PKI en la nube de Microsoft
Este documento describe los pasos de configuración necesarios para implementar la autenticación WiFi basada en certificados usando PKI en la nube de Microsoft con Intune.
Paso 1: Implementar un Microsoft Cloud PKI
Crear una CA raíz en el centro de administración de Intune
Antes de poder emitir certificados a dispositivos gestionados, debe crear una CA raíz en su inquilino que actúe como ancla de confianza. Para crear una CA raíz en el centro de administración de Intune, siga por favor esto Guía de Microsoft.
Crear una CA emisora en el centro de administración de Intune
Se requiere una CA emisora para emitir certificados para dispositivos gestionados por Intune. Cloud PKI proporciona automáticamente un servicio SCEP que actúa como autoridad de registro de certificados. Solicita certificados a la CA emisora en nombre de los dispositivos gestionados por Intune mediante un perfil SCEP. Para crear una CA emisora, siga por favor esto Guía de Microsoft.
Paso 2: Establecer confianza entre RADIUSaaS y Microsoft Cloud PKI
Configure RADIUSaaS para confiar en los certificados de autenticación de cliente emitidos por Microsoft Cloud PKI. Dado que la PKI en la nube requiere una estructura de CA en niveles, debe cargar tanto la CA raíz como la CA emisora (es decir, la cadena completa de confianza). Para lograr esto, siga los pasos a continuación:
Navegue a Certificados de confianza.
Cargar la Cloud PKI de Contoso certificado Root CA seleccionando Autenticación del cliente en el proceso de carga.
Como método de verificación seleccione CRL junto con DER codificación.
Use la URL copiada del punto de distribución CRL de la CA raíz en el Puntos de distribución CRL campo de entrada URL.
Cargue la Cloud PKI de Contoso CA emisora seleccionando Autenticación del cliente en el proceso de carga.
Nuevamente, seleccione CRL como método de verificación junto con DER codificación.
Use la URL copiada del punto de distribución CRL de la CA emisora en el Puntos de distribución CRL campo de entrada URL.
Paso 3: Configurar el certificado del servidor RADIUS
Para establecer la confianza del servidor entre sus dispositivos finales y RADIUSaaS, siga estas instrucciones.
Paso 4: Configure su equipo de red
Para configurar su equipo de red (puntos de acceso WiFi, switches o gateways VPN), siga estos pasos.
Después de completar con éxito los Pasos 2 - 4, la Certificados de confianza página de su instancia de RADIUSaaS se parecerá a la siguiente. Tenga en cuenta que en nuestro ejemplo hemos usado un MikroTik punto de acceso.
Paso 5: Configurar perfiles en Intune
Para configurar la autenticación WiFi basada en certificados, necesitamos crear varios perfiles y desplegarlos mediante Intune. Estos perfiles son:
Certificado de confianza
Implementar el certificado de la CA raíz.
Certificado de confianza
Implementar el certificado de la CA emisora.
Certificado de confianza
Implementar el certificado de la CA raíz que emitió el certificado del servidor RADIUS.
Certificado SCEP
Inscribir el certificado de autenticación del cliente.
Wi-Fi
Desplegar la configuración del adaptador de red inalámbrico.
Perfiles de certificados de confianza
Microsoft Cloud PKI
Implemente los certificados de la CA raíz y la CA emisora creados en Paso 1 a través de un Certificado de confianza perfil a sus dispositivos navegando a centro de administración de Intune y luego a Inicio > Dispositivos > Windows > Perfiles de configuración > Crear > Nueva directiva con los siguientes parámetros:
Plataforma = Windows 10 y posteriores
Tipo de perfil = Plantilla
Nombre de la plantilla = Certificado confiable.
Cargue el archivo de certificado relevante (*.cer) en el perfil correspondiente:
Esto debe repetirse para cada plataforma de dispositivo que vaya a usar el servicio (p. ej. Windows, macOS, ...)
Confianza del servidor RADIUS
A continuación, distribuya el certificado de la CA raíz que emitió su certificado de servidor RADIUS como se describe aquí:
Confianza del servidorperfil de certificado SCEP
Para crear un Certificado SCEP perfil en el centro de administración de Intune, primero copie la URI SCEP desde Inicio > Administrador del inquilino > Cloud PKI > CA emisora de Contoso > Propiedades > URI SCEP.
A continuación, vaya a Inicio > Dispositivos > Windows > Perfiles de configuración > Crear > Nueva directiva con los siguientes parámetros:
Plataforma = Windows 10 y posteriores
Tipo de perfil = Plantilla
Nombre de la plantilla = certificado SCEP
A continuación, configure la plantilla según la captura de pantalla abajo asegurándose de adjuntar el Certificado raíz de Contoso creado anteriormente en el paso 1 y el URI SCEP del que tomó una copia más arriba.
Esto debe repetirse para cada plataforma de dispositivo que vaya a usar el servicio (p. ej. Windows, macOS, ...)
Perfil Wi‑Fi
Implemente la configuración del adaptador WiFi en sus dispositivos siguiendo este artículo:
Perfil WiFiÚltima actualización
¿Te fue útil?