Partilhar via

Como configurar autoridades de certificação para autenticação baseada em certificado do Microsoft Entra

  • Artigo

A melhor maneira de configurar as autoridades de certificação (CAs) é com o armazenamento confiável baseado em PKI (Visualização). Você pode delegar a configuração com um armazenamento confiável baseado em PKI para funções menos privilegiadas. Para obter mais informações, consulte Etapa 1: Configurar as autoridades de certificação com armazenamento confiável baseado em PKI (Visualização).

Como alternativa, um Administrador Global pode seguir as etapas neste tópico para configurar CAs usando o centro de administração do Microsoft Entra ou APIs REST do Microsoft Graph e os SDKs (kits de desenvolvimento de software) suportados, como o Microsoft Graph PowerShell. A infraestrutura de infraestrutura de chave pública (PKI) ou o administrador de PKI deve ser capaz de fornecer a lista de autoridades de certificação emissoras.

Para se certificar de que configurou todas as ACs, abra o certificado do utilizador e clique no separador Caminho de certificação. Certifique-se de que todas as autoridades de certificação até que a raiz seja carregada no armazenamento confiável de ID do Microsoft Entra. A autenticação baseada em certificado (CBA) do Microsoft Entra falhará se houver CAs ausentes.

Configurar autoridades de certificação usando o centro de administração do Microsoft Entra

Para configurar as autoridades de certificação para habilitar o CBA no centro de administração do Microsoft Entra, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Navegue até Proteção>Mostrar mais>Autoridades de certificação da Central de Segurança (ou Pontuação Segura de Identidade). >

  3. Para carregar uma autoridade de certificação, selecione Carregar:

    1. Selecione o arquivo CA.

    2. Selecione Sim se a autoridade de certificação for um certificado raiz, caso contrário, selecione Não.

    3. Para URL da Lista de Revogação de Certificados, defina a URL voltada para a Internet para a CRL base da autoridade de certificação que contém todos os certificados revogados. Se o URL não estiver definido, a autenticação com certificados revogados não falhará.

    4. Para URL da Lista de Revogação de Certificados Delta, defina a URL voltada para a Internet para a CRL que contém todos os certificados revogados desde que a última CRL base foi publicada.

    5. Selecione Adicionar.

      Captura de tela de como carregar o arquivo da autoridade de certificação.

  4. Para excluir um certificado de autoridade de certificação, selecione o certificado e selecione Excluir.

  5. Selecione Colunas para adicionar ou excluir colunas.

Nota

O carregamento de uma nova autoridade de certificação falhará se alguma autoridade de certificação existente expirar. Você deve excluir qualquer autoridade de certificação expirada e tentar carregar novamente a nova autoridade de certificação.

É necessário um Administrador Global para gerir esta funcionalidade.

Configurar autoridades de certificação (CA) usando o PowerShell

Apenas um ponto de distribuição de CRL (CDP) para uma autoridade de certificação confiável é suportado. A CDP só pode ser HTTP URLs. Não há suporte para URLs OCSP (Online Certificate Status Protocol) ou LDAP (Lightweight Directory Access Protocol).

Para configurar suas autoridades de certificação no Microsoft Entra ID, para cada autoridade de certificação, carregue o seguinte:

  • A parte pública do certificado, em formato .cer
  • As URLs voltadas para a Internet onde residem as Listas de Revogação de Certificados (CRLs)

O esquema para uma autoridade de certificação tem a seguinte aparência:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Para a configuração, você pode usar o Microsoft Graph PowerShell:

  1. Inicie o Windows PowerShell com privilégios de administrador.

  2. Instale o Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Como primeira etapa de configuração, você precisa estabelecer uma conexão com seu locatário. Assim que existir uma conexão com seu locatário, você poderá revisar, adicionar, excluir e modificar as autoridades de certificação confiáveis definidas em seu diretório.

Ligar

Para estabelecer uma conexão com seu locatário, use o Connect-MgGraph:

    Connect-MgGraph

Retrieve

Para recuperar as autoridades de certificação confiáveis definidas em seu diretório, use Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Adicionar

Nota

O carregamento de novas autoridades de certificação falhará quando qualquer uma das autoridades de certificação existentes expirar. O administrador do locatário deve excluir as autoridades de certificação expiradas e, em seguida, carregar a nova autoridade de certificação.

Siga as etapas anteriores para adicionar uma autoridade de certificação no centro de administração do Microsoft Entra.

Tipo de Autoridade

  • Use 0 para indicar uma autoridade de certificação raiz
  • Use 1 para indicar uma autoridade de certificação intermediária ou emissora

crlDistributionPoint

Faça o download da CRL e compare o certificado da autoridade de certificação e as informações da CRL. Verifique se o valor crlDistributionPoint no exemplo do PowerShell anterior é válido para a autoridade de certificação que você deseja adicionar.

A tabela e o gráfico a seguir mostram como mapear informações do certificado da autoridade de certificação para os atributos da CRL baixada.

Informações sobre o certificado da autoridade de certificação = Informações da CRL baixadas
Assunto = Emissor
Identificador de Chave do Requerente = Identificador de chave de autoridade (KeyID)

Compare o certificado da autoridade de certificação com as informações da CRL.

Gorjeta

O valor de crlDistributionPoint no exemplo anterior é o local http da CRL (Lista de Revogação de Certificados) da CA. Este valor pode ser encontrado em alguns lugares:

  • No atributo CDP (Ponto de Distribuição de CRL) de um certificado emitido pela autoridade de certificação.

Se a autoridade de certificação emissora executar o Windows Server:

  • Nas Propriedades da autoridade de certificação no Console de Gerenciamento Microsoft (MMC) da autoridade de certificação.
  • Na AC executando certutil -cainfo cdp. Para obter mais informações, consulte certutil.

Para obter mais informações, consulte Noções básicas sobre o processo de revogação de certificados.

Configurar autoridades de certificação usando as APIs do Microsoft Graph

As APIs do Microsoft Graph podem ser usadas para configurar autoridades de certificação. Para atualizar o armazenamento confiável da Autoridade de Certificação do Microsoft Entra, siga as etapas em comandos certificatebasedauthconfiguration MSGraph.

Validar a configuração da Autoridade de Certificação

Verifique se a configuração permite que o Microsoft Entra CBA:

  • Validar a cadeia de confiança da autoridade de certificação
  • Obtenha a lista de revogação de certificados (CRL) do CDP (ponto de distribuição de CRL) da autoridade de certificação configurado

Para validar a configuração da autoridade de certificação, instale o módulo PowerShell do MSIdentity Tools e execute Test-MsIdCBATrustStoreConfiguration. Este cmdlet do PowerShell analisa a configuração da CA do locatário do Microsoft Entra. Ele relata erros e avisos para configurações incorretas comuns.

Conteúdos relacionados

Como configurar a autenticação baseada em certificado do Microsoft Entra