# Zertifikate

{% hint style="info" %}
Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie [SCEPman Settings](https://docs.scepman.com/de/scepman-konfiguration/application-settings).
{% endhint %}

## AppConfig:AddMicrosoftAADExtensions

*Linux: AppConfig\_\_AddMicrosoftAADExtensions*

**Wert:** *true* (Standard) oder *false*

**Beschreibung:** Sollen Zertifikate die Erweiterungen 1.2.840.113556.5.14 (AAD Mandanten-ID) und 1.2.840.113556.1.5.284.2 (AAD Geräte-ID) enthalten?

## AppConfig:AddSidExtension

*Linux: AppConfig\_\_AddSidExtension*

{% hint style="info" %}
Gilt für Version 2.5 und höher
{% endhint %}

**Wert:** *true* oder *false* (Standard)

**Beschreibung:** Diese Einstellung bestimmt, ob Zertifikate die Erweiterung 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) des Benutzers) enthalten können. Diese Erweiterung ist erforderlich, um zu mindern [Certifried-Angriffe](https://docs.scepman.com/de/sonstiges/troubleshooting/certifried) wenn Zertifikate für die lokale AD-Benutzerauthentifizierung verwendet werden.

Wenn dies auf false gesetzt ist, wird SCEPman niemals Zertifikate mit dieser Erweiterung ausstellen. Wenn dies auf true gesetzt ist, kann SCEPman Zertifikate mit dieser Erweiterung in zwei Fällen ausstellen:

Erstens, wenn Benutzerzertifikate über Intune ausgerollt werden und das AAD-Objekt des Benutzers einen SID im Attribut enthält *OnPremisesSecurityIdentifier*. Wenn das AAD-Objekt des Benutzers keinen SID enthält, beispielsweise wenn es sich um einen rein cloudbasierten Benutzer handelt, wird SCEPman kein Zertifikat mit dieser Erweiterung ausstellen. Dasselbe gilt für das [static-aad-Endpunkt](https://docs.scepman.com/de/scepman-konfiguration/application-settings/scep-endpoints/staticaad-validation).

Zweitens, wenn Benutzerzertifikate über andere SCEP-Endpunkte ausgerollt werden und die CSR die Erweiterung bereits enthält. Beispiele sind der Static SCEP-Endpunkt und manuelle Zertifikatanforderungen über Certificate Master.

## AppConfig:ValidityPeriodDays

*Linux: AppConfig\_\_ValidityPeriodDays*

**Wert:** *Ganzzahl*

**Beschreibung:**\
Die maximale Anzahl von Tagen, für die ein ausgestelltes Zertifikat gültig ist. Standardmäßig ist diese Einstellung auf **730 Tage**gesetzt. Wenn die Einstellung nicht verfügbar ist (ältere Installationen von SCEPman), beträgt die Gültigkeitsdauer **200 Tage**. SCEPman stellt niemals Zertifikate mit einer längeren Gültigkeit aus als der hier definierte Wert. Es gibt jedoch Möglichkeiten, die Gültigkeit für bestimmte Zertifikate zu reduzieren.

Sie können kürzere Gültigkeitszeiträume in jedem SCEP-Profil in Intune konfigurieren, wie in der [Microsoft-Dokumentation](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template).

{% hint style="warning" %}
iOS-/iPadOS- und macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Daher müssen Sie diese Einstellung in SCEPman konfigurieren, wenn Sie für Ihre iOS-/iPadOS- und macOS-Geräte eine andere Gültigkeitsdauer als 200 Tage wünschen. Bitte lesen Sie [ios](https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune/ios "mention") für weitere Details, wo wir einen höheren Wert empfehlen.
{% endhint %}

