Unverwalteter Linux-Client

Diese Methode kann verwendet werden, um Zertifikate für Benutzer und Geräte zu registrieren, die nicht verwaltet oder von einem anderen MDM als Intune verwaltet werden.

Voraussetzungen

1. Selbstbedienungsregistrierung

2. App Service-Einstellungen

Dieses Szenario registriert Zertifikate vom Typ IntuneUser.

Powershell-Modul SCEPmanClient

Erstanfragen

Sie können das PowerShell-Modul SCEPmanClient verwenden, um Zertifikate auf Ihrem Linux-Gerät anzufordern:

New-SCEPmanCertificate -Url 'scepman.contoso.com' -SubjectFromUserContext -SaveToFolder '~/certs/'

Der Benutzer muss sich dann interaktiv in einer Browsersitzung anmelden und ein Zertifikat für sein angemeldetes Konto wird erstellt.

Zertifikatsverlängerung

Sie können das PowerShell-Modul auch verwenden, um bereits vorhandene Zertifikate zu erneuern. Dadurch entfällt außerdem die Notwendigkeit, einen Dienstprinzipal für die Authentifizierung zu verwenden:

Registrierungs- und Verlängerungsskript

Wenn das PowerShell-Modul für Sie keine Option ist, kann das enrollrenewcertificate.sh Skript verwendet werden, um zunächst ein Zertifikat zu erhalten sowie um es zu überprüfen und im Falle des drohenden Ablaufs eine Verlängerung zu versuchen.

Client-Voraussetzungen

Nach Abschluss der Konfiguration stellen Sie sicher, die SCEP-Server-URL in Ihrem/ Ihren SCEP-Profil(en) in Intune zu aktualisieren. Die neue URL sollte die von Ihnen erstellte benutzerdefinierte Domain mit "/certsrv/mscep/mscep.dll" am Ende sein.

1. Befehl

Definiert das Verhalten des Skripts

Kann einer von folgenden sein:

-u für Benutzerzertifikat mit automatischer Erkennung, ob es sich um eine Erstregistrierung oder eine Verlängerung handelt

-d für Gerätezertifikat mit automatischer Erkennung, ob es sich um eine Erstregistrierung oder eine Verlängerung handelt

-r für Verlängerung

-w für Erstregistrierung eines Benutzers

-x für Erstregistrierung eines Geräts

2. App-Service-URL

Die URL des SCEPman-App-Services.

Beispiel: "https://scepman.contoso.net/"

3. API_SCOPE

Dies ist der API-Bereich, den Sie in der SCEPman-api App-Registrierung in Ihrer Umgebung erstellen können.

Dem Benutzer wird Ihr gewünschter Zustimmungsdialog angezeigt und kann danach die Selbstbedienungsfunktion verwenden.

Beispiel: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

4. Zertifikatsverzeichnis

Das Verzeichnis, in dem das Zertifikat erstellt oder versucht wird zu verlängern.

Beispiel: ~/certs/

5. Zertifikat-Dateiname

Der Dateiname (ohne Erweiterung) des Zertifikats, das erstellt oder zur Verlängerung gelesen wird.

Beispiel: "myCertificate"

6. Privat-Schlüssel-Dateiname

Der Dateiname des privaten Schlüssels, der erstellt oder zur Verlängerung gelesen wird.

Beispiel: "myKey"

7. Verlängerungsschwelle

Die Anzahl der Tage bis zum Ablauf des Zertifikats, bei der das Skript den Verlängerungsprozess zu starten beginnt.

Beispiel: 30

Überlegungen

• Dieses Skript verschlüsselt die erzeugten Schlüssel nicht (dies erfordert die Eingabe einer Passphrase, daher wurde die Verschlüsselung weggelassen, um automatische Verlängerungen zu ermöglichen).

• Wenn Sie passphrase-geschützte Zertifikate vom Certificate Master verlängern, müssen Sie diese Passphrase eingeben, um sie zu erneuern.

Automatische Verlängerung einrichten

Wenn das oben genannte Bash-Skript ausgeführt wird und feststellt, dass ein Zertifikat bereits registriert wurde, erneuert es das Zertifikat (wenn es nahe am Ablauf ist) mit mTLS. Wenn das Skript regelmäßig ausgeführt wird, stellt dies sicher, dass das Zertifikat erneuert wird, wenn es dem Ablauf nahe kommt. Sie können einen Cronjob einrichten, um dies zu erreichen. Der unten stehende Befehl ist ein Beispiel dafür, wie dies erfolgen könnte. Er richtet einen Cronjob ein, der den Befehl täglich ausführt (wenn das System eingeschaltet ist), und einen Cronjob, der den Befehl beim Neustart ausführt.

Da Cron-Aufrufe nicht zwingend aus dem Verzeichnis ausgeführt werden, in dem sich das Skript/die Zertifikate befinden, ist es wichtig, die absoluten Pfade zum Skript/den Zertifikaten anzugeben.