circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

PKI en la nube de Microsoft

Este documento describe los pasos de configuración necesarios para implementar la autenticación WiFi basada en certificados usando PKI en la nube de Microsoft con Intune.

circle-info

Se asume que Microsoft Cloud PKI aloja tanto la CA raíz como la CA emisora. Para escenarios que impliquen BYOCAs, consulte los recursos en línea de Microsoft o la web.

hashtag
Paso 1: Implementar un Microsoft Cloud PKI

hashtag
Crear una CA raíz en el centro de administración de Intune

Antes de poder emitir certificados a dispositivos gestionados, debe crear una CA raíz en su inquilino que actúe como ancla de confianza. Para crear una CA raíz en el centro de administración de Intune, siga por favor esto arrow-up-rightGuía de Microsoft.

circle-info

Tome nota del punto de distribución CRL ya que lo necesitará más adelante en Paso 2.

hashtag
Crear una CA emisora en el centro de administración de Intune

Se requiere una CA emisora para emitir certificados para dispositivos gestionados por Intune. Cloud PKI proporciona automáticamente un servicio SCEP que actúa como autoridad de registro de certificados. Solicita certificados a la CA emisora en nombre de los dispositivos gestionados por Intune mediante un perfil SCEP. Para crear una CA emisora, siga por favor esto arrow-up-rightGuía de Microsoft.

circle-info

Tome nota del punto de distribución CRL ya que lo necesitará más adelante en Paso 2.

CAs raíz y emisoras

hashtag
Paso 2: Establecer confianza entre RADIUSaaS y Microsoft Cloud PKI

Configure RADIUSaaS para confiar en los certificados de autenticación de cliente emitidos por Microsoft Cloud PKI. Dado que la PKI en la nube requiere una estructura de CA en niveles, debe cargar tanto la CA raíz como la CA emisora (es decir, la cadena completa de confianza). Para lograr esto, siga los pasos a continuación:

  1. Navegue a Certificados de confianza.

  2. Cargar la Cloud PKI de Contoso certificado Root CA seleccionando Autenticación del cliente en el proceso de carga.

  3. Como método de verificación seleccione CRL junto con DER codificación.

  4. Use la URL copiada del punto de distribución CRL de la CA raíz en el Puntos de distribución CRL campo de entrada URL.

  5. Cargue la Cloud PKI de Contoso CA emisora seleccionando Autenticación del cliente en el proceso de carga.

  6. Nuevamente, seleccione CRL como método de verificación junto con DER codificación.

  7. Use la URL copiada del punto de distribución CRL de la CA emisora en el Puntos de distribución CRL campo de entrada URL.

hashtag
Paso 3: Configurar el certificado del servidor RADIUS

Para establecer la confianza del servidor entre sus dispositivos finales y RADIUSaaS, siga estas instrucciones.

hashtag
Paso 4: Configure su equipo de red

Para configurar su equipo de red (puntos de acceso WiFi, switches o gateways VPN), siga estos pasos.

Después de completar con éxito los Pasos 2 - 4, la Certificados de confianza página de su instancia de RADIUSaaS se parecerá a la siguiente. Tenga en cuenta que en nuestro ejemplo hemos usado un MikroTik punto de acceso.

Descripción general de certificados confiables requerida para Microsoft Cloud PKI.

hashtag
Paso 5: Configurar perfiles en Intune

Para configurar la autenticación WiFi basada en certificados, necesitamos crear varios perfiles y desplegarlos mediante Intune. Estos perfiles son:

Tipo de perfil
Propósito

Certificado de confianza

Implementar el certificado de la CA raíz.

Certificado de confianza

Implementar el certificado de la CA emisora.

Certificado de confianza

Implementar el certificado de la CA raíz que emitió el certificado del servidor RADIUS.

Certificado SCEP

Inscribir el certificado de autenticación del cliente.

Wi-Fi

Desplegar la configuración del adaptador de red inalámbrico.

Perfiles relevantes de Intune

hashtag
Perfiles de certificados de confianza

hashtag
Microsoft Cloud PKI

Implemente los certificados de la CA raíz y la CA emisora creados en Paso 1 a través de un Certificado de confianza perfil a sus dispositivos navegando a centro de administración de Intune y luego a Inicio > Dispositivos > Windows > Perfiles de configuración > Crear > Nueva directiva con los siguientes parámetros:

  • Plataforma = Windows 10 y posteriores

  • Tipo de perfil = Plantilla

  • Nombre de la plantilla = Certificado confiable.

Cargue el archivo de certificado relevante (*.cer) en el perfil correspondiente:

  • Certificado de la CA raíz creado aquí

  • Certificado de la CA emisora creado aquí

circle-info

Tenga en cuenta que debe usar el mismo grupo para asignar el certificado confiable y los perfiles SCEP. De lo contrario, el despliegue en Intune podría fallar.

Esto debe repetirse para cada plataforma de dispositivo que vaya a usar el servicio (p. ej. Windows, macOS, ...)

hashtag
Confianza del servidor RADIUS

A continuación, distribuya el certificado de la CA raíz que emitió su certificado de servidor RADIUS como se describe aquí:

Confianza del servidorchevron-right

hashtag
perfil de certificado SCEP

Para crear un Certificado SCEP perfil en el centro de administración de Intune, primero copie la URI SCEP desde Inicio > Administrador del inquilino > Cloud PKI > CA emisora de Contoso > Propiedades > URI SCEP.

A continuación, vaya a Inicio > Dispositivos > Windows > Perfiles de configuración > Crear > Nueva directiva con los siguientes parámetros:

  • Plataforma = Windows 10 y posteriores

  • Tipo de perfil = Plantilla

  • Nombre de la plantilla = certificado SCEP

A continuación, configure la plantilla según la captura de pantalla abajo asegurándose de adjuntar el Certificado raíz de Contoso creado anteriormente en el paso 1 y el URI SCEP del que tomó una copia más arriba.

Configuración del certificado de dispositivo SCEP

Esto debe repetirse para cada plataforma de dispositivo que vaya a usar el servicio (p. ej. Windows, macOS, ...)

hashtag
Perfil Wi‑Fi

Implemente la configuración del adaptador WiFi en sus dispositivos siguiendo este artículo:

Perfil WiFichevron-right

Última actualización

¿Te fue útil?