Удаление центра сертификации PKI в Microsoft Cloud

  • Статья

Удалите выдающий и корневой центр сертификации (ЦС) из службы PKI Microsoft Cloud в Microsoft Intune. Вы можете использовать следующие действия в Центре администрирования Microsoft Intune для управления центрами сертификации (ЦС) в клиенте:

  • Приостановка ЦС— приостановите ЦС, чтобы прекратить его использование.
  • Отозвать ЦС. Отмена всех активных конечных сертификатов, а затем отзыв ЦС.
  • Удалить ЦС. Удаление И удаление ЦС из Microsoft Intune.

Корневой ЦС нельзя удалить, пока не будут удалены все привязанные ЦС. Если вы передумаете после приостановки ЦС, его можно отменить, чтобы возобновить использование. Однако отзыв и удаление ЦС являются постоянными действиями, которые нельзя отменить.

В этой статье описывается удаление выдающего ЦС и корневого ЦС из Microsoft Intune с помощью доступных действий в Центре администрирования.

Требования к доступу на основе ролей

Следующие роли администратора могут удалять ЦС в Центре администрирования Microsoft Intune:

  • Администратор Intune, встроенная роль Microsoft Entra
  • Настраиваемая роль Intune, назначаемая следующим разрешениям Intune:
    • Чтение ЦС
    • Отключение и повторное включение ЦС
    • Отзыв выданных конечных сертификатов

Удаление выдающего ЦС

Окончательное удаление выдающего ЦС из Microsoft Intune. Если вы пытаетесь удалить корневой ЦС, сначала выполните эти действия, чтобы удалить выдающий ЦС, привязанный к нему.

  1. Перейдите в раздел Администрирование> клиентаCloud PKI.

  2. Выберите активный выдающий ЦС в списке доступных ЦС. При выборе ЦС открываются доступные действия.

  3. Выберите Пауза.

    Пример снимка экрана, на котором выделено действие Приостановка для облачной PKI.

  4. При появлении запроса на подтверждение нажмите кнопку Приостановить еще раз.

    Примечание.

    После приостановки выдачи ЦС:

    • Он не может выдавать конечные сертификаты.
    • Он продолжает отвечать на запросы списка отзыва сертификатов (CRL) и запросы AIA.

  5. Вернитесь к списку ЦС и нажмите кнопку Обновить. Затем просмотрите столбец Состояние , чтобы убедиться, что выдающий ЦС приостановлен.

    Пример снимка экрана, на котором выделен столбец Состояние в таблице ЦС.

  6. Выберите приостановленный ЦС, чтобы снова открыть все доступные параметры. Появятся два новых параметра:

    • Возобновление. Этот параметр разблокирует ЦС и снова активирует его.
    • Отозвать: этот параметр отменяет выдающий ЦС.

  7. Выберите Отозвать.

    Совет

    Чтобы это действие работало, все активные конечные сертификаты, принадлежащие ЦС, должны быть уже отозваны. Дополнительные сведения и действия см. в статье Отзыв активных конечных сертификатов в этой статье.

    Пример снимка экрана, на котором выделено действие

  8. При появлении запроса на подтверждение нажмите кнопку Отозвать еще раз.

    Важно!

    Это действие не может быть отменено.

    Примечание.

    После отзыва выдающего ЦС:

    • Она продолжает отвечать на запросы CRL и AIA.
    • Он больше не является доверенным для проверяющих сторон, выполняющих операцию цепочки доверия.
    • Список отзыва сертификатов корневого ЦС показывает, что выдающий сертификат ЦС отозван.
    • Все существующие конечные сертификаты, выданные ЦС, перестают проходить проверку подлинности.

  9. Вернитесь к списку ЦС и нажмите кнопку Обновить. Затем просмотрите столбец Состояние , чтобы убедиться, что выдающий ЦС отозван.

    Снимок экрана: пример списка ЦС с выделением отозванного состояния.

  10. Выберите отозванный ЦС, чтобы снова открыть все доступные параметры.

  11. Параметр удаления ЦС должен быть доступен сейчас. Выберите Удалить , чтобы удалить ЦС из Microsoft Intune.

