Autres solutions MDM
Vous pouvez utiliser SCEPman pour émettre des certificats via des systèmes MDM autres qu'Intune. Vous devez configurer un mot de passe statique de challenge (voir RFC 8894, Section 7.3 pour la spécification formelle) à la fois dans SCEPman et dans le système MDM. Pratiquement tous les systèmes MDM prennent en charge ce mode d'authentification SCEP.
Notez cependant que cela n'offre pas le même niveau de sécurité que le mode d'authentification utilisé avec Intune. Le mot de passe de challenge authentifie les requêtes provenant du système MDM, de sorte que SCEPman sait qu'elles proviennent d'une source de confiance. Mais si des attaquants volent le mot de passe de challenge, ils peuvent authentifier n'importe quelle requête de certificat et faire en sorte que SCEPman leur délivre le certificat qu'ils veulent.
Il est donc crucial de garder le mot de passe de challenge sécurisé. Cela peut être réalisé lorsque le système MDM agit en tant que client SCEP et livre le paquet final comprenant le certificat et la clé privée aux appareils des utilisateurs finaux. De cette façon, le mot de passe de challenge est utilisé uniquement entre SCEPman et le système MDM, mais pas sur les appareils des utilisateurs finaux.
Configuration de SCEPman
Il existe deux points de terminaison SCEP parmi lesquels choisir lors de la configuration de SCEPman pour des systèmes MDM autres qu'Intune et Jamf Pro :
Static-AAD
Static
Le point de terminaison Static-AAD est recommandé pour les systèmes MDM avec intégration Entra ID tels que Kandji et Google Workspace. Utilisateur les certificats distribués depuis le point de terminaison Static-AAD bénéficieront de Révocation automatique lorsque l'utilisateur respectif aura été désactivé dans Entra ID.
Le point de terminaison Static est recommandé pour tous les autres systèmes MDM.
Ajoutez les paramètres suivants à votre Application SCEPman > Variables d'environnement > Ajouter.
Une fois les paramètres ajoutés, enregistrez-les et redémarrez votre Application SCEPman.
Activer la validation Static-AAD
true pour activer, false pour désactiver
Les demandes de signature de certificat envoyées à SCEPman pour signature sont authentifiées avec ce mot de passe statique sécurisé Recommandation: Stockez ce secret dans Azure KeyVault.
générez un mot de passe de 32 caractères
Jours pendant lesquels les certificats émis via le point de terminaison Static-AAD sont valables
365
Stocker les certificats demandés dans le compte de stockage, afin de les afficher dans SCEPman Certificate Master
true pour activer, false pour désactiver
Ajoutez les paramètres suivants à votre Application SCEPman > Variables d'environnement > Ajouter.
Une fois les paramètres ajoutés, enregistrez-les et redémarrez votre Application SCEPman.
Activer la validation tierce
true pour activer, false pour désactiver
Les demandes de signature de certificat envoyées à SCEPman pour signature sont authentifiées avec ce mot de passe statique sécurisé Recommandation: Stockez ce secret dans Azure KeyVault.
générez un mot de passe de 32 caractères
AppConfig:StaticValidation:ValidityPeriodDays (optionnel)
Jours pendant lesquels les certificats émis via le point de terminaison Static sont valables
365
Stocker les certificats demandés dans le compte de stockage, afin de les afficher dans SCEPman Certificate Master
true pour activer, false pour désactiver
Configuration MDM
Les étapes spécifiques dépendent du système MDM que vous utilisez. Vous devez ajouter https://scepman.contoso.de/static comme URL SCEP quelque part et vous devez ajouter le mot de passe de challenge dans la configuration SCEP de votre système MDM. Pour des raisons de sécurité, veuillez faire de votre système MDM un proxy SCEP.
Notez qu'il existe deux variantes d'implémentations de proxy SCEP, dont une seule est sécurisée dans cette configuration :
Votre système MDM peut agir en tant que client SCEP, générer la paire de clés secrètes et livrer le paquet complet composé du certificat et de la clé privée aux appareils des utilisateurs finaux. Ceci est sécurisé, car le mot de passe de challenge est utilisé uniquement entre le système MDM et SCEPman.
Votre système MDM relaie les messages SCEP entre l'appareil de l'utilisateur final et SCEPman. L'appareil de l'utilisateur final génère la paire de clés secrètes et ajoute le mot de passe de challenge à la requête de certificat. Cela est moins sûr, car un attaquant contrôlant un seul appareil d'utilisateur final peut voler le mot de passe de challenge et demander toutes sortes de certificats à SCEPman. De plus, le système MDM ne peut pas contrôler si le client a correctement demandé un certificat ou si la demande de certificat est incorrecte, ce qui pourrait permettre usurpation d'identité ou d'autres menaces.
Mis à jour
Ce contenu vous a-t-il été utile ?