Révocation
Révocation automatique des certificats dans Microsoft Intune ou Jamf Pro via OCSP en utilisant SCEPman.
SCEPman propose plusieurs façons de gérer et de révoquer un certificat. Les options disponibles dépendent de
si le certificat a été inscrit automatiquement via une solution MDM ou s'il a été généré via le Certificate Master UI / API REST d'enrôlement,
le système MDM utilisé pour l'inscription (automatique) et
la configuration de SCEPman.
La section ci‑dessous fournit un aperçu des différentes options de gestion et des mécanismes de révocation et dans quelles circonstances ils sont disponibles.
Révocation automatique
Disponible uniquement lorsque Microsoft Intune et/ou Jamf Pro sont utilisés comme solution(s) MDM pour l'inscription des certificats. Alternativement, cela est disponible avec tout MDM tiers capable de synchroniser les objets appareil et/ou utilisateur avec Microsoft Entra ID (Azure AD) (c.-à-d. Validation AAD statique peut être utilisé).
Pris en charge sur OCSP.
Contexte
La révocation automatique est toujours active et permet une gestion pratique du cycle de vie des certificats en liant chaque certificat à un objet d'annuaire tel qu'une identité utilisateur ou appareil. Grâce à ce mécanisme de liaison d'objet, SCEPman peut déduire le statut de révocation en fonction de certaines caractéristiques du cycle de vie de l'objet auquel il a été lié. La correspondance entre l'état du cycle de vie de l'objet et l'état de révocation du certificat est implémentée pour refléter les meilleures pratiques issues d'années d'expérience en sécurité et gestion des terminaux.
La liaison entre l'objet d'annuaire (utilisateur ou appareil) et le certificat est établie en introduisant des variables appropriées dans le profil SCEP pour les propriétés Nom du sujet (Subject Name) ou Nom alternatif du sujet (Subject Alternative Name). Lors de la réception d'une demande de signature de certificat (CSR) d'un client géré par un MDM, SCEPman identifie l'objet lié et code cette information dans le numéro de série du certificat avant de le renvoyer au client. C'est le numéro de série qui est transmis au répondeur OCSP de SCEPman lors de la validation du certificat, permettant à SCEPman de décoder l'information sur l'objet, d'effectuer une recherche dans l'annuaire approprié et finalement de prendre une décision sur le statut de révocation.
Comportement de révocation
Dans n'importe lequel des scénarios ci‑dessous, la révocation peut être considérée comme effective immédiatement, une fois que l'état de l'objet lié a changé. Veuillez noter que la mise en cache locale des réponses OCSP sur le client peut laisser penser le contraire.
Lors des tests, veuillez considérer que la suppression/retrait d'un appareil de l'annuaire/solution MDM concerné est une opération irréversible qui vous obligera à réinscrire l'appareil par la suite.
Appareil Intune {{DeviceId}}
Supprimer, Effacement*, Retirer*: révocation permanente
Non disponible
Conformité de l'appareil Intune: révocation réversible
Liste des terminaux: révocation permanente
Appareil Entra (Azure AD)
{{AAD_Device_ID}}
Supprimer: révocation permanente
Désactiver: révocation réversible
Conformité de l'appareil Entra (Azure AD): révocation réversible
Liste des terminaux: révocation permanente
Utilisateur Entra (Azure AD)
{{UserPrincipalName}}
Supprimer: révocation permanente
Désactiver: révocation réversible
Risque utilisateur: révocation réversible
Liste des terminaux: révocation permanente
Utilisateur Jamf sur ordinateur
CN=$JSSID,OU=users-on-computers
Supprimer (Ordinateur): révocation permanente
Supprimer (Utilisateur): révocation permanente
Non disponible
Non disponible
Utilisateur Jamf sur appareil
CN=$JSSID,OU=users-on-devices
Supprimer (Appareil): révocation permanente
Supprimer (Utilisateur): révocation permanente
Non disponible
Non disponible
*: Assurez‑vous lors de l'effacement que « Effacer l'appareil, mais conserver l'état d'inscription et le compte utilisateur associé » est désactivé. La révocation n'est immédiate que si AppConfig:IntuneValidation:RevokeCertificatesOnWipe est définie sur vrai (par défaut).
Révocation manuelle
Uniquement SCEPman Enterprise Edition
Cette fonctionnalité nécessite la version 2.3 ou supérieure.
Pris en charge sur OCSP et CRL.
Contexte
La révocation manuelle est disponible pour tout certificat émis par SCEPman - qu'il ait été inscrit automatiquement via MDM, émis manuellement via le Certificate Master, ou déployé via l'API REST d'inscription. La révocation manuelle est utile lorsque la révocation automatique n'est pas disponible ou lorsque les voies de révocation automatiques ne suffisent pas à satisfaire des exigences spécifiques.
Pour faciliter la révocation manuelle, SCEPman doit stocker certaines métadonnées des certificats qu'il émet. Bien que cela soit le cas par défaut pour les certificats émis via l'interface Certificate Master UI et l'API REST d'inscription, ce n'est pas le cas pour d'autres types de certificats. Par conséquent, veuillez vous assurer de revoir les paramètres pertinents en fonction de vos besoins.
Continuez la lecture pour apprendre comment la révocation manuelle est gérée en exploitant Certificate Master et ses options de recherche et de filtrage.
Certificate Master
SCEPman Certificate Master vous permet de rechercher, inspecter et gérer les certificats émis par votre PKI SCEPman :
Gérer les certificatsRévocation automatique versus manuelle
SCEPman utilise différentes sources d'informations de révocation pour déterminer si un certificat est valide lorsqu'une requête OCSP arrive. De plus, la logique de révocation de SCEPman suit une approche en OU, ce qui signifie que si une source de révocation juge le certificat invalide, il sera signalé comme révoqué. Il n'y a pas de priorité entre la révocation automatique et la révocation manuelle, ni l'inverse.
Veuillez noter que les tableaux dans Certificate Master n'affichent que le statut de la révocation manuelle et non les autres sources. Par conséquent, un certificat peut apparaître comme valide dans le tableau, bien qu'il soit en réalité considéré comme révoqué, par exemple parce que l'appareil correspondant a été supprimé dans Intune (révocation automatique).
Lectures complémentaires
Mis à jour
Ce contenu vous a-t-il été utile ?