Certificados
Estas configuraciones solo deben aplicarse al servicio de aplicaciones SCEPman, no al Certificate Master. Por favor consulte Configuración de SCEPman.
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Valor: true (predeterminado) o false
Descripción: ¿Deben los certificados tener las extensiones 1.2.840.113556.5.14 (ID de inquilino AAD) y 1.2.840.113556.1.5.284.2 (ID de dispositivo AAD)?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Aplicable a la versión 2.5 y posteriores
Valor: true o false (predeterminado)
Descripción: Esta configuración determina si los certificados pueden tener la extensión 1.3.6.1.4.1.311.25.2 (Identificador de seguridad (SID) del usuario). Esta extensión es necesaria para mitigar ataques Certifried si los certificados se usan para la autenticación de usuarios de AD local.
Si esto se establece en false, SCEPman nunca emitirá certificados con esta extensión. Si se establece en true, SCEPman puede emitir certificados con esta extensión en dos casos:
Primero, al inscribir certificados de usuario vía Intune y el objeto AAD del usuario contiene un SID en el atributo OnPremisesSecurityIdentifier. Si el objeto AAD del usuario no contiene un SID, por ejemplo si es un usuario solo en la nube, SCEPman no emitirá un certificado con esta extensión. Lo mismo se aplica al endpoint static-aad.
Segundo, al inscribir certificados de usuario a través de otros endpoints SCEP y la CSR ya contiene la extensión. Ejemplos son el endpoint Static SCEP y solicitudes de certificado manuales mediante Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Valor: Entero
Descripción: El número máximo de días que un certificado emitido es válido. Por defecto, esta configuración está establecida en 730 días. Si la configuración no está disponible (instalaciones antiguas de SCEPman) el periodo de validez es 200 días. SCEPman nunca emite certificados con una validez mayor que el valor definido aquí. No obstante, hay formas de reducir la validez para certificados específicos.
Puede configurar periodos de validez más cortos en cada perfil SCEP en Intune como se describe en la documentación de Microsoft.
Los dispositivos iOS/iPadOS y macOS ignoran la configuración del periodo de validez vía Intune. Por lo tanto, necesita configurar esta opción en SCEPman si desea tener periodos de validez diferentes a 200 días para sus dispositivos iOS/iPadOS y macOS. Por favor lea iOS/iPadOS para más detalles donde recomendamos un valor más alto.
También puede configurar más cortos periodos de validez para cada endpoint SCEP. Por defecto, los siguientes valores están establecidos para cada endpoint:
Jamf
<No establecido>
730 (configuración global)
Static
<No establecido>
730 (configuración global)
Certificate Master
<No establecido>
730 (configuración global)
La imagen de abajo muestra cómo SCEPman limita el periodo de validez del certificado; primero a nivel por endpoint y luego globalmente.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Valor: Positivo Entero
Predeterminado: 50
Descripción: Cuando más solicitudes SCEP llegan a SCEPman, cada solicitud tarda más en finalizar. A frecuencias altas de solicitudes, por ejemplo inmediatamente después de asignar un perfil de configuración SCEP a un gran número de dispositivos, el procesamiento de las solicitudes puede tardar tanto que las solicitudes expiren. Los clientes reintentarán sus solicitudes fallidas, lo que puede mantener la frecuencia de solicitudes por encima del nivel crítico de sobrecarga.
Con esta configuración, SCEPman solo trabajará en este número de solicitudes SCEP en paralelo. Si hay más solicitudes, SCEPman devuelve HTTP 329 (Too Many Requests). En este caso los clientes basados en Intune reintentará la emisión del certificado más tarde, por lo que normalmente no se pierde ninguna solicitud. Esto asegura que SCEPman pueda finalizar las solicitudes a tiempo y tenga la oportunidad de procesar la cola.
La configuración óptima depende del rendimiento del Plan de Servicio de Aplicaciones. Como regla general, 12 es un buen límite para una única instancia en un Plan de Servicio de Aplicaciones S1. Tenga en cuenta que establecer un valor demasiado bajo puede impedir el escalado automático, ya que puede reducir el uso de recursos a un valor por debajo de los umbrales.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Valor: Positivo Entero
Predeterminado: 1440
Descripción: Cuando SCEPman emite un certificado, su validez comenzará 24 horas (1440 minutos) antes de su fecha de emisión. Esto se debe a que el reloj del cliente puede ir más lento que el de SCEPman y entonces asumir que el certificado aún no es válido. Algunas plataformas descartan inmediatamente certificados no válidos, incluso si se vuelven válidos unos segundos después.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Valor: true o false
Descripción: ¿Deben los certificados tener las extensiones Key Usage y Extended Key Usage (EKU) establecidas según lo solicitado, o debe SCEPman definirlas?
True: Las extensiones Key Usage y Extended Key Usage en los certificados son definidas por la solución MDM. False: Key Usage es siempre Key Encipherment + Digital Signature. Extended Key Usage es siempre Client Authentication.
Los dispositivos iOS/iPadOS no admiten Extended Key Usages personalizados (incluso si están configurados en el perfil de Intune y AppConfig:UseRequestedKeyUsages establecido en True). Así que, sus certificados siempre tendrán Client Authentication como Extended Key Usage.
Última actualización
¿Te fue útil?