Freigeben über

Löschen der Microsoft Cloud PKI-Zertifizierungsstelle

  • Artikel

Löschen Sie eine ausstellende und stammzertifizierungsstelle (Ca) aus dem Microsoft Cloud PKI-Dienst in Microsoft Intune. Sie können die folgenden Aktionen im Microsoft Intune Admin Center verwenden, um Zertifizierungsstellen in Ihrem Mandanten zu verwalten:

  • Anhalten der Zertifizierungsstelle: Halten Sie die Zertifizierungsstelle an, um ihre Verwendung zu beenden.
  • ZS widerrufen: Widerrufen Sie alle aktiven Blattzertifikate, und widerrufen Sie dann die Zertifizierungsstelle.
  • Zertifizierungsstelle löschen: Löschen Sie die Zertifizierungsstelle aus Microsoft Intune, und entfernen Sie sie.

Eine Stammzertifizierungsstelle kann erst gelöscht werden, wenn alle verankerten ausstellenden Zertifizierungsstellen gelöscht wurden. Wenn Sie Ihre Meinung ändern, nachdem Sie eine Zertifizierungsstelle angehalten haben, können Sie sie aufheben, um die Verwendung fortzusetzen. Das Widerrufen und Löschen einer Zertifizierungsstelle sind jedoch permanente Aktionen und können nicht rückgängig werden.

In diesem Artikel wird beschrieben, wie Sie eine ausstellende Zertifizierungsstelle und Stammzertifizierungsstelle aus Microsoft Intune mithilfe der verfügbaren Aktionen im Admin Center löschen.

Anforderungen an den rollenbasierten Zugriff

Diese Administratorrollen können Zertifizierungsstellen im Microsoft Intune Admin Center löschen:

  • Intune-Administrator, eine integrierte Microsoft Entra-Rolle
  • Benutzerdefinierte Intune-Rolle mit den folgenden Intune-Berechtigungen:
    • Lesen von Zertifizierungsstellen
    • Deaktivieren und erneutes Aktivieren von Zertifizierungsstellen
    • Widerrufen ausgestellter Blattzertifikate

Ausstellende Zertifizierungsstelle löschen

Entfernen Sie eine ausstellende Zertifizierungsstelle dauerhaft aus Microsoft Intune. Wenn Sie versuchen, eine Stammzertifizierungsstelle zu löschen, führen Sie zuerst diese Schritte aus, um die ausstellende Zertifizierungsstelle zu löschen, die an ihr verankert ist.

  1. Wechseln Sie zu Mandantenverwaltung>Cloud-PKI.

  2. Wählen Sie eine aktive ausstellende Zertifizierungsstelle aus der Liste der verfügbaren Zertifizierungsstellen aus. Wenn Sie eine Zertifizierungsstelle auswählen, werden die verfügbaren Aktionen geöffnet.

  3. Wählen Sie Anhalten aus.

    Beispielscreenshot mit hervorgehobener Aktion

  4. Wählen Sie erneut Anhalten aus, wenn Sie zur Bestätigung aufgefordert werden.

    Hinweis

    Nachdem Sie eine ausstellende Zertifizierungsstelle angehalten haben:

    • Es kann keine Blattzertifikate ausstellen.
    • Es reagiert weiterhin auf CRL-Anforderungen (Certificate Revocation List) und AIA-Anforderungen.

  5. Kehren Sie zur Liste der Zertifizierungsstellen zurück, und wählen Sie Aktualisieren aus. Überprüfen Sie dann in der Spalte Status , ob die ausstellende Zertifizierungsstelle angehalten ist.

    Beispielscreenshot mit hervorgehobener Spalte

  6. Wählen Sie die angehaltene Zertifizierungsstelle aus, um alle verfügbaren Optionen erneut zu öffnen. Es werden zwei neue Optionen angezeigt:

    • Fortsetzen: Diese Option hebt die Unterbrechung der Zertifizierungsstelle auf und macht sie wieder aktiv.
    • Widerrufen: Diese Option widerruft die ausstellende Zertifizierungsstelle.

