Utiliser votre propre CA pour Accès à l'appareil

Si vous choisissez de ne pas utiliser Okta en tant qu'Autorité de certification (AC) pour Accès à l'appareil, vous pouvez utiliser votre propre AC.

Remarque :

Vous ne pouvez utiliser votre propre AC qu'avec des appareils Windows.

Pour les appareils macOS, consultez Utiliser Okta comme AC pour Accès à l'appareil .

Commencer cette tâche

Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.
Cliquez sur l'onglet Autorité de certification .
Cliquez sur Ajouter une autorité de certification.
Sélectionnez le bouton Device Access.
Cliquez sur Parcourir, puis sélectionnez le fichier de certificat approprié à charger.

Okta charge automatiquement les certificats ; un message s'affiche si le chargement a réussi.

Pour afficher les détails du certificat, cliquez sur Voir les détails de la chaîne de certificats racine.
Cliquez sur Enregistrer.

Déployer des certificats

L'utilisation de votre propre AC pour Accès à l'appareil suit pratiquement le même processus que celui qui est décrit dans Utiliser votre propre autorité de certification pour les appareils gérés.

Trois changements mineurs sont nécessaires pour que vous puissiez utiliser le CA spécifiquement pour Okta Accès à l'appareil :

Avant de charger le certificat vers Okta dans l'Admin Console, sélectionnez Accès à l'appareil .
Dans votre logiciel MDM, assurez-vous que le certificat est déployé au Niveau Ordinateur.
Ignorez les étapes qui concernent la gestion des points de terminaison.

Si vous ne parvenez pas à vérifier qu'un certificat a été déployé avec les paramètres requis, passez en revue les étapes de la tâche.

Ajouter une extension de certificat personnalisée

Une fois votre certificat chargé, ajoutez une extension de certificat personnalisée aux certificats client émis pour vous assurer que Accès à l'appareil peut localiser et sélectionner le bon certificat.

Ajoutez les valeurs suivantes à l'extension du certificat :

OID d'extension : 1.3.6.1.4.1.51150.13.1
Valeur d'extension : 1 (entier)

Le format de l'extension de certificat varie selon votre fournisseur AC Consultez la documentation de votre fournisseur pour connaître le bon format à utiliser.

Services de certificat Active Directory

Remarque :

L'intégration des services de certificat Active Directory est uniquement prise en charge avec Okta Verify sous Windows.

Si vous utilisez les services de certificats Windows Active Directory (AD CS) en tant CA, vous devez ajouter l'extension OID suivante à l'extension de certificat EKU (Extended key usage) :

OID d'extension : 1.3.6.1.4.1.51150.13.1.1

Consulter Configurer les services de certificats de services Active Directory.

Si vous utilisez une AC autre que l'AC Windows, cette extension supplémentaire n'est pas nécessaire.

Exemple

L'exemple suivant présente une extension de certificat personnalisée pour DigiCert :

 {
      "oid": "1.3.6.1.4.1.51150.13.1",
      "template": {
        "type": "INTEGER",
        "value": "1"
      }
  }

Rubriques connexes

Utiliser Okta en tant qu'AC pour Accès à l'appareil

Configurer les services de certificat Active Directory

Vérifier les déploiements de certificats