Journal des modifications
Si vous souhaitez rester informé des dernières modifications et nouveautés du journal des modifications de SCEPman, vous pouvez vous abonner à notre service de mises à jour par e-mail. Les abonnés recevront des notifications par e-mail lorsqu’il y aura de nouvelles mises à jour du journal des modifications.
Veuillez cliquer ici pour vous inscrire aux notifications par e-mail.
Versions
3.0 - décembre 2025
SCEPman 3.0.1639
Correctifs
Correction d’un problème lié aux vérifications strictes des paramètres HTTP SCEP optionnels.
Configuration par défaut avec une compatibilité ascendante correcte dans les points de terminaison DC, Jamf, Static et StaticAAD
SCEPman 3.0.1631
Inscription aux appareils Windows joints à l’AD local ! Vous pouvez inscrire des certificats utilisateur, appareil et Domain Controller sur des clients Windows à l’aide de méthodes natives, c’est-à-dire sans logiciel requis sur les clients. Le cas d’utilisation principal est l’Autoenrollment, où vous inscrivez des certificats sur les clients locaux sans interaction utilisateur.
Mise en cache des résultats OCSP valides pendant cinq secondes par défaut au lieu d’aucune mise en cache.
Changement important : l’URL du certificat CA dans l’extension AIA des certificats émis a changé pour /ca, qui n’est disponible que dans SCEPman 2.9 et versions ultérieures. Dans le cas inhabituel où vous exécutez SCEPman 2.12 en parallèle avec SCEPman 2.8 ou une version antérieure en géoredondance, cela peut poser des problèmes.
Robustesse améliorée lors de la réponse aux requêtes OCSP mal formées
Prise en charge de la Log Ingestion API pour la journalisation dans Azure Monitor
Petites améliorations et corrections
Compatibilité restaurée avec Google Workspace (contournement d’un bogue dans la gestion PKCS#7 de Google)
Mise en cache améliorée des connectivités sur la page d’accueil SCEPman
Page d’accueil SCEPman optimisée pour les écrans plus petits
Correction du rejet des certificats de renouvellement Intune via EST dans des circonstances spécifiques
Mises à jour des bibliothèques, corrigeant également certains avertissements CVE (qui sont des faux positifs, car SCEPman n’est en réalité pas concerné)
Certificate Master 3.0.1419
Interface utilisateur améliorée
Meilleure adaptation du tableau des certificats
Utilisation plus efficace de l’espace sur les petits écrans
Plus d’informations sur l’utilisateur connecté
Liens abrégés pour télécharger le certificat CA (chaîne)
Prise en charge de la Log Ingestion API pour la journalisation dans Azure Monitor
Permet de demander une durée de validité spécifique pour les certificats, par exemple rendre un certificat valide pendant 365 jours. Les maxima et les valeurs par défaut peuvent être configurés par type de certificat.
Petites améliorations et corrections
Mises à jour des bibliothèques
Exporter les listes de certificats filtrées au format CSV
Correctif : lien mort lors de la demande de certificats avec un rôle restreint
Correctif : le champ des adresses e-mail était manquant pour les certificats S/MIME créés manuellement
Module PowerShell SCEPman 3.0
Changement important : les nouvelles installations SCEPman et les installations existantes basculeront la journalisation de l’API Data Collector obsolète vers Log Ingestion API. Ce faisant, certaines colonnes perdront leur suffixe "_s", ce qui nécessitera une modification des requêtes KQL.
Module PowerShell SCEPmanClient 3.0
Autoriser une durée de validité de certificat plus courte pendant l’inscription (pour PowerShell Core uniquement)
Autoriser la création de clés protégées par l’utilisateur pendant l’inscription
Petites améliorations et corrections
Ajouter le paramètre -Identity pour l’authentification non interactive d’un service principal
Améliorer le flux d’authentification
2.11 - août 2025
SCEPman 2.11.1486
Mise en cache accrue (~4 minutes) de l’état de santé sur le backend de validation SCEP d’Intune.
SCEPman 2.11.1476
Détection et atténuation actives de la vulnérabilité d’usurpation de SID Intune
Pour les certificats demandés via Intune, les extensions SID Intune dans le CSR seront désormais ignorées par défaut
Le AppConfig:AddSidExtension ajoutera désormais également des SID aux certificats d’appareil
Mise en cache courte (50 secondes) des résultats d’état sur la page d’état SCEPman afin de réduire la charge sur les backends, par exemple le coût des transactions Azure Key Vault dans des scénarios avec de nombreux accès à la page d’accueil (par exemple la surveillance de santé)
Mise en cache des résultats de Microsoft Graph concernant les appareils et les utilisateurs afin de réduire la dépendance à ces services et d’améliorer les performances de réponse OCSP. Par défaut, seules les réponses négatives sont mises en cache.
