Używanie interfejsów API do dodawania urzędów certyfikacji innych firm dla protokołu SCEP w celu Intune
W Microsoft Intune można dodać urzędy certyfikacji innych firm, a te urzędy certyfikacji wystawiają i weryfikują certyfikaty przy użyciu prostego protokołu rejestracji certyfikatów (SCEP). Dodawanie urzędu certyfikacji innej firmy zawiera omówienie tej funkcji i opisuje zadania administratora w Intune.
Istnieją również pewne zadania deweloperskie korzystające z biblioteki open source opublikowanej przez firmę Microsoft w GitHub.com. Biblioteka zawiera interfejs API, który:
- Weryfikuje hasło protokołu SCEP generowane dynamicznie przez Intune
- Powiadamia Intune certyfikatów utworzonych na urządzeniach przesyłających żądania SCEP
Korzystając z tego interfejsu API, serwer SCEP innej firmy integruje się z rozwiązaniem do zarządzania Intune SCEP dla urządzeń MDM. Biblioteka zawiera abstrakcje takie jak uwierzytelnianie, lokalizacja usługi i interfejs API usługi Intune ODATA od użytkowników.
Rozwiązanie do zarządzania SCEP
Za pomocą Intune administratorzy tworzą profile SCEP, a następnie przypisują te profile do urządzeń MDM. Profile protokołu SCEP obejmują parametry, takie jak:
- Adres URL serwera SCEP
- Zaufany certyfikat główny urzędu certyfikacji
- Atrybuty certyfikatu i nie tylko
Urządzenia zaewidencjonowane przy użyciu Intune są przypisane do profilu protokołu SCEP i są skonfigurowane przy użyciu tych parametrów. Dynamicznie wygenerowane hasło wyzwania SCEP jest tworzone przez Intune, a następnie przypisywane do urządzenia.
To wyzwanie zawiera:
- Dynamicznie wygenerowane hasło wyzwania
- Szczegóły dotyczące parametrów oczekiwanych w żądaniu podpisania certyfikatu (CSR), które urządzenie wystawia na serwerze SCEP
- Czas wygaśnięcia wyzwania
Intune szyfruje te informacje, podpisuje zaszyfrowany obiekt blob, a następnie pakuje te szczegóły do hasła wyzwania SCEP.
Urządzenia kontaktujące się z serwerem SCEP w celu zażądania certyfikatu podają to hasło wyzwania SCEP. Serwer SCEP wysyła csr i zaszyfrowane hasło wyzwania SCEP do Intune w celu weryfikacji. To hasło wyzwania i plik CSR muszą przejść weryfikację, aby serwer SCEP wystawił certyfikat na urządzeniu. Po zweryfikowaniu wyzwania SCEP wykonywane są następujące testy:
- Weryfikuje podpis zaszyfrowanego obiektu blob
- Sprawdza, czy wyzwanie nie wygasło
- Sprawdza, czy profil jest nadal przeznaczony dla urządzenia
- Sprawdza, czy właściwości certyfikatu żądane przez urządzenie w pliku CSR są zgodne z oczekiwanymi wartościami
Rozwiązanie do zarządzania SCEP obejmuje również raportowanie. Administrator może uzyskać informacje o stanie wdrożenia profilu protokołu SCEP oraz o certyfikatach wystawionych na urządzeniach.
Integracja z Intune
Kod biblioteki do integracji z Intune SCEP jest dostępny do pobrania w repozytorium GitHub Microsoft/Intune-Resource-Access.
Integracja biblioteki z produktami obejmuje następujące kroki. Te kroki wymagają wiedzy na temat pracy z repozytoriami GitHub oraz tworzenia rozwiązań i projektów w programie Visual Studio.
Zarejestruj się, aby otrzymywać powiadomienia z repozytorium
Klonowanie lub pobieranie repozytorium
Przejdź do implementacji biblioteki, której potrzebujesz w folderze
\src\CsrValidation
(https://github.com/Microsoft/Intune-Resource-Access/tree/develop/src/CsrValidation)Skompiluj bibliotekę przy użyciu instrukcji w pliku README
Uwzględnij bibliotekę w projekcie, który kompiluje serwer SCEP
Wykonaj następujące zadania na serwerze SCEP:
- Zezwalaj administratorowi na skonfigurowanie identyfikatora aplikacja systemu Azure, klucza aplikacja systemu Azure i identyfikatora dzierżawy (w tym artykule), których biblioteka używa do uwierzytelniania. Administratorzy powinni mieć możliwość aktualizowania klucza aplikacja systemu Azure.
