Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Certificats

Ces paramètres ne doivent être appliqués qu’au SCEPman App Service, et non au Certificate Master. Veuillez vous référer à SCEPman Settings.

AppConfig:AddMicrosoftAADExtensions

Linux : AppConfig__AddMicrosoftAADExtensions

Valeur : true (par défaut) ou false

Description : Les certificats doivent-ils avoir les extensions 1.2.840.113556.5.14 (AAD Tenant ID) et 1.2.840.113556.1.5.284.2 (AAD Device ID) ?

AppConfig:AddSidExtension

Linux : AppConfig__AddSidExtension

Applicable à la version 2.5 et supérieure

Valeur : true ou false (par défaut)

Description : Ce paramètre détermine si les certificats peuvent avoir l’extension 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) de l’utilisateur). Cette extension est nécessaire pour atténuer les attaques Certifried si les certificats sont utilisés pour l’authentification des utilisateurs AD locaux.

Si cette valeur est définie sur false, SCEPman n’émettra jamais de certificats avec cette extension. Si cette valeur est définie sur true, SCEPman peut émettre des certificats avec cette extension dans deux cas :

Premièrement, lors de l’inscription de certificats utilisateur via Intune et lorsque l’objet AAD de l’utilisateur contient un SID dans l’attribut OnPremisesSecurityIdentifier. Si l’objet AAD de l’utilisateur ne contient pas de SID, par exemple s’il s’agit d’un utilisateur cloud uniquement, SCEPman n’émettra pas de certificat avec cette extension. Il en va de même pour le point de terminaison static-aad.

Deuxièmement, lors de l’inscription de certificats utilisateur via d’autres points de terminaison SCEP et lorsque la CSR contient déjà l’extension. Les exemples incluent le point de terminaison Static SCEP et les demandes manuelles de certificats via Certificate Master.

AppConfig:ValidityPeriodDays

Linux : AppConfig__ValidityPeriodDays

Valeur : Entier

Description : Le nombre maximal de jours pendant lesquels un certificat émis est valide. Par défaut, ce paramètre est défini sur 730 jours. Si le paramètre n’est pas disponible (anciennes installations de SCEPman), la période de validité est de 200 jours. SCEPman n’émet jamais de certificats avec une validité supérieure à la valeur définie ici. Il existe toutefois des moyens de réduire la validité pour des certificats spécifiques.

Vous pouvez configurer des périodes de validité plus courtes dans chaque profil SCEP dans Intune, comme décrit dans la documentation Microsoft.

Les appareils iOS/iPadOS et macOS ignorent la configuration de la période de validité via Intune. Par conséquent, vous devez configurer ce paramètre dans SCEPman si vous souhaitez avoir une période de validité différente de 200 jours pour vos appareils iOS/iPadOS et macOS. Veuillez lire iOS/iPadOS pour plus de détails, où nous recommandons une valeur plus élevée.

Vous pouvez également configurer des périodes de validité plus courtes pour chaque point de terminaison SCEP. Par défaut, les valeurs suivantes sont définies pour chaque point de terminaison :

Point de terminaison
Paramètre
Validité en jours

Intune

AppConfig:IntuneValidation:ValidityPeriodDays

365

Jamf

<Non défini>

730 (paramètre global)

Static

<Non défini>

730 (paramètre global)

Certificate Master

<Non défini>

730 (paramètre global)

L’image ci-dessous illustre comment SCEPman limite la période de validité des certificats ; d’abord au niveau de chaque point de terminaison, puis globalement.

AppConfig:ConcurrentSCEPRequestLimit

Linux : AppConfig__ConcurrentSCEPRequestLimit

Valeur : Positif Entier

Par défaut : 50

Description : Lorsque davantage de requêtes SCEP parviennent à SCEPman, il faut plus de temps à chaque requête pour se terminer. À des fréquences de requêtes élevées, par exemple immédiatement après l’affectation d’un profil de configuration SCEP à un grand nombre d’appareils, le traitement des requêtes peut prendre tellement de temps que celles-ci expirent. Les clients réessayeront leurs requêtes ayant échoué, ce qui peut maintenir la fréquence des requêtes au-dessus du niveau critique de surcharge.

Avec ce paramètre, SCEPman ne traitera en parallèle que ce nombre de requêtes SCEP. S’il y a davantage de requêtes, SCEPman renvoie HTTP 329 (Trop de requêtes). Les clients basés sur Intune réessaieront alors plus tard l’émission du certificat, donc généralement aucune requête n’est perdue. Cela garantit que SCEPman peut terminer les requêtes à temps et a une chance d’absorber la file d’attente.

AppConfig:ValidityClockSkewMinutes

Linux : AppConfig__ValidityClockSkewMinutes

Valeur : Positif Entier

Par défaut : 1440

Description : Lorsque SCEPman émet un certificat, sa validité commencera 24 heures (1440 minutes) avant sa date d’émission. Cela est dû au fait que l’horloge du client peut être plus lente que celle de SCEPman et supposer alors que le certificat n’est pas encore valide. Certaines plateformes rejettent immédiatement les certificats invalides, même s’ils deviennent valides quelques secondes plus tard.

AppConfig:UseRequestedKeyUsages

Linux : AppConfig__UseRequestedKeyUsages

Valeur : true (par défaut) ou false

Description : Les certificats doivent-ils avoir les extensions Key Usage et Extended Key Usage (EKU) définies comme demandé, ou SCEPman doit-il les définir ?

True : Les extensions Key Usage et Extended Key Usage des certificats sont définies par la solution MDM. False : Key Usage est toujours Key Encipherment + Digital Signature. Extended Key Usage est toujours Client Authentication.

Les appareils iOS/iPadOS ne prennent pas en charge les Extended Key Usages personnalisés (même si cela est configuré dans le profil Intune et AppConfig:UseRequestedKeyUsages défini sur True). Ainsi, leurs certificats auront toujours Client Authentication comme Extended Key Usage.

Mis à jour

Ce contenu vous a-t-il été utile ?