この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

証明書

これらの設定は、Certificate Master ではなく SCEPman App Service にのみ適用してください。以下を参照してください SCEPman の設定.

AppConfig:AddMicrosoftAADExtensions

Linux: AppConfig__AddMicrosoftAADExtensions

値: true (既定値)または false

説明: 証明書に拡張 1.2.840.113556.5.14(AAD Tenant ID)および 1.2.840.113556.1.5.284.2(AAD Device ID)を含めるべきですか?

AppConfig:AddSidExtension

Linux: AppConfig__AddSidExtension

バージョン 2.5 以降に適用

値: true または false (既定値)

説明: この設定は、証明書に拡張 1.3.6.1.4.1.311.25.2(ユーザーの Security Identifier(SID))を含められるかどうかを決定します。この拡張は、証明書をオンプレ AD のユーザー認証に使用する場合に、 Certifried 攻撃 を軽減するために必要です。

これを false に設定すると、SCEPman はこの拡張を含む証明書を決して発行しません。true に設定すると、SCEPman は次の 2 つの場合にこの拡張を含む証明書を発行することがあります。

まず、Intune 経由でユーザー証明書を登録する際、ユーザーの AAD オブジェクトの属性 OnPremisesSecurityIdentifierに SID が含まれている場合です。たとえばクラウド専用ユーザーなどでユーザーの AAD オブジェクトに SID が含まれていない場合、SCEPman はこの拡張を含む証明書を発行しません。これは static-aad エンドポイント.

にも同様に適用されます。次に、他の SCEP エンドポイント経由でユーザー証明書を登録し、CSR にすでにこの拡張が含まれている場合です。例としては Static SCEP エンドポイントや、Certificate Master を介した手動の証明書要求があります。

AppConfig:ValidityPeriodDays

Linux: AppConfig__ValidityPeriodDays

値: 整数

説明: 発行された証明書が有効である最大日数です。既定では、この設定は 730 日に設定されています。この設定が利用できない場合(SCEPman の古いインストール)でも、有効期間は 200 日です。SCEPman は、ここで定義された値より長い有効期間の証明書を発行することはありません。ただし、特定の証明書の有効期間を短くする方法はあります。

Intune の各 SCEP プロファイルで、以下の Microsoft のドキュメント.

に記載されているように、より短い有効期間を設定できます。iOS/iPadOS および macOS デバイスは、Intune 経由の有効期間の構成を無視します。そのため、iOS/iPadOS および macOS デバイスで 200 日以外の有効期間を使用したい場合は、SCEPman でこの設定を構成する必要があります。詳細については iOS/iPadOS をお読みください。そこで、より高い値を推奨しています。

また、各 SCEP エンドポイントごとに より短い 有効期間を構成することもできます。既定では、各エンドポイントに次の値が設定されています。

エンドポイント
パラメーター
有効期間(日)

Intune

AppConfig:IntuneValidation:ValidityPeriodDays

365

Jamf

<未設定>

730(グローバル設定)

Static

<未設定>

730(グローバル設定)

Certificate Master

<未設定>

730(グローバル設定)

下の画像は、SCEPman が証明書の有効期間をどのように制限するかを示しています。まず各エンドポイントごとに制限し、その後全体として制限します。

AppConfig:ConcurrentSCEPRequestLimit

Linux: AppConfig__ConcurrentSCEPRequestLimit

値: 正の数 整数

既定値: 50

説明: SCEPman により多くの SCEP 要求が到着すると、各要求の完了により長い時間がかかります。要求頻度が高い場合、たとえば多数のデバイスに SCEP 構成プロファイルを割り当てた直後などは、要求の処理に非常に時間がかかり、タイムアウトすることがあります。クライアントは失敗した要求を再試行するため、要求頻度が重大な過負荷レベルを下回らないことがあります。

この設定により、SCEPman はこの数の SCEP 要求のみを並列で処理します。それ以上の要求がある場合、SCEPman は HTTP 329(Too Many Requests)を返します。Intune ベースのクライアントはこの場合、後で証明書の発行を再試行するため、通常は要求が失われることはありません。これにより、SCEPman は要求を期限内に完了でき、キューを処理する余裕が確保されます。

AppConfig:ValidityClockSkewMinutes

Linux: AppConfig__ValidityClockSkewMinutes

値: 正の数 整数

既定値: 1440

説明: SCEPman が証明書を発行すると、その有効期間は発行日時より 24 時間(1440 分)早く開始されます。これは、クライアントの時計が SCEPman より遅く進み、その結果、証明書はまだ有効でないと判断する場合があるためです。一部のプラットフォームでは、たとえ数秒後に有効になっても、無効な証明書をすぐに破棄します。

AppConfig:UseRequestedKeyUsages

Linux: AppConfig__UseRequestedKeyUsages

値: true (既定値)または false

説明: 証明書の Key Usage および Extended Key Usage(EKU)拡張は、要求どおりに設定されるべきですか、それとも SCEPman が定義すべきですか?

True: 証明書の Key Usage および Extended Key Usage 拡張は、MDM ソリューションによって定義されます。 False: Key Usage は常に Key Encipherment + Digital Signatureです。Extended Key Usage は常に Client Authentication.

iOS/iPadOS デバイスはカスタマイズされた Extended Key Usage をサポートしていません(Intune プロファイルで構成されていても、 AppConfig:UseRequestedKeyUsages に設定されていても True)。したがって、それらの証明書の Extended Key Usage は常に Client Authentication になります。

最終更新

役に立ちましたか?