Cliente Linux gestionado por Intune
Aplicable a SCEPman versión 2.9 y superiores
Solo SCEPman Enterprise Edition
Este método se puede usar para inscribir certificados para usuarios y dispositivos que están gestionados por Intune.
Intune, en este caso, enviará un script para aprovechar la API REST de SCEPman que a su vez inscribirá un nuevo certificado o renovará uno ya existente.
Nuestro desarrollador Christoph presentó esta función y algunos detalles de antecedentes en el Workplace Ninja Usergroup Germany:
Prerequisitos
1. Inscripción de autoservicio
2. Configuración del App Service
Este escenario inscribirá certificados del tipo IntuneUser y IntuneDevice dependiendo de tu elección.
3. Requisitos previos del cliente
Sigue la documentación enlazada para inscribir tu cliente Linux en Intune.
Script de inscripción y renovación
El enrollrenewcertificate.sh el script se utilizará para recibir inicialmente un certificado así como para comprobarlo con una programación regular e intentar una renovación en caso de que se alcance el umbral.
Mientras que el script normalmente se opera pasando los parámetros en el terminal, necesitaremos modificar algunas partes para desplegarlo mediante Intune.
Localiza la parte del script que asigna los argumentos pasados desde el terminal a la variable y ajústalos a tus necesidades:
Configuración de ejemplo:
APPSERVICE_URL
La URL del servicio de la aplicación SCEPman.
Ejemplo: "https://scepman.contoso.net/"
API_SCOPE
Este es el ámbito de API que puede crear en el SCEPman-api registro de la aplicación en su entorno.
Al usuario se le mostrará el cuadro de diálogo de consentimiento deseado y podrá después usar la funcionalidad de autoservicio.
Ejemplo: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"
CERT_DIR
El directorio donde se creará el certificado o se intentará renovar. La clave privada y el certificado raíz también se colocarán aquí.
Ejemplo: ~/certs/
CERT_NAME
El nombre de archivo (sin extensión) del certificado que se creará o se leerá para la renovación.
Ejemplo: "myCertificate"
KEY_NAME
El nombre de archivo de la clave privada que se creará o se leerá para la renovación.
Ejemplo: "myKey"
RENEWAL_THRESHOLD_DAYS
La cantidad de días para que el certificado deba expirar para que el script comience el proceso de renovación.
Ejemplo: 30
CERT_TYPE
El tipo de certificado que se inscribirá.
Puede ser "user" o "device"
CERT_COMMAND
Esto define el comportamiento del script en relación con la inscripción y la renovación:
"auto" creará un certificado inicialmente o renovará un certificado si ya existe y está a punto de expirar.
"renewal" renovará un certificado si está a punto de expirar, pero no creará un certificado inicialmente.
"initial" solo inscribirá un certificado pero no renovará uno ya existente.
Si estás inscribiendo o renovando un certificado de dispositivo, el DeviceId se obtendrá de ~/.config/intune/registration.toml y el usuario autenticado deberá coincidir con el propietario del objeto en la configuración DeviceDirectory.
Consideraciones
Este script no cifra las claves generadas (esto requiere la entrada de una frase de contraseña, por lo que se ha omitido el cifrado para permitir la renovación automática).
Si está renovando certificados protegidos con frase de contraseña desde Certificate Master, deberá introducir esta frase de contraseña para poder renovarlos.
Desplegar script
Usando Intune podemos desplegar el script modificado en una programación para inscribir inicialmente un certificado con los parámetros dados y comprobar regularmente si necesita renovarse.
Añade un nuevo despliegue de script para Linux y asegúrate de configurar el Contexto de ejecución a Usuario y sube o pega el contenido del script bash modificado que creaste en la sección anterior.
Ajusta la Frecuencia de ejecución de acuerdo con tu umbral de renovación.
Se solicitará al usuario que inicie sesión en la aplicación Azure CLI en la primera ejecución, ya que se requiere que se autentique.
Última actualización
¿Te fue útil?