Compartilhar via

Como configurar autoridades de certificação para autenticação baseada em certificado Microsoft Entra

  • Artigo

A melhor maneira de configurar as autoridades de certificação (CAs) é com o repositório de confiança baseado em PKI (versão prévia). Você pode delegar a configuração com um repositório de confiança baseado em PKI para funções com privilégios mínimos. Para obter mais informações, consulte, Etapa 1: Configurar as autoridades certificadoras com o repositório confiável baseado em PKI (Versão Prévia).

Como alternativa, um Administrador Global pode seguir as etapas neste tópico para configurar as ACs usando o Centro de administração do Microsoft Entra ou as APIs REST do Microsoft Graph e os SDKs (kits de desenvolvimento de software) com suporte, como o Microsoft Graph PowerShell. A infraestrutura de chave pública (PKI) ou o administrador de PKI devem ser capazes de fornecer a lista de ACs emissoras.

Para garantir que você configurou todas as ACs, abra o certificado do usuário e clique na guia Caminho de certificação. Verifique se todas as ACs até que a raiz seja carregada no repositório de confiança do Microsoft Entra ID. A CBA (autenticação baseada em certificado) do Microsoft Entra falhará se houver CAs ausentes.

Configurar autoridades certificadoras usando o centro de administração do Microsoft Entra

Para configurar as autoridades de certificação para habilitar a CBA no Centro de administração do Microsoft Entra, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como Administrador global.

  2. Navegue até Proteção>Mostrar mais>Central de Segurança (ou Classificação de Segurança de Identidade) >Autoridades de certificação.

  3. Para carregar uma AC, selecione Carregar:

    1. Selecione o arquivo da AC.

    2. Selecione Sim se a AC for um certificado raiz, caso contrário, selecione Não.

    3. Em URL da lista de certificados revogados, defina a URL para a Internet para a CRL base da AC que contém todos os certificados revogados. Se a URL não estiver definida, a autenticação com certificados revogados não irá falhar.

    4. Em URL da lista de certificados revogados Delta, defina a URL para a Internet para a CRL que contém todos os certificados revogados desde que a última CRL base foi publicada.

    5. Selecione Adicionar.

      Captura de tela de como carregar o arquivo de autoridade de certificado.

  4. Para excluir um Certificado de Autoridade de Certificação, selecione o certificado e clique em Excluir.

  5. Selecione Colunas para adicionar ou excluir colunas.

Observação

O carregamento de uma nova AC falhará se uma AC existente tiver expirado. Você deve excluir uma AC expirada e repetir o upload da nova AC.

Um Administrador Global é necessário para gerenciar esse recurso.

Configurar ACs (autoridades de certificação) usando o PowerShell

Há suporte para apenas um CDP (ponto de distribuição de CRL) para uma AC confiável. A CDP só pode ser URLs HTTP. Não há suporte para URLs de protocolo OCSP ou protocolo LDAP.

Para configurar as autoridades de certificação no Microsoft Entra ID, carregue o seguinte para cada autoridade de certificação:

  • A parte pública do certificado, no formato .cer
  • As URLs para a Internet, em que as CRLs (Listas de Certificados Revogados) residem

Veja abaixo o esquema de uma autoridade de certificação:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Na configuração, você pode usar o PowerShell do Microsoft Graph:

  1. Inicie o Windows PowerShell com os privilégios de administrador.

  2. Instale o PowerShell do Microsoft Graph:

        Install-Module Microsoft.Graph

Como essa é a primeira etapa de configuração, você precisa estabelecer uma conexão com seu locatário. Como existe uma conexão com o seu locatário, você pode revisar, adicionar, excluir e modificar autoridades de certificação confiáveis que são definidas em seu diretório.

Conectar

Para estabelecer uma conexão com seu locatário, use Connect-MgGraph:

    Connect-MgGraph

Recuperar

Para recuperar as autoridades de certificação confiáveis que são definidas em seu diretório, use Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Add

Observação

O carregamento de novas ACs falhará quando qualquer uma das ACs existentes expirar. Os Administradores de locatário devem excluir as ACs expiradas e, em seguida, carregar a nova AC.

Siga as etapas anteriores para adicionar uma AC ao centro de administração do Microsoft Entra.

AuthorityType

  • Use 0 para indicar uma autoridade de certificado raiz
  • Use 1 para indicar uma autoridade de certificado emissora ou intermediária

crlDistributionPoint

Baixe a CRL e compare o certificado de AC e as informações de CRL. Verifique se o valor crlDistributionPoint no exemplo anterior do PowerShell é válido para a AC que você deseja adicionar.

A tabela e o gráfico a seguir mostram como mapear informações do Certificado de Autoridade de Certificação para os atributos da CRL baixada.

ID do certificado de Autoridade de Certificação = Informações de CRL baixadas
Assunto = Emissor
Identificador da chave de assunto = Identificador de Chave de Autoridade (KeyID)

Comparar o Certificado de Autoridade de Certificação com informações de CRL.

Dica

O valor do crlDistributionPoint no exemplo anterior é o local de http para a CRL (Lista de Revogação de Certificados) da AC. Esse valor pode ser encontrado em alguns locais:

  • No atributo de CDP (Pontos de Distribuição de CRL) de um certificado emitido pela CA.

Se a AC emissora executar o Windows Server:

  • Nas Propriedades da AC no MMC (Certificate Authority Microsoft Management Console)
  • Na AC executando certutil -cainfo cdp. Para obter mais informações, consulte certutil.

Para obter mais informações, confira Noções básicas sobre o processo de revogação de certificado.

Configurar autoridades certificadoras usando as APIs do Microsoft Graph

As APIs do Microsoft Graph podem ser usadas para configurar as autoridades de certificação. Para atualizar o repositório confiável da Autoridade de Certificação do Microsoft Entra, siga as etapas descritas em Comandos do MS Graph para certificatebasedauthconfiguration.

Validar a configuração da autoridade de certificação

Verifique se a configuração permite que o Microsoft Entra CBA:

  • Valide a cadeia de confiança da AC
  • Obtém a CRL (lista de certificados revogados) do CDP (ponto de distribuição de CRL) da autoridade de certificação configurada

Para validar a configuração AC, é recomendável instalar o módulo Ferramentas de MSIdentity do PowerShell e executar Test-MsIdCBATrustStoreConfiguration. Este cmdlet do PowerShell analisa a configuração AC de locatário do Microsoft Entra. Ele relata erros e avisos para configurações incorretas comuns.

Conteúdo relacionado

Como fazer para configurar a autenticação baseada em certificado do Microsoft Entra