Widerruf
Automatischer Zertifikatswiderruf in Microsoft Intune oder Jamf Pro über OCSP mit SCEPman.
SCEPman bietet mehrere Möglichkeiten, ein Zertifikat zu verwalten und zu widerrufen. Die verfügbaren Optionen hängen ab von
davon, ob das Zertifikat automatisch über eine MDM-Lösung ausgerollt wurde oder ob es über das Certificate Master UI / Enrollment REST API,
das für die (automatische) Bereitstellung verwendete MDM-System und
der Konfiguration von SCEPman.
Der folgende Abschnitt bietet einen Überblick über die verschiedenen Verwaltungsoptionen und Widerrufsmechanismen sowie die Umstände, unter denen sie verfügbar sind.
Automatischer Widerruf
Nur verfügbar, wenn Microsoft Intune und/oder Jamf Pro als MDM-Lösung(en) für die Zertifikatsbereitstellung verwendet werden. Alternativ ist es mit jedem MDM eines Drittanbieters verfügbar, der Gerät- und/oder Benutzerobjekte mit Microsoft Entra ID (Azure AD) synchronisieren kann (d. h. Static AAD Validation verwendet werden kann).
Unterstützt auf OCSP.
Hintergrund
Der automatische Widerruf ist immer aktiv und ermöglicht eine komfortable Verwaltung des Zertifikatslebenszyklus, indem jedes Zertifikat mit einem Verzeichnisobjekt wie einer Benutzer- oder Geräteidentität verknüpft wird. Durch diesen Mechanismus der Objektbindung kann SCEPman den Widerrufsstatus anhand bestimmter Lebenszyklusmerkmale des Objekts ableiten, mit dem es verknüpft wurde. Die Zuordnung vom Lebenszykluszustand des Objekts zum Widerrufsstatus des Zertifikats ist so implementiert, dass sie Best Practices aus jahrelanger Erfahrung im Bereich Sicherheit und Endpunktverwaltung entspricht.
Die Bindung zwischen Verzeichnisobjekt (Benutzer oder Gerät) und Zertifikat wird durch das Einführen geeigneter Variablen in das SCEP-Profil für die Eigenschaften Subject Name oder Subject Alternative Name hergestellt. Beim Empfang einer Certificate Signing Request (CSR) von einem durch MDM verwalteten Client identifiziert SCEPman das gebundene Objekt und kodiert diese Information in die Seriennummer des Zertifikats, bevor es sie an den Client zurückgibt. Die Seriennummer wird während der Zertifikatsvalidierung an den OCSP-Responder von SCEPman übertragen, wodurch SCEPman die Objektinformationen dekodieren, eine Suche im entsprechenden Verzeichnis durchführen und schließlich eine Entscheidung über den Widerrufsstatus treffen kann.
Widerrufsverhalten
In jedem der folgenden Szenarien kann der Widerruf als sofort wirksam betrachtet werden, sobald sich der Zustand des gebundenen Objekts geändert hat. Bitte beachten Sie, dass das lokale Caching von OCSP-Antworten auf dem Client möglicherweise etwas anderes vermuten lässt.
Bei Tests beachten Sie bitte, dass das Löschen/Entfernen eines Geräts aus dem jeweiligen Verzeichnis/der jeweiligen MDM-Lösung ein irreversibler Vorgang ist, der anschließend eine erneute Registrierung des Geräts erfordert.
Intune Device {{DeviceId}}
Nicht verfügbar
Intune Device Compliance: widerrufbarer Widerruf
Endpoint List: permanenter Widerruf
Entra (Azure AD) Device
{{AAD_Device_ID}}
Löschen: permanenter Widerruf
Deaktivieren: widerrufbarer Widerruf
Entra (Azure AD) Device Compliance: widerrufbarer Widerruf
Endpoint List: permanenter Widerruf
Entra (Azure AD) User
{{UserPrincipalName}}
Löschen: permanenter Widerruf
Deaktivieren: widerrufbarer Widerruf
User Risk: widerrufbarer Widerruf
Endpoint List: permanenter Widerruf
Jamf User on Computer
CN=$JSSID,OU=users-on-computers
Löschen (Computer): permanenter Widerruf
Löschen (Benutzer): permanenter Widerruf
Nicht verfügbar
Nicht verfügbar
Jamf User on Device
CN=$JSSID,OU=users-on-devices
Löschen (Gerät): permanenter Widerruf
Löschen (Benutzer): permanenter Widerruf
Nicht verfügbar
Nicht verfügbar
*: Stellen Sie während des Wipe sicher, dass „Wipe device, but keep enrollment state and associated user account“ deaktiviert. Der Widerruf ist nur sofort wirksam, wenn AppConfig:IntuneValidation:RevokeCertificatesOnWipe auf true gesetzt ist (Standard).
Manueller Widerruf
nur SCEPman Enterprise Edition
Diese Funktion erfordert Version 2.3 oder höher.
Unterstützt auf OCSP und CRL.
Hintergrund
Die manuelle Widerrufung ist für jedes von SCEPman ausgestellte Zertifikat verfügbar – unabhängig davon, ob es automatisch über MDM ausgerollt, manuell über den Certificate Master ausgestellt oder über die Enrollment REST API bereitgestellt wurde. Die manuelle Widerrufung ist nützlich, wenn der automatische Widerruf nicht verfügbar ist oder wenn die automatischen Widerrufspfade nicht ausreichen, um bestimmte Anforderungen zu erfüllen.
Um die manuelle Widerrufung zu erleichtern, muss SCEPman bestimmte Metadaten der von ihm ausgestellten Zertifikate speichern. Während dies standardmäßig für Zertifikate gilt, die über das Certificate Master UI und die Enrollment REST API ausgestellt wurden, ist dies bei anderen Zertifikatstypen nicht der Fall. Stellen Sie daher bitte sicher, dass Sie die relevanten Einstellungen abhängig von Ihren Anforderungen überprüfen.
Lesen Sie weiter, um zu erfahren, wie die manuelle Widerrufung unter Nutzung von Certificate Master und seinen Such- und Filteroptionen gehandhabt wird.
Certificate Master
Mit SCEPman Certificate Master können Sie die Zertifikate suchen, prüfen und verwalten, die Ihre SCEPman PKI ausgestellt hat:
Zertifikate verwaltenAutomatischer versus manueller Widerruf
SCEPman verwendet verschiedene Quellen für Widerrufsinformationen, um zu bestimmen, ob ein Zertifikat gültig ist, wenn eine OCSP-Anfrage eingeht. Darüber hinaus folgt die Widerrufslogik von SCEPman einem ODER-verknüpften Ansatz, was bedeutet, dass das Zertifikat als widerrufen gemeldet wird, wenn irgendeine Widerrufsquelle das Zertifikat als ungültig einstuft. Es gibt keine Priorität des automatischen gegenüber dem manuellen Widerruf oder umgekehrt.
Bitte beachten Sie, dass die Tabellen im Certificate Master nur den Status des manuellen Widerrufs anzeigen und keine anderen Quellen. Daher kann ein Zertifikat in der Tabelle als gültig angezeigt werden, obwohl es tatsächlich als widerrufen betrachtet wird, beispielsweise weil das entsprechende Gerät in Intune gelöscht wurde (automatischer Widerruf).
Weiterführende Lektüre
Zuletzt aktualisiert
War das hilfreich?