Réparations automatiques heuristiques améliorées des requêtes OCSP défectueuses, augmentant la robustesse du service OCSP
Améliorations mineures, par exemple
Messages de journal plus spécifiques dans certaines conditions d’erreur
Ajustements supplémentaires de la journalisation pour éviter l’encombrement et mettre en évidence les messages importants
Mises à jour des bibliothèques
Certificate Master 2.11.1341
Correction d’un problème lors de la demande de certificats serveur wildcard.
Certificate Master 2.11.1329
Correction d’un bogue d’interface utilisateur dans les actions du tableau des certificats introduit avec le correctif précédent 2.11.1284.
Certificate Master 2.11.1284
Nettoyage des valeurs pour les valeurs de certificat inhabituelles.
Certificate Master 2.11.1235
Soumission de CSR pour les certificats TLS Inspection, Code Signing, Device et User (peut nécessiter SCEPman 2.11)
Rôles à granularité fine pour déterminer non seulement quel type de certificats un utilisateur peut demander, mais aussi quelle méthode — formulaires ou CSR
Interface utilisateur améliorée
Certains titres ont été renommés pour plus de clarté
Davantage de contrôles de cohérence pour les données d’entrée
Vérifier que les FQDN demandés pour un certificat serveur ont bien une syntaxe FQDN
Avertir des problèmes liés aux certificats émis si le certificat CA SCEPman semble ne pas prendre en charge le type
Petites améliorations et bogues corrigés, par exemple
Afficher le bouton de révocation dans le tableau des certificats uniquement lorsque l’utilisateur en a l’autorisation (il n’a jamais fonctionné sans autorisation, mais était quand même affiché)
Mises à jour des bibliothèques
Module PowerShell SCEPman 2.11
Gestion de session améliorée
Autoriser la création de rôles à granularité fine pour Certificate Master
Module PowerShell SCEPmanClient 2.11
Compatibilité améliorée avec PowerShell 5
Autoriser la création de clés protégées par l’utilisateur
Permettre l’enregistrement direct des certificats demandés dans un Key Vault
Petites améliorations
2.10 - mai 2025
SCEPman 2.10.1404
Améliorations mineures, par exemple
Robustesse accrue lorsque les services dépendants échouent
Mises à jour de la page d’accueil SCEPman
Niveaux de journalisation de certains messages ajustés pour éviter l’encombrement et mettre en évidence les messages importants
Autoriser l’ajout d’un CDP aux certificats émis
Spécifier une version particulière d’un certificat Key Vault comme certificat CA
Mises à jour des bibliothèques, y compris
une mise à jour de Microsoft.Identity.Web 3.8.2, corrigeant CVE-2025-32016
Certificate Master 2.10.997
Refonte de l’interface utilisateur de demande de certificat
Soumission de CSR pour les serveurs web (nécessite SCEPman 2.10)
Autorisé pour les utilisateurs ayant le rôle Request.Server en plus de ceux ayant Request.All et Admin.Full
Les utilisateurs peuvent modifier les entrées DNS SAN dans le formulaire d’inscription
Performances améliorées lors de la création de certificats via la méthode des formulaires
Améliorations mineures, par exemple
Correction d’un problème où la page "Forbidden" n’était pas affichée aux utilisateurs non autorisés
Entrées SAN de type IP
Le formulaire des certificats utilisateur permet d’ajouter des adresses e-mail en tant qu’entrées SAN
Mises à jour des bibliothèques, y compris
une mise à jour de Microsoft.Identity.Web 3.8.2, corrigeant CVE-2025-32016
Module PowerShell SCEPman 2.10
Petites améliorations
Module PowerShell SCEPmanClient 2.10 (Nouveau !)
Première version de ce nouveau module PowerShell pour demander et renouveler des certificats sur Windows, MacOS et Linux
2.9 - décembre 2024
SCEPman 2.9.1294
Améliorations mineures, par exemple
Configurer les EKU par défaut pour l’API REST, ce qui vous permet d’imposer des EKU spécifiques
Améliorations de la journalisation pour rendre le journal plus concis
Évaluation améliorée de l’état de connectivité sur la page d’accueil
Réponse OCSP pour l’état du certificat CA de SCEPman (pour compatibilité avec une configuration Palo Alto)
Mises à jour des bibliothèques, y compris
la mise à jour vers Azure.Identity 1.12, corrigeant CVE-2024-35255,
la mise à jour vers Bouncy Castle .NET 2.4, corrigeant CVE-2024-29857.