- Identyfikowanie żądań SCEP zawierających hasło SCEP wygenerowane przez Intune
- Weryfikowanie haseł protokołu SCEP wygenerowanych przez Intune przy użyciu biblioteki interfejsu API sprawdzania poprawności żądania
- Interfejsy API powiadomień biblioteki umożliwiają powiadamianie Intune o certyfikatach wystawionych dla żądań protokołu SCEP, które mają Intune wygenerowane hasła protokołu SCEP. Powiadamiaj również Intune o błędach, które mogą wystąpić podczas przetwarzania tych żądań protokołu SCEP.
- Upewnij się, że serwer rejestruje wystarczającą ilość informacji, aby ułatwić administratorom rozwiązywanie problemów
Zakończ testowanie integracji (w tym artykule) i rozwiązuj wszelkie problemy
Przekaż klientowi pisemne wskazówki, które objaśniają:
- Jak należy dołączyć serwer SCEP w centrum administracyjnym Microsoft Intune
- Jak uzyskać identyfikator aplikacja systemu Azure i klucz aplikacja systemu Azure potrzebny do skonfigurowania biblioteki
Dołączanie serwera SCEP na platformie Azure
Aby uwierzytelnić się w Intune, serwer SCEP wymaga identyfikatora aplikacja systemu Azure, klucza aplikacja systemu Azure i identyfikatora dzierżawy. Serwer SCEP musi również mieć uprawnienia dostępu do interfejsu API Intune.
Aby uzyskać te dane, administrator serwera SCEP loguje się do Azure Portal, rejestruje aplikację, nadaje aplikacji zarówno uprawnienie weryfikacji Microsoft Intune API\SCEP challenge, jak i uprawnienie Application.Read.All, tworzy klucz dla aplikacji, a następnie pobiera identyfikator aplikacji, jej klucz i identyfikator dzierżawy.
Aby uzyskać wskazówki dotyczące rejestrowania aplikacji i uzyskiwania identyfikatorów i kluczy, zobacz Używanie portalu do tworzenia aplikacji Microsoft Entra i jednostki usługi w celu uzyskania dostępu do zasobów.
Interfejs API biblioteki Języka Java
Biblioteka Java jest implementowana jako projekt Maven, który pobiera zależności po jego utworzeniu. Interfejs API jest implementowany w com.microsoft.intune.scepvalidation
przestrzeni nazw przez klasę IntuneScepServiceClient
.
IntuneScepServiceClient, klasa
Klasa IntuneScepServiceClient
zawiera metody używane przez usługę SCEP do weryfikowania haseł protokołu SCEP, powiadamiania Intune o utworzonych certyfikatach i wyświetlania listy błędów.
Konstruktor IntuneScepServiceClient
Podpis:
IntuneScepServiceClient(
Properties configProperties)
Opis:
Tworzy wystąpienia i konfiguruje IntuneScepServiceClient
obiekt.
Parametry:
- configProperties — obiekt właściwości zawierający informacje o konfiguracji klienta
Konfiguracja musi zawierać następujące właściwości:
- AAD_APP_ID="Identyfikator aplikacja systemu Azure uzyskany podczas procesu dołączania"
- AAD_APP_KEY="Klucz aplikacja systemu Azure uzyskany podczas procesu dołączania"
- TENANT="Identyfikator dzierżawy uzyskany podczas procesu dołączania"
- PROVIDER_NAME_AND_VERSION="Informacje używane do identyfikacji produktu i jego wersji"
Jeśli rozwiązanie wymaga serwera proxy z uwierzytelnianiem lub bez uwierzytelniania, możesz dodać następujące właściwości:
- PROXY_HOST="Host jest hostowany na serwerze proxy".
- PROXY_PORT="Port, na który nasłuchuje serwer proxy".
- PROXY_USER="Nazwa użytkownika używana, jeśli serwer proxy używa uwierzytelniania podstawowego".
