Revocación
Revocación automática de certificados en Microsoft Intune o Jamf Pro mediante OCSP usando SCEPman.
SCEPman ofrece varias formas de gestionar y revocar un certificado. Las opciones disponibles dependen de
si el certificado se inscribió automáticamente a través de una solución MDM o si se generó mediante el Interfaz de Administrador de Certificados / API REST de inscripción,
el sistema MDM que se utiliza para la inscripción (automática), y
la configuración de SCEPman.
La sección siguiente ofrece una visión general de las diferentes opciones de gestión y mecanismos de revocación y en qué circunstancias están disponibles.
Revocación Automática
Solo disponible cuando Microsoft Intune y/o Jamf Pro se utilizan como solución(es) MDM para la inscripción de certificados. Alternativamente, está disponible con cualquier MDM de terceros que pueda sincronizar objetos de dispositivo y/o usuario con Microsoft Entra ID (Azure AD) (es decir, Validación AAD Estática puede usarse).
Compatible con OCSP.
Antecedentes
La revocación automática está siempre activa y permite una gestión cómoda del ciclo de vida del certificado al vincular cada certificado a un objeto de directorio como una identidad de usuario o dispositivo. A través de este mecanismo de vinculación de objetos, SCEPman puede inferir el estado de revocación basándose en ciertas características del ciclo de vida del objeto al que se ha vinculado. El mapeo del estado del ciclo de vida del objeto al estado de revocación del certificado se implementa para ajustarse a las mejores prácticas derivadas de años de experiencia en seguridad y gestión de endpoints.
La vinculación entre el objeto del directorio (usuario o dispositivo) y el certificado se establece introduciendo variables apropiadas en el perfil SCEP para las propiedades Nombre del Sujeto o Nombre Alternativo del Sujeto. Al recibir una Solicitud de Firma de Certificado (CSR) de un cliente gestionado por MDM, SCEPman identifica el objeto vinculado y codifica esta información en el número de serie del certificado antes de devolverlo al cliente. Es el número de serie el que se transmite al respondededor OCSP de SCEPman durante la validación del certificado, lo que permite a SCEPman decodificar la información del objeto, realizar una búsqueda en el directorio correspondiente y, finalmente, tomar una decisión sobre el estado de revocación.
Comportamiento de Revocación
En cualquiera de los escenarios siguientes, la revocación puede considerarse efectiva de inmediato, una vez que el estado del objeto vinculado haya cambiado. Tenga en cuenta que el almacenamiento en caché local de respuestas OCSP en el cliente puede indicar lo contrario.
Durante las pruebas, tenga en cuenta que eliminar/quitar un dispositivo del directorio/solución MDM correspondiente es una operación irreversible que requerirá que vuelva a inscribir el dispositivo posteriormente.
Dispositivo Intune {{DeviceId}}
No disponible
Cumplimiento de dispositivo Intune: revocación reversible
Lista de endpoints: revocación permanente
Dispositivo Entra (Azure AD)
{{AAD_Device_ID}}
Eliminar: revocación permanente
Deshabilitar: revocación reversible
Cumplimiento de dispositivo Entra (Azure AD): revocación reversible
Lista de endpoints: revocación permanente
Usuario Entra (Azure AD)
{{UserPrincipalName}}
Eliminar: revocación permanente
Deshabilitar: revocación reversible
Riesgo del usuario: revocación reversible
Lista de endpoints: revocación permanente
Usuario Jamf en equipo
CN=$JSSID,OU=users-on-computers
Eliminar (Equipo): revocación permanente
Eliminar (Usuario): revocación permanente
No disponible
No disponible
Usuario Jamf en dispositivo
CN=$JSSID,OU=users-on-devices
Eliminar (Dispositivo): revocación permanente
Eliminar (Usuario): revocación permanente
No disponible
No disponible
*: Asegúrese durante el borrado de que "Borrar el dispositivo, pero mantener el estado de inscripción y la cuenta de usuario asociada" esté deshabilitado. La revocación solo es inmediata si AppConfig:IntuneValidation:RevokeCertificatesOnWipe está establecido en verdadero (por defecto).
Revocación manual
Solo SCEPman Enterprise Edition
Esta función requiere la versión 2.3 o superior.
Compatible con OCSP y CRL.
Antecedentes
La revocación manual está disponible para cualquier certificado emitido por SCEPman, independientemente de si se inscribió automáticamente mediante MDM, se emitió manualmente a través del Administrador de Certificados o se desplegó mediante la API REST de Inscripción. La revocación manual es útil cuando la revocación automática no está disponible o cuando las rutas de revocación automáticas no son suficientes para cumplir requisitos específicos.
Para facilitar la revocación manual, SCEPman necesita almacenar ciertos metadatos de los certificados que emite. Si bien esto ocurre por defecto para los certificados emitidos a través de la Interfaz de Administrador de Certificados y la API REST de Inscripción, no es así para otros tipos de certificados. Por lo tanto, por favor asegúrese de revisar la configuración relevante dependiendo de sus requisitos.
Siga leyendo para aprender cómo se maneja la revocación manual aprovechando el Administrador de Certificados y sus opciones de búsqueda y filtrado.
Administrador de certificados
El Administrador de Certificados de SCEPman le permite buscar, inspeccionar y gestionar los certificados que su PKI de SCEPman ha emitido:
Gestionar certificadosRevocación automática versus manual
SCEPman utiliza diferentes fuentes de información de revocación para determinar si un certificado es válido cuando llega una solicitud OCSP. Además, la lógica de revocación de SCEPman sigue un enfoque de tipo o, lo que significa que si cualquier fuente de revocación considera que el certificado no es válido, se lo informará como revocado. No hay precedencia de la revocación automática sobre la manual ni viceversa.
Tenga en cuenta que las tablas en el Administrador de Certificados solo muestran el estado de la revocación manual y no otras fuentes. Por lo tanto, un certificado puede aparecer como válido en la tabla, aunque en realidad se considere revocado, por ejemplo porque el dispositivo correspondiente fue eliminado en Intune (revocación automática).
Lectura adicional
Última actualización
¿Te fue útil?