API-Registrierung
Verwenden Sie diese REST-API unter Verwendung von Microsoft-Identitäten zur Authentifizierung, um Zertifikate zu registrieren, als Alternative zu den SCEP-Endpunkten, die die SCEP-Authentifizierung erfordern.
Nur SCEPman Enterprise Edition
SCEPman verfügt über eine REST-API zur Ausstellung von Zertifikaten. Dies ist eine Alternative zu den SCEP-Endpunkten, die die SCEP-artige Authentifizierung erfordern, während die REST-API Microsoft-Identitäten für die Authentifizierung verwendet. Das Protokoll ist zudem wesentlich einfacher als SCEP.
Voraussetzungen
1. Dienstprinzipal
API-Berechtigungen
CSR.Request.Db
Weisen Sie die erforderlichen Berechtigungen zu, indem Sie das Register-SCEPmanApiClient Cmdlet aus dem SCEPman PowerShell-Modul ausführen.
Nach Abschluss der Konfiguration stellen Sie sicher, die SCEP-Server-URL in Ihrem/ Ihren SCEP-Profil(en) in Intune zu aktualisieren. Die neue URL sollte die von Ihnen erstellte benutzerdefinierte Domain mit "/certsrv/mscep/mscep.dll" am Ende sein.
Register-SCEPmanApiClient -ServicePrincipalId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxServicePrincipalId
Das Objekt-ID des ergänzenden Enterprise-Anwendung der App-Registrierung, die wir im vorherigen Schritt erstellt haben. Beachten Sie, dass sich dies nicht auf die in der Regel SCEPman-api genannte Enterprise-Anwendung bezieht, die SCEPman selbst identifiziert.
Um diese Berechtigung manuell zuzuweisen, können Sie zu API-Berechtigungen navigieren und eine Berechtigung aus den Berechtigungen hinzufügen, die Ihre Organisation verwendet. Weisen Sie dem Konto, das Sie verwenden, die Rolle CSR.Request.Db Berechtigung von SCEPman-api als Anwendungsberechtigung.
Application.Read.All (Optional)
Dienstprinzipale werden außerdem die Graph-Berechtigung Application.Read.All benötigen, um die automatische Abrufung des API-Scopes von SCEPman für die Authentifizierung zu ermöglichen.
Die Berechtigung kann manuell wie folgt hinzugefügt werden:
2. App Service-Einstellungen
Konfiguration
Erforderlich für die Zertifikatserneuerung
Konfigurieren Sie Ihren SCEPman App Service so, dass mTLS-Clientzertifikate akzeptiert werden. Überprüfen Sie im Konfigurationsbereich des Einstellungsabschnitts, dass der Modus für Clientzertifikate bei Eingehenden Clientzertifikaten auf Optional.
Setzen Sie den Modus für Clientzertifikate nicht auf Erfordern oder Zulassen, da dies den normalen Betrieb von SCEPman an den SCEP-Endpunkten beeinträchtigen würde!
Umgebungsvariablen
Um dieses Szenario nutzen zu können, müssen Sie die folgenden Umgebungsvariablen auf dem SCEPman-App-Service festlegen.
Erforderlich für die Zertifikatanmeldung und -erneuerung
Setzen Sie diese Variable auf true um die Validierung von Certificate Signing Requests (CSRs) zu aktivieren.
Erforderlich für die Zertifikatserneuerung
Setzen Sie diese Variable auf true um Zertifikaterneuerungen zu aktivieren.
Erforderlich für die Zertifikatserneuerung
Setzen Sie diese Variable auf eine durch Kommas getrennte Liste von Zertifikatstypen, für die Sie die Erneuerung zulassen möchten. Siehe die verlinkte Variablendokumentation für eine Liste möglicher Zertifikatstypen.
Nach Abschluss der Konfiguration stellen Sie sicher, die SCEP-Server-URL in Ihrem/ Ihren SCEP-Profil(en) in Intune zu aktualisieren. Die neue URL sollte die von Ihnen erstellte benutzerdefinierte Domain mit "/certsrv/mscep/mscep.dll" am Ende sein. Static,IntuneUser,IntuneDevice
Zertifikate ausstellen
Nachdem Sie die Voraussetzungen vorbereitet haben, können Sie ein PKCS#10/CMS an Ihr SCEPman per POST mit dem HTTP-Pfad senden api/csr. Die HTTP-Antwort wird das frisch ausgestellte Zertifikat in DER-Codierung sein.
SCEPman speichert alle ausgestellten Zertifikate automatisch in seinem Storage Account, sodass Sie sie bequem über die Certificate Master-Komponente auflisten und widerrufen können.
Eine bequeme Methode, diese Anfragen zu senden, ist unser SCEPmanClient PowerShell-Modul:
hinzugefügt wurden. Diese Operation kann mit demWeitere Beispiele
Siehe unser Open-Source-Beispielbibliothek auf GitHub um herauszufinden, wie man SCEPmans REST-API verwendet.
Zuletzt aktualisiert
War das hilfreich?