Inscripción por API

SCEPman cuenta con una API REST para inscribir certificados. Esta es una alternativa a los endpoints SCEP que requieren el estilo de autenticación SCEP, mientras que la API REST utiliza Identidades de Microsoft para la autenticación. El protocolo también es mucho más sencillo que SCEP.

Prerequisitos

1. Principal de servicio

1

Registro de aplicación

Crear un nuevo Registro de aplicación que describa su caso de uso. Su aplicación se autenticará como esta aplicación frente a SCEPman.

2

Permisos de API

CSR.Request.Db

Asigne los permisos requeridos ejecutando el Register-SCEPmanApiClient cmdlet del módulo SCEPman PowerShell.

Ejemplo:

Copiar

Register-SCEPmanApiClient -ServicePrincipalId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

ServicePrincipalId

El ID de objeto del complementario Aplicación empresarial del Registro de aplicación que creamos en el paso anterior. Tenga en cuenta que esto no se refiere a la Aplicación empresarial normalmente llamada SCEPman-api, que identifica a SCEPman en sí.

Para asignar este permiso manualmente puede navegar a Permisos de API y agregar un permiso desde los permisos que utiliza su organización. Asigne el CSR.Request.Db permiso de SCEPman-api como un permiso de aplicación.

Application.Read.All (Opcional)

Principales de servicio también requerirán el permiso de Graph Application.Read.All para permitir la recuperación automática del alcance de la API de SCEPman para la autenticación.

El permiso se puede agregar manualmente de la siguiente manera:

3

Secreto de cliente

Cree un secreto de cliente en "Certificados y secretos". El secreto de cliente se utilizará como contraseña para autenticar la aplicación más adelante.

2. Configuración del App Service

Configuración

Requerido para la renovación del certificado

Configure su App Service de SCEPman para aceptar certificados de cliente mTLS. En el panel Configuración de la sección Ajustes, verifique que el modo de certificado de cliente en Certificados de cliente entrantes esté establecido en Usuario interactivo opcional.

No establezca el modo de certificado de cliente en Requerir o Permitir, ¡ya que eso rompería el funcionamiento normal de SCEPman en los puntos finales SCEP!

Variables de entorno

Para poder utilizar este escenario, debe establecer las siguientes Variables de Entorno en el servicio de aplicaciones de SCEPman.

AppConfig:DbCSRValidation:Enabled

Requerido para el registro y la renovación de certificados

Establezca esta variable en true para habilitar la validación de solicitudes de firma de certificado (CSR).

AppConfig:DbCSRValidation:AllowRenewals

Requerido para la renovación del certificado

Establezca esta variable en true para habilitar las renovaciones de certificados.

AppConfig:DbCSRValidation:ReenrollmentAllowedCertificateTypes

Requerido para la renovación del certificado

Establezca esta variable en una lista separada por comas de tipos de certificado a los que desea permitir la renovación. Consulte la documentación vinculada de la variable para ver una lista de tipos de certificado posibles.

Ejemplo: Static,IntuneUser,IntuneDevice

Inscripción de certificados

Después de haber preparado los prerequisitos, puede POSTear un PKCS#10/CMS a su SCEPman con la ruta HTTP api/csr. La respuesta HTTP será el certificado recién emitido en codificación DER.

SCEPman almacenará todos los certificados emitidos automáticamente en su Cuenta de Almacenamiento, por lo que puede listarlos y revocarlos cómodamente a través del componente Certificate Master.

Un método conveniente para enviar esas solicitudes es nuestro módulo de PowerShell SCEPmanClient:

Otros ejemplos

Vea nuestro Repositorio de ejemplos de código abierto en GitHub para saber cómo usar la API REST de SCEPman.