Certificate Master 2.9.858
Petites améliorations
Mises à jour des bibliothèques, y compris
la mise à jour d’Azure.Identity vers 1.12, corrigeant CVE-2024-35255,
la mise à jour vers Bouncy Castle .NET 2.4, corrigeant CVE-2024-29857.
Module PowerShell SCEPman 2.9
À partir de cette version, le module PowerShell SCEPman aura le même numéro de version majeure et mineure que la version SCEPman correspondante.
Nouveau CMDlet
Update-CertificateViaESTpour renouvellement des certificats via EST sur Windows
2.8 - mai 2024
SCEPman 2.8.1225
Correctif pour la génération de CRL si SCEPman est une autorité de certification subordonnée.
SCEPman 2.8.1155
SCEPman utilise une nouvelle URL et un nouveau format de données pour l’authentification Jamf Bearer, ce qui est nécessaire lors de l’utilisation de Jamf ~11.5.0 et versions plus récentes, qui ont désactivé l’ancienne URL avec l’authentification de base
SCEPman 2.8.1135
Améliorations des temps de réponse OCSP
Améliorations de la journalisation
Ajustement des niveaux de journalisation pour mieux mettre en évidence les informations importantes
Informations supplémentaires sur les révocations de certificats
Moins d’encombrement dans les journaux
Un identifiant de transaction dans les journaux permet de corréler les entrées qui appartiennent à la même requête SCEP ou OCSP
Configurer les usages étendus de clé (EKU) et les usages de clé par défaut pour chaque point de terminaison SCEP, par exemple si vous souhaitez inscrire des certificats d’authentification par carte à puce via Jamf
Mise à jour vers .NET 8
Mises à jour des bibliothèques
Incluant la mise à jour d’Azure.Identity vers 1.11, corrigeant CVE-2024-29992. Actuellement, l’exploit n’est pas divulgué publiquement, donc la portée du problème n’est pas claire, mais les informations publiées indiquent que SCEPman n’est probablement pas concerné.
Petites améliorations, notamment :
Utiliser une identité managée lors de la journalisation vers Azure Event Hub
Certificate Master 2.8.773
Vérification de révocation en direct indiquant si un certificat est actuellement valide et expliquant la raison si ce n’est pas le cas
Mise à jour vers .NET 8
Mises à jour des bibliothèques
Incluant la mise à jour d’Azure.Identity vers 1.11, corrigeant CVE-2024-29992. Actuellement, l’exploit n’est pas divulgué publiquement, donc la portée du problème n’est pas claire, mais les informations publiées indiquent que SCEPman n’est probablement pas concerné.
Petites corrections et améliorations, notamment :
Correction d’un bogue où les certificats n’étaient pas affichés lorsqu’il y avait un certificat dans la liste sans champ CN.
Correction d’un bogue où un utilisateur disposant uniquement du rôle MANAGE_INTUNE ou MANAGE_INTUNE_READ ne pouvait pas voir les certificats révoqués inscrits via Intune.
2.7 - février 2024
SCEPman 2.7.1068
Correction d’un problème où les certificats d’appareil étaient liés à leurs objets Intune alors qu’ils auraient dû être liés à leurs objets Entra ID.
SCEPman 2.7.1052
Correction d’un problème lors de la génération de la Root CA dans les nouvelles installations de SCEPman.
SCEPman 2.7.1049
Prise en charge du stockage des certificats inscrits via Intune dans le Storage Account pour une recherche plus facile.
Le point de terminaison EST de SCEPman permet le renouvellement de certificats via mTLS ("simplereenroll"). C’est utile pour les appareils non gérés comme les serveurs web et les clients Linux.
Les certificats d’appareil inscrits via Intune peuvent désormais contenir n’importe quel Subject, tant qu’ils ont une URI dans le Subject Alternative Name au format
IntuneDeviceId://{{DeviceId}}.SCEPman peut utiliser une User-Assigned Managed Identity au lieu d’une System-Assigned Managed Identity. C’est utile pour les grands déploiements géoredondants, où vous ne souhaitez pas configurer la System-assigned Managed Identity sur toutes les instances.
Corrections et petites améliorations, notamment :
Analyse automatique des réponses OCSP présentant des problèmes de performance
Certificate Master 2.7.705
Correction d’un cas d’affichage défectueux des certificats révoqués manuellement inscrits via Intune.
Certificate Master 2.7.702
Afficher les certificats inscrits via Intune depuis le Storage Account.
