# Widerruf

SCEPman bietet mehrere Möglichkeiten, ein Zertifikat zu verwalten und zu widerrufen. Die verfügbaren Optionen hängen ab von

* davon, ob das Zertifikat automatisch über eine MDM-Lösung ausgerollt wurde oder ob es über das [Certificate Master UI](/de/zertifikatsverwaltung/certificate-master.md) / [Enrollment REST API](/de/zertifikatsverwaltung/api-certificates.md),
* das für die (automatische) Bereitstellung verwendete MDM-System und
* der Konfiguration von SCEPman.

Der folgende Abschnitt bietet einen Überblick über die verschiedenen Verwaltungsoptionen und Widerrufsmechanismen sowie die Umstände, unter denen sie verfügbar sind.

## Automatischer Widerruf

{% hint style="info" %}
Nur verfügbar, wenn **Microsoft Intune** und/oder **Jamf Pro** als MDM-Lösung(en) für die Zertifikatsbereitstellung verwendet werden. Alternativ ist es mit jedem MDM eines Drittanbieters verfügbar, der Gerät- und/oder Benutzerobjekte mit Microsoft Entra ID (Azure AD) synchronisieren kann (d. h. [Static AAD Validation](/de/scepman-konfiguration/application-settings/scep-endpoints/staticaad-validation.md) verwendet werden kann).
{% endhint %}

{% hint style="success" %}
Unterstützt auf **OCSP**.
{% endhint %}

### Hintergrund

Der automatische Widerruf ist **immer aktiv** und ermöglicht eine komfortable Verwaltung des Zertifikatslebenszyklus, indem jedes Zertifikat mit einem Verzeichnisobjekt wie einer Benutzer- oder Geräteidentität verknüpft wird. Durch diesen Mechanismus der Objektbindung kann SCEPman den Widerrufsstatus anhand bestimmter Lebenszyklusmerkmale des Objekts ableiten, mit dem es verknüpft wurde. Die Zuordnung vom Lebenszykluszustand des Objekts zum Widerrufsstatus des Zertifikats ist so implementiert, dass sie Best Practices aus jahrelanger Erfahrung im Bereich Sicherheit und Endpunktverwaltung entspricht. 

Die Bindung zwischen Verzeichnisobjekt (Benutzer oder Gerät) und Zertifikat wird durch das Einführen geeigneter Variablen in das SCEP-Profil für die Eigenschaften Subject Name oder Subject Alternative Name hergestellt. Beim Empfang einer Certificate Signing Request (CSR) von einem durch MDM verwalteten Client identifiziert SCEPman das gebundene Objekt und kodiert diese Information in die Seriennummer des Zertifikats, bevor es sie an den Client zurückgibt. Die Seriennummer wird während der Zertifikatsvalidierung an den OCSP-Responder von SCEPman übertragen, wodurch SCEPman die Objektinformationen dekodieren, eine Suche im entsprechenden Verzeichnis durchführen und schließlich eine Entscheidung über den Widerrufsstatus treffen kann.

### Widerrufsverhalten

{% hint style="success" %}
In jedem der folgenden Szenarien kann der Widerruf als sofort wirksam betrachtet werden, sobald sich der Zustand des gebundenen Objekts geändert hat. Bitte beachten Sie, dass das lokale Caching von OCSP-Antworten auf dem Client möglicherweise etwas anderes vermuten lässt.
{% endhint %}

{% hint style="warning" %}
Bei Tests beachten Sie bitte, dass das Löschen/Entfernen eines Geräts aus dem jeweiligen Verzeichnis/der jeweiligen MDM-Lösung ein irreversibler Vorgang ist, der anschließend eine erneute Registrierung des Geräts erfordert.
{% endhint %}

