Zertifikate
Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte siehe SCEPman-Einstellungen.
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Wert: true (Standard) oder false
Beschreibung: Sollen Zertifikate die Erweiterungen 1.2.840.113556.5.14 (AAD Tenant ID) und 1.2.840.113556.1.5.284.2 (AAD Device ID) enthalten?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Anwendbar auf Version 2.5 und höher
Wert: true oder false (Standard)
Beschreibung: Diese Einstellung legt fest, ob Zertifikate die Erweiterung 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) des Benutzers) enthalten können. Diese Erweiterung ist erforderlich, um Certifried-Angriffe abzumildern, wenn Zertifikate für die lokale AD-Benutzer-Authentifizierung verwendet werden.
Wenn dies auf false gesetzt ist, wird SCEPman niemals Zertifikate mit dieser Erweiterung ausstellen. Wenn dies auf true gesetzt ist, kann SCEPman in zwei Fällen Zertifikate mit dieser Erweiterung ausstellen:
Erstens, beim Ausstellen von Benutzerzertifikaten über Intune, wenn das AAD-Objekt des Benutzers einen SID im Attribut enthält OnPremisesSecurityIdentifier. Wenn das AAD-Objekt des Benutzers keinen SID enthält, zum Beispiel bei einem reinen Cloud-Benutzer, wird SCEPman kein Zertifikat mit dieser Erweiterung ausstellen. Das Gleiche gilt für den static-aad-Endpunkt.
Zweitens, beim Ausstellen von Benutzerzertifikaten über andere SCEP-Endpunkte, wenn die CSR die Erweiterung bereits enthält. Beispiele sind der Static SCEP-Endpunkt und manuelle Zertifikatsanforderungen über den Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Wert: Ganzzahl
Beschreibung: Die maximale Anzahl von Tagen, für die ein ausgestelltes Zertifikat gültig ist. Standardmäßig ist diese Einstellung auf 730 Tage. Wenn die Einstellung nicht verfügbar ist (ältere SCEPman-Installationen), beträgt der Gültigkeitszeitraum 200 Tage. SCEPman stellt niemals Zertifikate mit einer längeren Gültigkeit aus als der hier definierte Wert. Es gibt jedoch Möglichkeiten, die Gültigkeit für bestimmte Zertifikate zu verkürzen.
Sie können kürzere Gültigkeitszeiträume in jedem SCEP-Profil in Intune konfigurieren, wie in der Microsoft-Dokumentation.
iOS/iPadOS- und macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Daher müssen Sie diese Einstellung in SCEPman konfigurieren, wenn Sie andere Gültigkeitszeiträume als 200 Tage für Ihre iOS/iPadOS- und macOS-Geräte wünschen. Bitte lesen Sie iOS/iPadOS für weitere Details, wo wir einen höheren Wert empfehlen.
Sie können auch kürzere Gültigkeitszeiträume für jeden SCEP-Endpunkt konfigurieren. Standardmäßig sind für jeden Endpunkt die folgenden Werte festgelegt:
Jamf
<Nicht gesetzt>
730 (globale Einstellung)
Static
<Nicht gesetzt>
730 (globale Einstellung)
Certificate Master
<Nicht gesetzt>
730 (globale Einstellung)
Das folgende Bild zeigt, wie SCEPman die Zertifikatgültigkeit begrenzt; zunächst auf Ebene des Endpunkts und anschließend global.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Wert: Positiv Ganzzahl
Standard: 50
Beschreibung: Wenn mehr SCEP-Anfragen bei SCEPman eingehen, dauert die Bearbeitung jeder Anfrage länger. Bei hoher Anfragefrequenz, z. B. unmittelbar nach der Zuweisung eines SCEP-Konfigurationsprofils an eine große Anzahl von Geräten, kann die Verarbeitung so lange dauern, dass Anfragen ablaufen. Die Clients werden ihre fehlgeschlagenen Anfragen erneut versuchen, wodurch die Anfragerate über dem kritischen Überlastungsniveau bleiben kann.
Mit dieser Einstellung bearbeitet SCEPman nur diese Anzahl von SCEP-Anfragen parallel. Wenn mehr Anfragen vorhanden sind, gibt SCEPman HTTP 329 (Too Many Requests) zurück. Intune-basierte Clients versuchen in diesem Fall die Zertifikatsausstellung später erneut, sodass normalerweise keine Anfrage verloren geht. Dies stellt sicher, dass SCEPman Anfragen rechtzeitig abschließen kann und die Chance hat, die Warteschlange abzuarbeiten.
Die optimale Einstellung hängt von der Leistung des App Service Plans ab. Als Faustregel ist 12 eine gute Grenze für eine einzelne Instanz auf einem S1 App Service Plan. Beachten Sie, dass ein zu niedriger Wert das automatische Hochskalieren verhindern kann, da er die Ressourcennutzung unter die Schwellenwerte reduzieren könnte.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Wert: Positiv Ganzzahl
Standard: 1440
Beschreibung: Wenn SCEPman ein Zertifikat ausstellt, beginnt dessen Gültigkeit 24 Stunden (1440 Minuten) früher als das Ausstellungsdatum. Dies liegt daran, dass die Uhr des Clients langsamer laufen kann als die von SCEPman und dann annehmen könnte, dass das Zertifikat noch nicht gültig ist. Einige Plattformen verwerfen ungültige Zertifikate sofort, selbst wenn sie einige Sekunden später gültig werden würden.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Wert: true oder false
Beschreibung: Sollen die Zertifikate die Key Usage- und Extended Key Usage (EKU)-Erweiterungen wie angefordert haben, oder soll SCEPman diese festlegen?
True: Die Key Usage- und Extended Key Usage-Erweiterungen in den Zertifikaten werden von der MDM-Lösung definiert. False: Key Usage ist immer Key Encipherment + Digital Signature. Extended Key Usage ist immer Client Authentication.
iOS/iPadOS-Geräte unterstützen keine angepassten Extended Key Usages (auch wenn sie im Intune-Profil konfiguriert und AppConfig:UseRequestedKeyUsages auf True). Daher werden ihre Zertifikate immer Client Authentication als Extended Key Usage haben.
Zuletzt aktualisiert
War das hilfreich?