# Microsoft Cloud PKI
{% hint style="info" %}
Se asume que Microsoft Cloud PKI aloja tanto la CA raíz como la CA emisora. Para escenarios que impliquen BYOCAs, consulte los recursos en línea de Microsoft o la web.
{% endhint %}
{% stepper %}
{% step %}
### Implementar un Microsoft Cloud PKI
#### Crear una CA raíz en el centro de administración de Intune
Antes de poder emitir certificados a dispositivos administrados, debe crear una CA raíz en su tenant para que actúe como ancla de confianza. Para crear una CA raíz en el centro de administración de Intune, siga [este ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca)guía de Microsoft.
{% hint style="info" %}
Tome nota del punto de distribución de CRL, ya que lo necesitará más adelante en [Paso 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
#### Crear una CA emisora en el centro de administración de Intune
Se requiere una CA emisora para emitir certificados para dispositivos administrados por Intune. Cloud PKI proporciona automáticamente un servicio SCEP que actúa como autoridad de registro de certificados. Solicita certificados a la CA emisora en nombre de los dispositivos administrados por Intune mediante un perfil SCEP. Para crear una CA emisora, siga [este ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca#step-2-create-issuing-ca-in-admin-center)guía de Microsoft.
{% hint style="info" %}
Tome nota del punto de distribución de CRL, ya que lo necesitará más adelante en [Paso 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
CA raíz y CA emisoras
{% endstep %}
{% step %}
### Establecer confianza entre RADIUSaaS y Microsoft Cloud PKI
Configure RADIUSaaS para confiar en los certificados de autenticación de cliente emitidos por Microsoft Cloud PKI. Dado que la PKI en la nube requiere una estructura de CA jerárquica, debe cargar tanto la CA raíz como la CA emisora (es decir, la cadena de confianza completa). Para lograrlo, siga los pasos a continuación:
1. Vaya a [Certificados de confianza](https://docs.radiusaas.com/es/portal-de-administracion/settings/trusted-roots).
2. [Cargar](https://docs.radiusaas.com/es/portal-de-administracion/settings/trusted-roots#add) la Contoso Cloud PKI **CA raíz,** seleccionando **Autenticación de cliente** en el proceso de carga.
3. Como método de verificación, seleccione **CRL** junto con **DER** codificación.
4. Use la URL copiada del punto de distribución de CRL de la CA raíz en el campo de entrada de URL de **Puntos de distribución de CRL** URL.\
5. Cargue la Contoso Cloud PKI **CA emisora,** seleccionando **Autenticación de cliente** en el proceso de carga.
6. De nuevo, seleccione **CRL** como método de verificación junto con **DER** codificación.
7. Use la URL copiada del punto de distribución de CRL de la CA emisora en el **Puntos de distribución de CRL** URL.\
{% endstep %}
{% step %}
### Configurar el certificado del servidor RADIUS
Para establecer confianza del servidor entre sus dispositivos endpoint y RADIUSaaS, siga [estas instrucciones](https://docs.radiusaas.com/es/configuracion/generic-guide#step-3-radius-server-certificate-configuration).
{% endstep %}
{% step %}
### Configurar su equipo de red
Para configurar su equipo de red (puntos de acceso WiFi, conmutadores o puertas de enlace VPN), siga [estos pasos](https://docs.radiusaas.com/es/configuracion/generic-guide#step-4-network-equipment-configuration).
Tras completar correctamente los pasos 2 - 4, la **Certificados de confianza** página de su instancia de RADIUSaaS se parecerá a la que se muestra a continuación. Tenga en cuenta que en nuestro ejemplo hemos usado un [MikroTik](https://docs.radiusaas.com/es/configuracion/access-point-setup/radsec-available/mikrotik) punto de acceso.
Descripción general de certificados de confianza requerida para Microsoft Cloud PKI.
