circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Certificados

circle-info

Estas configuraciones solo deben aplicarse al Servicio de Aplicaciones SCEPman, no al Certificate Master. Por favor consulte Configuración de SCEPman.

hashtag
AppConfig:AddMicrosoftAADExtensions

Linux: AppConfig__AddMicrosoftAADExtensions

Valor: true (predeterminado) o false

Descripción: ¿Deben los certificados tener las extensiones 1.2.840.113556.5.14 (ID de inquilino AAD) y 1.2.840.113556.1.5.284.2 (ID de dispositivo AAD)?

hashtag
AppConfig:AddSidExtension

Linux: AppConfig__AddSidExtension

circle-info

Aplicable a la versión 2.5 y superiores

Valor: true o false (predeterminado)

Descripción: Esta configuración determina si los certificados pueden tener la extensión 1.3.6.1.4.1.311.25.2 (Identificador de Seguridad (SID) del usuario). Esta extensión es necesaria para mitigar ataques Certifried si los certificados se utilizan para la autenticación de usuarios de AD local.

Si esto se establece en false, SCEPman nunca emitirá certificados con esta extensión. Si se establece en true, SCEPman puede emitir certificados con esta extensión en dos casos:

Primero, al inscribir certificados de usuario vía Intune y el objeto AAD del usuario contiene un SID en el atributo OnPremisesSecurityIdentifier. Si el objeto AAD del usuario no contiene un SID, por ejemplo si es un usuario solo en la nube, SCEPman no emitirá un certificado con esta extensión. Lo mismo se aplica al endpoint static-aad.

Segundo, al inscribir certificados de usuario a través de otros endpoints SCEP y la CSR ya contiene la extensión. Ejemplos son el endpoint SCEP estático y solicitudes de certificado manuales a través de Certificate Master.

hashtag
AppConfig:ValidityPeriodDays

Linux: AppConfig__ValidityPeriodDays

Valor: Entero

Descripción: El número máximo de días que un certificado emitido es válido. Por defecto, esta configuración está establecida en 730 días. Si la configuración no está disponible (instalaciones antiguas de SCEPman) el período de validez es 200 días. SCEPman nunca emite certificados con una validez mayor que el valor definido aquí. Sin embargo, hay maneras de reducir la validez para certificados específicos.

Puede configurar períodos de validez más cortos en cada perfil SCEP en Intune como se describe en la documentación de Microsoftarrow-up-right.

circle-exclamation

Los dispositivos iOS/iPadOS y macOS ignoran la configuración del período de validez a través de Intune. Por lo tanto, necesita configurar esta opción en SCEPman si desea tener periodos de validez distintos a 200 días para sus dispositivos iOS/iPadOS y macOS. Por favor lea iOS/iPadOS para más detalles donde recomendamos un valor más alto.

También puede configurar más cortos períodos de validez para cada endpoint SCEP. Por defecto, los siguientes valores están establecidos para cada endpoint:

Endpoint
Parámetro
Validez en días

Intune

AppConfig:IntuneValidation:ValidityPeriodDays

365

Jamf

<No establecido>

730 (configuración global)

Estático

<No establecido>

730 (configuración global)

Certificate Master

<No establecido>

730 (configuración global)

La imagen a continuación muestra cómo SCEPman limita el período de validez del certificado; primero a nivel por endpoint y luego globalmente.

hashtag
AppConfig:ConcurrentSCEPRequestLimit

Linux: AppConfig__ConcurrentSCEPRequestLimit

Valor: Positivo Entero

Predeterminado: 50

Descripción: Cuando más solicitudes SCEP llegan a SCEPman, cada solicitud tarda más en completarse. A altas frecuencias de solicitudes, p. ej. inmediatamente después de asignar un perfil de configuración SCEP a un gran número de dispositivos, procesar las solicitudes puede tardar tanto que las solicitudes agotan el tiempo. Los clientes volverán a intentar sus solicitudes fallidas, lo que puede mantener la frecuencia de solicitudes por encima del nivel crítico de sobrecarga.

Con esta configuración, SCEPman trabajará solo en este número de solicitudes SCEP en paralelo. Si hay más solicitudes, SCEPman devuelve HTTP 329 (Too Many Requests). Los clientes basados en Intune volverán a intentar la emisión del certificado más tarde en este caso, por lo que normalmente no se pierde ninguna solicitud. Esto asegura que SCEPman pueda finalizar las solicitudes a tiempo y tenga la oportunidad de procesar la cola.

hashtag
AppConfig:ValidityClockSkewMinutes

Linux: AppConfig__ValidityClockSkewMinutes

Valor: Positivo Entero

Predeterminado: 1440

Descripción: Cuando SCEPman emite un certificado, su validez comenzará 24 horas (1440 minutos) antes de su fecha de emisión. Esto se debe a que el reloj del cliente puede ir más lento que el de SCEPman y entonces asumir que el certificado aún no es válido. Algunas plataformas descartan inmediatamente los certificados no válidos, incluso si se vuelven válidos unos segundos después.

hashtag
AppConfig:UseRequestedKeyUsages

Linux: AppConfig__UseRequestedKeyUsages

Valor: true o false

Descripción: ¿Deben los certificados tener las extensiones Key Usage y Extended Key Usage (EKU) establecidas según lo solicitado, o debería SCEPman definirlas?

True: Las extensiones Key Usage y Extended Key Usage en los certificados son definidas por la solución MDM. False: Key Usage es siempre Key Encipherment + Digital Signature. Extended Key Usage es siempre Client Authentication.

circle-exclamation

Los dispositivos iOS/iPadOS no admiten Extended Key Usages personalizados (incluso si están configurados en el perfil de Intune y AppConfig:UseRequestedKeyUsages establecido a True). Por lo tanto, sus certificados siempre tendrán Client Authentication como Extended Key Usage.

Última actualización

¿Te fue útil?