Widerruf
Automatischer Zertifikatwiderruf in Microsoft Intune oder Jamf Pro via OCSP unter Verwendung von SCEPman.
SCEPman bietet mehrere Möglichkeiten, ein Zertifikat zu verwalten und zu widerrufen. Die verfügbaren Optionen hängen von
davon ab, ob das Zertifikat automatisch über eine MDM-Lösung registriert wurde oder ob es über die Certificate Master-Benutzeroberfläche / Enrollment REST API,
dem MDM-System, das für die (automatische) Registrierung verwendet wird, und
der Konfiguration von SCEPman ab.
Der folgende Abschnitt bietet einen Überblick über die verschiedenen Verwaltungsoptionen und Widerrufsmechanismen und unter welchen Umständen sie verfügbar sind.
Automatischer Sperrung
Nur verfügbar, wenn Microsoft Intune und/oder Jamf Pro als MDM-Lösung(en) für die Zertifikatsregistrierung verwendet werden. Alternativ ist es mit jedem Drittanbieter-MDM verfügbar, das Geräte- und/oder Benutzerobjekte mit Microsoft Entra ID (Azure AD) synchronisieren kann (d. h. Static AAD Validation verwendet werden kann).
Unterstützt auf OCSP.
Hintergrund
Automatischer Widerruf ist stets aktiv und ermöglicht eine bequeme Verwaltung des Zertifikatslebenszyklus, indem jedes Zertifikat mit einem Verzeichnisobjekt wie einer Benutzer- oder Geräteidentität verknüpft wird. Durch diesen Objekt-Bindungsmechanismus kann SCEPman den Widerrufsstatus anhand bestimmter Lebenszyklusmerkmale des Objekts ableiten, mit dem es verknüpft wurde. Die Zuordnung vom Lebenszykluszustand des Objekts zum Widerrufsstatus des Zertifikats wurde so implementiert, dass sie den bewährten Verfahren aus jahrelanger Erfahrung in den Bereichen Sicherheit und Endpoint-Management entspricht.
Die Bindung zwischen Verzeichnisobjekt (Benutzer oder Gerät) und Zertifikat wird hergestellt, indem in das SCEP-Profil geeignete Variablen für die Eigenschaften Subject Name oder Subject Alternative Name eingefügt werden. Beim Empfang einer Certificate Signing Request (CSR) von einem MDM-verwalteten Client identifiziert SCEPman das gebundene Objekt und kodiert diese Information in die Seriennummer des Zertifikats, bevor es an den Client zurückgegeben wird. Die Seriennummer wird während der Zertifikatsprüfung an SCEPmans OCSP-Responder übermittelt, wodurch SCEPman die Objektinformationen dekodieren, das entsprechende Verzeichnis durchsuchen und schließlich eine Entscheidung zum Widerrufsstatus treffen kann.
Widerrufsverhalten
In allen untenstehenden Szenarien kann der Widerruf als sofort wirksam angesehen werden, sobald sich der Zustand des gebundenen Objekts geändert hat. Bitte beachten Sie, dass lokale Zwischenspeicherung von OCSP-Antworten auf dem Client anderes suggerieren kann.
Bei Tests beachten Sie bitte, dass das Löschen/Entfernen eines Geräts aus dem jeweiligen Verzeichnis/MDM eine irreversible Operation ist, die erfordern wird, dass Sie das Gerät anschließend erneut registrieren.