  7. Wählen Sie Widerrufen aus.

    Tipp

    Damit diese Aktion funktioniert, müssen alle aktiven Blattzertifikate der Zertifizierungsstelle bereits widerrufen werden. Weitere Informationen und Schritte finden Sie unter Widerrufen aktiver Blattzertifikate in diesem Artikel.

    Beispielscreenshot mit hervorgehobener Aktion

  8. Wählen Sie erneut Widerrufen aus, wenn Sie zur Bestätigung aufgefordert werden.

    Wichtig

    Diese Aktion kann nicht rückgängig werden.

    Hinweis

    Nachdem Sie eine ausstellende Zertifizierungsstelle widerrufen haben:

    • Es reagiert weiterhin auf CRL- und AIA-Anforderungen.
    • Es ist nicht mehr vertrauenswürdig für die vertrauenden Seiten, die einen Vertrauenskettenvorgang ausführen.
    • Die Zertifikatsperrliste der Stammzertifizierungsstelle zeigt an, dass das ausstellende Zertifizierungsstellenzertifikat widerrufen wurde.
    • Alle vorhandenen untergeordneten Zertifikate, die von der Zertifizierungsstelle ausgestellt wurden, werden nicht mehr authentifiziert.

  9. Kehren Sie zur Liste der Zertifizierungsstellen zurück, und wählen Sie Aktualisieren aus. Überprüfen Sie dann in der Spalte Status , ob die ausstellende Zertifizierungsstelle widerrufen wurde.

    Beispielscreenshot der Zertifizierungsstellenliste mit hervorgehobenem Status

  10. Wählen Sie die widerrufene Zertifizierungsstelle aus, um alle verfügbaren Optionen erneut zu öffnen.

  11. Die Option zum Löschen der Zertifizierungsstelle sollte jetzt verfügbar sein. Wählen Sie Löschen aus, um die Zertifizierungsstelle aus Microsoft Intune zu entfernen.

    Beispielscreenshot mit hervorgehobener Löschaktion für eine ausstellende Zertifizierungsstelle.

  12. Wählen Sie erneut Löschen aus, wenn Sie zur Bestätigung aufgefordert werden.

    Wichtig

    Diese Aktion kann nicht rückgängig werden.

  13. Kehren Sie zur Liste der Zertifizierungsstellen zurück, und wählen Sie Aktualisieren aus. Vergewissern Sie sich, dass die ausstellende Zertifizierungsstelle nicht mehr in der Liste angezeigt wird.

Löschen der Stammzertifizierungsstelle

Entfernen Sie eine Stammzertifizierungsstelle dauerhaft aus Microsoft Intune.

Tipp

Löschen Sie alle verankerten ausstellenden Zertifizierungsstellen, bevor Sie die Stammzertifizierungsstelle löschen.

  1. Wechseln Sie zu Mandantenverwaltung>Cloud-PKI.

  2. Wählen Sie in der Liste der verfügbaren Zertifizierungsstellen eine Stammzertifizierungsstelle aus. Wenn Sie eine Zertifizierungsstelle auswählen, werden die verfügbaren Aktionen geöffnet.

    Beispielscreenshot der Zertifizierungsstellenliste mit hervorgehobener Stammzertifizierungsstelle.

  3. Wählen Sie Löschen aus, um die Zertifizierungsstelle aus Microsoft Intune zu entfernen.

    Beispielscreenshot des Admin Centers mit hervorgehobener Löschaktion für die Stammzertifizierungsstelle.

  4. Wählen Sie erneut Löschen aus, wenn Sie zur Bestätigung aufgefordert werden.

    Wichtig

    Diese Aktion kann nicht rückgängig werden.

  5. Kehren Sie zur Liste der Zertifizierungsstellen zurück, und wählen Sie Aktualisieren aus. Vergewissern Sie sich, dass die Stammzertifizierungsstelle nicht mehr in der Liste angezeigt wird.

