circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

PKI em Nuvem da Microsoft

Este documento descreve as etapas de configuração necessárias para implementar autenticação WiFi baseada em certificados usando o PKI em Nuvem da Microsoft com o Intune.

circle-info

Assume-se que o Microsoft Cloud PKI hospeda tanto a CA Raiz quanto a CA Emissora. Para cenários envolvendo BYOCA, consulte os recursos online da Microsoft ou a web.

hashtag
Passo 1: Implantar um Microsoft Cloud PKI

hashtag
Criar uma CA Raiz no centro de administração do Intune

Antes de poder emitir certificados para dispositivos gerenciados, é necessário criar uma CA raiz em seu locatário para atuar como âncora de confiança. Para criar uma CA raiz no centro de administração do Intune, siga por favor isto arrow-up-rightGuia da Microsoft.

circle-info

Observe o ponto de distribuição CRL, pois você precisará dele mais tarde em Passo 2.

hashtag
Criar uma CA Emissora no centro de administração do Intune

Uma CA emissora é necessária para emitir certificados para dispositivos gerenciados pelo Intune. O Cloud PKI fornece automaticamente um serviço SCEP que atua como autoridade de registro de certificados. Ele solicita certificados da CA emissora em nome dos dispositivos gerenciados pelo Intune usando um perfil SCEP. Para criar uma CA emissora, siga por favor isto arrow-up-rightGuia da Microsoft.

circle-info

Observe o ponto de distribuição CRL, pois você precisará dele mais tarde em Passo 2.

CAs Raiz e Emissoras

hashtag
Passo 2: Estabelecer confiança entre o RADIUSaaS e o Microsoft Cloud PKI

Configure o RADIUSaaS para confiar em certificados de autenticação de cliente emitidos pelo Microsoft Cloud PKI. Como o Cloud PKI requer uma estrutura de CA em níveis, você deve carregar tanto a CA Raiz quanto a CA Emissora (ou seja, a cadeia completa de confiança). Para isso, siga os passos abaixo:

  1. Navegue para Certificados Confiáveis.

  2. Carregar o Contoso Cloud PKI certificado Root CA selecionando Autenticação do cliente no processo de upload.

  3. Como método de verificação selecione CRL junto com DER codificação.

  4. Use a URL do ponto de distribuição CRL copiada da CA Raiz em Pontos de Distribuição CRL campo de entrada URL.

  5. Carregue o Contoso Cloud PKI CA Emissora selecionando Autenticação do cliente no processo de upload.

  6. Novamente, selecione CRL como método de verificação junto com DER codificação.

  7. Use a URL do ponto de distribuição CRL copiada da CA Emissora em Pontos de Distribuição CRL campo de entrada URL.

hashtag
Passo 3: Configurar o Certificado do Servidor RADIUS

Para estabelecer confiança de servidor entre seus dispositivos de extremidade e o RADIUSaaS, siga estas instruções.

hashtag
Passo 4: Configurar seu equipamento de rede

Para configurar seu equipamento de rede (pontos de acesso WiFi, switches ou gateways VPN), siga estes passos.

Após a conclusão bem-sucedida dos Passos 2 a 4, a Certificados Confiáveis página de sua instância RADIUSaaS ficará semelhante à abaixo. Observe que em nosso exemplo usamos um MikroTik ponto de acesso.

Visão geral de Certificados Confiáveis necessária para o Microsoft Cloud PKI.

hashtag
Passo 5: Configurar Perfis do Intune

Para configurar a autenticação WiFi baseada em certificados, precisamos criar vários perfis e implantá-los via Intune. Esses perfis são:

Tipo de Perfil
Finalidade

Certificado confiável

Implantar o certificado da CA Raiz.

Certificado confiável

Implantar o certificado da CA Emissora.

Certificado confiável

Implantar o certificado da CA Raiz que emitiu o Certificado do Servidor RADIUS.

Certificado SCEP

Registrar o certificado de autenticação do cliente.

Wi-Fi

Implantar as configurações do adaptador de rede sem fio.

Perfis relevantes do Intune

hashtag
Perfis de certificado confiável

hashtag
Microsoft Cloud PKI

Implante os certificados da CA raiz e da CA emissora criados em Passo 1 por meio de um Certificado confiável perfil para seus dispositivos navegando até o centro de administração do Intune e então para Início > Dispositivos > Windows > Perfis de configuração > Criar > Nova Política com os seguintes parâmetros:

  • Plataforma = Windows 10 e posterior

  • Tipo de perfil = Modelo

  • Nome do modelo = Certificado confiável.

Carregue o arquivo de certificado relevante (*.cer) no respectivo perfil:

  • Certificado da CA Raiz criado aqui

  • Certificado da CA Emissora criado aqui

circle-info

Observe que você deve usar o mesmo grupo para atribuir o certificado confiável e os perfis SCEP. Caso contrário, a implantação pelo Intune pode falhar.

Isso deve ser repetido para cada plataforma de dispositivo que utilizará o serviço (por exemplo Windows, macOS, ...).

hashtag
Confiança do servidor RADIUS

Em seguida, envie o certificado da CA raiz que emitiu seu Certificado de Servidor RADIUS conforme descrito aqui:

Confiança no Servidorchevron-right

hashtag
Perfil de certificado SCEP

Para criar um Certificado SCEP perfil no centro de administração do Intune, primeiro copie a URI SCEP de Início > Administrador do locatário > Cloud PKI > CA Emissora Contoso > Propriedades > URI SCEP.

Em seguida, vá para Início > Dispositivos > Windows > Perfis de configuração > Criar > Nova Política com os seguintes parâmetros:

  • Plataforma = Windows 10 e posterior

  • Tipo de perfil = Modelo

  • Nome do modelo = certificado SCEP

Em seguida, configure o modelo de acordo com a captura de tela abaixo certificando-se de anexar o Certificado Raiz Contoso criado anteriormente no passo 1 e o URI SCEP do qual você fez uma cópia acima.

Configuração do Certificado de Dispositivo SCEP

Isso deve ser repetido para cada plataforma de dispositivo que utilizará o serviço (por exemplo Windows, macOS, ...).

hashtag
Perfil Wi-Fi

Implante as configurações do adaptador WiFi em seus dispositivos seguindo este artigo:

Perfil de WiFichevron-right

Last updated

Was this helpful?