Intune-Gerät {{DeviceId}}
Löschen, Löschen (Wipe)*, Zurückziehen (Retire)*: permanenter Widerruf
Nicht verfügbar
Intune Gerätekonformität: reversibler Widerruf
Endpoint-Liste: permanenter Widerruf
Entra (Azure AD) Gerät
{{AAD_Device_ID}}
Löschen: permanenter Widerruf
Deaktivieren: reversibler Widerruf
Entra (Azure AD) Gerätekonformität: reversibler Widerruf
Endpoint-Liste: permanenter Widerruf
Entra (Azure AD) Benutzer
(UPN)
Löschen: permanenter Widerruf
Deaktivieren: reversibler Widerruf
Benutzerrisiko: reversibler Widerruf
Endpoint-Liste: permanenter Widerruf
Jamf-Benutzer am Computer
CN=$JSSID,OU=users-on-computers
Löschen (Computer): permanenter Widerruf
Löschen (Benutzer): permanenter Widerruf
Nicht verfügbar
Nicht verfügbar
Jamf-Benutzer auf Gerät
CN=$JSSID,OU=users-on-devices
Löschen (Gerät): permanenter Widerruf
Löschen (Benutzer): permanenter Widerruf
Nicht verfügbar
Nicht verfügbar
*: Stellen Sie beim Wipe sicher, dass "Gerät löschen, aber Registrierungsstatus und zugehöriges Benutzerkonto beibehalten" deaktiviert. Widerruf ist nur sofortig, wenn AppConfig:IntuneValidation:RevokeCertificatesOnWipe auf true gesetzt ist (Standard).
Manueller Widerruf
Nur SCEPman Enterprise Edition
Dieses Feature erfordert Version 2.3 oder höher.
Unterstützt auf OCSP und CRL.
Hintergrund
Manueller Widerruf ist für jedes von SCEPman ausgestellte Zertifikat verfügbar – unabhängig davon, ob es automatisch über MDM registriert, manuell über den Certificate Master ausgestellt oder über die Enrollment REST API bereitgestellt wurde. Manueller Widerruf ist nützlich, wenn automatischer Widerruf nicht verfügbar ist oder wenn automatische Widerrufspfade nicht ausreichen, um spezifische Anforderungen zu erfüllen.
Um manuellen Widerruf zu ermöglichen, muss SCEPman bestimmte Metadaten der ausgestellten Zertifikate speichern. Während dies standardmäßig bei Zertifikaten der Fall ist, die über die Certificate Master-Benutzeroberfläche und die Enrollment REST API ausgestellt werden, gilt dies nicht für andere Zertifikatstypen. Bitte prüfen Sie daher die relevanten Einstellungen je nach Ihren Anforderungen.
Lesen Sie weiter, um zu erfahren, wie manueller Widerruf unter Nutzung des Certificate Master und seiner Such- und Filteroptionen gehandhabt wird.
SCEPman erstellt das CA-Root-Zertifikat während der Erstinstallation. Sollte aus irgendeinem Grund alternatives CA-Schlüsselmaterial verwendet werden sollen, ist es möglich, diesen CA-Schlüssel und das Zertifikat mit Ihrem eigenen im Azure Key Vault zu ersetzen. Zum Beispiel, wenn Sie ein Sub-CA-Zertifikat verwenden möchten, das von einer vorhandenen internen Root-CA signiert wurde.
SCEPman Certificate Master ermöglicht es Ihnen, die Zertifikate zu durchsuchen, zu prüfen und zu verwalten, die Ihre SCEPman-PKI ausgestellt hat:
Zertifikate verwaltenAutomatischer versus manueller Widerruf
SCEPman verwendet verschiedene Quellen für Widerrufsinformationen, um zu bestimmen, ob ein Zertifikat gültig ist, wenn eine OCSP-Anfrage eintrifft. Außerdem folgt SCEPmans Widerrufslogik einem oder-Verfahren, was bedeutet, dass wenn eine Widerrufsquelle das Zertifikat als ungültig einstuft, es als widerrufen gemeldet wird. Es gibt keine Priorität von automatischem gegenüber manuellem Widerruf oder umgekehrt.
Bitte beachten Sie, dass die Tabellen im Certificate Master nur den Status des manuellen Widerrufs anzeigen und nicht andere Quellen. Daher kann ein Zertifikat in der Tabelle als gültig angezeigt werden, obwohl es tatsächlich als widerrufen gilt, beispielsweise weil das entsprechende Gerät in Intune gelöscht wurde (automatischer Widerruf).
Weiterführende Literatur
Informationen darüber, wie man (automatischen) Widerruf testet und die Gültigkeit von Zertifikaten in einigen der oben genannten Szenarien behebt, finden Sie Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Info.
Allgemeine Informationen zu Azure- und M365-Geräteverzeichnissen finden Sie Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Info.
Zuletzt aktualisiert
War das hilfreich?