five lines to prompt for each cert
# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
# Write-Host "Skipping"
# continue
# }
$currentCertId = $($leafCert.id)
$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }
Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}