Sie können auch **kürzere** Gültigkeitszeiträume für jeden SCEP-Endpunkt konfigurieren. Standardmäßig sind für jeden Endpunkt die folgenden Werte gesetzt:

| Endpunkt           | Parameter                                                                                                                                                                         | Gültigkeit in Tagen       |
| ------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------- |
| Intune             | [AppConfig:IntuneValidation:ValidityPeriodDays](https://docs.scepman.com/de/scepman-konfiguration/scep-endpoints/intune-validation#appconfig-intunevalidation-validityperioddays) | 365                       |
| Jamf               | \<Nicht festgelegt>                                                                                                                                                               | 730 (globale Einstellung) |
| Static             | \<Nicht festgelegt>                                                                                                                                                               | 730 (globale Einstellung) |
| Certificate Master | \<Nicht festgelegt>                                                                                                                                                               | 730 (globale Einstellung) |

Das folgende Bild zeigt, wie SCEPman die Gültigkeitsdauer von Zertifikaten begrenzt: zunächst auf Endpunkt-Ebene und anschließend global.

<figure><img src="https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-f081c17fe656bb288df20f9e8b4df6fb81aef92b%2FSCEPman%20Certificate%20Validity.jpg?alt=media" alt=""><figcaption></figcaption></figure>

## AppConfig:ConcurrentSCEPRequestLimit

*Linux: AppConfig\_\_ConcurrentSCEPRequestLimit*

**Wert:** Positiv *Ganzzahl*

**Standard:** 50

**Beschreibung:** Wenn mehr SCEP-Anfragen bei SCEPman eingehen, dauert es länger, bis jede einzelne Anfrage abgeschlossen ist. Bei hoher Anfragerate, z. B. direkt nachdem einem großen Anzahl von Geräten ein SCEP-Konfigurationsprofil zugewiesen wurde, kann die Verarbeitung der Anfragen so lange dauern, dass sie ein Timeout auslösen. Die Clients versuchen ihre fehlgeschlagenen Anfragen erneut, wodurch die Anfragerate möglicherweise über dem kritischen Überlastungsniveau bleibt.

Mit dieser Einstellung verarbeitet SCEPman nur diese Anzahl von SCEP-Anfragen parallel. Wenn es mehr Anfragen gibt, gibt SCEPman HTTP 329 (Too Many Requests) zurück. Intune-basierte Clients versuchen die Zertifikatsausstellung in diesem Fall später erneut, sodass in der Regel keine Anfrage verloren geht. Dadurch wird sichergestellt, dass SCEPman Anfragen rechtzeitig abschließen kann und die Chance hat, die Warteschlange abzuarbeiten.

## AppConfig:ValidityClockSkewMinutes

*Linux: AppConfig\_\_ValidityClockSkewMinutes*

**Wert:** Positiv *Ganzzahl*

**Standard:** 1440

**Beschreibung:** Wenn SCEPman ein Zertifikat ausstellt, beginnt dessen Gültigkeit 24 Stunden (1440 Minuten) vor dem Ausstellungsdatum. Das liegt daran, dass die Uhr des Clients langsamer laufen kann als die von SCEPman und dann annimmt, dass das Zertifikat noch nicht gültig ist. Einige Plattformen verwerfen ungültige Zertifikate sofort, auch wenn sie wenige Sekunden später gültig werden.

## AppConfig:UseRequestedKeyUsages

*Linux: AppConfig\_\_UseRequestedKeyUsages*

**Wert:** *true* oder *false*

**Beschreibung:** Sollen die Zertifikate die Erweiterungen Key Usage und Extended Key Usage (EKU) wie angefordert enthalten, oder soll SCEPman sie definieren?

**True:** Die Erweiterungen Key Usage und Extended Key Usage in den Zertifikaten werden von der MDM-Lösung definiert.\
**False:** Key Usage ist immer *Key Encipherment* + *Digital Signature*. Extended Key Usage ist immer *Client Authentication*.

{% hint style="warning" %}
iOS-/iPadOS-Geräte unterstützen keine benutzerdefinierten Extended Key Usages (selbst wenn sie im Intune-Profil und [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") gesetzt auf **True**). Daher werden ihre Zertifikate immer *Client Authentication* als Extended Key Usage haben.
{% endhint %}