Client Linux géré par Intune

Cette méthode peut être utilisée pour inscrire des certificats pour les utilisateurs et les appareils gérés par Intune.

Intune poussera dans ce cas un script pour exploiter l'API REST de SCEPman qui, à son tour, va soit inscrire un nouveau certificat soit renouveler un certificat déjà existant.

Notre développeur Christoph a présenté cette fonctionnalité et quelques détails de contexte au Workplace Ninja Usergroup Germany :

Prérequis

1. Inscription en libre-service

2. Paramètres de l'App Service

Ce scénario inscrira des certificats du type IntuneUser et IntuneDevice en fonction de votre choix.

3. Prérequis client

Inscription à Intune

Suivez la documentation liée pour inscrire votre client Linux à Intune.

Script d’inscription et de renouvellement

Le enrollrenewcertificate.sh Le script sera utilisé pour recevoir initialement un certificat ainsi que pour le vérifier à intervalles réguliers et tenter un renouvellement si le seuil est atteint.

Alors que le script est généralement exécuté en passant les paramètres dans le terminal, nous devrons modifier certaines parties afin qu'il puisse être déployé via Intune.

Localisez la partie du script qui assigne les arguments passés dans le terminal à la variable et ajustez-les selon vos besoins :

Configuration d'exemple :

APPSERVICE_URL

L’URL du service d’application SCEPman.

Exemple : "https://scepman.contoso.net/"

API_SCOPE

Ceci est la portée d’API que vous pouvez créer dans l’ SCEPman-api enregistrement d’application dans votre environnement.

L’utilisateur se verra présenter la boîte de dialogue de consentement souhaitée et pourra ensuite utiliser la fonctionnalité en libre-service.

Exemple : "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

CERT_DIR

Le répertoire dans lequel le certificat sera créé ou tenté d'être renouvelé. La clé privée et le certificat racine y seront également placés.

Exemple : ~/certs/

CERT_NAME

Le nom de fichier (sans extension) du certificat qui sera créé ou lu pour le renouvellement.

Exemple : "myCertificate"

KEY_NAME

Le nom de fichier de la clé privée qui sera créé ou lu pour le renouvellement.

Exemple : "myKey"

RENEWAL_THRESHOLD_DAYS

Le nombre de jours avant l’expiration du certificat pour que le script commence le processus de renouvellement.

Exemple : 30

CERT_TYPE

Le type de certificat qui sera inscrit.

Peut être soit "user" soit "device"

CERT_COMMAND

Ceci définit le comportement du script en relation avec l'inscription et le renouvellement :

"auto" créera un certificat initialement ou renouvellera un certificat s'il existe déjà et est sur le point d'expirer.

"renewal" renouvellera un certificat s'il est sur le point d'expirer mais ne créera pas un certificat initialement.

"initial" n'inscrira qu'un certificat mais ne renouvellera pas un certificat existant.

Considérations

• Ce script n’encrypte pas les clés générées (cela nécessite une saisie de phrase de passe, donc le chiffrement a été omis pour permettre le renouvellement automatique).

• Si vous renouvelez des certificats protégés par une phrase de passe depuis Certificate Master, vous devrez saisir cette phrase de passe afin de les renouveler.

Déployer le script

Avec Intune, nous pouvons déployer le script modifié selon un planning pour inscrire initialement un certificat avec les paramètres donnés et vérifier régulièrement s'il doit être renouvelé.

Ajoutez un nouveau déploiement de script Linux et assurez-vous de définir le Contexte d'exécution vers Utilisateur et soit téléversez, soit collez le contenu du script bash modifié que vous avez créé dans la section précédente.

Ajustez la Fréquence d'exécution en accord avec votre seuil de renouvellement.