Lors du téléchargement de certificats au format PFX, vous pouvez choisir d’utiliser un algorithme cryptographique moderne requis par exemple par OpenSSL 2.x ou un algorithme hérité requis par MacOS et Windows Server 2016.
Petites améliorations, notamment :
Performances améliorées pour un grand nombre de certificats dans la base de données
Journalisation vers Azure Event Hub comme SCEPman
Certificats de signature de documents
Longueur de mot de passe PFX ajustable avec une valeur par défaut de 24 au lieu de 32 caractères pour une compatibilité accrue
2.6 - novembre 2023
SCEPman 2.6.945
Journalisation vers Azure Event Hub
Mises à jour des bibliothèques, y compris la mise à jour vers Azure.Identity 1.10.3, corrigeant CVE-2023-36414. Actuellement, l’exploit n’est pas divulgué publiquement, donc la portée du problème n’est pas claire, mais les informations publiées indiquent que SCEPman n’est probablement pas concerné.
Robustesse pour divers cas particuliers
Certificate Master 2.6.586
Sélection des usages étendus de clé pour chaque certificat
Mises à jour des bibliothèques, y compris la mise à jour vers Azure.Identity 1.10.3, corrigeant CVE-2023-36414. Actuellement, l’exploit n’est pas divulgué publiquement, donc la portée du problème n’est pas claire, mais les informations publiées indiquent que Certificate Master n’est probablement pas concerné.
Petites améliorations de l’interface utilisateur
2.5 - juillet 2023
SCEPman 2.5.895
Correctif : les réponses OCSP encodaient GeneralizedTime avec une fraction de seconde, ce qui n’est pas conforme à la RFC 5280, section 4.1.2.5.2, et a amené certains clients à rejeter la réponse OCSP (nous connaissons Checkpoint).
SCEPman 2.5.892
Définir une période de grâce d’inscriptionpendant laquelle les appareils sont autorisés à être non conformes.
SCEPman peut ajouter l’extension 1.3.6.1.4.1.311.25.2 avec les identifiants de sécurité (SID) des utilisateurs aux certificats, atténuant les attaques Certifried
Mises à jour des bibliothèques
Correctifs et petites améliorations, notamment :
expérience d’installation GCC High simplifiée
améliorations de l’interface utilisateur
Robustesse pour certains cas particuliers
Certificate Master 2.5.542
Amélioration/correctif pour l’affichage des certificats Intune
Certificate Master 2.5.516
Télécharger les certificats + clés privées au format PEM
Piste d’audit des révocations
Mises à jour des bibliothèques
Correctifs mineurs et améliorations, notamment
correctif du bouton de recherche de l’interface utilisateur
Empêcher les soumissions en double de CSR
Algorithmes avec compatibilité améliorée (par exemple AES et SHA-256 pour les CertBags PKCS#12)
2.4 - avril 2023
SCEPman 2.4.772
Mises à jour des bibliothèques et du framework, y compris .NET 7
Correctifs et améliorations
Certificate Master 2.4.445
Formulaire pour demander des certificats Code Signing
Formulaire pour demander des certificats Sub CA, par exemple pour les pare-feu qui inspectent le trafic TLS
Formulaire pour demander manuellement des certificats utilisateur pour l’authentification client, par exemple sur des sites web
Optimisations de l’interface utilisateur
Mises à jour des bibliothèques et du framework, y compris .NET 7
Correctifs mineurs et améliorations, notamment :
Dans certains cas, les certificats Intune révoqués étaient encore affichés dans la liste des certificats Intune
Masquer les certificats Intune qui ne sont pas émis par SCEPman
Les certificats pour les appareils Jamf pouvaient apparaître comme "Unknown" dans la liste des certificats Jamf
2.3 - janvier 2023
SCEPman 2.3.723
Stocker les certificats émis via Jamf, Static, Static-AADet DC points de terminaison dans le Storage Account (et autoriser la révocation manuelle dans Certificate Master)
Prise en charge partielle des CA ECC
Meilleurs messages d’erreur dans certaines pannes
Améliorations des contrôles de conformité
Une extension supplémentaire supprime mieux l’utilisation des certificats éphémères sur Windows
Un point de terminaison SCEP supplémentaire pour les appareils Apple empêche l’émission de certificats éphémères
Faux point de terminaison CDP pour les cas où une CRL est techniquement requise (la CRL ne contient toutefois aucune entrée pour l’instant)
Correctifs/améliorations mineurs
Certificate Master 2.3.327
Meilleure compatibilité avec les changements d’API de Microsoft pour lister les certificats émis via Intune
