Certificats
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Valeur : true (par défaut) ou false
Description : Les certificats doivent-ils comporter les extensions 1.2.840.113556.5.14 (ID du locataire AAD) et 1.2.840.113556.1.5.284.2 (ID de l’appareil AAD) ?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Valeur : true ou false (par défaut)
Description : Ce paramètre détermine si les certificats peuvent comporter l’extension 1.3.6.1.4.1.311.25.2 (identificateur de sécurité (SID) de l’utilisateur). Cette extension est requise pour atténuer les attaques Certifried si les certificats sont utilisés pour l’authentification des utilisateurs AD sur site.
Si ceci est défini sur false, SCEPman n’émettra jamais de certificats avec cette extension. Si ceci est défini sur true, SCEPman peut émettre des certificats avec cette extension dans deux cas :
Premièrement, lors de l’enregistrement de certificats utilisateur via Intune et que l’objet AAD de l’utilisateur contient un SID dans l’attribut OnPremisesSecurityIdentifier. Si l’objet AAD de l’utilisateur ne contient pas de SID, par exemple s’il s’agit d’un utilisateur uniquement cloud, SCEPman n’émettra pas de certificat avec cette extension. Il en va de même pour le point de terminaison static-aad.
Deuxièmement, lors de l’enregistrement de certificats utilisateur via d’autres points de terminaison SCEP et si la CSR contient déjà l’extension. Des exemples sont le point de terminaison SCEP statique et les demandes de certificats manuelles via Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Valeur : Entier
Description : Le nombre maximal de jours pendant lesquels un certificat émis est valide. Par défaut, ce paramètre est défini sur 730 jours. Si le paramètre n’est pas disponible (anciennes installations de SCEPman) la durée de validité est de 200 jours. SCEPman n’émet jamais de certificats ayant une durée de validité supérieure à la valeur définie ici. Il existe toutefois des moyens de réduire la validité pour des certificats spécifiques.
Vous pouvez configurer des périodes de validité plus courtes dans chaque profil SCEP dans Intune comme décrit dans le documentation Microsoft.
Les appareils iOS/iPadOS et macOS ignorent la configuration de la période de validité via Intune. Par conséquent, vous devez configurer ce paramètre dans SCEPman si vous souhaitez avoir d’autres périodes de validité que 200 jours pour vos appareils iOS/iPadOS et macOS. Veuillez lire iOS/iPadOS pour plus de détails où nous recommandons une valeur plus élevée.
Vous pouvez également configurer plus courtes périodes de validité pour chaque point de terminaison SCEP. Par défaut, les valeurs suivantes sont définies pour chaque point de terminaison :
Jamf
<Non défini>
730 (paramètre global)
Static
<Non défini>
730 (paramètre global)
Certificate Master
<Non défini>
730 (paramètre global)
L’image ci‑dessous illustre comment SCEPman limite la période de validité des certificats ; d’abord au niveau par point de terminaison puis globalement ensuite.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Valeur : Positif Entier
Par défaut : 50
Description : Lorsque davantage de requêtes SCEP arrivent à SCEPman, il faut plus de temps pour que chaque requête se termine. À des fréquences de requêtes élevées, par ex. immédiatement après l’attribution d’un profil de configuration SCEP à un grand nombre d’appareils, le traitement des requêtes peut prendre tellement de temps que les requêtes expirent. Les clients vont réessayer leurs requêtes échouées, ce qui peut maintenir la fréquence des requêtes au‑dessus du niveau critique de surcharge.
Avec ce paramètre, SCEPman ne traitera qu’un nombre donné de requêtes SCEP en parallèle. S’il y a plus de requêtes, SCEPman renvoie HTTP 329 (Trop de requêtes). Les clients basés sur Intune réessayeront l’émission du certificat ultérieurement dans ce cas, de sorte qu’en général aucune requête n’est perdue. Cela garantit que SCEPman peut terminer les requêtes à temps et a la possibilité d’évacuer la file d’attente.
Le paramètre optimal dépend des performances du plan de service d’application (App Service Plan). À titre indicatif, 12 est une bonne limite pour une instance unique sur un plan S1 App Service. Notez qu’un réglage trop bas peut empêcher l’extensibilité automatique, car il peut réduire l’utilisation des ressources en dessous des seuils.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Valeur : Positif Entier
Par défaut : 1440
Description : Lorsque SCEPman émet un certificat, sa validité commencera 24 heures (1440 minutes) avant sa date d’émission. Cela s’explique par le fait que l’horloge du client peut avancer plus lentement que celle de SCEPman et supposer alors que le certificat n’est pas encore valide. Certaines plateformes écartent immédiatement les certificats invalides, même s’ils deviennent valides quelques secondes plus tard.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Valeur : true ou false
Description : Les certificats doivent‑ils avoir les extensions Key Usage et Extended Key Usage (EKU) remplies comme demandé ou SCEPman doit‑il les définir ?
Vrai : Les extensions Key Usage et Extended Key Usage dans les certificats sont définies par la solution MDM. Faux : Key Usage est toujours Chiffrement de clé (Key Encipherment) + Signature numérique. Extended Key Usage est toujours Authentification du client.
Les appareils iOS/iPadOS ne prennent pas en charge les Extended Key Usages personnalisés (même s’ils sont configurés dans le profil Intune et AppConfig:UseRequestedKeyUsages réglé sur Vrai). Ainsi, leurs certificats auront toujours Authentification du client comme Extended Key Usage.
Mis à jour
Ce contenu vous a-t-il été utile ?