Self Service Enrollment

Damit Clients Zertifikate für sich selbst ohne SCEP ausstellen können, können sie die SCEPman REST API verwenden. Sie sollten jedoch nicht in der Lage sein, beliebige Zertifikate auszustellen, sondern nur Zertifikate, die an ihre eigene Identität gebunden sind. Daher verfügt die SCEPman API über eine Rolle, die Benutzern/Gruppen zugewiesen werden kann, um dies zu ermöglichen.

Voraussetzungen

• Diese Rolle ist ab SCEPman 2.9 enthalten. Wenn Sie SCEPman vor dieser Version installiert haben, müssen Sie das Installationsskript erneut ausführen, damit diese Rolle angezeigt wird.

Zuweisen von Self-Service-Berechtigungen

Sie können im SCEPman-api App Registration überprüfen, ob die Self-Service-Rolle vorhanden ist:

Sie können Rollen-Zuweisungen für Benutzer und Gruppen in der SCEPman-api Enterprise Application erstellen.

Zertifikatsausstellungsanforderungen

Ein Benutzer mit der Self-Service-Rolle kann Zertifikate nur mit den folgenden Attributen ausstellen. (Dies sind dieselben Attribute, die Sie auswählen würden, wenn Sie Zertifikate über ein SCEP-Profil in Intune beispielsweise ausstellen). Die Gültigkeit des Zertifikats wird an das Geräteobjekt in Intune oder Entra Id oder an das Benutzerobjekt in Entra Id gebunden, analog zu über Intune ausgestellten Zertifikaten.

Gerätezertifikate

Entweder muss der Subject Alternative Name (SAN) IntuneDeviceID://<IntuneDeviceId> als URI enthalten, wobei <IntuneDeviceId> ohne die geschweiften Klammern die Geräte-ID des Geräts in Intune ist. Oder das CN-Feld des Subjects muss die Entra ID-Geräte-ID oder die Intune-Geräte-ID sein.

Benutzerzertifikate