Zertifikate
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Wert: true (Standard) oder false
Beschreibung: Sollen Zertifikate die Erweiterungen 1.2.840.113556.5.14 (AAD Mandanten-ID) und 1.2.840.113556.1.5.284.2 (AAD Geräte-ID) enthalten?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Wert: true oder false (Standard)
Beschreibung: Diese Einstellung legt fest, ob Zertifikate die Erweiterung 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) des Benutzers) haben können. Diese Erweiterung ist erforderlich, um zu mildern Certifried-Angriffe wenn Zertifikate für die lokale AD-Benutzerauthentifizierung verwendet werden.
Wenn dies auf false gesetzt ist, wird SCEPman niemals Zertifikate mit dieser Erweiterung ausstellen. Wenn dies auf true gesetzt ist, kann SCEPman Zertifikate mit dieser Erweiterung in zwei Fällen ausstellen:
Erstens beim Registrieren von Benutzerzertifikaten über Intune und das AAD-Objekt des Benutzers enthält eine SID im Attribut OnPremisesSecurityIdentifier. Wenn das AAD-Objekt des Benutzers keine SID enthält, zum Beispiel bei einem reinen Cloud-Benutzer, stellt SCEPman kein Zertifikat mit dieser Erweiterung aus. Gleiches gilt für den static-aad-Endpunkt.
Zweitens beim Registrieren von Benutzerzertifikaten über andere SCEP-Endpunkte und das CSR enthält die Erweiterung bereits. Beispiele sind der Static SCEP Endpunkt und manuelle Zertifikatsanforderungen über Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Wert: Ganze Zahl
Beschreibung: Die maximale Anzahl von Tagen, für die ein ausgestelltes Zertifikat gültig ist. Standardmäßig ist diese Einstellung auf 730 Tage. Wenn die Einstellung nicht verfügbar ist (ältere SCEPman-Installationen), beträgt die Gültigkeitsdauer 200 Tage. SCEPman stellt niemals Zertifikate mit einer längeren Gültigkeitsdauer aus als der hier definierte Wert. Es gibt jedoch Möglichkeiten, die Gültigkeit für bestimmte Zertifikate zu verkürzen.
Sie können kürzere Gültigkeitszeiträume in jedem SCEP-Profil in Intune konfigurieren, wie im Microsoft-Dokumentation.
iOS/iPadOS- und macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Daher müssen Sie diese Einstellung in SCEPman konfigurieren, wenn Sie für Ihre iOS/iPadOS- und macOS-Geräte andere Gültigkeitsdauern als 200 Tage wünschen. Bitte lesen Sie iOS/iPadOS für weitere Details, wo wir einen höheren Wert empfehlen.
Sie können auch konfigurieren kürzere Gültigkeitszeiträume für jeden SCEP-Endpunkt. Standardmäßig sind für jeden Endpunkt folgende Werte gesetzt:
Jamf
<Nicht gesetzt>
730 (globale Einstellung)
Static
<Nicht gesetzt>
730 (globale Einstellung)
SCEPman erstellt das CA-Root-Zertifikat während der Erstinstallation. Sollte aus irgendeinem Grund alternatives CA-Schlüsselmaterial verwendet werden sollen, ist es möglich, diesen CA-Schlüssel und das Zertifikat mit Ihrem eigenen im Azure Key Vault zu ersetzen. Zum Beispiel, wenn Sie ein Sub-CA-Zertifikat verwenden möchten, das von einer vorhandenen internen Root-CA signiert wurde.
<Nicht gesetzt>
730 (globale Einstellung)
Das untenstehende Bild zeigt, wie SCEPman die Zertifikatsgültigkeitsdauer begrenzt; zuerst auf Ebene des einzelnen Endpunkts und anschließend global.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Wert: Positiv Ganze Zahl
Standard: 50
Beschreibung: Wenn mehr SCEP-Anfragen bei SCEPman eingehen, dauert die Bearbeitung jeder Anfrage länger. Bei hoher Anfragerate, z. B. unmittelbar nach Zuweisung eines SCEP-Konfigurationsprofils an eine große Anzahl von Geräten, kann die Verarbeitung so lange dauern, dass Anfragen ablaufen. Die Clients werden ihre fehlgeschlagenen Anfragen erneut versuchen, was die Anfragerate über dem kritischen Überlastungsniveau halten kann.
Mit dieser Einstellung bearbeitet SCEPman nur diese Anzahl von SCEP-Anfragen parallel. Bei mehr Anfragen gibt SCEPman HTTP 329 (Too Many Requests) zurück. Intune-basierte Clients versuchen die Ausstellung des Zertifikats in diesem Fall später erneut, sodass in der Regel keine Anfrage verloren geht. Dies stellt sicher, dass SCEPman Anfragen rechtzeitig abschließen kann und die Möglichkeit hat, die Warteschlange abzuarbeiten.
Die optimale Einstellung hängt von der Leistung des App Service Plans ab. Als Faustregel ist 12 ein guter Grenzwert für eine einzelne Instanz auf einem S1 App Service Plan. Beachten Sie, dass ein zu niedriger Wert ein automatisches Hochskalieren verhindern kann, da er die Ressourcennutzung auf einen Wert unterhalb der Schwellenwerte reduzieren kann.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Wert: Positiv Ganze Zahl
Standard: 1440
Beschreibung: Wenn SCEPman ein Zertifikat ausstellt, beginnt dessen Gültigkeit 24 Stunden (1440 Minuten) früher als das Ausstellungsdatum. Dies liegt daran, dass die Uhr des Clients langsamer laufen kann als die von SCEPman und dann annehmen könnte, dass das Zertifikat noch nicht gültig ist. Einige Plattformen verwerfen ungültige Zertifikate sofort, selbst wenn sie wenige Sekunden später gültig werden.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Wert: true oder false
Beschreibung: Sollen die Key Usage- und Extended Key Usage-(EKU)-Erweiterungen in den Zertifikaten wie angefordert gesetzt werden, oder soll SCEPman diese festlegen?
True: Die Key Usage- und Extended Key Usage-Erweiterungen in den Zertifikaten werden von der MDM-Lösung definiert. False: Key Usage ist immer Key Encipherment + Digitale Signatur. Extended Key Usage ist immer Client-Authentifizierung.
iOS/iPadOS-Geräte unterstützen keine benutzerdefinierten Extended Key Usages (auch wenn sie im Intune-Profil konfiguriert sind und AppConfig:UseRequestedKeyUsages Sie müssen diese Konfigurationsvariablen setzen, andernfalls werden die angeforderte Schlüsselverwendung und die erweiterte Gültigkeitsdauer im SCEP-Profil von SCEPman nicht beachtet: Wahr). Daher werden deren Zertifikate immer Client-Authentifizierung als Extended Key Usage haben.
Zuletzt aktualisiert
War das hilfreich?