    Пример снимка экрана: выделено действие удаления для выдающего ЦС.

  12. Выберите Удалить еще раз при появлении запроса на подтверждение.

    Важно!

    Это действие не может быть отменено.

  13. Вернитесь к списку ЦС и нажмите кнопку Обновить. Убедитесь, что выдающий ЦС больше не отображается в списке.

Удаление корневого ЦС

Окончательное удаление корневого ЦС из Microsoft Intune.

Совет

Удалите все привязанные ЦС перед удалением корневого ЦС.

  1. Перейдите в раздел Администрирование> клиентаCloud PKI.

  2. Выберите корневой ЦС из списка доступных ЦС. При выборе ЦС открываются доступные действия.

    Снимок экрана: пример списка ЦС с выделением корневого ЦС.

  3. Выберите Удалить , чтобы удалить ЦС из Microsoft Intune.

    Пример снимка экрана центра администрирования с выделенным действием удаления для корневого ЦС.

  4. Выберите Удалить еще раз при появлении запроса на подтверждение.

    Важно!

    Это действие не может быть отменено.

  5. Вернитесь к списку ЦС и нажмите кнопку Обновить. Убедитесь, что корневой ЦС больше не отображается в списке.

Отзыв активных конечных сертификатов

При попытке отозвать выдающий ЦС важно сначала отозвать все активные конечные сертификаты. Вы можете одновременно отозвать один конечный сертификат из выдающего ЦС или массово отозвать конечные сертификаты.

Отзыв конечного сертификата

  1. В Центре администрирования Microsoft Intune перейдите в раздел Администрирование> клиентовCloud PKI.
  2. Выберите выдающий ЦС.
  3. Выберите Просмотреть все сертификаты.
  4. Выберите активный конечный сертификат и нажмите кнопку Отозвать. Повторите этот шаг для каждого оставшегося конечного сертификата.

Отзыв всех конечных сертификатов

Пример скрипта PowerShell в этом разделе можно использовать для отзыва всех конечных сертификатов, принадлежащих ЦС. Скрипт извлекает из клиента Microsoft Intune сведения о Microsoft Cloud PKI и отзывает конечные сертификаты для выдающего ЦС в вашем клиенте.

  • Скрипт извлекает все конечные сертификаты и выполняет действие отзыва для каждого из них.
  • Скрипт предложит вам как администратору подтвердить, что вы хотите отозвать все конечные сертификаты.
  • Скрипт имеет необязательную конфигурацию, которую можно включить, которая отправляет запрос на подтверждение для каждого сертификата. Раздел скрипта закомментирован в примере, поэтому добавьте его обратно, если вы хотите запустить эту часть.

Важно!

Используйте этот скрипт с осторожностью. Отменить действие отзыва для любого из конечных сертификатов нельзя.

  • Просмотрите пример скрипта перед его выполнением, чтобы лучше понять, как он работает, и подумать о том, как он влияет на клиент.
  • Сначала запустите пример скрипта в непроизводственной или тестовой учетной записи клиента.

Скрипт устанавливает модуль Microsoft Graph PowerShell Microsoft.Graph. Устройство, на котором выполняется скрипт, должно иметь права администратора для успешной установки модуля.

Команда Connect-MgGraph должна быть выдана администратором, который имеет разрешение на отзыв конечных сертификатов в выдающем ЦС.

Для запуска скрипта требуется идентификатор ЦС. Чтобы найти эти сведения в Центре администрирования, выполните следующие действия:

  1. Перейдите в раздел Администрирование> клиентаCloud PKI.

  2. Выберите выдающий ЦС.

  3. Просмотрите URL-адрес браузера, чтобы найти идентификатор ЦС. Дефисированная буквенно-цифровая строка в конце URL-адреса является идентификатором ЦС. Например, в следующем URL-адресе идентификатор ЦС — f12345-acf1-12ab-1b2a-1a1234567a89:

    https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Образец сценария

Запустите пример скрипта PowerShell с административной рабочей станции. Чтобы запустить его, необходимо иметь следующие разрешения Intune:

  • Чтение ЦС
  • Отзыв выданных конечных сертификатов
 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}