Ta bort Microsoft Cloud PKI-certifikatutfärdare

Ta bort en utfärdare och rotcertifikatutfärdare (CA) från Microsoft Cloud PKI-tjänsten i Microsoft Intune. Du kan använda följande åtgärder i administrationscentret för Microsoft Intune för att hantera certifikatutfärdare (CA) i din klientorganisation:

• Pausa CA – Pausa ca:en för att stoppa användningen av den.
• Återkalla certifikatutfärdare – Återkalla alla aktiva lövcertifikat och återkalla sedan certifikatutfärdare.
• Ta bort CERTIFIKAT : Ta bort och ta bort certifikatet från Microsoft Intune.

En rotcertifikatutfärdare kan inte tas bort förrän alla förankrade utfärdande certifikatutfärdare har tagits bort. Om du ändrar dig när du pausar en certifikatfärdare kan du avbryta den för att återuppta användningen. Att återkalla och ta bort en certifikatfärdare är dock permanenta åtgärder och kan inte ångras.

Den här artikeln beskriver hur du tar bort en utfärdande certifikatutfärdare och rotcertifikatutfärdare från Microsoft Intune med hjälp av tillgängliga åtgärder i administrationscentret.

Rollbaserade åtkomstkrav

Dessa administratörsroller kan ta bort certifikatutfärdare i administrationscentret för Microsoft Intune:

• Intune-administratör, en inbyggd Microsoft Entra-roll
• Anpassad Intune-roll, tilldelad följande Intune-behörigheter:
  • Läs certifikatutfärdare
  • Inaktivera och återaktivera certifikatutfärdare
  • Återkalla utfärdade lövcertifikat

Ta bort utfärdande certifikatutfärdaradress

Ta bort en utfärdande certifikatutfärdaradress permanent från Microsoft Intune. Om du försöker ta bort en rotcertifikatutfärdare utför du de här stegen först för att ta bort den utfärdande certifikatutfärdare som är fäst vid den.

1. Gå till Administration av klientorganisation>Cloud PKI.

2. Välj en aktiv utfärdande certifikatutfärdare i listan över tillgängliga certifikatutfärdare. Om du väljer en certifikatfärdare öppnas dess tillgängliga åtgärder.

3. Välj Pausa.

   

4. Välj Pausa igen när du uppmanas att bekräfta.

   Obs!

   När du har pausar en utfärdande certifikatutfärdarorganisation:

   • Det kan inte utfärda lövcertifikat.
   • Den svarar fortfarande på begäranden om återkallade certifikat (CRL) och AIA-begäranden.

5. Gå tillbaka till listan över certifikatutfärdare och välj Uppdatera. Titta sedan under kolumnen Status för att bekräfta att den utfärdande certifikatutfärdaren har pausats.

   

6. Välj den pausade ca:en för att öppna alla tillgängliga alternativ igen. Två nya alternativ visas:

   • Återuppta: Det här alternativet pausar ca:en och gör den aktiv igen.
   • Återkalla: Det här alternativet återkallar den utfärdande certifikatutfärdare.

7. Välj Återkalla.

   Tips

   För att den här åtgärden ska fungera måste alla aktiva lövcertifikat som tillhör certifikatutfärdare redan återkallas. Mer information och steg finns i Återkalla aktiva lövcertifikat i den här artikeln.

   

8. Välj Återkalla igen när du uppmanas att bekräfta.

   Viktigt

   Det går inte att ångra den här åtgärden.

   Obs!

   När du har återkallat en utfärdande certifikatutfärdarorganisation:

   • Den fortsätter att svara på CRL- och AIA-begäranden.
   • Den är inte längre betrodd för de förlitande parter som utför en förtroendekedjeåtgärd.
   • CRL för rotcertifikatutfärdarcertifikatet visar att certifikatutfärdarcertifikatet har återkallats.
   • Alla befintliga lövcertifikat som utfärdats av certifikatutfärdare slutar att autentiseras.

9. Gå tillbaka till listan över certifikatutfärdare och välj Uppdatera. Titta sedan under kolumnen Status för att bekräfta att den utfärdande certifikatutfärdaren har återkallats.

