circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

SCEPmanClient

SCEPmanClient est un module PowerShell destiné à interagir avec l'API REST de SCEPman. Étant indépendant de la plate-forme et compatible avec Windows PowerShell v5, vous pouvez utiliser ce module pour demander des certificats pour tous les cas d'utilisation pour lesquels l'API REST peut être utilisée :

  • Émission automatique de certificats serveur

  • Certificats client pour appareils non gérés

  • Inscription de certificats sur des appareils Linux

hashtag
Installation

Le module SCEPmanClient est disponible sur le PowerShell Gallery et peut être installé en utilisant la commande suivante :

Install-Module -Name SCEPmanClient
circle-info

Suivez le guide de Microsoft sur la façon d'installer PowerShell sur Linuxarrow-up-right ou MacOSarrow-up-right.

hashtag
Prérequis

Pour que le module fonctionne comme prévu, vous devrez ajouter une petite modification à votre déploiement SCEPman :

1

hashtag
Ajouter l'URL de la page d'accueil

Ajoutez l'URL du service d'application de SCEPman : Accédez à la section Branding & Properties de l'enregistrement d'application. Ajoutez l'URL du service d'application de SCEPman dans le champ URL de la page d'accueil :

Ceci est nécessaire pour que le module puisse automatiquement rechercher l'identifiant client (client id) de l'enregistrement d'application requis pour la récupération du jeton d'accès.

2

hashtag
Permettre à Azure PowerShell d'interagir avec l'enregistrement d'application

Dans l'enregistrement d'application, accédez à Expose an API et créez une portée personnalisée qui peut être utilisée pour autoriser l'ID client 1950a258-227b-4e31-a9cf-717495945fc2 (Microsoft Azure PowerShell)

Exemple d'informations pour une portée d'API personnalisée

Après avoir créé une portée d'API, l'application Azure PowerShell peut être autorisée :

Application Microsoft Azure PowerShell autorisée
3

hashtag
Activer le point de terminaison EST

hashtag
Autorisations

SCEPman possède différents rôles qui permettront l'inscription de différents types de certificats. Vous pouvez les attribuer dans la SCEPman-api (nom par défaut) Application d'entreprise :

hashtag
Demandeurs DB CSR

Ce rôle n'est par défaut attribuable qu'aux principaux de service (enregistrements d'application par exemple) et permet de demander des certificats avec des sujets et usages arbitraires.

Inscription via APIchevron-right

hashtag
Self Service CSR

Ce rôle peut être attribué aux utilisateurs et permettra l'inscription de certificats avec les restrictions suivantes :

  • Seulement EKU ClientAuth

  • Les certificats utilisateur doivent correspondre au UPN de l'utilisateur soit dans le sujet soit dans le nom alternatif de sujet UPN

  • Les certificats d'appareil doivent avoir un sujet ou SAN que SCEPman peut mapper à un objet appareil possédé par l'utilisateur authentifié

Inscription en libre-servicechevron-right

hashtag
Exemples d'utilisation

hashtag
Utiliser l'authentification Azure

hashtag
Authentification interactive

Lors de la demande d'un nouveau certificat sans spécifier le mécanisme d'authentification, l'utilisateur sera authentifié de manière interactive par défaut. En utilisant le -SubjectFromUserContext paramètre, le sujet du certificat et le SAN UPN seront automatiquement remplis en fonction du contexte de l'utilisateur connecté :

hashtag
Connexion d'appareil

Si vous souhaitez demander un nouveau certificat sur un système sans environnement de bureau, vous pouvez utiliser le -DeviceCode paramètre pour effectuer l'authentification réelle sur une autre session :

hashtag
Authentification par principal de service

Dans des scénarios entièrement automatisés, un enregistrement d'application peut être utilisé pour l'authentification. Inférer le sujet à partir du contexte authentifié ne sera pas possible dans ce cas.

Le splatting de paramètres rendra également l'exécution plus lisible :

hashtag
S'authentifier en utilisant des certificats

Une fois qu'un certificat a été émis en utilisant un contexte authentifié, nous pouvons l'utiliser pour le renouveler sans fournir à nouveau de contexte.

hashtag
CertificateBySubject

L'interaction avec les magasins de clés n'est possible que sur Windows

Lors de la fourniture du CertificateBySubject paramètre, le module tentera automatiquement de trouver un certificat approprié pour le renouvellement dans les CurrentUser et LocalMachine magasins de clés.

La valeur saisie sera comparée par expression régulière aux sujets de tous les certificats disponibles.

hashtag
Fournir un certificat spécifique

hashtag
CertificateFromFile

Sur les systèmes Linux, un renouvellement de certificat peut être effectué en passant les chemins d'un certificat existant et de sa clé privée.

Lorsque vous utilisez une clé privée chiffrée, il vous sera demandé le mot de passe. Vous pouvez également passer directement le mot de passe de la clé en utilisant le PlainTextPassword paramètre.

hashtag
Utiliser SCEPman avec un pare-feu d'application Web Azure

Avec les profils SSL activés, le WAF terminera les connexions TLS. Cela interrompra à son tour les renouvellements de certificats utilisant EST car la procédure repose sur le mTLS pour l'authentification. Dans ce cas, le UseSCEPRenewal paramètre peut être utilisé pour effectuer à la place un renouvellement de certificat conformément au protocole SCEP.

Veuillez noter que cela nécessite une configuration supplémentaire de SCEPman concernant le point de terminaison SCEP statique :

  • AppConfig:StaticValidation:Enabled : true

  • AppConfig:StaticValidation:AllowRenewals : true

  • AppConfig:StaticValidation:ReenrollmentAllowedCertificateTypes: Static (En fonction des types destinés au renouvellement)

Mis à jour

Ce contenu vous a-t-il été utile ?