Utiliser votre propre CA pour Device Access

Si vous choisissez de ne pas utiliser Okta comme autorité de certification (CA), vous pouvez utiliser votre propre CA pour Device Access.

Procédure

  1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Cliquez sur l'onglet Autorité de certification.

  3. Cliquez sur Ajouter une autorité de certification.

  4. Sélectionnez le bouton Device Access

  5. Cliquez sur Parcourir, puis sélectionnez le fichier de certificat approprié à charger. Okta charge automatiquement les certificats ; un message s'affiche si le chargement a réussi.

    Pour afficher les détails du certificat, cliquez sur Voir les détails de la chaîne de certificats racine.

  6. Cliquez sur Enregistrer.

Déployer des certificats

L'utilisation de votre propre CA pour Device Access suit le même processus que celui décrit dans Utiliser votre propre autorité de certification pour les appareils gérés.

Trois changements mineurs sont nécessaires pour que vous puissiez utiliser le CA spécifiquement pour Okta Device Access :

  1. Avant de charger le certificat vers Okta dans l'Admin Console, sélectionnez Device Access.

  2. Dans votre logiciel MDM, assurez-vous que le certificat est déployé au Niveau Ordinateur.

  3. Ignorez les étapes qui concernent la gestion des points de terminaison.

Si vous ne parvenez pas à vérifier qu'un certificat a été déployé avec les paramètres requis, passez en revue les étapes de la tâche. Assurez-vous que vous sélectionnez Device Access dans Okta Admin Console et que les certificats sont définis au Niveau Ordinateur dans votre MDM.

Ajouter une extension de certificat personnalisée

Une fois le certificat chargé, ajoutez une extension de certificat personnalisée aux certificats client émis pour vous assurer que Device Access peut localiser et sélectionner le bon certificat.

Ajoutez les valeurs suivantes à l'extension du certificat :

  • OID d'extension : 1.3.6.1.4.1.51150.13.1

  • Valeur d'extension : 1 (entier)

Si vous configurez Okta en tant autorité de certification pour Device Acces, Okta effectue cette étape pour vous.

Le format de l'extension de certificat varie selon votre fournisseur CA Consultez la documentation de votre fournisseur pour connaître le bon format à utiliser.

Services de certificat Active Directory

Si vous utilisez les services de certificats Windows Active Directory (AD CS) en tant CA, vous devez ajouter l'extension OID suivante à l'extension de certificat EKU (Extended key usage) :

  • OID d'extension : 1.3.6.1.4.1.51150.13.1.1

Si vous utilisez une autre CA que la CA Windows, cette extension supplémentaire n'est pas nécessaire.

Exemple

L'exemple suivant présente une extension de certificat personnalisée pour DigiCert :

Copier 
  {
      "oid": "1.3.6.1.4.1.51150.13.1",
      "modèle": {
        "type": "ENTIER",
        "valeur": "1"
      }
  }

Étapes suivantes

Configurer une autorité de certification

Certificats clients

FAQ sur l'attestation de gestion