<table><thead><tr><th width="262">Gebundenes Objekt</th><th>Aus Verzeichnis löschen</th><th>Im Verzeichnis deaktivieren</th><th>Optional </th></tr></thead><tbody><tr><td>Intune Device <code>{{DeviceId}}</code></td><td><strong>Löschen</strong>, <a href="https://learn.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe#wipe"><strong>Wipe</strong></a><strong>*</strong>, <a href="https://learn.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe#retire"><strong>Retire</strong></a><strong>*</strong>: <em>permanenter Widerruf</em></td><td>Nicht verfügbar</td><td><ul><li><a href="/pages/0781259cebf945dfff2db9abd08d4ff467dc2e56#appconfig-intunevalidation-compliancecheck"><strong>Intune Device Compliance</strong></a>: <em>widerrufbarer Widerruf</em></li><li><a href="https://docs.scepman.com/advanced-configuration/application-settings/intune-validation#appconfig-intunevalidation-devicedirectory:~:text=The%20value%20AADAndIntuneAndEndpointlist"><strong>Endpoint List</strong></a>: <em>permanenter Widerruf</em></li></ul></td></tr><tr><td>Entra (Azure AD) Device<br><code>{{AAD_Device_ID}}</code><br></td><td><strong>Löschen</strong>: <em>permanenter Widerruf</em></td><td><strong>Deaktivieren</strong>: <em>widerrufbarer Widerruf</em></td><td><ul><li><a href="/pages/0781259cebf945dfff2db9abd08d4ff467dc2e56#appconfig-intunevalidation-compliancecheck"><strong>Entra (Azure AD) Device Compliance</strong></a>: <em>widerrufbarer Widerruf</em></li><li><a href="https://docs.scepman.com/advanced-configuration/application-settings/intune-validation#appconfig-intunevalidation-devicedirectory:~:text=The%20value%20AADAndIntuneAndEndpointlist"><strong>Endpoint List</strong></a>: <em>permanenter Widerruf</em></li></ul></td></tr><tr><td>Entra (Azure AD) User<br><code>{{UserPrincipalName}}</code></td><td><strong>Löschen</strong>: <em>permanenter Widerruf</em></td><td><strong>Deaktivieren</strong>: <em>widerrufbarer Widerruf</em></td><td><ul><li><a href="/pages/0781259cebf945dfff2db9abd08d4ff467dc2e56#appconfig-intunevalidation-waitforsuccessnotificationresponse"><strong>User Risk</strong></a>: <em>widerrufbarer Widerruf</em></li><li><a href="https://docs.scepman.com/advanced-configuration/application-settings/intune-validation#appconfig-intunevalidation-devicedirectory:~:text=The%20value%20AADAndIntuneAndEndpointlist"><strong>Endpoint List</strong></a>: <em>permanenter Widerruf</em></li></ul></td></tr><tr><td><a href="/pages/ba7fa6d0c40c3b50f05a01a0c4e969aaae030eac">Jamf Computer</a><br><code>CN=$JSSID,OU=computers</code></td><td><strong>Löschen</strong>: <em>permanenter Widerruf</em></td><td>Nicht verfügbar</td><td>Nicht verfügbar</td></tr><tr><td><a href="/pages/bfff116debe56ad4ac4c60fbee7815a748c37c92">Jamf Device</a><br><code>CN=$JSSID,OU=devices</code></td><td><strong>Löschen</strong>: <em>permanenter Widerruf</em></td><td>Nicht verfügbar</td><td>Nicht verfügbar</td></tr><tr><td><a href="/pages/f7d0b9de4a4682f48a68d5075b7156f7fbd681dc#user-certificates-on-computers">Jamf User on Computer</a><br><code>CN=$JSSID,OU=users-on-computers</code><br></td><td><ul><li><strong>Löschen (Computer)</strong>: <em>permanenter Widerruf</em></li><li><strong>Löschen (Benutzer)</strong>: <em>permanenter Widerruf</em></li></ul></td><td>Nicht verfügbar</td><td>Nicht verfügbar</td></tr><tr><td><a href="/pages/f7d0b9de4a4682f48a68d5075b7156f7fbd681dc#user-certificates-on-devices">Jamf User on Device</a><br><code>CN=$JSSID,OU=users-on-devices</code></td><td><ul><li><strong>Löschen (Gerät)</strong>: <em>permanenter Widerruf</em></li><li><strong>Löschen (Benutzer)</strong>: <em>permanenter Widerruf</em></li></ul></td><td>Nicht verfügbar</td><td>Nicht verfügbar</td></tr></tbody></table>

\*: Stellen Sie während des Wipe sicher, dass „Wipe device, but keep enrollment state and associated user account“ **deaktiviert**. Der Widerruf ist nur sofort wirksam, wenn [AppConfig:IntuneValidation:RevokeCertificatesOnWipe](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-revokecertificatesonwipe) auf true gesetzt ist (Standard).

