# Statische-AAD-Validierung {% hint style="warning" %} Nur für SCEPman Enterprise-Kunden {% endhint %} {% hint style="info" %} Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie [SCEPman Settings](https://docs.scepman.com/de/scepman-konfiguration/application-settings). {% endhint %} ## AppConfig:StaticAADValidation:Enabled *Linux: AppConfig\_\_StaticAADValidation\_\_Enabled* {% hint style="info" %} Gilt für Version 2.2 und höher {% endhint %} **Wert:** *true* oder *false* **Beschreibung:** Diese Einstellung hilft Ihnen, Zertifikate von anderen MDM-Systemen ähnlich wie über den statischen Endpunkt anzufordern, aber die Gültigkeitsdauer der Zertifikate ist an AAD-Objekte (Benutzer oder Geräte) gebunden. Der Zertifikatsgegenstand muss eine AAD-Geräte-ID enthalten oder der Subject Alternative Name muss die UPN eines Benutzers enthalten, genau wie bei Intune-Zertifikaten. * **True**: SCEPman lauscht am zusätzlichen SCEP-Server-Endpunkt mit dem Pfad `/static/aad`. Verwenden Sie dies in Verbindung mit [AppConfig:StaticAADValidation:RequestPassword](#appconfig-staticaadvalidation-requestpassword). * **False** (Standard): SCEPman stellt für andere MDM-Systeme keine AAD-gebundenen Zertifikate aus. ## AppConfig:StaticAADValidation:DefaultEkus *Linux: AppConfig\_\_StaticAADValidation\_\_DefaultEkus* {% hint style="info" %} Gilt für Version 2.8 und höher {% endhint %} **Wert:** OIDs der erweiterten Schlüsselverwendungen (EKUs), die dem Zertifikat hinzugefügt werden, wenn der Static-AAD-Endpunkt verwendet wird. Die OIDs werden durch ein Komma, Semikolon oder Leerzeichen getrennt. Der Standard ist Client Authentication (1.3.6.1.5.5.7.3.2) **Beschreibung:** Wenn eine Zertifikatanforderung keine EKUs enthält, fügt SCEPman dem Zertifikat die in dieser Einstellung definierten EKUs hinzu. Wenn [AppConfig:UseRequestedKeyUsages](https://docs.scepman.com/de/scepman-konfiguration/certificates#appconfig-userequestedkeyusages) nicht auf *false*werden die in dieser Einstellung definierten EKUs dem Zertifikat hinzugefügt, auch wenn die Zertifikatanforderung EKUs enthält. ## AppConfig:StaticAADValidation:DefaultKeyUsage *Linux: AppConfig\_\_StaticAADValidation\_\_DefaultKeyUsage* {% hint style="info" %} Gilt für Version 2.8 und höher {% endhint %} **Wert:** EncipherOnly|CrlSign|KeyCertSign|KeyAgreement|DataEncipherment|*KeyEncipherment*|NonRepudiation|*DigitalSignature*|DecipherOnly (Standardwerte sind in *kursiv*) **Beschreibung:** Wenn eine Zertifikatanforderung keine Key Usage enthält, fügt SCEPman dem Zertifikat die in dieser Einstellung definierte Key Usage hinzu. Wenn [AppConfig:UseRequestedKeyUsages](https://docs.scepman.com/de/scepman-konfiguration/certificates#appconfig-userequestedkeyusages) nicht auf *false*wird die in dieser Einstellung definierte Key Usage dem Zertifikat hinzugefügt, auch wenn die Zertifikatanforderung eine Key Usage enthält. ## AppConfig:StaticAADValidation:RequestPassword *Linux: AppConfig\_\_StaticAADValidation\_\_RequestPassword* {% hint style="info" %} Gilt für Version 2.2 und höher {% endhint %} **Wert:** *Zeichenfolge* **Beschreibung:** Ein Challenge-Passwort, das ein anderes MDM-System in jede SCEP-Anfrage aufnehmen muss, um ein Zertifikat zu erhalten. Nur verwendet, wenn [AppConfig:StaticAADValidation:Enabled](#appconfig-staticaadvalidation-enabled) nicht auf *true*. Wir empfehlen, diese Einstellung als Secret in Azure Key Vault zu definieren. Das Secret muss den Namen *AppConfig--StaticAADValidation--RequestPassword*. ## AppConfig:StaticAADValidation:ValidityPeriodDays *Linux: AppConfig\_\_StaticAADValidation\_\_ValidityPeriodDays* {% hint style="info" %} Gilt für Version 2.2 und höher {% endhint %} **Wert:** Positiv *Ganzzahl* **Beschreibung:** Diese Einstellung reduziert zusätzlich den globalen Wert [ValidityPeriodDays](https://docs.scepman.com/de/scepman-konfiguration/certificates#appconfig-validityperioddays) für den Static-AAD-Endpunkt. ## AppConfig:StaticAADValidation:EnableCertificateStorage *Linux: AppConfig\_\_StaticAADValidation\_\_EnableCertificateStorage* {% hint style="info" %} Gilt ab Version 2.3 und höher nur SCEPman Enterprise Edition {% endhint %} **Wert:** *true* oder *false* (Standard) **Beschreibung:** Wenn Zertifikate über den Static-AAD-Endpunkt angefordert werden, speichert SCEPman diese angeforderten Zertifikate im Storage Account in Azure, wenn dies auf *true*. Dies führt dazu, dass die ausgestellten Zertifikate im SCEPman Certificate Master erscheinen, wo Sie sie manuell anzeigen und widerrufen können. Zusätzlich werden Zertifikate automatisch widerrufen, wenn das entsprechende AAD-Objekt deaktiviert oder gelöscht wird. Wenn auf *false* gesetzt oder nicht gesetzt, speichert SCEPman ausgestellte Zertifikate nicht, und die Zertifikate sind nur in den Protokollen sichtbar oder wenn der SCEP-Client sie irgendwo speichert.