Self-Service-Registrierung

Damit Kunden Zertifikate für sich selbst ohne SCEP ausstellen können, können sie die SCEPman REST API verwenden. Sie sollten jedoch nicht in der Lage sein, beliebige Zertifikate zu beantragen, sondern nur Zertifikate, die an ihre eigene Identität gebunden sind. Daher gibt es in der SCEPman-API eine Rolle, die Benutzern/Gruppen zugewiesen werden kann, um dies zu ermöglichen.

Voraussetzungen

• Diese Rolle ist ab SCEPman 2.9 enthalten. Wenn Sie SCEPman vor diesem Zeitpunkt installiert haben, müssen Sie das Installationsskript erneut ausführen, damit diese Rolle erscheint.

Zuweisen von Self-Service-Berechtigungen

Sie können prüfen, ob die Self-Service-Rolle in der SCEPman-api App-Registrierung vorhanden ist:

Sie können Rollenzuweisungen für Benutzer und Gruppen in der SCEPman-api Unternehmensanwendung erstellen.

Zertifikatsanfrage zur Ausstellung

Ein Benutzer mit der Self-Service-Rolle kann nur Zertifikate mit den folgenden Attributen beantragen. (Dies sind dieselben Attribute, die Sie beim Ausstellen von Zertifikaten über ein SCEP-Profil in Intune zum Beispiel) auswählen würden. Die Gültigkeit des Zertifikats wird an das Geräteobjekt in Intune oder Entra ID oder an das Benutzerobjekt in Entra ID gebunden, analog zu in Intune ausgestellten Zertifikaten.

Gerätezertifikate

Entweder muss der Subject Alternative Name (SAN) die folgende Angabe enthalten IntuneDeviceID://<IntuneDeviceId> als URI, wobei <IntuneDeviceId> ohne geschweifte Klammern die Geräte-ID des Geräts in Intune ist. Oder das CN-Feld des Subject muss die Entra ID Geräte-ID oder die Intune Geräte-ID sein.

Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.