   

10. Välj den återkallade ca:en för att öppna alla tillgängliga alternativ igen.

11. Alternativet att ta bort ca:en ska vara tillgängligt nu. Välj Ta bort för att ta bort certifikatet från Microsoft Intune.

    

12. Välj Ta bort igen när du uppmanas att bekräfta.

    Viktigt

    Det går inte att ångra den här åtgärden.

13. Gå tillbaka till listan över certifikatutfärdare och välj Uppdatera. Bekräfta att den utfärdande certifikatutfärdare inte längre visas i listan.

Ta bort rotcertifikatutfärdarcertifikat

Ta bort en rotcertifikatutfärdare permanent från Microsoft Intune.

Tips

Ta bort alla förankrade utfärdande certifikatutfärdare innan du tar bort rotcertifikatutfärdare.

1. Gå till Administration av klientorganisation>Cloud PKI.

2. Välj en rotcertifikatutfärdare i listan över tillgängliga certifikatutfärdare. Om du väljer en certifikatfärdare öppnas dess tillgängliga åtgärder.

   

3. Välj Ta bort för att ta bort certifikatet från Microsoft Intune.

   

4. Välj Ta bort igen när du uppmanas att bekräfta.

   Viktigt

   Det går inte att ångra den här åtgärden.

5. Gå tillbaka till listan över certifikatutfärdare och välj Uppdatera. Bekräfta att rotcertifikatutfärdare inte längre visas i listan.

Återkalla aktiva lövcertifikat

När du försöker återkalla en utfärdande certifikatutfärdare är det viktigt att återkalla alla sina aktiva lövcertifikat först. Du kan återkalla ett lövcertifikat i taget från en utfärdande certifikatutfärdare eller massutfärda lövcertifikat.

Återkalla ett lövcertifikat

1. I administrationscentret för Microsoft Intune går du till Klientadministration>Cloud PKI.
2. Välj en utfärdande certifikatutfärdaradress.
3. Välj Visa alla certifikat.
4. Välj ett aktivt lövcertifikat och välj sedan Återkalla. Upprepa det här steget för varje återstående lövcertifikat.

Återkalla alla lövcertifikat

Du kan använda PowerShell-exempelskriptet i det här avsnittet för att återkalla alla lövcertifikat som tillhör en certifikatutfärdare. Skriptet hämtar information från din Microsoft Intune-klientorganisation om Microsoft Cloud PKI och återkallar lövcertifikat för en utfärdande certifikatutfärdare i din klientorganisation.

• Skriptet hämtar alla lövcertifikat och utför åtgärden återkalla på var och en.
• Skriptet uppmanar dig som administratör att bekräfta att du vill återkalla alla lövcertifikat.
• Skriptet har en valfri konfiguration som du kan inkludera som skickar en bekräftelsefråga för varje certifikat. Avsnittet i skriptet kommenteras ut i exemplet, så lägg till det igen om du vill köra den delen.

Viktigt

Använd det här skriptet med försiktighet. Du kan inte ångra återkalla-åtgärden för något av lövcertifikaten.

• Granska exempelskriptet innan du kör det för att bättre förstå hur det fungerar och fundera över hur det påverkar din klientorganisation.
• Kör exempelskriptet i ett icke-produktions- eller testklientkonto först.

Skriptet installerar Microsoft Graph PowerShell-modulen Microsoft.Graph. Enheten som kör skriptet måste ha administratörsbehörighet för att modulen ska kunna installeras.

Kommandot Connect-MgGraph måste utfärdas av en administratör som har behörighet att återkalla lövcertifikat på den utfärdande certifikatutfärdare.

CA-ID krävs för att köra skriptet. Så här hittar du den här informationen i administrationscentret:

1. Gå till Administration av klientorganisation>Cloud PKI.

2. Välj en utfärdande certifikatutfärdaradress.

3. Titta på webbläsarens URL för att hitta CA-ID:t. Den avstavade alfanumeriska strängen i slutet av URL:en är CA-ID:t. I följande URL är ca-ID:t f12345-acf1-12ab-1b2a-1a1234567a89:

   https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Exempelskript

Kör PowerShell-exempelskriptet från en administrativ arbetsstation. Om du vill köra den måste du ha följande Intune-behörigheter:

• Läs certifikatutfärdare
• Återkalla utfärdade lövcertifikat

 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}