# Self-Service-Registrierung

{% hint style="info" %}
Gilt für SCEPman Version 2.9 und höher
{% endhint %}

Damit Clients Zertifikate für sich selbst ohne SCEP ausstellen können, können sie die SCEPman REST API verwenden. Sie sollten jedoch nicht in der Lage sein, beliebige Zertifikate auszustellen, sondern nur Zertifikate, die an ihre eigene Identität gebunden sind. Daher verfügt die SCEPman API über eine Rolle, die Benutzern/Gruppen zugewiesen werden kann, um dies zu ermöglichen.

## Voraussetzungen

* Diese Rolle ist ab SCEPman 2.9 enthalten. Wenn Sie SCEPman vor dieser Version installiert haben, müssen Sie das [Installationsskript](/de/scepman-bereitstellung/permissions/post-installation-config.md#running-the-scepman-installation-cmdlet) erneut ausführen, damit diese Rolle angezeigt wird.

## Zuweisen von Self-Service-Berechtigungen

Sie können im SCEPman-api App Registration überprüfen, ob die Self-Service-Rolle vorhanden ist:

<figure><img src="/files/18278a21a53010d75264324ce2db5d7f26defa04" alt=""><figcaption></figcaption></figure>

Sie können Rollen-Zuweisungen für Benutzer und Gruppen in der SCEPman-api Enterprise Application erstellen.&#x20;

<figure><img src="/files/6a4870f2a5e2bddd2d0823cf666a9bb49f201bd9" alt=""><figcaption></figcaption></figure>

## Zertifikatsausstellungsanforderungen

Ein Benutzer mit der Self-Service-Rolle kann Zertifikate nur mit den folgenden Attributen ausstellen. (Dies sind dieselben Attribute, die Sie auswählen würden, wenn Sie Zertifikate über ein SCEP-Profil in [Intune ](/de/zertifikatsverwaltung/microsoft-intune.md)beispielsweise ausstellen). Die Gültigkeit des Zertifikats wird an das Geräteobjekt in Intune oder Entra Id oder an das Benutzerobjekt in Entra Id gebunden, analog zu über Intune ausgestellten Zertifikaten.

{% hint style="info" %}
Wenn Sie das vorgefertigte Ausstellungsskript aus unseren [Abschnitt Anwendungsfälle](/de/use-cases.md)verwenden, wird automatisch eine Anforderung gemäß diesen Anforderungen generiert.
{% endhint %}

### Gerätezertifikate

Entweder muss der Subject Alternative Name (SAN) `IntuneDeviceID://<IntuneDeviceId>` als URI enthalten, wobei `<IntuneDeviceId>` ohne die geschweiften Klammern die Geräte-ID des Geräts in Intune ist. Oder das CN-Feld des Subjects muss die Entra ID-Geräte-ID oder die Intune-Geräte-ID sein.

<table><thead><tr><th width="223">Feld</th><th>Wert</th></tr></thead><tbody><tr><td>Betreff</td><td><code>CN=&#x3C;AAD_Device_Id></code> oder <code>CN=&#x3C;DeviceId></code>, wobei es sich bei dem Gerät um eines handelt, das dem Benutzer gehört.</td></tr><tr><td>SAN (URI)</td><td><code>IntuneDeviceId://&#x3C;IntuneDeviceId></code></td></tr><tr><td>Grundlegende Einschränkungen</td><td><code>Subject Type=End Entity</code></td></tr><tr><td>EKUs</td><td><code>Client Authentication, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>

### Benutzerzertifikate

<table><thead><tr><th width="221">Feld</th><th>Wert</th></tr></thead><tbody><tr><td>Betreff</td><td><code>CN=&#x3C;DisplayName></code></td></tr><tr><td>SAN (Other Name/UPN)</td><td><code>&#x3C;UserPrincipalName></code></td></tr><tr><td>Grundlegende Einschränkungen</td><td><code>Subject Type=End Entity</code></td></tr><tr><td>EKUs</td><td><code>Client Authentication, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/de/zertifikatsverwaltung/api-certificates/self-service-enrollment.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.