Améliorations mineures
2.2 - octobre 2022
Expérience d’installation améliorée
SCEPman 2.2.631
Les certificats utilisateur inscrits via Intune deviennent invalides lorsque le risque utilisateur dépasse un seuil configuré (nécessite une autorisation supplémentaire pour laquelle vous devez relancer le script de configuration SCEPman)
Mises à jour des bibliothèques
SCEPman Certificate Master 2.2.282
améliorations de l’interface utilisateur
Formats de fichiers de certificats supplémentaires pour Certificate Master
Certificate Master liste les certificats clients émis pour révocation manuelle (nécessite une autorisation supplémentaire pour laquelle vous devez relancer le script de configuration SCEPman)
Mises à jour des bibliothèques
2.1.522 - mai 2022
Mises à jour des bibliothèques et du framework
Performances améliorées avec .NET 6
Autres mises à jour de bibliothèques
Robustesse
Authentification Bearer pour Jamf Classic API
Améliorations mineures
2.0.473 - mars 2022
Émettre manuellement des certificats de serveur TLS
Révoquer les certificats émis manuellement
Rechercher des certificats manuels
Mises à jour des bibliothèques et du framework
Performances améliorées avec .NET 5
Azure Key Vault
Autres mises à jour de bibliothèques
Nouvelle interface utilisateur
Tellement belle, avec un nouveau logo
Informations détaillées sur les points de terminaison SCEP activés
Diverses améliorations mineures
1.9.207 - juillet 2021
Mise à jour du aperçu des contrôles de conformité
Fonctionne également pour les appareils Windows pendant l’inscription
Amélioration de RADIUS-as-a-Service la compatibilité
Progrès mineurs
Messages d’erreur améliorés
Compatibilité améliorée avec ISE avec un nouveau paramètre par défaut
1.8.155 - juin 2021
Robustesse améliorée dans les situations exceptionnelles
Réponses correctes aux requêtes OCSP invalides, qui peuvent se produire rarement pour les certificats émis par SCEPman 1.5 ou antérieur
Option pour configurer un "Clock Skew" pour les clients dont l’horloge est lente (> 10 minutes), ce qui arrive dans quelques tenants pour les appareils Windows gérés par Intune
Journalisation
Moins d’encombrement des journaux au niveau Info
Performance
Mise en cache de certaines requêtes répétées vers Graph API
1.7.140 - juin 2021
1.7.122 - juin 2021
Correctif concernant les vérifications OCSP pour les certificats émis via JAMF
1.7.101 - mai 2021
Prise en charge de certificats ordinateur et appareil via JAMF
Durées de validité distinctes des certificats pour chaque point de terminaison, par exemple pour les certificats Domain Controller
Le chemin de publication a été déplacé vers https://github.com/scepman/install. Veuillez mettre à jour votre paramètre WEBSITE_RUN_FROM_PACKAGE comme décrit dans la section Artefacts de l’application.
Aperçu de vérifications de conformité
Progrès mineurs
Contournement d’un bogue sur certaines versions d’Android afin d’obtenir des périodes de validité correctes
Les certificats CA SCEPman reçoivent un usage étendu de clé afin d’améliorer la compatibilité avec certaines versions de Cisco ISE
Améliorations supplémentaires des messages d’erreur
Mise à jour de certaines dépendances
Page d’accueil améliorée
1.6.465 - janvier 2021
Correctif où certaines requêtes OCSP n’obtenaient pas de réponse
Correctif affectant la journalisation locale
1.6.455 - novembre 2020
Prise en charge des certificats pour les Domain Controllersen particulier pour une utilisation dans Windows Hello for Business (édition Entreprise uniquement)
Prise en charge générique de autres systèmes MDM via le point de terminaison static
Journalisation des erreurs améliorée
Correction de bogues
1.5 - juillet 2020
Key Usage, Extended Key Usage et période de validité configurés dans la demande (c.-à-d. dans Intune)
Performances améliorées lors du traitement des requêtes de certificats et OCSP
1.4 - mai 2020
Améliorations des performances
Correction de bogues
1.3 - octobre 2019
Prise en charge des certificats utilisateur Authentication-Only (VPN, Wi-Fi, réseau) en plus des certificats d’appareil.
Prise en charge de la liste de certificats du volet Intune
1.2 - 2019
Composant de journal modifié
1.1 - 2019
Prise en charge des attributs SAN
Contrôles de cohérence
Première version de Community Edition
1.0 - 2019
Version initiale
Mis à jour
Ce contenu vous a-t-il été utile ?