Microsoft Cloud PKI

Eine Microsoft Cloud PKI bereitstellen

Erstellen einer Root-CA im Intune Admin Center

Bevor Sie Zertifikate an verwaltete Geräte ausstellen können, müssen Sie in Ihrem Mandanten eine Root-CA erstellen, die als Vertrauensanker fungiert. Um eine Root-CA im Intune Admin Center zu erstellen, folgen Sie bitte diesem Microsoft-Leitfaden.

Erstellen einer ausstellenden CA im Intune Admin Center

Eine ausstellende CA ist erforderlich, um Zertifikate für von Intune verwaltete Geräte auszustellen. Cloud PKI stellt automatisch einen SCEP-Dienst bereit, der als Zertifikatsregistrierungsstelle fungiert. Er fordert im Auftrag von Intune-verwalteten Geräten Zertifikate von der ausstellenden CA über ein SCEP-Profil an. Um eine ausstellende CA zu erstellen, folgen Sie bitte diesem Microsoft-Leitfaden.

Vertrauen zwischen RADIUSaaS und der Microsoft Cloud PKI herstellen

Konfigurieren Sie RADIUSaaS so, dass Client-Authentifizierungszertifikaten vertraut wird, die von der Microsoft Cloud PKI ausgestellt wurden. Da die Cloud PKI eine gestufte CA-Struktur erfordert, müssen Sie sowohl die Root-CA als auch die ausstellende CA hochladen (d. h. die vollständige Vertrauenskette). Gehen Sie dazu bitte wie folgt vor:

1. Navigieren Sie zu Vertrauenswürdige Zertifikate.

2. Hochladen der Contoso Cloud PKI Root-CA wählen Sie Client-Authentifizierung im Upload-Prozess.

3. Als Verifizierungsmethode wählen Sie CRL zusammen mit DER Codierung.

4. Verwenden Sie die kopierte CRL-Verteilungspunkt-URL der Root-CA im CRL-Verteilungspunkte URL-Eingabefeld.

5. Laden Sie die Contoso Cloud PKI hoch Ausstellende CA wählen Sie Client-Authentifizierung im Upload-Prozess.

6. Wählen Sie erneut CRL als Verifizierungsmethode zusammen mit DER Codierung.

7. Verwenden Sie die kopierte CRL-Verteilungspunkt-URL der ausstellenden CA im CRL-Verteilungspunkte URL-Eingabefeld.

RADIUS-Serverzertifikat konfigurieren

Um das Serververtrauen zwischen Ihren Endgeräten und RADIUSaaS herzustellen, folgen Sie diesen Anweisungen.

Konfigurieren Sie Ihre Netzwerkausrüstung

Um Ihre Netzwerkausrüstung (WLAN-Zugangspunkte, Switches oder VPN-Gateways) zu konfigurieren, folgen Sie diesen Schritten.

Nach erfolgreicher Durchführung der Schritte 2 - 4 wird die Vertrauenswürdige Zertifikate Seite Ihrer RADIUSaaS‑Instanz ähnlich der unten stehenden aussehen. Bitte beachten Sie, dass wir in unserem Beispiel einen RadSec‑aktivierten MikroTik Zugangspunkt.

Intune‑Profile konfigurieren

Um eine zertifikatbasierte WLAN-Authentifizierung einzurichten, müssen wir mehrere Profile erstellen und diese über Intune bereitstellen. Diese Profile sind:

Profile für vertrauenswürdige Zertifikate

Microsoft Cloud PKI

Stellen Sie die in Schritt 1 erstellten Root-CA- und ausstellenden CA-Zertifikate über ein Vertrauenswürdiges Zertifikat Profil an Ihre Geräte bereit, indem Sie zum Intune Admin Center und dann zu Startseite > Geräte > Windows > Konfigurationsprofile > Erstellen > Neue Richtlinie mit den folgenden Parametern:

• Plattform = Windows 10 und höher

• Profiltyp = Vorlage

• Vorlagenname = Vertrauenswürdiges Zertifikat.

Laden Sie die entsprechende Zertifikatdatei (*.cer) im jeweiligen Profil hoch:

• Erstelltes Root-CA-Zertifikat hier

• Erstelltes ausstellendes CA-Zertifikat hier

Dies muss für jede Geräteplattform wiederholt werden, die den Dienst nutzen soll (z. B. Windows, macOS, ...)

RADIUS-Serververtrauen

Als Nächstes übertragen Sie das Root-CA-Zertifikat, das Ihr RADIUS-Serverzertifikat ausgestellt hat, wie hier beschrieben:

SCEP-Zertifikatprofil

Um ein SCEP‑Zertifikat Profil im Intune Admin Center zu erstellen, kopieren Sie zunächst die SCEP-URI aus Startseite > Mandantenadministrator > Cloud PKI > Contoso ausstellende CA > Eigenschaften > SCEP-URI.

Gehen Sie dann zu Startseite > Geräte > Windows > Konfigurationsprofile > Erstellen > Neue Richtlinie mit den folgenden Parametern:

• Plattform = Windows 10 und höher

• Profiltyp = Vorlage

• Vorlagenname = SCEP-Zertifikat

Konfigurieren Sie als Nächstes die Vorlage gemäß dem Screenshot unten und stellen Sie sicher, dass Sie das angehängt haben Contoso-Root-Zertifikat das zuvor in Schritt 1 erstellt wurde, und die SCEP-URI die Sie oben kopiert haben.

Dies muss für jede Geräteplattform wiederholt werden, die den Dienst nutzen soll (z. B. Windows, macOS, ...)

Wi‑Fi‑Profil

Stellen Sie die WLAN-Adaptereinstellungen auf Ihren Geräten bereit, indem Sie diesem Artikel folgen:

Berechtigungen und technische Kontakte

Regeln

Wenn Sie zusätzliche Regeln konfigurieren möchten, zum Beispiel um VLAN‑IDs zuzuweisen oder Authentifizierungsanfragen auf bestimmte vertrauenswürdige CAs oder Wi‑Fi‑Access‑Points zu beschränken, sehen Sie sich bitte die RADIUSaaS Rule Engine an.