Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Révocation

Révocation automatique des certificats dans Microsoft Intune ou Jamf Pro via OCSP à l'aide de SCEPman.

SCEPman offre plusieurs moyens de gérer et de révoquer un certificat. Les options disponibles dépendent de

  • du fait que le certificat a été inscrit automatiquement via une solution MDM ou qu’il a été généré via l’ Certificate Master UI / API REST d’enrôlement,

  • le système MDM utilisé pour l’inscription (automatique), et

  • la configuration de SCEPman.

La section ci-dessous donne un aperçu des différentes options de gestion et des mécanismes de révocation, ainsi que les circonstances dans lesquelles ils sont disponibles.

Révocation automatique

Disponible uniquement lorsque Microsoft Intune et/ou Jamf Pro sont utilisés comme solution(s) MDM pour l’inscription des certificats. Sinon, il est disponible avec n’importe quel MDM tiers capable de synchroniser les objets appareil et/ou utilisateur avec Microsoft Entra ID (Azure AD) (c.-à-d. Static AAD Validation peut être utilisé).

Pris en charge sur OCSP.

Contexte

La révocation automatique est toujours active et permet une gestion pratique du cycle de vie des certificats en liant chaque certificat à un objet d’annuaire tel qu’un utilisateur ou une identité d’appareil. Grâce à ce mécanisme de liaison d’objet, SCEPman peut déduire l’état de révocation en fonction de certaines caractéristiques du cycle de vie de l’objet auquel il est lié. La correspondance entre l’état du cycle de vie de l’objet et l’état de révocation du certificat est implémentée pour refléter les bonnes pratiques issues de nombreuses années d’expérience en sécurité et en gestion des terminaux.

La liaison entre l’objet d’annuaire (utilisateur ou appareil) et le certificat est établie en introduisant les variables appropriées dans le profil SCEP pour les propriétés Subject Name ou Subject Alternative Name. Lors de la réception d’une Certificate Signing Request (CSR) d’un client géré par MDM, SCEPman identifie l’objet lié et encode cette information dans le numéro de série du certificat avant de le renvoyer au client. C’est le numéro de série qui est transmis au répondant OCSP de SCEPman lors de la validation du certificat, ce qui permet à SCEPman de décoder les informations de l’objet, d’effectuer une recherche dans l’annuaire approprié et, finalement, de prendre une décision sur l’état de révocation.

Comportement de révocation

Dans l’un des scénarios ci-dessous, la révocation peut être considérée comme effective immédiatement, une fois que l’état de l’objet lié a changé. Veuillez noter que la mise en cache locale des réponses OCSP sur le client peut laisser penser le contraire.

Lors des tests, veuillez noter que supprimer/retirer un appareil du système d’annuaire/MDM concerné est une opération irréversible qui vous obligera ensuite à réinscrire l’appareil.

Objet lié
Supprimer de l’annuaire
Désactiver dans l’annuaire
Facultatif

Appareil Intune {{DeviceId}}

Delete, Effacer*, Mettre hors service*: révocation permanente

Non disponible

Appareil Entra (Azure AD) {{AAD_Device_ID}}

Delete: révocation permanente

Désactiver: révocation réversible

Utilisateur Entra (Azure AD) {{UserPrincipalName}}

Delete: révocation permanente

Désactiver: révocation réversible

Ordinateur Jamf CN=$JSSID,OU=computers

Delete: révocation permanente

Non disponible

Non disponible

Appareil Jamf CN=$JSSID,OU=devices

Delete: révocation permanente

Non disponible

Non disponible

Utilisateur Jamf sur ordinateur CN=$JSSID,OU=users-on-computers

  • Supprimer (ordinateur): révocation permanente

  • Supprimer (utilisateur): révocation permanente

Non disponible

Non disponible

Utilisateur Jamf sur appareil CN=$JSSID,OU=users-on-devices

  • Supprimer (appareil): révocation permanente

  • Supprimer (utilisateur): révocation permanente

Non disponible

Non disponible

*: Veillez, lors de l’effacement, à ce que « Wipe device, but keep enrollment state and associated user account » soit désactivé. La révocation n’est immédiate que si AppConfig:IntuneValidation:RevokeCertificatesOnWipe est défini sur true (par défaut).

Révocation manuelle

Édition SCEPman Enterprise uniquement

Cette fonctionnalité nécessite la version 2.3 ou supérieure.

Pris en charge sur OCSP et CRL.

Contexte

La révocation manuelle est disponible pour tout certificat émis par SCEPman, qu’il ait été inscrit automatiquement via MDM, émis manuellement via Certificate Master ou déployé via l’API REST d’inscription. La révocation manuelle est utile lorsque la révocation automatique n’est pas disponible ou lorsque les chemins de révocation automatique ne suffisent pas à répondre à des exigences spécifiques.

Pour faciliter la révocation manuelle, SCEPman doit stocker certaines métadonnées des certificats qu’il émet. Bien que ce soit le cas par défaut pour les certificats émis via l’interface utilisateur Certificate Master et l’API REST d’inscription, ce n’est pas le cas pour les autres types de certificats. Par conséquent, veuillez vous assurer de vérifier les paramètres pertinents en fonction de vos exigences.

Poursuivez votre lecture pour découvrir comment la révocation manuelle est gérée en s’appuyant sur Certificate Master et ses options de recherche et de filtrage.

Certificate Master

SCEPman Certificate Master vous permet de rechercher, d’inspecter et de gérer les certificats émis par votre PKI SCEPman :

Gérer les certificats

Révocation automatique versus manuelle

SCEPman utilise différentes sources d’informations de révocation pour déterminer si un certificat est valide lorsqu’une requête OCSP arrive. En outre, la logique de révocation de SCEPman suit une approche avec un OR, ce qui signifie que si une source de révocation estime que le certificat n’est pas valide, il sera signalé comme révoqué. Il n’y a pas de priorité entre la révocation automatique et la révocation manuelle, ni l’inverse.

Veuillez noter que les tableaux dans Certificate Master n’affichent que l’état de la révocation manuelle et aucune autre source. Par conséquent, un certificat peut apparaître comme valide dans le tableau alors qu’il est en réalité considéré comme révoqué, par exemple parce que l’appareil correspondant a été supprimé dans Intune (révocation automatique).

Lectures complémentaires

  • Des informations sur la manière de tester la révocation (automatique) et de résoudre les problèmes de validité des certificats dans certains des scénarios ci-dessus sont disponibles ici.

  • Des informations générales sur les répertoires d’appareils Azure et M365 sont disponibles ici.

Mis à jour

Ce contenu vous a-t-il été utile ?