Configurer une autorité de certification

Une autorité de certification (CA) est une entité de confiance qui gère et émet des certificats numériques. Le certificat numérique indique la propriété des clés publiques et représente une identité en ligne pour l'appareil.

Lors de l'évaluation d'une politique de connexion à des applications qui nécessite des appareils gérés, Okta identifie le statut de gestion de chaque appareil en vérifiant s'il est doté d'un certificat client. Okta atteste de l'installation du certificat en créant une signature numérique avec le certificat et en la validant sur le serveur. La configuration d'une CA vous permet d'émettre des certificats clients aux appareils afin de prendre en charge cette opération. Vous pouvez configurer Okta en tant que CA ou fournir votre propre CA.

Il se peut que les utilisateurs et les appareils soient affichés comme non gérés après le déploiement de vos certificats. Lorsque l'utilisateur s'authentifie et se connecte à Okta FastPass avec succès, les statuts de l'utilisateur et de l'appareil sont mis à jour dans l'Admin Console de façon à refléter l'état géré.

Option 1 : configurer Okta en tant que CA

Configurez Okta en tant que CA si vous souhaitez gagner du temps, rationaliser le mode d'émission des certificats et éviter la complexité et les dépenses liées au déploiement et à la maintenance de votre propre infrastructure à clé publique (PKI).

Lorsqu'un appareil est supprimé d'Universal Directory, le certificat qui était associé à cet appareil ne peut plus être utilisé. Pour pouvoir utiliser le même appareil à l'avenir, vous devez supprimer le certificat qui lui était associé, puis redéployer un nouveau certificat.

Pour configurer Okta en tant que CA, créez un profil SCEP (Simple Certificate Enrollment Protocol) dans votre logiciel de gestion des appareils mobiles (MDM), puis générez une URL SCEP dans Okta. Okta propose les méthodes suivantes pour générer un défi SCEP :

Les configurations de la politique SCEP MDM sont données à titre d'exemple uniquement. Configurez les politiques SCEP en fonction des besoins de votre organisation.
URL SCEP statique : le logiciel MDM assigne le même secret de défi à tous les appareils. Avec cette configuration de gestion des appareils, le secret de défi est partagé entre les appareils. La clé secrète partagée qui a été créé pour la configuration est validé, puis un certificat client unique est émis pour chaque appareil.
Consultez les ressources suivantes :
- Configurer Okta en tant que CA avec défi SCEP statique pour les appareils macOS avec Jamf Pro
- Configurer Okta en tant que CA avec défi SCEP statique pour les appareils Windows utilisant Workspace ONE
URL SCEP dynamique (générique) : le logiciel MDM assigne un secret de défi unique à un appareil. Avec cette configuration, un secret de défi unique de courte durée est généré pour chaque appareil. Ce secret n'est pas partagé avec d'autres appareils. L'appareil peut ensuite racheter le secret de défi pour un certificat client unique.
Consultez la section Configurer Okta en tant que CA avec défi SCEP dynamique pour les appareils macOS avec Jamf Pro.
URL SCEP déléguée (MEM) : Microsoft Endpoint Manager (MEM) génère un secret de défi unique pour chaque requête. Okta vérifie le secret de défi, puis génère un certificat client pour l'appareil.

Okta révoque les certificats d'appareils qui ont été émis mais n'ont pas été utilisés pour une authentification réussie dans les 90 jours.

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer le certificat expiré. Toutes les politiques SCEP MDM doivent être configurées de façon à permettre la redistribution des profils.

Consultez les ressources suivantes :

Option 2 : fournir votre propre CA

Lorsque vous fournissez votre propre CA, Okta prend en charge la révocation des certificats. Okta vérifie la liste de révocation des certificats (CRL) pour les certificats révoqués ou en attente, puis empêche ces certificats pour d'envoyer des signaux de gestion. Okta ne prend en charge que les points de terminaison CRL qui utilisent le protocole HTTP ou HTTPS et les CRL qui sont signées par le même certificat intermédiaire que celui que l'administrateur a chargé. Le certificat client doit également inclure l'identificateur de ressource uniforme (URI) du point de distribution du certificat. Lorsque ces conditions sont remplies, Okta télécharge le CRL, puis révoque tous les certificats du CRL. La tâche de révocation des certificats se déroule dans le cadre d'un processus d'arrière-plan qui s'exécute plusieurs fois par jour. Lorsqu'un certificat est marqué comme révoqué, le client ne peut pas l'utiliser pour définir le statut de gestion. Vérifiez les événements du Journal système pour obtenir des détails sur le moment où un certificat est révoqué.

Vous pouvez fournir votre propre CA si votre environnement présente l'une des caractéristiques suivantes :

Un PKI intégré à votre logiciel MDM
Une infrastructure ADCS (Active Directory Certificate Services) existante

Si vous utilisez votre propre CA, son certificat doit remplir les conditions nécessaires suivants :

Non expiré
Prenant en charge les clés RSA ou DSA
Au moins une clé de 2 048 bits
L'extension Basic Constraint (2.5.29.19) indique qu'il s'agit d'une CA (longueur du chemin d'accès >=0)
L'extension KeyUsage (2.5.29.15) inclut la signature des certificats

Supprimez manuellement les CA intermédiaires qui sont révoquées par la CA racine. Elles ne sont pas supprimées automatiquement.

Pour Windows, les certificats clients doivent se trouver dans le magasin de certificats utilisateurs actuel, et non dans le magasin de machines. Si l'utilisation du magasin de machines ne peut être évitée, veillez à ce qu'aucune élévation ne soit requise pour que l'utilisateur accède à la clé privée.

Pour macOS, sélectionnez le niveau approprié pour déployer le certificat client :

Pour vous assurer que tous les utilisateurs de l'appareil sont gérés, sélectionnez Niveau ordinateur.
Si vous souhaitez que seuls les utilisateurs de l'appareil gérés par MDM soient identifiés comme gérés, sélectionnez Niveau utilisateur.

Assurez-vous que le certificat client est disponible pour toutes les applications. Consultez les sections Utiliser votre propre autorité de certification pour les appareils gérés et Paramètres de charge utile SCEP MDM pour les appareils Apple.