Поделиться через

Настройка центров сертификации для проверки подлинности на основе сертификатов Microsoft Entra

  • Статья

Лучший способ настройки центров сертификации (ЦС) — это хранилище доверия на основе PKI (предварительная версия). Вы можете делегировать конфигурацию с хранилищем доверия на основе PKI наименее привилегированным ролям. Дополнительные сведения см. в шаге 1. Настройка центров сертификации с помощью хранилища доверия на основе PKI (предварительная версия).

В качестве альтернативы глобальный администратор может выполнить действия, описанные в этом разделе, чтобы настроить центры сертификации с помощью Центра администрирования Microsoft Entra или REST API Microsoft Graph и поддерживаемых пакетов sdk для разработки программного обеспечения (SDK), таких как Microsoft Graph PowerShell. Инфраструктура инфраструктуры открытых ключей (PKI) или администратор PKI должны иметь возможность предоставить список выдаваемых ЦС.

Чтобы убедиться, что все ЦС настроены, откройте сертификат пользователя и перейдите на вкладку "Путь сертификации". Убедитесь, что каждый ЦС не будет отправлен в хранилище доверия идентификаторов Microsoft Entra ID. Проверка подлинности на основе сертификатов (CBA) в Microsoft Entra завершается ошибкой, если отсутствуют ЦС.

Настройка центров сертификации с помощью Центра администрирования Microsoft Entra

Чтобы настроить центры сертификации для включения CBA в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Перейдите к >>центрам сертификации центра безопасности (или оценки безопасности удостоверений). >

  3. Чтобы отправить ЦС, нажмите кнопку "Отправить":

    1. Выберите файл ЦС.

    2. Выберите Да, если ЦС является корневым сертификатом, в противном случае выберите Нет.

    3. Для URL-адреса списка отзыва сертификатов задайте URL-адрес, доступный в Интернете, для базового списка отзыва сертификатов ЦС, который содержит все отозванные сертификаты. Если URL-адрес не задан, проверка подлинности с отозванными сертификатами не завершается ошибкой.

    4. Для URL-адреса списка отзыва разностных сертификатов задайте URL-адрес для списка отзыва сертификатов в Интернете, содержащий все отозванные сертификаты с момента публикации последнего базового списка отзыва сертификатов.

    5. Выберите Добавить.

      Снимок экрана: отправка файла центра сертификации.

  4. Чтобы удалить сертификат ЦС, выберите сертификат и нажмите кнопку "Удалить".

  5. Выберите столбцы для добавления или удаления столбцов.

Примечание.

Отправка нового ЦС завершается ошибкой, если истек срок действия существующего ЦС. Необходимо удалить любой просроченный ЦС и повторить попытку отправки нового ЦС.

Для управления этой функцией требуется глобальный администратор .

Настройка центров сертификации (ЦС) с помощью PowerShell

Поддерживается только одна точка распространения из списка отзыва сертификатов (CDP) для доверенного центра сертификации. CDP может быть представлена только URL-адресами с протоколом HTTP. URL-адреса протокола OCSP или протокола LDAP не поддерживаются.

Чтобы настроить центры сертификации в идентификаторе Microsoft Entra, для каждого центра сертификации отправьте следующее:

  • открытую часть сертификата в формате CER ;
  • URL-адреса для Интернета, по которым находятся списки отзыва сертификатов (CRL).

Схема для центра сертификации выглядит следующим образом:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Для настройки можно использовать Microsoft Graph PowerShell:

  1. Запустите Windows PowerShell с правами администратора.

  2. Установите Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

В качестве первого шага настройки необходимо установить подключение к клиенту. Когда будет установлено подключение к клиенту, вы сможете просмотреть, добавить, удалить или изменить доверенные центры сертификации, определенные в каталоге.

Connect

Чтобы установить подключение к клиенту, используйте Connect-MgGraph:

    Connect-MgGraph

Retrieve

Чтобы получить доверенные центры сертификации, определенные в каталоге, используйте Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Добавить

Примечание.

Отправка новых ЦС завершится ошибкой при истечении срока действия любого из существующих ЦС. Администратор клиента должен удалить просроченные ЦС и отправить новый ЦС.

Выполните описанные выше действия, чтобы добавить ЦС в Центр администрирования Microsoft Entra.

AuthorityType

  • Использование 0 для указания корневого центра сертификации
  • Используйте 1, чтобы указать промежуточный или выдавающий центр сертификации

crlDistributionPoint

Скачайте CRL и сравните сертификат ЦС и сведения о CRL. Убедитесь, что значение crlDistributionPoint в предыдущем примере PowerShell допустимо для ЦС, который требуется добавить.

В следующей таблице и рисунке показано, как сопоставить сведения из сертификата ЦС с атрибутами скачаемого списка отзыва сертификатов.

Сведения о сертификате ЦС = Скачанные сведения о списке отзыва сертификатов
Тема = Издатель
Идентификатор ключа субъекта = Идентификатор ключа центра (KeyID)

Сравните сертификат ЦС с сведениями о CRL.

Совет

Значение crlDistributionPoint в предыдущем примере — это http-расположение для списка отзыва сертификатов ЦС (CRL). Это значение можно найти в нескольких местах:

  • В атрибуте точки распространения CRL (CDP) сертификата, выданного цС.

Если выдающий ЦС запускает Windows Server:

  • В свойствах ЦС в консоли управления Центра сертификации (MMC).
  • В ЦС выполните команду certutil -cainfo cdp. Дополнительные сведения см. в разделе certutil.

Дополнительные сведения см. в разделе "Общие сведения о процессе отзыва сертификата".

Настройка центров сертификации с помощью API Microsoft Graph

API Microsoft Graph можно использовать для настройки центров сертификации. Чтобы обновить хранилище доверия Центра сертификации Майкрософт, выполните действия, описанные в командах MSGraph для сертификатаbasedauthconfiguration.

Проверка конфигурации центра сертификации

Убедитесь, что конфигурация позволяет Microsoft Entra CBA:

  • Проверка цепочки доверия ЦС
  • Получение списка отзыва сертификатов (CRL) из настроенной точки распространения центра сертификации (CDP)

Чтобы проверить конфигурацию ЦС, установите модуль PowerShell средств MSIdentity и запустите Test-MsIdCBATrustStoreConfiguration. Этот командлет PowerShell проверяет конфигурацию ЦС клиента Microsoft Entra. Он сообщает об ошибках и предупреждениях для распространенных неправильных конфигураций.

Связанный контент

Настройка проверки подлинности на основе сертификатов Microsoft Entra