# Zertifikate {% hint style="info" %} Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte lesen Sie [SCEPman-Einstellungen](/de/scepman-konfiguration/application-settings.md). {% endhint %} ## AppConfig:AddMicrosoftAADExtensions *Linux: AppConfig\_\_AddMicrosoftAADExtensions* **Wert:** *true* (Standard) oder *false* **Beschreibung:** Sollen Zertifikate die Erweiterungen 1.2.840.113556.5.14 (AAD Tenant ID) und 1.2.840.113556.1.5.284.2 (AAD Device ID) haben? ## AppConfig:AddSidExtension *Linux: AppConfig\_\_AddSidExtension* {% hint style="info" %} Gilt für Version 2.5 und höher {% endhint %} **Wert:** *true* oder *false* (Standard) **Beschreibung:** Diese Einstellung bestimmt, ob Zertifikate die Erweiterung 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) des Benutzers) haben können. Diese Erweiterung ist erforderlich, um [Certifried-Angriffe](/de/sonstiges/troubleshooting/certifried.md) zu verhindern, wenn Zertifikate für die lokale AD-Benutzerauthentifizierung verwendet werden. Wenn dies auf false gesetzt ist, stellt SCEPman niemals Zertifikate mit dieser Erweiterung aus. Wenn dies auf true gesetzt ist, kann SCEPman in zwei Fällen Zertifikate mit dieser Erweiterung ausstellen: Erstens, wenn Benutzerzertifikate über Intune registriert werden und das AAD-Objekt des Benutzers einen SID im Attribut enthält *OnPremisesSecurityIdentifier*. Wenn das AAD-Objekt des Benutzers keinen SID enthält, z. B. wenn es sich um einen reinen Cloud-Benutzer handelt, stellt SCEPman kein Zertifikat mit dieser Erweiterung aus. Dasselbe gilt für den [static-aad-Endpunkt](/de/scepman-konfiguration/application-settings/scep-endpoints/staticaad-validation.md). Zweitens, wenn Benutzerzertifikate über andere SCEP-Endpunkte registriert werden und die CSR die Erweiterung bereits enthält. Beispiele sind der Static SCEP-Endpunkt und manuelle Zertifikatsanforderungen über Certificate Master. ## AppConfig:ValidityPeriodDays *Linux: AppConfig\_\_ValidityPeriodDays* **Wert:** *Ganzzahl* **Beschreibung:**\ Die maximale Anzahl an Tagen, für die ein ausgestelltes Zertifikat gültig ist. Standardmäßig ist diese Einstellung auf **730 Tage**gesetzt. Wenn die Einstellung nicht verfügbar ist (ältere Installationen von SCEPman), beträgt die Gültigkeitsdauer **200 Tage**. SCEPman stellt niemals Zertifikate mit einer längeren Gültigkeit aus als dem hier definierten Wert. Es gibt jedoch Möglichkeiten, die Gültigkeit für bestimmte Zertifikate zu verkürzen. Sie können kürzere Gültigkeitszeiträume in jedem SCEP-Profil in Intune konfigurieren, wie in der [Microsoft-Dokumentation](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template). {% hint style="warning" %} beschrieben. iOS/iPadOS- und macOS-Geräte ignorieren die Konfiguration des Gültigkeitszeitraums über Intune. Daher müssen Sie diese Einstellung in SCEPman konfigurieren, wenn Sie für Ihre iOS/iPadOS- und macOS-Geräte andere Gültigkeitszeiträume als 200 Tage wünschen. Bitte lesen Sie [iOS/iPadOS](/de/zertifikatsverwaltung/microsoft-intune/ios.md) für weitere Details, wo wir einen höheren Wert empfehlen. {% endhint %} Sie können auch **kürzere** Gültigkeitszeiträume für jeden SCEP-Endpunkt konfigurieren. Standardmäßig sind für jeden Endpunkt die folgenden Werte festgelegt: | Endpunkt | Parameter | Gültigkeit in Tagen | | ------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------- | | Intune | [AppConfig:IntuneValidation:ValidityPeriodDays](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-validityperioddays) | 365 | | Jamf | \ | 730 (globale Einstellung) | | Static | \ | 730 (globale Einstellung) | | Certificate Master | \ | 730 (globale Einstellung) | Das folgende Bild zeigt, wie SCEPman den Gültigkeitszeitraum von Zertifikaten begrenzt; zuerst auf Endpunktebene und danach global.
## AppConfig:ConcurrentSCEPRequestLimit *Linux: AppConfig\_\_ConcurrentSCEPRequestLimit* **Wert:** Positiv *Ganzzahl* **Standard:** 50 **Beschreibung:** Wenn mehr SCEP-Anfragen bei SCEPman eintreffen, dauert es länger, bis jede Anfrage abgeschlossen ist. Bei hoher Anfragerate, z. B. unmittelbar nachdem einem großen Gerätedatensatz ein SCEP-Konfigurationsprofil zugewiesen wurde, kann die Verarbeitung der Anfragen so lange dauern, dass die Anfragen ein Timeout auslösen. Die Clients versuchen fehlgeschlagene Anfragen erneut, wodurch die Anfragerate über dem kritischen Überlastungsniveau bleiben kann. Mit dieser Einstellung verarbeitet SCEPman nur diese Anzahl von SCEP-Anfragen parallel. Wenn mehr Anfragen vorhanden sind, gibt SCEPman HTTP 329 (Zu viele Anfragen) zurück. Intune-basierte Clients versuchen die Zertifikatsausstellung in diesem Fall später erneut, sodass normalerweise keine Anfrage verloren geht. Dadurch wird sichergestellt, dass SCEPman Anfragen rechtzeitig abschließen kann und die Chance hat, die Warteschlange abzuarbeiten. ## AppConfig:ValidityClockSkewMinutes *Linux: AppConfig\_\_ValidityClockSkewMinutes* **Wert:** Positiv *Ganzzahl* **Standard:** 1440 **Beschreibung:** Wenn SCEPman ein Zertifikat ausstellt, beginnt dessen Gültigkeit 24 Stunden (1440 Minuten) früher als das Ausstellungsdatum. Das liegt daran, dass die Uhr des Clients langsamer laufen kann als die von SCEPman und dann davon ausgeht, dass das Zertifikat noch nicht gültig ist. Einige Plattformen verwerfen ungültige Zertifikate sofort, selbst wenn sie wenige Sekunden später gültig werden. ## AppConfig:UseRequestedKeyUsages *Linux: AppConfig\_\_UseRequestedKeyUsages* **Wert:** *true* (Standard) oder *false* **Beschreibung:** Sollen die Zertifikate die Erweiterungen Key Usage und Extended Key Usage (EKU) wie angefordert enthalten, oder soll SCEPman sie definieren? **True:** Die Erweiterungen Key Usage und Extended Key Usage in den Zertifikaten werden von der MDM-Lösung definiert.\ **False:** Key Usage ist immer *Key Encipherment* + *Digital Signature*. Extended Key Usage ist immer *Client Authentication*. {% hint style="warning" %} iOS/iPadOS-Geräte unterstützen keine benutzerdefinierten Extended Key Usages (selbst wenn sie im Intune-Profil konfiguriert und [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") auf **True**gesetzt sind). Daher werden ihre Zertifikate immer *Client Authentication* als Extended Key Usage haben. {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/de/scepman-konfiguration/application-settings/certificates.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.