# Certificats {% hint style="info" %} Ces paramètres ne doivent être appliqués qu’au SCEPman App Service, et non au Certificate Master. Veuillez vous référer à [SCEPman Settings](/fr/configuration-de-scepman/application-settings.md). {% endhint %} ## AppConfig:AddMicrosoftAADExtensions *Linux : AppConfig\_\_AddMicrosoftAADExtensions* **Valeur :** *true* (par défaut) ou *false* **Description :** Les certificats doivent-ils avoir les extensions 1.2.840.113556.5.14 (AAD Tenant ID) et 1.2.840.113556.1.5.284.2 (AAD Device ID) ? ## AppConfig:AddSidExtension *Linux : AppConfig\_\_AddSidExtension* {% hint style="info" %} Applicable à la version 2.5 et supérieure {% endhint %} **Valeur :** *true* ou *false* (par défaut) **Description :** Ce paramètre détermine si les certificats peuvent avoir l’extension 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) de l’utilisateur). Cette extension est nécessaire pour atténuer [les attaques Certifried](/fr/autre/troubleshooting/certifried.md) si les certificats sont utilisés pour l’authentification des utilisateurs AD locaux. Si cette valeur est définie sur false, SCEPman n’émettra jamais de certificats avec cette extension. Si cette valeur est définie sur true, SCEPman peut émettre des certificats avec cette extension dans deux cas : Premièrement, lors de l’inscription de certificats utilisateur via Intune et lorsque l’objet AAD de l’utilisateur contient un SID dans l’attribut *OnPremisesSecurityIdentifier*. Si l’objet AAD de l’utilisateur ne contient pas de SID, par exemple s’il s’agit d’un utilisateur cloud uniquement, SCEPman n’émettra pas de certificat avec cette extension. Il en va de même pour le [point de terminaison static-aad](/fr/configuration-de-scepman/application-settings/scep-endpoints/staticaad-validation.md). Deuxièmement, lors de l’inscription de certificats utilisateur via d’autres points de terminaison SCEP et lorsque la CSR contient déjà l’extension. Les exemples incluent le point de terminaison Static SCEP et les demandes manuelles de certificats via Certificate Master. ## AppConfig:ValidityPeriodDays *Linux : AppConfig\_\_ValidityPeriodDays* **Valeur :** *Entier* **Description :**\ Le nombre maximal de jours pendant lesquels un certificat émis est valide. Par défaut, ce paramètre est défini sur **730 jours**. Si le paramètre n’est pas disponible (anciennes installations de SCEPman), la période de validité est de **200 jours**. SCEPman n’émet jamais de certificats avec une validité supérieure à la valeur définie ici. Il existe toutefois des moyens de réduire la validité pour des certificats spécifiques. Vous pouvez configurer des périodes de validité plus courtes dans chaque profil SCEP dans Intune, comme décrit dans la [documentation Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template). {% hint style="warning" %} Les appareils iOS/iPadOS et macOS ignorent la configuration de la période de validité via Intune. Par conséquent, vous devez configurer ce paramètre dans SCEPman si vous souhaitez avoir une période de validité différente de 200 jours pour vos appareils iOS/iPadOS et macOS. Veuillez lire [iOS/iPadOS](/fr/gestion-des-certificats/microsoft-intune/ios.md) pour plus de détails, où nous recommandons une valeur plus élevée. {% endhint %} Vous pouvez également configurer **des** périodes de validité plus courtes pour chaque point de terminaison SCEP. Par défaut, les valeurs suivantes sont définies pour chaque point de terminaison : | Point de terminaison | Paramètre | Validité en jours | | -------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------- | | Intune | [AppConfig:IntuneValidation:ValidityPeriodDays](/fr/configuration-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-validityperioddays) | 365 | | Jamf | \ | 730 (paramètre global) | | Static | \ | 730 (paramètre global) | | Certificate Master | \ | 730 (paramètre global) | L’image ci-dessous illustre comment SCEPman limite la période de validité des certificats ; d’abord au niveau de chaque point de terminaison, puis globalement.
## AppConfig:ConcurrentSCEPRequestLimit *Linux : AppConfig\_\_ConcurrentSCEPRequestLimit* **Valeur :** Positif *Entier* **Par défaut :** 50 **Description :** Lorsque davantage de requêtes SCEP parviennent à SCEPman, il faut plus de temps à chaque requête pour se terminer. À des fréquences de requêtes élevées, par exemple immédiatement après l’affectation d’un profil de configuration SCEP à un grand nombre d’appareils, le traitement des requêtes peut prendre tellement de temps que celles-ci expirent. Les clients réessayeront leurs requêtes ayant échoué, ce qui peut maintenir la fréquence des requêtes au-dessus du niveau critique de surcharge. Avec ce paramètre, SCEPman ne traitera en parallèle que ce nombre de requêtes SCEP. S’il y a davantage de requêtes, SCEPman renvoie HTTP 329 (Trop de requêtes). Les clients basés sur Intune réessaieront alors plus tard l’émission du certificat, donc généralement aucune requête n’est perdue. Cela garantit que SCEPman peut terminer les requêtes à temps et a une chance d’absorber la file d’attente. ## AppConfig:ValidityClockSkewMinutes *Linux : AppConfig\_\_ValidityClockSkewMinutes* **Valeur :** Positif *Entier* **Par défaut :** 1440 **Description :** Lorsque SCEPman émet un certificat, sa validité commencera 24 heures (1440 minutes) avant sa date d’émission. Cela est dû au fait que l’horloge du client peut être plus lente que celle de SCEPman et supposer alors que le certificat n’est pas encore valide. Certaines plateformes rejettent immédiatement les certificats invalides, même s’ils deviennent valides quelques secondes plus tard. ## AppConfig:UseRequestedKeyUsages *Linux : AppConfig\_\_UseRequestedKeyUsages* **Valeur :** *true* (par défaut) ou *false* **Description :** Les certificats doivent-ils avoir les extensions Key Usage et Extended Key Usage (EKU) définies comme demandé, ou SCEPman doit-il les définir ? **True :** Les extensions Key Usage et Extended Key Usage des certificats sont définies par la solution MDM.\ **False :** Key Usage est toujours *Key Encipherment* + *Digital Signature*. Extended Key Usage est toujours *Client Authentication*. {% hint style="warning" %} Les appareils iOS/iPadOS ne prennent pas en charge les Extended Key Usages personnalisés (même si cela est configuré dans le profil Intune et [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") défini sur **True**). Ainsi, leurs certificats auront toujours *Client Authentication* comme Extended Key Usage. {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/fr/configuration-de-scepman/application-settings/certificates.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.