Enrôlement via API

SCEPman propose une API REST pour l'enrôlement des certificats. C'est une alternative aux points de terminaison SCEP qui nécessitent le mode d'authentification de type SCEP, tandis que l'API REST utilise les identités Microsoft pour l'authentification. Le protocole est également beaucoup plus simple que SCEP.

Prérequis

1. Principal de service

1

Enregistrement d’application

Créez un nouveau Enregistrement d’application qui décrit votre cas d'utilisation. Votre application s'authentifiera en tant que cette application auprès de SCEPman.

2

Autorisations API

CSR.Request.Db

Attribuez les autorisations requises en exécutant le Register-SCEPmanApiClient cmdlet du module PowerShell SCEPman.

Exemple :

Copier

Register-SCEPmanApiClient -ServicePrincipalId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

ServicePrincipalId

Le ID d'objet du Application d’entreprise de l’enregistrement d’application que nous avons créé à l’étape précédente. Notez que cela ne fait pas référence à l’Application d’entreprise généralement nommée SCEPman-api, qui identifie SCEPman lui-même.

Pour attribuer manuellement cette autorisation, vous pouvez naviguer vers Autorisations API et ajouter une autorisation depuis les autorisations utilisées par votre organisation. Assignez le rôle CSR.Request.Db autorisation depuis SCEPman-api en tant que autorisation d’application.

Application.Read.All (Optionnel)

Principaux de service nécessiteront également l’autorisation Graph Application.Read.All pour permettre la récupération automatique de la portée API de SCEPman pour l’authentification.

L’autorisation peut être ajoutée manuellement de la manière suivante :

3

Secret client

Créez un secret client sous « Certificats et secrets ». Le secret client sera utilisé comme mot de passe pour authentifier l’application ultérieurement.

2. Paramètres de l'App Service

Configuration

Nécessaire pour le renouvellement du certificat

Configurez votre App Service SCEPman pour accepter les certificats clients mTLS. Dans le volet Configuration de la section Paramètres, vérifiez que le mode de certificat client dans Certificats clients entrants est défini sur Optionnel.

Ne définissez pas le mode de certificat client sur Exiger ou Autoriser, car cela perturberait le fonctionnement normal de SCEPman sur les points de terminaison SCEP !

Variables d'environnement

Pour pouvoir utiliser ce scénario, vous devez définir les variables d'environnement suivantes sur le service d’application SCEPman.

AppConfig:DbCSRValidation:Enabled

Nécessaire pour l'enregistrement et le renouvellement des certificats

Définissez cette variable sur true pour activer la validation des demandes de signature de certificat (CSR).

AppConfig:DbCSRValidation:AllowRenewals

Nécessaire pour le renouvellement du certificat

Définissez cette variable sur true pour activer les renouvellements de certificats.

AppConfig:DbCSRValidation:ReenrollmentAllowedCertificateTypes

Nécessaire pour le renouvellement du certificat

Définissez cette variable sur une liste séparée par des virgules des types de certificats pour lesquels vous souhaitez autoriser le renouvellement. Consultez la documentation de la variable liée pour la liste des types de certificats possibles.

Exemple : Statique,IntuneUser,IntuneDevice

Enrôlement des certificats

Après avoir préparé les prérequis, vous pouvez POSTER un PKCS#10/CMS vers votre SCEPman avec le chemin HTTP api/csr. La réponse HTTP sera le certificat fraîchement émis au format DER.

SCEPman stockera automatiquement tous les certificats émis dans son compte de stockage, vous permettant ainsi de les lister et de les révoquer facilement via le composant Certificate Master.

Une méthode pratique pour envoyer ces requêtes est notre module PowerShell SCEPmanClient :

Autres exemples

Consultez notre Bibliothèque d'exemples open source sur GitHub pour savoir comment utiliser l'API REST de SCEPman.