circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Certificates

circle-info

これらの設定は Certificate Master ではなく、SCEPman App Service にのみ適用してください。こちらを参照してください SCEPman Settings.

hashtag
AppConfig:AddMicrosoftAADExtensions

Linux: AppConfig__AddMicrosoftAADExtensions

値: true (既定)または false

説明: 証明書に拡張 1.2.840.113556.5.14(AAD テナント ID)および 1.2.840.113556.1.5.284.2(AAD デバイス ID)を含める必要がありますか?

hashtag
AppConfig:AddSidExtension

Linux: AppConfig__AddSidExtension

circle-info

バージョン 2.5 以降に適用

値: true または false (既定)

説明: この設定は、証明書に拡張 1.3.6.1.4.1.311.25.2(ユーザーのセキュリティ識別子(SID))を含められるかどうかを決定します。この拡張は、次の場合にオンプレミス AD ユーザー認証での緩和に必要です。 Certifried 攻撃 証明書がオンプレミス AD のユーザー認証に使用される場合。

これを false に設定すると、SCEPman はこの拡張を含む証明書を一切発行しません。これを true に設定すると、SCEPman は次の 2 つの場合にこの拡張を含む証明書を発行することがあります。

まず、Intune 経由でユーザー証明書を登録するときに、ユーザーの AAD オブジェクトの属性に SID が含まれている場合 OnPremisesSecurityIdentifier。ユーザーの AAD オブジェクトに SID が含まれていない場合、たとえばクラウド専用ユーザーである場合、SCEPman はこの拡張を含む証明書を発行しません。これは、 static-aad エンドポイント.

にも同様に当てはまります。第二に、他の SCEP エンドポイントを通じてユーザー証明書を登録し、CSR にすでにこの拡張が含まれている場合です。例としては、Static SCEP エンドポイントおよび Certificate Master を介した手動の証明書要求があります。

hashtag
AppConfig:ValidityPeriodDays

Linux: AppConfig__ValidityPeriodDays

値: 整数

説明: 発行された証明書が有効である最大日数です。既定では、この設定は 730 日に設定されています。設定が利用できない場合(SCEPman の古いインストール)では、有効期間は 200 日です。SCEPman は、ここで定義された値より長い有効期間の証明書を発行することはありません。ただし、特定の証明書の有効期間を短くする方法はあります。

Intune の各 SCEP プロファイルでより短い有効期間を設定できます。詳細は、 Microsoft のドキュメントarrow-up-right.

circle-exclamation

iOS/iPadOS および macOS デバイスは、Intune 経由の有効期間の構成を無視します。そのため、iOS/iPadOS および macOS デバイスで 200 日以外の有効期間を使用したい場合は、SCEPman でこの設定を構成する必要があります。 iOS/iPadOS の該当箇所をご覧ください。より高い値を推奨しています。

また、 より短い 有効期間を各 SCEP エンドポイントごとに構成することもできます。既定では、各エンドポイントに次の値が設定されています。

エンドポイント
パラメーター
有効期間(日)

Intune

AppConfig:IntuneValidation:ValidityPeriodDays

365

Jamf

<未設定>

730(グローバル設定)

Static

<未設定>

730(グローバル設定)

Certificate Master

<未設定>

730(グローバル設定)

下の画像は、SCEPman が証明書の有効期間をどのように制限するかを示しています。まずエンドポイントごとのレベルで、その後にグローバルで制限します。

hashtag
AppConfig:ConcurrentSCEPRequestLimit

Linux: AppConfig__ConcurrentSCEPRequestLimit

値:整数

既定: 50

説明: SCEPman により多くの SCEP 要求が到着すると、各要求の完了に時間がかかります。要求頻度が高い場合、たとえば大量のデバイスに SCEP 構成プロファイルを割り当てた直後などは、要求の処理に時間がかかりすぎてタイムアウトすることがあります。クライアントは失敗した要求を再試行するため、要求頻度が危険な過負荷レベルを上回ったままになる可能性があります。

この設定により、SCEPman はこの数の SCEP 要求のみを並列で処理します。要求がそれ以上ある場合、SCEPman は HTTP 329(要求過多)を返します。この場合、Intune ベースのクライアントは後で再度証明書発行を再試行するため、通常は要求が失われることはありません。これにより、SCEPman は要求を時間内に完了でき、キューを処理する余裕が生まれます。

hashtag
AppConfig:ValidityClockSkewMinutes

Linux: AppConfig__ValidityClockSkewMinutes

値:整数

既定: 1440

説明: SCEPman が証明書を発行すると、その有効期間は発行日時より 24 時間(1440 分)早く開始します。これは、クライアントの時計が SCEPman より遅く進む可能性があり、その場合に証明書がまだ有効でないと判断してしまうためです。一部のプラットフォームは、数秒後に有効になる場合でも、無効な証明書を直ちに破棄します。

hashtag
AppConfig:UseRequestedKeyUsages

Linux: AppConfig__UseRequestedKeyUsages

値: true または false

説明: 証明書の Key Usage および Extended Key Usage(EKU)拡張は要求どおりに設定されるべきでしょうか、それとも SCEPman が定義すべきでしょうか?

True: 証明書の Key Usage および Extended Key Usage 拡張は MDM ソリューションによって定義されます。 False: Key Usage は常に Key Encipherment + Digital Signatureです。Extended Key Usage は常に クライアント認証.

circle-exclamation

iOS/iPadOS デバイスは、カスタマイズされた Extended Key Usage をサポートしていません(Intune プロファイルと AppConfig:UseRequestedKeyUsages に設定 Trueで構成されていても)。したがって、それらの証明書の Extended Key Usage は常に クライアント認証 になります。

最終更新

役に立ちましたか?