{% endstep %}
{% step %}
### Configurar perfiles de Intune
Para configurar la autenticación WiFi basada en certificados, necesitamos crear varios perfiles e implementarlos mediante Intune. Estos perfiles son:
| Tipo de perfil | Finalidad |
| ------------------------ | ------------------------------------------------------------------------------------------ |
| Certificado de confianza | Implemente el certificado de la CA raíz. |
| Certificado de confianza | Implemente el certificado de la CA emisora. |
| Certificado de confianza | Implemente el certificado de la CA raíz que ha emitido el certificado del servidor RADIUS. |
| Perfil SCEP certificado | Inscriba el certificado de autenticación de cliente. |
| Wi-Fi | Implemente la configuración del adaptador de red inalámbrica. |
Perfiles relevantes de Intune
#### Perfiles de certificados de confianza
**Microsoft Cloud PKI**
Implemente los certificados de CA raíz y CA emisora creados en [Paso 1](#step-1.-deploy-a-microsoft-cloud-pki) mediante un **Certificado de confianza** perfil en sus dispositivos yendo al **centro de administración de Intune** y luego a **Inicio** > **Dispositivos** > **Windows** > **Perfiles de configuración > Crear** > **Nueva directiva** con los siguientes parámetros:
* Plataforma = Windows 10 y posteriores
* Tipo de perfil = Plantilla
* Nombre de la plantilla = Certificado de confianza.
Cargue el archivo de certificado correspondiente (\*.cer) en el perfil respectivo:
* Certificado de CA raíz creado [aquí](#step-1-create-root-ca-in-admin-center)
* Certificado de CA emisora creado [aquí](#step-1-create-root-ca-in-admin-center-1)
{% hint style="info" %}
Tenga en cuenta que debe usar el mismo grupo para asignar los perfiles de Certificado de confianza y SCEP. De lo contrario, la implementación de Intune podría fallar.
{% endhint %}
Esto debe repetirse para cada plataforma de dispositivo que vaya a usar el servicio (p. ej., Windows, macOS, ...)
**Confianza del servidor RADIUS**
A continuación, envíe el certificado de CA raíz que ha emitido su certificado de servidor RADIUS, como se describe aquí:
{% content-ref url="../../../implementacion-de-perfiles/microsoft-intune/trusted-root" %}
[trusted-root](https://docs.radiusaas.com/es/implementacion-de-perfiles/microsoft-intune/trusted-root)
{% endcontent-ref %}
#### Perfil de certificado SCEP
Para crear un **Perfil SCEP certificado** perfil en el centro de administración de Intune, primero haga una copia del URI de SCEP desde **Inicio** > **Administrador del tenant** > **Cloud PKI** > **Contoso Issuing CA** > **Propiedades** > **URI de SCEP.**
A continuación, vaya a **Inicio** > **Dispositivos** > **Windows** > **Perfiles de configuración > Crear** > **Nueva directiva** con los siguientes parámetros:
* Plataforma = Windows 10 y posteriores
* Tipo de perfil = Plantilla
* Nombre de la plantilla = Certificado SCEP
A continuación, configure la plantilla según la captura de pantalla siguiente, asegurándose de haber adjuntado el **Certificado raíz de Contoso** creado anteriormente en el paso 1 y el **URI de SCEP** del que hizo una copia arriba.
Configuración del certificado de dispositivo SCEP
Esto debe repetirse para cada plataforma de dispositivo que vaya a usar el servicio (p. ej., Windows, macOS, ...)
#### Perfil de Wi-Fi
Implemente la configuración del adaptador WiFi en sus dispositivos siguiendo este artículo:
{% content-ref url="../../../implementacion-de-perfiles/microsoft-intune/wifi-profile" %}
[wifi-profile](https://docs.radiusaas.com/es/implementacion-de-perfiles/microsoft-intune/wifi-profile)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Permisos y contactos técnicos
{% endstep %}
{% step %}
### Reglas
{% hint style="info" %}
Este es un paso **opcional** .
{% endhint %}
Si desea configurar reglas adicionales, por ejemplo para asignar IDs de VLAN o limitar las solicitudes de autenticación a determinadas CA de confianza o puntos de acceso WiFi, consulte el motor de reglas de RADIUSaaS.
{% content-ref url="../../../portal-de-administracion/settings/rules" %}
[rules](https://docs.radiusaas.com/es/portal-de-administracion/settings/rules)
{% endcontent-ref %}
{% endstep %}
{% endstepper %}
