Certificados
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Valor: true (predeterminado) o false
Descripción: ¿Deben los certificados tener las extensiones 1.2.840.113556.5.14 (ID de inquilino AAD) y 1.2.840.113556.1.5.284.2 (ID de dispositivo AAD)?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Valor: true o false (predeterminado)
Descripción: Esta configuración determina si los certificados pueden tener la extensión 1.3.6.1.4.1.311.25.2 (Identificador de Seguridad (SID) del usuario). Esta extensión es requerida para mitigar ataques Certifried si los certificados se usan para la autenticación de usuarios de AD local.
Si esto se establece en false, SCEPman nunca emitirá certificados con esta extensión. Si se establece en true, SCEPman podrá emitir certificados con esta extensión en dos casos:
Primero, al inscribir certificados de usuario a través de Intune y el objeto AAD del usuario contiene un SID en el atributo OnPremisesSecurityIdentifier. Si el objeto AAD del usuario no contiene un SID, por ejemplo si es un usuario solo en la nube, SCEPman no emitirá un certificado con esta extensión. Lo mismo se aplica al endpoint static-aad.
Segundo, al inscribir certificados de usuario a través de otros endpoints SCEP y el CSR ya contiene la extensión. Ejemplos son el endpoint Static SCEP y las solicitudes manuales de certificados a través de Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Valor: Entero
Descripción: El número máximo de días que un certificado emitido es válido. Por defecto, esta configuración está establecida en 730 días. Si la configuración no está disponible (instalaciones antiguas de SCEPman) el período de validez es 200 días. SCEPman nunca emite certificados con una validez mayor que el valor definido aquí. Sin embargo, existen formas de reducir la validez para certificados específicos.
Puede configurar períodos de validez más cortos en cada perfil SCEP en Intune como se describe en el documentación de Microsoft.
Los dispositivos iOS/iPadOS y macOS ignoran la configuración del período de validez vía Intune. Por lo tanto, debe configurar esta opción en SCEPman si desea tener otros períodos de validez distintos de 200 días para sus dispositivos iOS/iPadOS y macOS. Por favor lea iOS/iPadOS para más detalles donde recomendamos un valor más alto.
También puede configurar más cortos períodos de validez para cada endpoint SCEP. Por defecto, los siguientes valores están establecidos para cada endpoint:
Jamf
<No establecido>
730 (configuración global)
Static
<No establecido>
730 (configuración global)
Administrador de certificados
<No establecido>
730 (configuración global)
La imagen de abajo muestra cómo SCEPman limita el período de validez del certificado; primero a nivel por-endpoint y después a nivel global.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Valor: Positivo Entero
Predeterminado: 50
Descripción: Cuando más solicitudes SCEP llegan a SCEPman, cada solicitud tarda más en finalizar. A altas frecuencias de solicitudes, p. ej. inmediatamente después de asignar un perfil de configuración SCEP a un gran número de dispositivos, el procesamiento de las solicitudes puede tardar tanto que las solicitudes expiren. Los clientes reintentarán sus solicitudes fallidas, lo que puede mantener la frecuencia de solicitudes por encima del nivel crítico de sobrecarga.
Con esta configuración, SCEPman trabajará solo en este número de solicitudes SCEP en paralelo. Si hay más solicitudes, SCEPman devuelve HTTP 329 (Too Many Requests). Los clientes basados en Intune reintentrán la emisión de certificados más tarde en este caso, así que normalmente no se pierde ninguna solicitud. Esto asegura que SCEPman pueda finalizar las solicitudes a tiempo y tenga oportunidad de procesar la cola.
La configuración óptima depende del rendimiento del Plan de Servicio de la App. Como regla general, 12 es un buen límite para una sola instancia en un Plan de Servicio de la App S1. Note que establecer un valor demasiado bajo puede impedir el escalado automático, ya que puede reducir el uso de recursos a un valor por debajo de los umbrales.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Valor: Positivo Entero
Predeterminado: 1440
Descripción: Cuando SCEPman emite un certificado, su validez comenzará 24 horas (1440 minutos) antes de su fecha de emisión. Esto se debe a que el reloj del cliente puede ir más lento que el de SCEPman y entonces asumir que el certificado aún no es válido. Algunas plataformas descartan inmediatamente los certificados no válidos, incluso si se vuelven válidos unos segundos después.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Valor: true o false
Descripción: ¿Deben los certificados tener las extensiones Key Usage y Extended Key Usage (EKU) rellenadas según lo solicitado o debe SCEPman definirlas?
True: Las extensiones Key Usage y Extended Key Usage en los certificados son definidas por la solución MDM. False: Key Usage es siempre Cifrado de clave (Key Encipherment) + Firma digital (Digital Signature). Extended Key Usage es siempre Autenticación de cliente.
Los dispositivos iOS/iPadOS no soportan Extended Key Usages personalizados (incluso si están configurados en el perfil de Intune y AppConfig:UseRequestedKeyUsages configurar a Verdadero). Así que, sus certificados siempre tendrán Autenticación de cliente como Extended Key Usage.
Última actualización
¿Te fue útil?