Cliente Linux no administrado

Este método puede usarse para inscribir certificados para usuarios y dispositivos que no estén administrados o que estén administrados por un MDM distinto de Intune.

Requisitos previos

1. Inscripción de autoservicio

2. Configuración de App Service

Este escenario inscribirá certificados del tipo IntuneUser.

Módulo de PowerShell SCEPmanClient

Solicitudes iniciales

Puedes usar el módulo de PowerShell SCEPmanClient para solicitar certificados en tu dispositivo Linux:

New-SCEPmanCertificate -Url 'scepman.contoso.com' -SubjectFromUserContext -SaveToFolder '~/certs/'

El usuario deberá entonces iniciar sesión de forma interactiva en una sesión del navegador y se creará un certificado para su cuenta con la que inició sesión.

Renovación de certificados

También puedes usar el módulo de PowerShell para renovar certificados ya existentes. Esto también evitará la necesidad de usar un principal de servicio para la autenticación:

Script de inscripción y renovación

Si el módulo de PowerShell no es una opción para ti, el enrollrenewcertificate.sh script puede usarse para obtener inicialmente un certificado, así como para verificarlo e intentar una renovación en caso de que esté a punto de expirar.

Requisitos previos del cliente

Ejemplo:

1. Comando

Define el comportamiento del script

Puede ser cualquiera de:

-u para certificado de usuario con autodetección de si es una inscripción inicial o una renovación

-d para certificado de dispositivo con autodetección de si es una inscripción inicial o una renovación

-r para renovación

-w para inscripción inicial de un usuario

-x para inscripción inicial de un dispositivo

2. URL del servicio de aplicación

La URL del servicio de aplicación SCEPman.

Ejemplo: "https://scepman.contoso.net/"

3. API_SCOPE

Este es el ámbito de API que puedes crear en el SCEPman-api registro de aplicación en tu entorno.

Al usuario se le presentará el cuadro de diálogo de consentimiento deseado y después podrá usar la funcionalidad de autoservicio.

Ejemplo: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

4. Directorio de certificados

El directorio en el que se creará el certificado o se intentará renovar.

Ejemplo: ~/certs/

5. Nombre de archivo del certificado

El nombre de archivo (sin extensión) del certificado que se creará o se leerá para la renovación.

Ejemplo: "myCertificate"

6. Nombre de archivo de la clave privada

El nombre de archivo de la clave privada que se creará o se leerá para la renovación.

Ejemplo: "myKey"

7. Umbral de renovación

La cantidad de días que deben quedar para que venza el certificado para que el script comience el proceso de renovación.

Ejemplo: 30

Consideraciones

• Este script no cifra las claves generadas (esto requiere la introducción de una frase de contraseña, por lo que se ha omitido el cifrado para permitir la renovación automática).

• Si estás renovando certificados protegidos con frase de contraseña de Certificate Master, deberás introducir esta frase de contraseña para poder renovarlos.

Configurar la renovación automática

Cuando se ejecuta el script bash anterior y detecta que un certificado ya ha sido inscrito, renovará el certificado (si está cerca de expirar) usando mTLS. Si el script se ejecuta regularmente, esto garantizará que el certificado se renueve cuando se acerque a su vencimiento. Puedes configurar un cronjob para lograr esto. El siguiente comando es un ejemplo de cómo podría hacerse. Configurará un cronjob para ejecutar el comando diariamente (si el sistema está encendido) y un cronjob para ejecutar el comando al reiniciar.

Dado que los comandos ejecutados por Cron no necesariamente se ejecutarán desde el directorio en el que se encuentran el script/los certificados, es importante proporcionar las rutas absolutas al script/a los certificados.