Zertifikate
Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie SCEPman-Einstellungen.
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Wert: true (Standard) oder false
Beschreibung: Sollen Zertifikate die Erweiterungen 1.2.840.113556.5.14 (AAD Mandanten-ID) und 1.2.840.113556.1.5.284.2 (AAD Geräte-ID) enthalten?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Gilt für Version 2.5 und höher
Wert: true oder false (Standard)
Beschreibung: Diese Einstellung bestimmt, ob Zertifikate die Erweiterung 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) des Benutzers) enthalten können. Diese Erweiterung ist erforderlich, um Certifried-Angriffe zu mindern, wenn Zertifikate für die Authentifizierung von AD-Benutzern vor Ort verwendet werden.
Ist dies auf false gesetzt, wird SCEPman niemals Zertifikate mit dieser Erweiterung ausstellen. Ist dies auf true gesetzt, kann SCEPman in zwei Fällen Zertifikate mit dieser Erweiterung ausstellen:
Erstens beim Ausstellen von Benutzerzertifikaten über Intune, wenn das AAD-Objekt des Benutzers eine SID im Attribut enthält OnPremisesSecurityIdentifier. Enthält das AAD-Objekt des Benutzers keine SID, zum Beispiel bei einem Cloud-only-Benutzer, stellt SCEPman kein Zertifikat mit dieser Erweiterung aus. Gleiches gilt für den static-aad-Endpunkt.
Zweitens beim Ausstellen von Benutzerzertifikaten über andere SCEP-Endpunkte, wenn die CSR bereits die Erweiterung enthält. Beispiele sind der Static SCEP-Endpunkt und manuelle Zertifikatsanforderungen über den Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Wert: Ganzzahl
Beschreibung: Die maximale Anzahl von Tagen, für die ein ausgestelltes Zertifikat gültig ist. Standardmäßig ist diese Einstellung auf 730 Tage. Wenn die Einstellung nicht verfügbar ist (ältere SCEPman-Installationen), beträgt die Gültigkeitsdauer 200 Tage. SCEPman stellt niemals Zertifikate mit einer längeren Gültigkeit als den hier definierten Wert aus. Es gibt jedoch Möglichkeiten, die Gültigkeit für bestimmte Zertifikate zu verringern.
Sie können kürzere Gültigkeitsdauern in jedem SCEP-Profil in Intune konfigurieren, wie in der Microsoft-Dokumentation.
iOS/iPadOS- und macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Daher müssen Sie diese Einstellung in SCEPman konfigurieren, wenn Sie andere Gültigkeitsdauern als 200 Tage für Ihre iOS/iPadOS- und macOS-Geräte wünschen. Bitte lesen Sie iOS/iPadOS für weitere Details, in denen wir einen höheren Wert empfehlen.
Sie können außerdem kürzere Gültigkeitsdauern für jeden SCEP-Endpunkt konfigurieren. Standardmäßig sind für jeden Endpunkt die folgenden Werte gesetzt:
Jamf
<Nicht gesetzt>
730 (globale Einstellung)
Static
<Nicht gesetzt>
730 (globale Einstellung)
Certificate Master
<Nicht gesetzt>
730 (globale Einstellung)
Das folgende Bild zeigt, wie SCEPman die Zertifikatsgültigkeitsdauer begrenzt; zuerst auf Endpunkt-Ebene und anschließend global.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Wert: Positiv Ganzzahl
Standard: 50
Beschreibung: Wenn mehr SCEP-Anfragen bei SCEPman eintreffen, dauert die Bearbeitung jeder Anfrage länger. Bei hohen Anfragefrequenzen, z. B. unmittelbar nach der Zuweisung eines SCEP-Konfigurationsprofils an eine große Anzahl von Geräten, kann die Verarbeitung der Anfragen so lange dauern, dass die Anfragen zeitlich ablaufen. Die Clients werden ihre fehlgeschlagenen Anfragen erneut versuchen, was die Anfragefrequenz möglicherweise über dem kritischen Überlastungsniveau hält.
Mit dieser Einstellung arbeitet SCEPman nur an dieser Anzahl von SCEP-Anfragen parallel. Gibt es mehr Anfragen, liefert SCEPman HTTP 329 (Too Many Requests) zurück. Intune-basierte Clients werden in diesem Fall später erneut versuchen, ein Zertifikat auszustellen, sodass in der Regel keine Anfrage verloren geht. Dies stellt sicher, dass SCEPman Anfragen rechtzeitig abschließen kann und eine Chance hat, die Warteschlange abzuarbeiten.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Wert: Positiv Ganzzahl
Standard: 1440
Beschreibung: Wenn SCEPman ein Zertifikat ausstellt, beginnt dessen Gültigkeit 24 Stunden (1440 Minuten) früher als das Ausstellungsdatum. Dies liegt daran, dass die Uhr des Clients langsamer laufen kann als die von SCEPman und dann annimmt, dass das Zertifikat noch nicht gültig ist. Manche Plattformen verwerfen ungültige Zertifikate sofort, auch wenn diese wenige Sekunden später gültig geworden wären.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Wert: true oder false
Beschreibung: Sollen die Zertifikate die Key Usage- und Extended Key Usage (EKU)-Erweiterungen wie angefordert haben, oder soll SCEPman diese definieren?
True: Die Key Usage- und Extended Key Usage-Erweiterungen in den Zertifikaten werden von der MDM-Lösung definiert. False: Key Usage ist immer Key Encipherment + Digital Signature. Extended Key Usage ist immer Client Authentication.
iOS/iPadOS-Geräte unterstützen keine kundenspezifischen Extended Key Usages (auch wenn sie im Intune-Profil konfiguriert und AppConfig:UseRequestedKeyUsages auf True) gesetzt sind. Daher werden ihre Zertifikate immer Client Authentication als Extended Key Usage haben.
Zuletzt aktualisiert
War das hilfreich?