# Révocation SCEPman offre plusieurs moyens de gérer et de révoquer un certificat. Les options disponibles dépendent de * du fait que le certificat a été inscrit automatiquement via une solution MDM ou qu’il a été généré via l’ [Certificate Master UI](https://docs.scepman.com/fr/gestion-des-certificats/certificate-master) / [API REST d’enrôlement](https://docs.scepman.com/fr/gestion-des-certificats/api-certificates), * le système MDM utilisé pour l’inscription (automatique), et * la configuration de SCEPman. La section ci-dessous donne un aperçu des différentes options de gestion et des mécanismes de révocation, ainsi que les circonstances dans lesquelles ils sont disponibles. ## Révocation automatique {% hint style="info" %} Disponible uniquement lorsque **Microsoft Intune** et/ou **Jamf Pro** sont utilisés comme solution(s) MDM pour l’inscription des certificats. Sinon, il est disponible avec n’importe quel MDM tiers capable de synchroniser les objets appareil et/ou utilisateur avec Microsoft Entra ID (Azure AD) (c.-à-d. [Static AAD Validation](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/staticaad-validation) peut être utilisé). {% endhint %} {% hint style="success" %} Pris en charge sur **OCSP**. {% endhint %} ### Contexte La révocation automatique est **toujours active** et permet une gestion pratique du cycle de vie des certificats en liant chaque certificat à un objet d’annuaire tel qu’un utilisateur ou une identité d’appareil. Grâce à ce mécanisme de liaison d’objet, SCEPman peut déduire l’état de révocation en fonction de certaines caractéristiques du cycle de vie de l’objet auquel il est lié. La correspondance entre l’état du cycle de vie de l’objet et l’état de révocation du certificat est implémentée pour refléter les bonnes pratiques issues de nombreuses années d’expérience en sécurité et en gestion des terminaux. La liaison entre l’objet d’annuaire (utilisateur ou appareil) et le certificat est établie en introduisant les variables appropriées dans le profil SCEP pour les propriétés Subject Name ou Subject Alternative Name. Lors de la réception d’une Certificate Signing Request (CSR) d’un client géré par MDM, SCEPman identifie l’objet lié et encode cette information dans le numéro de série du certificat avant de le renvoyer au client. C’est le numéro de série qui est transmis au répondant OCSP de SCEPman lors de la validation du certificat, ce qui permet à SCEPman de décoder les informations de l’objet, d’effectuer une recherche dans l’annuaire approprié et, finalement, de prendre une décision sur l’état de révocation. ### Comportement de révocation {% hint style="success" %} Dans l’un des scénarios ci-dessous, la révocation peut être considérée comme effective immédiatement, une fois que l’état de l’objet lié a changé. Veuillez noter que la mise en cache locale des réponses OCSP sur le client peut laisser penser le contraire. {% endhint %} {% hint style="warning" %} Lors des tests, veuillez noter que supprimer/retirer un appareil du système d’annuaire/MDM concerné est une opération irréversible qui vous obligera ensuite à réinscrire l’appareil. {% endhint %}
Objet liéSupprimer de l’annuaireDésactiver dans l’annuaireFacultatif
Appareil Intune {{DeviceId}}Delete, Effacer*, Mettre hors service*: révocation permanenteNon disponible
Appareil Entra (Azure AD)
{{AAD_Device_ID}}
Delete: révocation permanenteDésactiver: révocation réversible
Utilisateur Entra (Azure AD)
{{UserPrincipalName}}		Delete: révocation permanenteDésactiver: révocation réversible
Ordinateur Jamf
CN=$JSSID,OU=computers		Delete: révocation permanenteNon disponibleNon disponible
Appareil Jamf
CN=$JSSID,OU=devices		Delete: révocation permanenteNon disponibleNon disponible
Utilisateur Jamf sur ordinateur
CN=$JSSID,OU=users-on-computers
  • Supprimer (ordinateur): révocation permanente
  • Supprimer (utilisateur): révocation permanente
Non disponibleNon disponible
Utilisateur Jamf sur appareil
CN=$JSSID,OU=users-on-devices
  • Supprimer (appareil): révocation permanente
  • Supprimer (utilisateur): révocation permanente
Non disponibleNon disponible
\*: Veillez, lors de l’effacement, à ce que « Wipe device, but keep enrollment state and associated user account » soit **désactivé**. La révocation n’est immédiate que si [AppConfig:IntuneValidation:RevokeCertificatesOnWipe](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-revokecertificatesonwipe) est défini sur true (par défaut). ## Révocation manuelle {% hint style="warning" %} Édition SCEPman Enterprise uniquement {% endhint %} {% hint style="info" %} Cette fonctionnalité nécessite la version **2.3** ou supérieure. {% endhint %} {% hint style="success" %} Pris en charge sur **OCSP** et [**CRL**](https://docs.scepman.com/fr/configuration-scepman/application-settings/crl). {% endhint %} ### Contexte La révocation manuelle est disponible pour tout certificat émis par SCEPman, qu’il ait été inscrit automatiquement via MDM, émis manuellement via Certificate Master ou déployé via l’API REST d’inscription. La révocation manuelle est utile lorsque la révocation automatique n’est pas disponible ou lorsque les chemins de révocation automatique ne suffisent pas à répondre à des exigences spécifiques. Pour faciliter la révocation manuelle, SCEPman doit stocker certaines métadonnées des certificats qu’il émet. Bien que ce soit le cas par défaut pour les certificats émis via l’interface utilisateur Certificate Master et l’API REST d’inscription, ce n’est pas le cas pour les autres types de certificats. Par conséquent, veuillez vous assurer de vérifier les [paramètres pertinents](#storing-certificate-metadata-in-the-certificate-database) en fonction de vos exigences. Poursuivez votre lecture pour découvrir comment la révocation manuelle est gérée en s’appuyant sur Certificate Master et ses options de recherche et de filtrage. ### Certificate Master SCEPman Certificate Master vous permet de rechercher, d’inspecter et de gérer les certificats émis par votre PKI SCEPman : {% content-ref url="certificate-master/manage-certificates" %} [manage-certificates](https://docs.scepman.com/fr/gestion-des-certificats/certificate-master/manage-certificates) {% endcontent-ref %} ## Révocation automatique versus manuelle SCEPman utilise différentes sources d’informations de révocation pour déterminer si un certificat est valide lorsqu’une requête OCSP arrive. En outre, la logique de révocation de SCEPman suit une **approche avec un OR**, ce qui signifie que si une source de révocation estime que le certificat n’est pas valide, il sera signalé comme révoqué. Il n’y a pas de priorité entre la révocation automatique et la révocation manuelle, ni l’inverse. Veuillez noter que les tableaux dans Certificate Master n’affichent que l’état de la révocation manuelle et aucune autre source. Par conséquent, un certificat peut apparaître comme valide dans le tableau alors qu’il est en réalité considéré comme révoqué, par exemple parce que l’appareil correspondant a été supprimé dans Intune (révocation automatique). ## Lectures complémentaires * Des informations sur la manière de tester la révocation (automatique) et de résoudre les problèmes de validité des certificats dans certains des scénarios ci-dessus sont disponibles [ici](https://docs.scepman.com/fr/autre/troubleshooting/general#problems-with-the-validity-of-certificates). * Des informations générales sur les répertoires d’appareils Azure et M365 sont disponibles [ici](https://docs.scepman.com/fr/configuration-scepman/device-directories).