Client Linux géré par Intune

Cette méthode peut être utilisée pour inscrire des certificats pour les utilisateurs et les appareils gérés par Intune.

Dans ce cas, Intune poussera un script pour exploiter l’API REST SCEPman, qui inscrira soit un nouveau certificat, soit renouvellera un certificat déjà existant.

Notre développeur Christoph a présenté cette fonctionnalité ainsi que quelques détails de fond lors du Workplace Ninja Usergroup Germany :

Prérequis

1. Inscription en libre-service

2. Paramètres de l’App Service

Ce scénario inscrira des certificats du type IntuneUser et IntuneDevice selon votre choix.

3. Prérequis client

Inscription Intune

Suivez la documentation liée pour inscrire votre client Linux à Intune.

Script d’inscription et de renouvellement

Le enrollrenewcertificate.sh Le script sera utilisé pour obtenir initialement un certificat, puis pour le vérifier selon un calendrier régulier et tenter un renouvellement si le seuil est atteint.

Bien que le script soit généralement utilisé en passant les paramètres dans le terminal, nous devrons modifier certaines parties afin de le déployer via Intune.

Localisez la partie du script qui affecte les arguments de terminal transmis à la variable et adaptez-les à vos besoins :

Exemple de configuration :

APPSERVICE_URL

L’URL du service d’application SCEPman.

Exemple : "https://scepman.contoso.net/"

API_SCOPE

Il s’agit de la portée d’API que vous pouvez créer dans l’ SCEPman-api enregistrement d’application dans votre environnement.

L’utilisateur verra la boîte de dialogue de consentement souhaitée et pourra ensuite utiliser la fonctionnalité en libre-service.

Exemple : "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

CERT_DIR

Le répertoire dans lequel le certificat sera créé ou tenté d’être renouvelé. La clé privée et le certificat racine y seront également placés.

Exemple : ~/certs/

CERT_NAME

Le nom de fichier (sans extension) du certificat qui sera créé ou lu pour le renouvellement.

Exemple : "myCertificate"

KEY_NAME

Le nom de fichier de la clé privée qui sera créée ou lue pour le renouvellement.

Exemple : "myKey"

RENEWAL_THRESHOLD_DAYS

Le nombre de jours avant l’expiration du certificat à partir duquel le script commencera le processus de renouvellement.

Exemple : 30

CERT_TYPE

Le type de certificat qui sera inscrit.

Peut être soit "user" soit "device"

CERT_COMMAND

Cela définit le comportement du script en matière d’inscription et de renouvellement :

"auto" créera initialement un certificat ou renouvellera un certificat s’il existe déjà et est sur le point d’expirer.

"renewal" renouvellera un certificat s’il est sur le point d’expirer, mais ne créera pas de certificat initialement.

"initial" inscrira uniquement un certificat, mais ne renouvellera pas un certificat existant.

Considérations

• Ce script ne chiffre pas les clés générées (cela nécessite la saisie d’une phrase secrète, donc le chiffrement a été omis afin de permettre le renouvellement automatique.)

• Si vous renouvelez des certificats protégés par phrase secrète provenant de Certificate Master, vous devrez saisir cette phrase secrète afin de les renouveler.

Déployer le script

Avec Intune, nous pouvons déployer le script modifié selon un calendrier afin d’inscrire initialement un certificat avec les paramètres donnés et de vérifier régulièrement s’il doit être renouvelé.

Ajoutez un nouveau déploiement de script Linux et assurez-vous de définir le Contexte d’exécution vers Utilisateur et de téléverser ou coller le contenu du script bash modifié que vous avez créé dans la section précédente.

Ajustez la Fréquence d’exécution en fonction de votre seuil de renouvellement.