Configurer une autorité de certification

Une Autorité de certification (AC) est une entité de confiance qui gère et émet des certificats numériques. Le certificat numérique indique la propriété des clés publiques et représente une identité en ligne pour l'appareil.

Lors de l'évaluation d'une politique de connexion aux applications qui nécessite des appareils gérés, Okta identifie le statut de gestion de chaque appareil en vérifiant s'il est doté d'un certificat client. Okta atteste de l'installation d'un certificat en créant une signature numérique avec le certificat, puis en la validant sur le serveur. La configuration d'une CA vous permet d'émettre des certificats clients aux appareils afin de prendre en charge cette opération. Vous pouvez configurer Okta en tant qu'AC ou fournir votre propre AC.

Il se peut que les utilisateurs et les appareils soient affichés comme unmanaged après le déploiement de vos certificats. Lorsque l'utilisateur s'authentifie et se connecte à Okta FastPass avec succès, les statuts de l'utilisateur et de l'appareil sont mis à jour dans l'Admin Console de façon à refléter l'état managed.

Option : configurer Okta en tant qu'AC

Configurez Okta en tant que CA si vous souhaitez gagner du temps, rationaliser le mode d'émission des certificats et éviter la complexité et les dépenses liées au déploiement et à la maintenance de votre propre infrastructure à clé publique (PKI).

Remarque :

Lorsqu'un appareil est supprimé d'Universal Directory, le certificat qui était associé à cet appareil ne peut plus être utilisé. Pour pouvoir utiliser le même appareil à l'avenir, vous devez supprimer le certificat qui lui était associé, puis redéployer un nouveau certificat.

Pour configurer Okta en tant qu'AC, créez un profil Simple Certificate Enrollment Protocol (SCEP) dans votre logiciel Gestion des appareils mobiles (MDM), puis générez une URL SCEP dans Okta.

Okta propose les méthodes suivantes pour générer un défi SCEP :

URL SCEP statique : le logiciel MDM assigne le même secret de défi à tous les appareils. Avec cette configuration de gestion des appareils, le secret de défi est partagé entre les appareils. La clé secrète partagée qui a été créé pour la configuration est validé, puis un certificat client unique est émis pour chaque appareil.

Consultez les ressources suivantes :
- Configurer Okta en tant qu'AC avec un challenge SCEP statique pour macOS avec Jamf Pro
- Configurer Okta en tant qu'AC avec un challenge SCEP statique pour Windows à l'aide d'Workspace ONE
URL SCEP dynamique : le logiciel MDM assigne une clé secrète de challenge unique à un appareil. Avec cette configuration, un secret de défi unique de courte durée est généré pour chaque appareil. Cette clé secrète n'est pas partagée avec d'autres appareils. L'appareil peut ensuite racheter le secret de défi pour un certificat client unique.

Consultez les ressources suivantes :

Configurer Okta en tant qu'AC avec un challenge SCEP dynamique pour macOSavec Jamf Pro
URL SCEP déléguée : Microsoft Intune génère une clé secrète de challenge unique pour chaque requête. Okta vérifie le secret de défi, puis génère un certificat client pour l'appareil.

Consultez les ressources suivantes :
- Configurer Okta en tant que AC avec un challenge SCEP délégué pour macOS avec Microsoft Intune
- Configurer Okta en tant que AC avec un challenge SCEP délégué pour Windows avec Microsoft Intune

Les configurations de la politique SCEP MDM sont données à titre d'exemple uniquement. Configurez les politiques SCEP en fonction des besoins de votre organisation.

Révocation des certificats avec Okta en tant qu'AC

Oktarévoque les certificats d'appareils qui ont été émis mais n'ont pas été utilisés pour une authentification réussie dans les 90 jours.

Remarque :

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer le certificat expiré. Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.

Option : fournir votre propre AC

Vous pouvez fournir votre propre CA si votre environnement présente l'une des caractéristiques suivantes :

Un PKI intégré à votre logiciel MDM
Une infrastructure ADCS (Active Directory Certificate Services) existante

Si vous utilisez votre propre CA, son certificat doit remplir les conditions nécessaires suivants :

Non expiré
Prenant en charge les clés RSA ou DSA
Au moins une clé de 2 048 bits
L'extension Basic Constraint (2.5.29.19) indique qu'il s'agit d'une CA (longueur du chemin d'accès >=0)
L'extension KeyUsage (2.5.29.15) inclut la signature des certificats

Pour Windows, les certificats client doivent se trouver dans le magasin de certificats utilisateurs actuel, et non dans le magasin de machines. Si l'utilisation du magasin de machines ne peut être évitée, veillez à ce qu'aucune élévation ne soit requise pour que l'utilisateur accède à la clé privée.

Pour macOS, sélectionnez le niveau approprié pour déployer le certificat client :

Pour vous assurer que tous les utilisateurs de l'appareil sont gérés, sélectionnez Niveau ordinateur.
Si vous souhaitez que seuls les utilisateurs de l'appareil gérés par MDM soient identifiés comme gérés, sélectionnez Niveau utilisateur.

Assurez-vous que le certificat client est disponible pour toutes les applications. Consultez Utiliser votre propre autorité de certification pour les appareils gérés et Paramètres de charge utile SCEP MDM pour les appareils Apple.

Révoquer les certificats avec votre propre AC

Lorsque vous fournissez votre propre CA, Okta prend en charge la révocation des certificats. Okta vérifie la liste de révocation des certificats (CRL) pour les certificats révoqués ou en attente, puis empêche ces certificats pour d'envoyer des signaux de gestion. Okta ne prend en charge que les points de terminaison CRL qui utilisent le protocole HTTP ou HTTPS et les CRL signés par le même certificat intermédiaire que celui que l'administrateur a chargé. Le certificat client doit également inclure l'identificateur de ressource uniforme (URI) du point de distribution du certificat.

Lorsque ces conditions sont remplies, Okta télécharge le CRL, puis révoque tous les certificats du CRL. La tâche de révocation des certificats se déroule dans le cadre d'un processus d'arrière-plan qui s'exécute plusieurs fois par jour. Une fois le certificat marqué comme révoqué, le client ne peut pas l'utiliser pour définir le statut de gestion. Vérifiez les événements du Journal système pour obtenir des détails sur le moment où un certificat est révoqué.

Remarque :

Supprimez manuellement toutes les AC intermédiaires révoquées par l'AC racine. Elles ne sont pas supprimées automatiquement.