Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La mejor manera de configurar las entidades de certificación (CA) es con el almacén de confianza basado en PKI (versión preliminar). Puede delegar la configuración con un almacén de confianza basado en PKI en roles con privilegios mínimos. Para obtener más información, consulte Paso 1: Configurar las entidades de certificación con el almacén de confianza basado en PKI (versión preliminar).
Como alternativa, un administrador global puede seguir los pasos descritos en este tema para configurar las entidades de certificación mediante el Centro de administración Microsoft Entra o las API REST de Microsoft Graph y los kits de desarrollo de software (SDK) admitidos, como Microsoft Graph PowerShell.
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esta práctica ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia o cuando no se puede usar un rol existente.
La infraestructura de clave pública (PKI) o el administrador de PKI deben poder proporcionar la lista de entidades de certificación emisoras.
Para asegurarse de que ha configurado todas las CA, abra el certificado de usuario y haga clic en la pestaña Ruta de certificación. Asegúrese de que cada entidad de certificación hasta la raíz esté cargada en el almacén de confianza de Microsoft Entra ID. Se produce un error en la autenticación basada en certificados (CBA) de Microsoft Entra si faltan entidades de certificación.
Configuración de entidades de certificación mediante el Centro de administración Microsoft Entra
Para configurar entidades de certificación para habilitar CBA en el Centro de administración Microsoft Entra, complete los pasos siguientes:
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esta práctica ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia o cuando no se puede usar un rol existente.
Inicie sesión en el Centro de administración de Microsoft Entra como administrador global.
Vaya a Entra ID>Puntuación de seguridad de la identidad>Autoridades de certificación.
Para cargar una autoridad de certificación, seleccione Cargar:
Seleccione el archivo de CA.
Seleccione Sí si la autoridad de certificación es un certificado raíz; de lo contrario, seleccione No.
En Dirección URL de lista de revocación de certificados, establezca la dirección URL accesible desde Internet para la CRL base de la CA, que contiene todos los certificados revocados. Si no se establece la dirección URL, no se producirá un error en la autenticación con certificados revocados.
Para la URL de la Lista de Revocación de Certificados Delta , establezca la dirección URL accesible desde Internet que contenga todos los certificados revocados desde que se publicó la última Lista de Revocación de Certificados base.
Seleccione Agregar.
Para eliminar un certificado de ENTIDAD de certificación, seleccione el certificado y seleccione Eliminar.
Seleccione Columnas para agregar o eliminar columnas.
Nota:
Se produce un error en la carga de una nueva CA si ha expirado alguna CA existente. Debe eliminar cualquier CA expirada y volver a intentar cargar la nueva CA.
Configuración de las autoridades de certificación (CA) mediante PowerShell
Solo se admite un punto de distribución de CRL (CDP) para una entidad de certificación de confianza. CDP solo puede ser direcciones URL HTTP. No se admiten las direcciones URL del Protocolo de estado de certificados en línea (OSCP) ni del Protocolo ligero de acceso a directorios (LDAP).
Para configurar las entidades de certificación en Microsoft Entra ID, para cada entidad de certificación, cargue lo siguiente:
- Parte pública del certificado, en formato .cer
- Las direcciones URL con conexión a Internet en las que se encuentran las listas de revocación de certificados (CRL).
A continuación se presenta el esquema para una entidad de certificación:
class TrustedCAsForPasswordlessAuth
{
CertificateAuthorityInformation[] certificateAuthorities;
}
class CertificateAuthorityInformation
{
CertAuthorityType authorityType;
X509Certificate trustedCertificate;
string crlDistributionPoint;
string deltaCrlDistributionPoint;
string trustedIssuer;
string trustedIssuerSKI;
}
enum CertAuthorityType
{
RootAuthority = 0,
IntermediateAuthority = 1
}
Para la configuración, puede usar Microsoft Graph PowerShell:
Inicie Windows PowerShell con privilegios de administrador.
Instale Microsoft Graph PowerShell:
Install-Module Microsoft.Graph
El primer paso de configuración consiste en establecer una conexión con el inquilino. En cuanto se establece la conexión con el inquilino, puede revisar, agregar, eliminar y modificar las entidades de certificación de confianza definidas en el directorio.
Conexión
Para establecer una conexión con el inquilino, use Connect-MgGraph:
Connect-MgGraph
Recuperar
Para obtener las autoridades de certificación confiables definidas en su directorio, use Get-MgOrganizationCertificateBasedAuthConfiguration.
Get-MgOrganizationCertificateBasedAuthConfiguration
Sumar
Nota:
Se producirá un error en la carga de nuevas CA cuando haya expirado cualquiera de las CA existentes. El administrador de inquilinos debe eliminar las CA expiradas y luego cargar la nueva CA.
Siga los pasos anteriores para agregar una entidad de certificación en el Centro de administración Microsoft Entra.
TipoDeAutoridad
- Use 0 para indicar que se trata de una entidad de certificación raíz.
- Use 1 para indicar que se trata de una entidad de certificación intermedia o emisora.
crlDistributionPoint
Descargue la CRL y compare el certificado de entidad de certificación y la información de la CRL. Asegúrese de que el valor de crlDistributionPoint del ejemplo de PowerShell anterior sea válido para la entidad de certificación que desea agregar.
En la tabla y el gráfico siguientes se muestra cómo asignar la información del certificado de la entidad de certificación a los atributos de la CRL descargada.
| Información sobre el certificado de la entidad de certificación | = | Información sobre la CRL descargada |
|---|---|---|
| Asunto | = | Emisor |
| Identificador de clave del firmante | = | Identificador de clave de la entidad (KeyID) |
Sugerencia
El valor de crlDistributionPoint en el ejemplo anterior es la ubicación http de la lista de revocación de certificados (CRL) de la entidad de certificación. Este valor se puede encontrar en varios lugares:
- En el atributo de punto de distribución (CDP) de la CRL de un certificado emitido desde la entidad de certificación.
Si la entidad de certificación emisora ejecuta Windows Server:
- En las propiedades de la entidad de certificación en la Microsoft Management Console (MMC).
- En la entidad de certificación, al ejecutar
certutil -cainfo cdp. Para obtener más información, consulte certutil.
Para obtener más información, consulte Descripción del proceso de revocación de certificados.
Configuración de entidades de certificación mediante las API de Microsoft Graph
Las API de Microsoft Graph se pueden usar para configurar entidades de certificación. Para actualizar el almacén de confianza de la autoridad certificadora de Microsoft Entra, siga los pasos en los comandos de MSGraph para la configuración de autenticación basada en certificados.
Validación de la configuración de entidad de certificación
Asegúrese de que la configuración permita que la CBA de Microsoft Entra haga lo siguiente:
- Validar la cadena de confianza de la entidad de certificación
- Obtener la lista de revocación de certificados (CRL) desde el punto de distribución de CRL (CDP) de la entidad de certificación configurada
Para validar la configuración de la entidad de certificación, instale el módulo de PowerShell MSIdentity Tools y ejecute Test-MsIdCBATrustStoreConfiguration. Este cmdlet de PowerShell revisa la configuración de entidad de certificación del inquilino de Microsoft Entra. Notifica errores y advertencias para las configuraciones incorrectas comunes.
Contenido relacionado
Configuración de la autenticación basada en certificados de Microsoft Entra