Widerrufen aktiver Blattzertifikate

Beim Versuch, eine ausstellende Zertifizierungsstelle aufzuheben, ist es wichtig, zuerst alle aktiven Blattzertifikate zu widerrufen. Sie können bei einer ausstellenden Zertifizierungsstelle jeweils ein Blattzertifikat widerrufen oder Blattzertifikate per Massenvorgang widerrufen.

Widerrufen eines Untergeordneten Zertifikats

  1. Navigieren Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Cloud-PKI.
  2. Wählen Sie eine ausstellende Zertifizierungsstelle aus.
  3. Wählen Sie Alle Zertifikate anzeigen aus.
  4. Wählen Sie ein aktives Blattzertifikat und dann Widerrufen aus. Wiederholen Sie diesen Schritt für jedes verbleibende Blattzertifikat.

Widerrufen aller Blattzertifikate

Sie können das PowerShell-Beispielskript in diesem Abschnitt verwenden, um alle untergeordneten Zertifikate zu widerrufen, die zu einer Zertifizierungsstelle gehören. Das Skript ruft Informationen von Ihrem Microsoft Intune-Mandanten zur Microsoft Cloud-PKI ab und widerruft Untergeordnete Zertifikate für eine ausstellende Zertifizierungsstelle in Ihrem Mandanten.

  • Das Skript ruft alle Untergeordneten Zertifikate ab und führt die Widerrufen-Aktion für jedes zertifikat aus.
  • Das Skript fordert Sie als Administrator auf, zu bestätigen, dass Sie alle Blattzertifikate widerrufen möchten.
  • Das Skript verfügt über eine optionale Konfiguration, die Sie einschließen können, die eine Bestätigungsaufforderung für jedes Zertifikat sendet. Der Abschnitt im Skript ist im Beispiel auskommentiert. Fügen Sie ihn daher wieder hinzu, wenn Sie diesen Teil ausführen möchten.

Wichtig

Verwenden Sie dieses Skript mit Vorsicht. Sie können die Widerrufen-Aktion für keines der untergeordneten Zertifikate rückgängigmachen.

  • Überprüfen Sie das Beispielskript, bevor Sie es ausführen, um besser zu verstehen, wie es funktioniert, und um zu berücksichtigen, wie es sich auf Ihren Mandanten auswirkt.
  • Führen Sie zuerst das Beispielskript in einem Nichtproduktions- oder Testmandantenkonto aus.

Das Skript installiert das Microsoft Graph PowerShell-Modul Microsoft.Graph. Das Gerät, auf dem das Skript ausgeführt wird, muss über Administratorrechte verfügen, um das Modul erfolgreich installieren zu können.

Der Connect-MgGraph Befehl muss von einem Administrator ausgegeben werden, der über die Berechtigung zum Widerrufen von Blattzertifikaten auf der ausstellenden Zertifizierungsstelle verfügt.

Die ZS-ID ist erforderlich, um das Skript auszuführen. So finden Sie diese Informationen im Admin Center:

  1. Wechseln Sie zu Mandantenverwaltung>Cloud-PKI.

  2. Wählen Sie eine ausstellende Zertifizierungsstelle aus.

  3. Sehen Sie sich die Browser-URL an, um die Zertifizierungsstellen-ID zu finden. Die alphanumerische Zeichenfolge mit Silbentrennung am Ende der URL ist die ZS-ID. In der folgenden URL lautet die Zertifizierungsstellen-ID beispielsweise f12345-acf1-12ab-1b2a-1a1234567a89:

    https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Beispielskript

Führen Sie das PowerShell-Beispielskript auf einer Administrativen Arbeitsstation aus. Zum Ausführen müssen Sie über die folgenden Intune-Berechtigungen verfügen:

  • Lesen von Zertifizierungsstellen
  • Widerrufen ausgestellter Blattzertifikate
 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}