Eliminación de la entidad de certificación de PKI en la nube de Microsoft

Elimine una entidad de certificación (CA) raíz y emisora del servicio PKI en la nube de Microsoft en Microsoft Intune. Puede usar las siguientes acciones en el Centro de administración de Microsoft Intune para administrar entidades de certificación (CA) en el inquilino:

  • Pausar ca: pausar la ca para detener el uso de ella.
  • Revocación de ca: revoque todos los certificados hoja activos y, a continuación, revoque la entidad de certificación.
  • Eliminar CA: elimine y quite la entidad de certificación de Microsoft Intune.

No se puede eliminar una ENTIDAD de certificación raíz hasta que se eliminen todas las CA emisoras delimitadas. Si cambia de opinión después de pausar una CA, puede despausarla para reanudar el uso. Sin embargo, revocar y eliminar una ENTIDAD de certificación son acciones permanentes y no se pueden deshacer.

En este artículo se describe cómo eliminar una entidad de certificación emisora y una ENTIDAD de certificación raíz de Microsoft Intune mediante las acciones disponibles en el Centro de administración.

Requisitos de acceso basado en rol

Estos roles de administrador pueden eliminar entidades de certificación en el Centro de administración de Microsoft Intune:

  • Administrador de Intune, un rol integrado de Microsoft Entra
  • Rol de Intune personalizado, al que se han asignado los siguientes permisos de Intune:
    • Leer CA
    • Deshabilitar y volver a habilitar ca
    • Revocación de certificados hoja emitidos

Eliminar entidad de certificación emisora

Quite permanentemente una entidad de certificación emisora de Microsoft Intune. Si intenta eliminar una ENTIDAD de certificación raíz, complete estos pasos primero para eliminar la entidad de certificación emisora anclada a ella.

  1. Vaya a Administración de inquilinos>PKI en la nube.

  2. Seleccione una entidad de certificación emisora activa en la lista de CA disponibles. Al seleccionar una CA, se abren las acciones disponibles.

  3. Seleccione Pausar.

    Captura de pantalla de ejemplo que resalta la acción Pausar para PKI en la nube.

  4. Seleccione Pausar de nuevo cuando se le pida que confirme.

    Nota:

    Después de pausar una entidad de certificación emisora:

    • No puede emitir certificados hoja.
    • Sigue respondiendo a solicitudes de lista de revocación de certificados (CRL) y solicitudes de AIA.
  5. Vuelva a la lista de CA y elija Actualizar. A continuación, busque en la columna Estado para confirmar que la entidad de certificación emisora está en pausa.

    Captura de pantalla de ejemplo en la que se resalta la columna Estado de la tabla de CA.

  6. Seleccione la CA en pausa para volver a abrir todas las opciones disponibles. Aparecen dos nuevas opciones:

    • Reanudar: esta opción despausa la entidad de certificación y la vuelve a activar.
    • Revocar: esta opción revoca la entidad de certificación emisora.
  7. Seleccione Revocar.

    Sugerencia

    Para que esta acción funcione, todos los certificados hoja activos que pertenecen a la entidad de certificación ya deben revocarse. Para obtener más información y pasos, consulte Revocación de certificados hoja activos en este artículo.

    Captura de pantalla de ejemplo en la que se resalta la acción Revocar para la entidad de certificación.

  8. Seleccione Revocar de nuevo cuando se le pida que lo confirme.

    Importante

    Esta acción no se puede deshacer.

    Nota:

    Después de revocar una entidad de certificación emisora:

    • Sigue respondiendo a las solicitudes de CRL y AIA.
    • Ya no es de confianza para los usuarios de confianza que realizan una operación de cadena de confianza.
    • La CRL de la CA raíz muestra que se revoca el certificado de ca emisora.
    • Todos los certificados hoja existentes emitidos por la CA dejan de autenticarse.
  9. Vuelva a la lista de CA y elija Actualizar. A continuación, busque en la columna Estado para confirmar que se revoca la entidad de certificación emisora.

    Captura de pantalla de ejemplo de la lista de entidades de certificación, en la que se resalta el estado revocado.

  10. Seleccione la entidad de certificación revocada para volver a abrir todas las opciones disponibles.

  11. La opción para eliminar la entidad de certificación debería estar disponible ahora. Seleccione Eliminar para quitar la entidad de certificación de Microsoft Intune.