## Manueller Widerruf

{% hint style="warning" %}
nur SCEPman Enterprise Edition
{% endhint %}

{% hint style="info" %}
Diese Funktion erfordert Version **2.3** oder höher.
{% endhint %}

{% hint style="success" %}
Unterstützt auf **OCSP** und [**CRL**](/de/scepman-konfiguration/application-settings/crl.md).
{% endhint %}

### Hintergrund

Die manuelle Widerrufung ist für jedes von SCEPman ausgestellte Zertifikat verfügbar – unabhängig davon, ob es automatisch über MDM ausgerollt, manuell über den Certificate Master ausgestellt oder über die Enrollment REST API bereitgestellt wurde. Die manuelle Widerrufung ist nützlich, wenn der automatische Widerruf nicht verfügbar ist oder wenn die automatischen Widerrufspfade nicht ausreichen, um bestimmte Anforderungen zu erfüllen.

Um die manuelle Widerrufung zu erleichtern, muss SCEPman bestimmte Metadaten der von ihm ausgestellten Zertifikate speichern. Während dies standardmäßig für Zertifikate gilt, die über das Certificate Master UI und die Enrollment REST API ausgestellt wurden, ist dies bei anderen Zertifikatstypen nicht der Fall. Stellen Sie daher bitte sicher, dass Sie die [relevanten Einstellungen](#storing-certificate-metadata-in-the-certificate-database) abhängig von Ihren Anforderungen überprüfen.&#x20;

Lesen Sie weiter, um zu erfahren, wie die manuelle Widerrufung unter Nutzung von Certificate Master und seinen Such- und Filteroptionen gehandhabt wird.

### Certificate Master

Mit SCEPman Certificate Master können Sie die Zertifikate suchen, prüfen und verwalten, die Ihre SCEPman PKI ausgestellt hat:

{% content-ref url="/pages/35d3c2887e165d02422f2d997f245925768a346d" %}
[Zertifikate verwalten](/de/zertifikatsverwaltung/certificate-master/manage-certificates.md)
{% endcontent-ref %}

## Automatischer versus manueller Widerruf

SCEPman verwendet verschiedene Quellen für Widerrufsinformationen, um zu bestimmen, ob ein Zertifikat gültig ist, wenn eine OCSP-Anfrage eingeht. Darüber hinaus folgt die Widerrufslogik von SCEPman einem **ODER-verknüpften Ansatz**, was bedeutet, dass das Zertifikat als widerrufen gemeldet wird, wenn irgendeine Widerrufsquelle das Zertifikat als ungültig einstuft. Es gibt keine Priorität des automatischen gegenüber dem manuellen Widerruf oder umgekehrt.&#x20;

Bitte beachten Sie, dass die Tabellen im Certificate Master nur den Status des manuellen Widerrufs anzeigen und keine anderen Quellen. Daher kann ein Zertifikat in der Tabelle als gültig angezeigt werden, obwohl es tatsächlich als widerrufen betrachtet wird, beispielsweise weil das entsprechende Gerät in Intune gelöscht wurde (automatischer Widerruf).&#x20;

## Weiterführende Lektüre

* Informationen dazu, wie Sie den (automatischen) Widerruf testen und die Zertifikatsgültigkeit in einigen der oben genannten Szenarien beheben können, finden Sie [hier](/de/sonstiges/troubleshooting/general.md#problems-with-the-validity-of-certificates).
* Allgemeine Informationen zu Azure- und M365-Geräteverzeichnissen finden Sie [hier](/de/scepman-konfiguration/device-directories.md).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/de/zertifikatsverwaltung/manage-certificates.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.