- PROXY_PASS="Hasło do użycia, jeśli serwer proxy używa uwierzytelniania podstawowego".
Rzuty:
- IllegalArgumentException — zgłaszany, jeśli konstruktor jest wykonywany bez odpowiedniego obiektu właściwości.
Ważna
Najlepiej utworzyć wystąpienie tej klasy i użyć go do przetwarzania wielu żądań SCEP. Zmniejsza to obciążenie, ponieważ buforuje tokeny uwierzytelniania i informacje o lokalizacji usługi.
Informacje o zabezpieczeniach
Implementator serwera SCEP musi chronić dane wprowadzone we właściwościach konfiguracji utrwalonych w magazynie przed naruszeniami i ujawnieniem. Zaleca się użycie odpowiednich list ACL i szyfrowania w celu zabezpieczenia informacji.
ValidateRequest, metoda
Podpis:
void ValidateRequest(
String transactionId,
String certificateRequest)
Opis:
Weryfikuje żądanie certyfikatu SCEP.
Parametry:
- transactionId — identyfikator transakcji SCEP
- certificateRequest — kodowany przez der PKCS #10 żądanie certyfikatu Base64 zakodowane jako ciąg
Rzuty:
- IllegalArgumentException — zgłaszany w przypadku wywołania z nieprawidłowym parametrem
- IntuneScepServiceException — zgłaszany, jeśli okaże się, że żądanie certyfikatu jest nieprawidłowe
- Wyjątek — zgłaszany w przypadku napotkania niezau oczekiwanego błędu
Ważna
Wyjątki zgłaszane przez tę metodę powinny być rejestrowane przez serwer. Należy pamiętać IntuneScepServiceException
, że właściwości zawierają szczegółowe informacje o tym, dlaczego weryfikacja żądania certyfikatu nie powiodła się.
Uwagi dotyczące zabezpieczeń:
- Jeśli ta metoda zgłasza wyjątek, serwer SCEP nie może wystawiać certyfikatu klientowi.
- Błędy sprawdzania poprawności żądania certyfikatu protokołu SCEP mogą wskazywać na problem w infrastrukturze Intune. Mogą też wskazywać, że osoba atakująca próbuje uzyskać certyfikat.
SendSuccessNotification, metoda
Podpis:
void SendSuccessNotification(
String transactionId,
String certificateRequest,
String certThumbprint,
String certSerialNumber,
String certExpirationDate,
String certIssuingAuthority)
Opis:
Powiadamia Intune, że certyfikat jest tworzony w ramach przetwarzania żądania SCEP.
Parametry:
- transactionId — identyfikator transakcji SCEP
- certificateRequest — kodowany przez der PKCS #10 żądanie certyfikatu Base64 zakodowane jako ciąg
- certThumprint — skrót SHA1 odcisku palca aprowizowanego certyfikatu
- certSerialNumber — numer seryjny aprowizowanego certyfikatu
- certExpirationDate — data wygaśnięcia aprowizowanego certyfikatu. Ciąg daty i godziny powinien być sformatowany jako internetowy czas UTC (RRRR-MM-DDThh:mm:ss.sssTZD) ISO 8601.
- certIssuingAuthority — nazwa urzędu, który wystawił certyfikat
Rzuty:
- IllegalArgumentException — zgłaszany w przypadku wywołania z nieprawidłowym parametrem
- IntuneScepServiceException — zgłaszany, jeśli okaże się, że żądanie certyfikatu jest nieprawidłowe
- Wyjątek — zgłaszany w przypadku napotkania niezau oczekiwanego błędu
Ważna
Wyjątki zgłaszane przez tę metodę powinny być rejestrowane przez serwer. Należy pamiętać IntuneScepServiceException
, że właściwości zawierają szczegółowe informacje o tym, dlaczego weryfikacja żądania certyfikatu nie powiodła się.
Uwagi dotyczące zabezpieczeń:
- Jeśli ta metoda zgłasza wyjątek, serwer SCEP nie może wystawiać certyfikatu klientowi.
- Błędy sprawdzania poprawności żądania certyfikatu protokołu SCEP mogą wskazywać na problem w infrastrukturze Intune. Mogą też wskazywać, że osoba atakująca próbuje uzyskać certyfikat.