    Captura de pantalla de ejemplo que resalta la acción de eliminación de una entidad de certificación emisora.

  12. Seleccione Eliminar de nuevo cuando se le pida que lo confirme.

    Importante

    Esta acción no se puede deshacer.

  13. Vuelva a la lista de CA y elija Actualizar. Confirme que la entidad de certificación emisora ya no aparece en la lista.

Eliminación de la entidad de certificación raíz

Quite permanentemente una ENTIDAD de certificación raíz de Microsoft Intune.

Sugerencia

Elimine todas las ca emisoras ancladas antes de eliminar la ca raíz.

  1. Vaya a Administración de inquilinos>PKI en la nube.

  2. Seleccione una CA raíz en la lista de CA disponibles. Al seleccionar una CA, se abren las acciones disponibles.

    Captura de pantalla de ejemplo de la lista de entidades de certificación, resaltando una CA raíz.

  3. Seleccione Eliminar para quitar la entidad de certificación de Microsoft Intune.

    Captura de pantalla de ejemplo del centro de administración que resalta la acción de eliminación de la CA raíz.

  4. Seleccione Eliminar de nuevo cuando se le pida que lo confirme.

    Importante

    Esta acción no se puede deshacer.

  5. Vuelva a la lista de CA y elija Actualizar. Confirme que la entidad de certificación raíz ya no aparece en la lista.

Revocación de certificados hoja activos

Al intentar revocar una entidad de certificación emisora, es importante revocar primero todos sus certificados hoja activos. Puede revocar un certificado hoja a la vez de una entidad de certificación emisora, o puede revocar de forma masiva los certificados hoja.

Revocación de un certificado hoja

  1. En el Centro de administración de Microsoft Intune, vaya a Administración de inquilinos>PKI en la nube.
  2. Seleccione una entidad de certificación emisora.
  3. Elija Ver todos los certificados.
  4. Seleccione un certificado hoja activo y, a continuación, elija Revocar. Repita este paso en cada certificado hoja restante.

Revocación de todos los certificados hoja

Puede usar el script de PowerShell de ejemplo de esta sección para revocar todos los certificados hoja que pertenecen a una CA. El script recupera información del inquilino de Microsoft Intune sobre la PKI de Microsoft Cloud y revoca certificados hoja para una entidad de certificación emisora en el inquilino.

  • El script recupera todos los certificados hoja y realiza la acción de revocación en cada uno de ellos.
  • El script le pide, como administrador, que confirme que desea revocar todos los certificados hoja.
  • El script tiene una configuración opcional que puede incluir que envía un mensaje de confirmación para cada certificado. La sección del script se comenta en el ejemplo, así que vuelva a agregarla si desea ejecutar esa parte.

Importante

Use este script con precaución. No se puede deshacer la acción de revocación para ninguno de los certificados hoja.

  • Revise el script de ejemplo antes de ejecutarlo para comprender mejor cómo funciona y para tener en cuenta cómo afecta al inquilino.
  • Ejecute primero el script de ejemplo en una cuenta de inquilino que no sea de producción o de prueba.

El script instala el módulo de PowerShell de Microsoft Graph, Microsoft.Graph. El dispositivo que ejecuta el script debe tener privilegios administrativos para instalar correctamente el módulo.

El Connect-MgGraph comando debe ser emitido por un administrador que tenga permiso para revocar certificados hoja en la entidad de certificación emisora.

El identificador de ca es necesario para ejecutar el script. Para encontrar esta información en el centro de administración:

  1. Vaya a Administración de inquilinos>PKI en la nube.

  2. Seleccione una entidad de certificación emisora.

  3. Examine la dirección URL del explorador para buscar el identificador de ca. La cadena alfanumérica con guiones al final de la dirección URL es el identificador de ca. Por ejemplo, en la siguiente dirección URL, el identificador de CA es f12345-acf1-12ab-1b2a-1a1234567a89:

    https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Script de ejemplo

Ejecute el script de PowerShell de ejemplo desde una estación de trabajo administrativa. Para ejecutarlo, debe tener los siguientes permisos de Intune:

  • Leer CA
  • Revocación de certificados hoja emitidos
 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}