Certificats
Ces paramètres doivent être appliqués uniquement au service d’application SCEPman, pas au Certificate Master. Veuillez vous référer à Paramètres SCEPman.
AppConfig:AddMicrosoftAADExtensions
Linux : AppConfig__AddMicrosoftAADExtensions
Valeur : true (par défaut) ou false
Description : Les certificats doivent-ils comporter les extensions 1.2.840.113556.5.14 (ID de locataire AAD) et 1.2.840.113556.1.5.284.2 (ID de périphérique AAD) ?
AppConfig:AddSidExtension
Linux : AppConfig__AddSidExtension
Applicable à la version 2.5 et supérieure
Valeur : true ou false (par défaut)
Description : Ce paramètre détermine si les certificats peuvent comporter l’extension 1.3.6.1.4.1.311.25.2 (identificateur de sécurité (SID) de l’utilisateur). Cette extension est requise pour atténuer attaques Certifried si les certificats sont utilisés pour l’authentification des utilisateurs AD sur site.
Si ceci est défini sur false, SCEPman n’émettra jamais de certificats avec cette extension. Si ceci est défini sur true, SCEPman peut émettre des certificats avec cette extension dans deux cas :
Premièrement, lors de l’enregistrement de certificats utilisateur via Intune et que l’objet AAD de l’utilisateur contient un SID dans l’attribut OnPremisesSecurityIdentifier. Si l’objet AAD de l’utilisateur ne contient pas de SID, par exemple s’il s’agit d’un utilisateur uniquement cloud, SCEPman n’émettra pas de certificat avec cette extension. Il en va de même pour le point de terminaison static-aad.
Deuxièmement, lors de l’enregistrement de certificats utilisateur via d’autres points de terminaison SCEP et que la CSR contient déjà l’extension. Des exemples sont le point de terminaison Static SCEP et les demandes de certificat manuelles via Certificate Master.
AppConfig:ValidityPeriodDays
Linux : AppConfig__ValidityPeriodDays
Valeur : Entier
Description : Le nombre maximal de jours pendant lesquels un certificat émis est valide. Par défaut, ce paramètre est défini sur 730 jours. Si le paramètre n’est pas disponible (installations plus anciennes de SCEPman) la période de validité est de 200 jours. SCEPman n’émet jamais de certificats avec une validité plus longue que la valeur définie ici. Il existe toutefois des moyens de réduire la validité pour des certificats spécifiques.
Vous pouvez configurer des périodes de validité plus courtes dans chaque profil SCEP dans Intune comme décrit dans la documentation Microsoft.
Les appareils iOS/iPadOS et macOS ignorent la configuration de la période de validité via Intune. Par conséquent, vous devez configurer ce paramètre dans SCEPman si vous souhaitez avoir d’autres périodes de validité que 200 jours pour vos appareils iOS/iPadOS et macOS. Veuillez lire iOS/iPadOS pour plus de détails où nous recommandons une valeur plus élevée.
Vous pouvez également configurer plus courtes périodes de validité pour chaque point de terminaison SCEP. Par défaut, les valeurs suivantes sont définies pour chaque point de terminaison :
Jamf
<Non défini>
730 (paramètre global)
Static
<Non défini>
730 (paramètre global)
Certificate Master
<Non défini>
730 (paramètre global)
L’image ci‑dessous illustre comment SCEPman limite la période de validité du certificat ; d’abord au niveau par point de terminaison puis globalement.
AppConfig:ConcurrentSCEPRequestLimit
Linux : AppConfig__ConcurrentSCEPRequestLimit
Valeur : Positif Entier
Par défaut : 50
Description : Lorsque davantage de requêtes SCEP arrivent à SCEPman, chaque requête met plus de temps à se terminer. À des fréquences de requêtes élevées, par ex. immédiatement après l’attribution d’un profil de configuration SCEP à un grand nombre d’appareils, le traitement des requêtes peut prendre tellement de temps que les requêtes expirent. Les clients réessaieront leurs requêtes échouées, ce qui peut maintenir la fréquence des requêtes au‑dessus du niveau critique de surcharge.
Avec ce paramètre, SCEPman ne traitera qu’un nombre donné de requêtes SCEP en parallèle. S’il y a plus de requêtes, SCEPman retourne HTTP 329 (Too Many Requests). Les clients basés sur Intune réessaieront l’émission des certificats plus tard dans ce cas, donc en général aucune requête n’est perdue. Cela permet à SCEPman de terminer les requêtes à temps et d’avoir une chance d’écouler la file d’attente.
Le réglage optimal dépend des performances du plan de service d’application. À titre indicatif, 12 est une bonne limite pour une instance unique sur un plan App Service S1. Notez qu’un réglage trop bas peut empêcher l’extension automatique, car il peut réduire l’utilisation des ressources en dessous des seuils.
AppConfig:ValidityClockSkewMinutes
Linux : AppConfig__ValidityClockSkewMinutes
Valeur : Positif Entier
Par défaut : 1440
Description : Lorsque SCEPman émet un certificat, sa validité commencera 24 heures (1440 minutes) avant sa date d’émission. Cela s’explique par le fait que l’horloge du client peut être en retard par rapport à celle de SCEPman et supposer alors que le certificat n’est pas encore valide. Certaines plateformes rejettent immédiatement les certificats invalides, même s’ils deviennent valides quelques secondes plus tard.
AppConfig:UseRequestedKeyUsages
Linux : AppConfig__UseRequestedKeyUsages
Valeur : true ou false
Description : Les certificats doivent‑ils avoir les extensions Key Usage et Extended Key Usage (EKU) définies comme demandé, ou SCEPman doit‑il les définir ?
True : Les extensions Key Usage et Extended Key Usage dans les certificats sont définies par la solution MDM. False : Key Usage est toujours Chiffrement de clé (Key Encipherment) + Signature numérique. Extended Key Usage est toujours Authentification du client.
Les appareils iOS/iPadOS ne prennent pas en charge les Extended Key Usages personnalisés (même s’ils sont configurés dans le profil Intune et AppConfig:UseRequestedKeyUsages réglé sur True). Ainsi, leurs certificats auront toujours Authentification du client comme Extended Key Usage.
Mis à jour
Ce contenu vous a-t-il été utile ?