circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Certificats

circle-info

Ces paramètres doivent uniquement être appliqués au service d'application SCEPman, et non au Certificate Master. Veuillez vous référer à Paramètres SCEPman.

hashtag
AppConfig:AddMicrosoftAADExtensions

Linux : AppConfig__AddMicrosoftAADExtensions

Valeur : true (par défaut) ou false

Description : Les certificats doivent-ils comporter les extensions 1.2.840.113556.5.14 (ID de locataire AAD) et 1.2.840.113556.1.5.284.2 (ID de périphérique AAD) ?

hashtag
AppConfig:AddSidExtension

Linux : AppConfig__AddSidExtension

circle-info

Applicable à la version 2.5 et supérieure

Valeur : true ou false (par défaut)

Description : Ce paramètre détermine si les certificats peuvent comporter l'extension 1.3.6.1.4.1.311.25.2 (SID de l'utilisateur - Security Identifier). Cette extension est requise pour atténuer attaques Certifried si les certificats sont utilisés pour l'authentification des utilisateurs AD sur site.

Si cela est défini sur false, SCEPman n'émettra jamais de certificats avec cette extension. Si cela est défini sur true, SCEPman pourra émettre des certificats avec cette extension dans deux cas :

Premièrement, lors de l'enregistrement de certificats utilisateur via Intune et que l'objet AAD de l'utilisateur contient un SID dans l'attribut OnPremisesSecurityIdentifier. Si l'objet AAD de l'utilisateur ne contient pas de SID, par exemple s'il s'agit d'un utilisateur uniquement cloud, SCEPman n'émettra pas de certificat avec cette extension. Il en va de même pour le endpoint static-aad.

Deuxièmement, lors de l'enregistrement de certificats utilisateur via d'autres endpoints SCEP et que la CSR contient déjà l'extension. Des exemples sont l'endpoint Static SCEP et les demandes de certificat manuelles via Certificate Master.

hashtag
AppConfig:ValidityPeriodDays

Linux : AppConfig__ValidityPeriodDays

Valeur : Entier

Description : Le nombre maximal de jours pendant lesquels un certificat émis est valide. Par défaut, ce paramètre est défini sur 730 jours. Si le paramètre n'est pas disponible (anciennes installations de SCEPman) la période de validité est de 200 jours. SCEPman n'émet jamais de certificats avec une validité supérieure à la valeur définie ici. Il existe toutefois des moyens de réduire la validité pour des certificats spécifiques.

Vous pouvez configurer des périodes de validité plus courtes dans chaque profil SCEP dans Intune comme décrit dans la documentation Microsoftarrow-up-right.

circle-exclamation

Les appareils iOS/iPadOS et macOS ignorent la configuration de la période de validité via Intune. Par conséquent, vous devez configurer ce paramètre dans SCEPman si vous souhaitez avoir une autre période de validité que 200 jours pour vos appareils iOS/iPadOS et macOS. Veuillez lire iOS/iPadOS pour plus de détails où nous recommandons une valeur plus élevée.

Vous pouvez également configurer plus courtes périodes de validité pour chaque endpoint SCEP. Par défaut, les valeurs suivantes sont définies pour chaque endpoint :

Endpoint
Paramètre
Validité en jours

Intune

AppConfig:IntuneValidation:ValidityPeriodDays

365

Jamf

<Non défini>

730 (paramètre global)

Static

<Non défini>

730 (paramètre global)

Certificate Master

<Non défini>

730 (paramètre global)

L'image ci-dessous illustre comment SCEPman limite la période de validité du certificat ; d'abord au niveau par endpoint, puis globalement.

hashtag
AppConfig:ConcurrentSCEPRequestLimit

Linux : AppConfig__ConcurrentSCEPRequestLimit

Valeur : Positif Entier

Par défaut : 50

Description : Lorsque davantage de requêtes SCEP arrivent à SCEPman, il faut plus de temps pour traiter chaque requête. À des fréquences de requêtes élevées, par exemple immédiatement après l'attribution d'un profil de configuration SCEP à un grand nombre d'appareils, le traitement des requêtes peut prendre tellement de temps que les requêtes expirent. Les clients retenteront leurs requêtes échouées, ce qui peut maintenir la fréquence des requêtes au-dessus du seuil critique de surcharge.

Avec ce paramètre, SCEPman ne traitera qu'un nombre donné de requêtes SCEP en parallèle. S'il y a plus de requêtes, SCEPman renvoie HTTP 329 (Too Many Requests). Les clients basés sur Intune retenteront l'émission du certificat plus tard dans ce cas, de sorte qu'aucune requête n'est généralement perdue. Cela garantit que SCEPman peut terminer les requêtes à temps et a la possibilité d'éliminer la file d'attente.

hashtag
AppConfig:ValidityClockSkewMinutes

Linux : AppConfig__ValidityClockSkewMinutes

Valeur : Positif Entier

Par défaut : 1440

Description : Lorsque SCEPman émet un certificat, sa validité commencera 24 heures (1440 minutes) avant sa date d'émission. Cela s'explique par le fait que l'horloge du client peut être en retard par rapport à celle de SCEPman et supposer alors que le certificat n'est pas encore valide. Certaines plateformes rejettent immédiatement les certificats invalides, même s'ils deviennent valides quelques secondes plus tard.

hashtag
AppConfig:UseRequestedKeyUsages

Linux : AppConfig__UseRequestedKeyUsages

Valeur : true ou false

Description : Les certificats doivent-ils avoir les extensions Key Usage et Extended Key Usage (EKU) définies comme demandé, ou SCEPman doit-il les définir ?

True : Les extensions Key Usage et Extended Key Usage dans les certificats sont définies par la solution MDM. False : Key Usage est toujours Key Encipherment + Digital Signature. Extended Key Usage est toujours Client Authentication.

circle-exclamation

Les appareils iOS/iPadOS ne prennent pas en charge les Extended Key Usages personnalisés (même s'ils sont configurés dans le profil Intune et AppConfig:UseRequestedKeyUsages définis sur True). Ainsi, leurs certificats auront toujours Client Authentication comme Extended Key Usage.

Mis à jour

Ce contenu vous a-t-il été utile ?