Andere MDM-Lösungen
Sie können SCEPman verwenden, um Zertifikate über MDM-Systeme auszustellen, die nicht Intune sind. Sie müssen sowohl in SCEPman als auch im MDM-System ein statisches Challenge-Passwort konfigurieren (siehe RFC 8894, Abschnitt 7.3 für die formale Spezifikation). Praktisch alle MDM-Systeme unterstützen diesen Modus der SCEP-Authentifizierung.
Beachten Sie jedoch, dass dies nicht das gleiche Sicherheitsniveau bietet wie der Authentifizierungsmodus, der mit Intune verwendet wird. Das Challenge-Passwort authentifiziert Anfragen vom MDM-System, sodass SCEPman weiß, dass sie aus einer vertrauenswürdigen Quelle stammen. Wenn Angreifer jedoch das Challenge-Passwort stehlen, können sie jede Zertifikatsanforderung authentifizieren und SCEPman veranlassen, ihnen beliebige Zertifikate auszustellen.
Es ist daher entscheidend, das Challenge-Passwort sicher aufzubewahren. Dies kann erreicht werden, wenn das MDM-System als SCEP-Client fungiert und das endgültige Paket mit Zertifikat und privatem Schlüssel an die Endgeräte ausliefert. Auf diese Weise ist das Challenge-Passwort nur SCEPman und dem MDM-System zugänglich, aber nicht auf den Endgeräten.
SCEPman-Konfiguration
Beim Konfigurieren von SCEPman für MDM-Systeme außer Intune und Jamf Pro stehen zwei SCEP-Endpunkte zur Auswahl:
Static-AAD
Static
Der Static-AAD-Endpunkt wird für MDM-Systeme mit Entra ID-Integration wie Kandji und Google Workspace empfohlen. und beachten Sie die folgenden Unterschiede: Zertifikate, die vom Static-AAD-Endpunkt verteilt werden, profitieren von Automatischer Sperrung wenn der jeweilige Benutzer in Entra ID deaktiviert wurde.
Der Static-Endpunkt wird für alle anderen MDM-Systeme empfohlen.
Fügen Sie die folgenden Einstellungen zu Ihrer SCEPman App Service > Umgebungsvariablen > Hinzufügen.
Nachdem die Einstellungen hinzugefügt wurden, speichern Sie die Einstellungen und starten Sie Ihren SCEPman App Service.
Static-AAD-Validierung aktivieren
true zum Aktivieren, false zum Deaktivieren
Zertifikatsanforderungen, die zur Signierung an SCEPman gesendet werden, werden mit diesem sicheren statischen Passwort authentifiziert Empfehlung: Speichern Sie dieses Geheimnis in Azure KeyVault.
generieren Sie ein 32-stelliges Passwort
Tage, wie lange Zertifikate, die über den Static-AAD-Endpunkt ausgestellt wurden, gültig sind
365
Speichern Sie angeforderte Zertifikate im Storage-Konto, um sie im SCEPman Certificate Master anzuzeigen
true zum Aktivieren, false zum Deaktivieren
Fügen Sie die folgenden Einstellungen zu Ihrer SCEPman App Service > Umgebungsvariablen > Hinzufügen.
Nachdem die Einstellungen hinzugefügt wurden, speichern Sie die Einstellungen und starten Sie Ihren SCEPman App Service.
Validierung von Drittanbietern aktivieren
true zum Aktivieren, false zum Deaktivieren
Zertifikatsanforderungen, die zur Signierung an SCEPman gesendet werden, werden mit diesem sicheren statischen Passwort authentifiziert Empfehlung: Speichern Sie dieses Geheimnis in Azure KeyVault.
generieren Sie ein 32-stelliges Passwort
Tage, wie lange Zertifikate, die über den Static-Endpunkt ausgestellt wurden, gültig sind
365
Speichern Sie angeforderte Zertifikate im Storage-Konto, um sie im SCEPman Certificate Master anzuzeigen
true zum Aktivieren, false zum Deaktivieren
MDM-Konfiguration
Die konkreten Schritte hängen vom verwendeten MDM-System ab. Sie müssen https://scepman.contoso.de/static irgendwo als SCEP-URL hinzufügen und das Challenge-Passwort zur SCEP-Konfiguration Ihres MDM-Systems ergänzen. Aus Sicherheitsgründen sollten Sie Ihr MDM-System als SCEP-Proxy konfigurieren.
Beachten Sie, dass es zwei Varianten von SCEP-Proxy-Implementierungen gibt, von denen in dieser Konfiguration nur eine sicher ist:
Ihr MDM-System kann als SCEP-Client agieren, das geheime Schlüsselpaar erzeugen und das vollständige Paket aus Zertifikat und privatem Schlüssel an die Endgeräte ausliefern. Dies ist sicher, da das Challenge-Passwort nur zwischen MDM-System und SCEPman verwendet wird.
Ihr MDM-System leitet SCEP-Nachrichten zwischen Endgerät und SCEPman weiter. Das Endgerät erzeugt das geheime Schlüsselpaar und fügt das Challenge-Passwort der Zertifikatsanforderung hinzu. Dies ist weniger sicher, da ein Angreifer mit Kontrolle über ein einzelnes Endgerät das Challenge-Passwort stehlen und bei SCEPman alle Arten von Zertifikaten anfordern kann. Außerdem kann das MDM-System nicht kontrollieren, ob der Client ein Zertifikat korrekt angefordert hat oder ob die Zertifikatsanforderung fehlerhaft ist, wodurch Identitätsdiebstahl oder andere Bedrohungen möglich werden.
Zuletzt aktualisiert
War das hilfreich?