Cliente Linux no gestionado

Este método se puede usar para inscribir certificados para usuarios y dispositivos que no están gestionados o que están gestionados por un MDM distinto de Intune.

Prerequisitos

1. Inscripción de autoservicio

2. Configuración del App Service

Este escenario inscribirá certificados del tipo IntuneUser.

Módulo de PowerShell SCEPmanClient

Solicitudes iniciales

Puede usar el módulo de PowerShell SCEPmanClient para solicitar certificados en su dispositivo Linux:

New-SCEPmanCertificate -Url 'scepman.contoso.com' -SubjectFromUserContext -SaveToFolder '~/certs/'

El usuario deberá iniciar sesión de forma interactiva en una sesión del navegador y se creará un certificado para la cuenta con la que haya iniciado sesión.

Renovación de certificados

También puede usar el módulo de PowerShell para renovar certificados ya existentes. Esto además evita el requisito de usar un principal de servicio para la autenticación:

Script de inscripción y renovación

Si el módulo de PowerShell no es una opción para usted, el enrollrenewcertificate.sh script se puede usar para recibir inicialmente un certificado así como para verificarlo e intentar una renovación en caso de que esté a punto de expirar.

Requisitos previos del cliente

Ejemplo:

1. Comando

Define el comportamiento del script

Puede ser cualquiera de:

-u para certificado de usuario con autodedetección de si se trata de una inscripción inicial o de una renovación

-d para certificado de dispositivo con autodedetección de si se trata de una inscripción inicial o de una renovación

-r para renovación

-w para inscripción inicial de un usuario

-x para inscripción inicial de un dispositivo

2. URL del servicio de la aplicación

La URL del servicio de la aplicación SCEPman.

Ejemplo: "https://scepman.contoso.net/"

3. API_SCOPE

Este es el ámbito de API que puede crear en el SCEPman-api registro de la aplicación en su entorno.

Al usuario se le mostrará el cuadro de diálogo de consentimiento deseado y podrá después usar la funcionalidad de autoservicio.

Ejemplo: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

4. Directorio de certificados

El directorio en el que se creará el certificado o en el que se intentará renovar.

Ejemplo: ~/certs/

5. Nombre de archivo del certificado

El nombre de archivo (sin extensión) del certificado que se creará o se leerá para la renovación.

Ejemplo: "myCertificate"

6. Nombre de archivo de la clave privada

El nombre de archivo de la clave privada que se creará o se leerá para la renovación.

Ejemplo: "myKey"

7. Umbral de renovación

La cantidad de días para que el certificado deba expirar para que el script comience el proceso de renovación.

Ejemplo: 30

Consideraciones

• Este script no cifra las claves generadas (esto requiere la entrada de una frase de contraseña, por lo que se ha omitido el cifrado para permitir la renovación automática).

• Si está renovando certificados protegidos con frase de contraseña desde Certificate Master, deberá introducir esta frase de contraseña para poder renovarlos.

Configurar la renovación automática

Cuando se ejecute el script bash anterior y detecte que ya se ha inscrito un certificado, renovará el certificado (si está cerca de su caducidad) usando mTLS. Si el script se ejecuta regularmente, esto garantizará que el certificado se renueve cuando se acerque su caducidad. Puede configurar un cronjob para lograr esto. El comando siguiente es un ejemplo de cómo podría hacerse. Configurará un cronjob para ejecutar el comando diariamente (si el sistema está encendido) y un cronjob para ejecutar el comando al reiniciar.

Dado que los comandos ejecutados por Cron no necesariamente se ejecutarán desde el directorio en el que están el script/los certificados, es importante proporcionar las rutas absolutas al script/los certificados.