Andere MDM-Lösungen
Sie können SCEPman verwenden, um Zertifikate über MDM-Systeme außerhalb von Intune auszustellen. Sie müssen ein statisches Challenge-Passwort konfigurieren (siehe RFC 8894, Abschnitt 7.3 für die formale Spezifikation) sowohl in SCEPman als auch im MDM-System. Praktisch alle MDM-Systeme unterstützen diesen Modus der SCEP-Authentifizierung.
Beachten Sie jedoch, dass dies nicht das gleiche Sicherheitsniveau bietet wie der mit Intune verwendete Authentifizierungsmodus. Das Challenge-Passwort authentifiziert Anfragen des MDM-Systems, sodass SCEPman weiß, dass sie aus einer vertrauenswürdigen Quelle stammen. Wenn Angreifer jedoch das Challenge-Passwort stehlen, können sie jede Zertifikatanfrage authentifizieren und SCEPman dazu bringen, ihnen beliebige Zertifikate auszustellen.
Es ist daher entscheidend, das Challenge-Passwort sicher aufzubewahren. Dies kann erreicht werden, wenn das MDM-System als SCEP-Client fungiert und das finale Paket aus Zertifikat und privatem Schlüssel an die Endgerätsysteme liefert. Auf diese Weise ist das Challenge-Passwort nur für SCEPman und das MDM-System verfügbar, nicht jedoch auf den Endgeräten.
SCEPman-Konfiguration
Bei der Konfiguration von SCEPman für MDM-Systeme außerhalb von Intune und Jamf Pro stehen zwei SCEP-Endpunkte zur Auswahl:
Static-AAD
Static
Der Static-AAD-Endpunkt wird für MDM-Systeme mit Entra ID-Integration wie Kandji und Google Workspace empfohlen. Benutzer Zertifikate, die vom Static-AAD-Endpunkt verteilt werden, profitieren von Automatischer Widerruf wenn der betreffende Benutzer in Entra ID deaktiviert wurde.
Der Static-Endpunkt wird für alle anderen MDM-Systeme empfohlen.
Fügen Sie die folgenden Einstellungen zu Ihrem SCEPman App Service > Umgebungsvariablen > Hinzufügen hinzu.
Sobald die Einstellungen hinzugefügt wurden, speichern Sie die Einstellungen und starten Sie Ihren SCEPman App Service.
Validierung von Static-AAD aktivieren
true zum Aktivieren, false zum Deaktivieren
Zertifikatsignierungsanforderungen, die zur Signierung an SCEPman gesendet werden, werden mit diesem sicheren statischen Passwort authentifiziert Empfehlung: Speichern Sie dieses Geheimnis in Azure KeyVault.
generieren Sie ein Passwort mit 32 Zeichen
Tage, für die über den Static-AAD-Endpunkt ausgestellte Zertifikate gültig sind
365
Speichern Sie angeforderte Zertifikate im Storage Account, um sie im SCEPman Certificate Master anzuzeigen
true zum Aktivieren, false zum Deaktivieren
Fügen Sie die folgenden Einstellungen zu Ihrem SCEPman App Service > Umgebungsvariablen > Hinzufügen hinzu.
Sobald die Einstellungen hinzugefügt wurden, speichern Sie die Einstellungen und starten Sie Ihren SCEPman App Service.
Validierung von Drittanbietern aktivieren
true zum Aktivieren, false zum Deaktivieren
Zertifikatsignierungsanforderungen, die zur Signierung an SCEPman gesendet werden, werden mit diesem sicheren statischen Passwort authentifiziert Empfehlung: Speichern Sie dieses Geheimnis in Azure KeyVault.
generieren Sie ein Passwort mit 32 Zeichen
Tage, für die über den Static-Endpunkt ausgestellte Zertifikate gültig sind
365
Speichern Sie angeforderte Zertifikate im Storage Account, um sie im SCEPman Certificate Master anzuzeigen
true zum Aktivieren, false zum Deaktivieren
MDM-Konfiguration
Die genauen Schritte hängen von dem von Ihnen verwendeten MDM-System ab. Sie müssen https://scepman.contoso.de/static irgendwo als SCEP-URL hinzufügen und Sie müssen das Challenge-Passwort zur SCEP-Konfiguration Ihres MDM-Systems hinzufügen. Aus Sicherheitsgründen machen Sie Ihr MDM-System bitte zu einem SCEP-Proxy.
Beachten Sie, dass es zwei Varianten von SCEP-Proxy-Implementierungen gibt, von denen nur eine in dieser Konfiguration sicher ist:
Ihr MDM-System kann als SCEP-Client fungieren, das geheime Schlüsselpaar generieren und das vollständige Paket aus Zertifikat und privatem Schlüssel an die Endgerätsysteme liefern. Dies ist sicher, da das Challenge-Passwort nur zwischen dem MDM-System und SCEPman verwendet wird.
Ihr MDM-System leitet SCEP-Nachrichten zwischen Endgerät und SCEPman weiter. Das Endgerät generiert das geheime Schlüsselpaar und fügt das Challenge-Passwort der Zertifikatsanforderung hinzu. Dies ist weniger sicher, da ein Angreifer mit Kontrolle über ein einzelnes Endgerät das Challenge-Passwort stehlen und alle möglichen Zertifikate von SCEPman anfordern kann. Außerdem kann das MDM-System nicht kontrollieren, ob der Client ein Zertifikat korrekt angefordert hat oder ob die Zertifikatsanforderung fehlerhaft ist, was möglicherweise Identitätsdiebstahl oder andere Bedrohungen ermöglicht.
Zuletzt aktualisiert
War das hilfreich?