SendFailureNotification, metoda
Podpis:
void SendFailureNotification(
String transactionId,
String certificateRequest,
long hResult,
String errorDescription)
Opis:
Powiadamia Intune, że wystąpił błąd podczas przetwarzania żądania SCEP. Ta metoda nie powinna być wywoływana w przypadku wyjątków zgłaszanych przez metody tej klasy.
Parametry:
- transactionId — identyfikator transakcji SCEP
- certificateRequest — kodowany przez der PKCS #10 żądanie certyfikatu Base64 zakodowane jako ciąg
- hResult — kod błędu Win32, który najlepiej opisuje napotkany błąd. Zobacz Kody błędów Win32
- errorDescription — opis napotkanego błędu
Rzuty:
- IllegalArgumentException — zgłaszany w przypadku wywołania z nieprawidłowym parametrem
- IntuneScepServiceException — zgłaszany, jeśli okaże się, że żądanie certyfikatu jest nieprawidłowe
- Wyjątek — zgłaszany w przypadku napotkania niezau oczekiwanego błędu
Ważna
Wyjątki zgłaszane przez tę metodę powinny być rejestrowane przez serwer. Należy pamiętać IntuneScepServiceException
, że właściwości zawierają szczegółowe informacje o tym, dlaczego weryfikacja żądania certyfikatu nie powiodła się.
Uwagi dotyczące zabezpieczeń:
- Jeśli ta metoda zgłasza wyjątek, serwer SCEP nie może wystawiać certyfikatu klientowi.
- Błędy sprawdzania poprawności żądania certyfikatu protokołu SCEP mogą wskazywać na problem w infrastrukturze Intune. Mogą też wskazywać, że osoba atakująca próbuje uzyskać certyfikat.
SetSslSocketFactory, metoda
Podpis:
void SetSslSocketFactory(
SSLSocketFactory factory)
Opis:
Ta metoda służy do informowania klienta, że podczas komunikacji z Intune musi używać określonej fabryki gniazd SSL (zamiast domyślnej).
Parametry:
- factory — fabryka gniazd SSL, która powinna być używana przez klienta na potrzeby żądań HTTPS
Rzuty:
- IllegalArgumentException — zgłaszany w przypadku wywołania z nieprawidłowym parametrem
Uwaga
Fabrykę gniazd SSL należy ustawić, jeśli jest to wymagane przed wykonaniem innych metod tej klasy.
Testowanie integracji
Weryfikowanie i testowanie, czy rozwiązanie jest prawidłowo zintegrowane z Intune, jest koniecznością. Poniżej przedstawiono omówienie kroków:
- Konfigurowanie konta wersji próbnej Intune.
- Dołącz serwer SCEP do Azure Portal (w tym artykule).
- Skonfiguruj serwer SCEP przy użyciu identyfikatorów i klucza utworzonych podczas dołączania serwera SCEP.
- Rejestrowanie urządzeń w celu przetestowania scenariuszy w macierzy testowania scenariuszy.
- Utwórz profil zaufanego certyfikatu głównego dla testowego urzędu certyfikacji.
- Utwórz profile protokołu SCEP, aby przetestować scenariusze wymienione w macierzy testowania scenariuszy.
- Przypisz profile do użytkowników , którzy zarejestrowali swoje urządzenia.
- Poczekaj na synchronizację urządzeń z Intune. Możesz też ręcznie zsynchronizować urządzenia.
- Upewnij się, że profile zaufanego certyfikatu głównego i protokołu SCEP są wdrażane na urządzeniach.
- Upewnij się, że zaufany certyfikat główny jest zainstalowany na wszystkich urządzeniach.
- Upewnij się, że certyfikaty SCEP dla przypisanych profilów są zainstalowane na wszystkich urządzeniach.
- Upewnij się, że właściwości zainstalowanych certyfikatów są zgodne z właściwościami ustawionymi w profilu protokołu SCEP.
- Upewnij się, że wystawione certyfikaty są poprawnie wymienione w centrum administracyjnym Intune
Zobacz też
- Omówienie dodawania urzędu certyfikacji innej firmy
- Intune konfiguracji
- Rejestrowanie urządzeń
- Konfigurowanie profilów certyfikatów SCEP (konfiguracja serwera usługi Microsoft NDES\łącznika nie jest używana w tym scenariuszu)