Intune verwalteter Linux-Client

Diese Methode kann verwendet werden, um Zertifikate für von Intune verwaltete Benutzer und Geräte zu registrieren.

Intune wird in diesem Fall ein Skript bereitstellen, das die SCEPman REST-API nutzt und entweder ein neues Zertifikat registriert oder ein bereits vorhandenes erneuert.

Unser Entwickler Christoph hat diese Funktion und einige Hintergrunddetails in der Workplace Ninja Usergroup Germany vorgestellt:

Voraussetzungen

1. Selbstbedienungsregistrierung

2. App Service-Einstellungen

Dieses Szenario registriert Zertifikate vom Typ IntuneUser und IntuneDevice je nach Ihrer Wahl.

3. Client-Voraussetzungen

Intune-Registrierung

Folgen Sie der verlinkten Dokumentation, um Ihren Linux-Client bei Intune zu registrieren.

Registrierungs- und Verlängerungsskript

Das enrollrenewcertificate.sh Das Skript wird verwendet, um anfänglich ein Zertifikat zu erhalten sowie es in regelmäßigen Abständen zu prüfen und eine Erneuerung zu versuchen, falls die Schwelle erreicht ist.

Während das Skript normalerweise durch Übergabe der Parameter im Terminal ausgeführt wird, müssen wir einige Teile davon ändern, damit es über Intune bereitgestellt werden kann.

Suchen Sie den Teil des Skripts, der die übergebenen Terminalargumente den Variablen zuweist, und passen Sie diese an Ihre Bedürfnisse an:

Beispielkonfiguration:

APPSERVICE_URL

Die URL des SCEPman-App-Services.

Beispiel: "https://scepman.contoso.net/"

API_SCOPE

Dies ist der API-Bereich, den Sie in der SCEPman-api App-Registrierung in Ihrer Umgebung erstellen können.

Dem Benutzer wird Ihr gewünschter Zustimmungsdialog angezeigt und kann danach die Selbstbedienungsfunktion verwenden.

Beispiel: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

CERT_DIR

Das Verzeichnis, in dem das Zertifikat erstellt oder erneuert werden soll. Der private Schlüssel und das Stammzertifikat werden ebenfalls hier abgelegt.

Beispiel: ~/certs/

CERT_NAME

Der Dateiname (ohne Erweiterung) des Zertifikats, das erstellt oder zur Verlängerung gelesen wird.

Beispiel: "myCertificate"

KEY_NAME

Der Dateiname des privaten Schlüssels, der erstellt oder zur Verlängerung gelesen wird.

Beispiel: "myKey"

RENEWAL_THRESHOLD_DAYS

Die Anzahl der Tage bis zum Ablauf des Zertifikats, bei der das Skript den Verlängerungsprozess zu starten beginnt.

Beispiel: 30

CERT_TYPE

Die Art des Zertifikats, das registriert wird.

Kann entweder "user" oder "device" sein

CERT_COMMAND

Dies definiert das Verhalten des Skripts in Bezug auf Registrierung und Erneuerung:

"auto" erstellt anfänglich ein Zertifikat oder erneuert ein Zertifikat, wenn es bereits existiert und kurz vor dem Ablauf steht.

"renewal" erneuert ein Zertifikat, wenn es kurz vor dem Ablauf steht, erstellt jedoch nicht anfänglich ein Zertifikat.

"initial" registriert nur ein Zertifikat, erneuert jedoch kein bestehendes.

Überlegungen

• Dieses Skript verschlüsselt die erzeugten Schlüssel nicht (dies erfordert die Eingabe einer Passphrase, daher wurde die Verschlüsselung weggelassen, um automatische Verlängerungen zu ermöglichen).

• Wenn Sie passphrase-geschützte Zertifikate vom Certificate Master verlängern, müssen Sie diese Passphrase eingeben, um sie zu erneuern.

Skript bereitstellen

Mit Intune können wir das modifizierte Skript geplant bereitstellen, um anfänglich ein Zertifikat mit den angegebenen Parametern zu registrieren und regelmäßig zu prüfen, ob eine Erneuerung erforderlich ist.

Fügen Sie eine neue Bereitstellung für ein Linux-Skript hinzu und stellen Sie sicher, dass Sie Ausführungskontext kopieren nach und beachten Sie die folgenden Unterschiede: festlegen und entweder den Inhalt des zuvor erstellten modifizierten Bash-Skripts hochladen oder einfügen.

Passen Sie die Ausführungsfrequenz in Übereinstimmung mit Ihrer Erneuerungsschwelle an.