circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

証明書

circle-info

これらの設定は Certificate Master ではなく SCEPman App Service にのみ適用する必要があります。詳しくは SCEPman の設定.

hashtag
AppConfig:AddMicrosoftAADExtensions

Linux: AppConfig__AddMicrosoftAADExtensions

値: true (既定) または false

説明: 証明書に拡張子 1.2.840.113556.5.14(AAD テナント ID)および 1.2.840.113556.1.5.284.2(AAD デバイス ID)を含めますか?

hashtag
AppConfig:AddSidExtension

Linux: AppConfig__AddSidExtension

circle-info

バージョン 2.5 以上に適用

値: true または false (既定)

説明: この設定は、証明書に拡張子 1.3.6.1.4.1.311.25.2(ユーザーのセキュリティ識別子(SID))を含めるかどうかを決定します。この拡張子は、次の緩和のために必要です Certifried 攻撃 証明書がオンプレ AD のユーザー認証に使用される場合。

これが false に設定されている場合、SCEPman はこの拡張子を含む証明書を決して発行しません。true に設定されている場合、SCEPman は次の2つの場合にこの拡張子を含む証明書を発行する可能性があります:

第一に、Intune を介してユーザー証明書を登録する際に、ユーザーの AAD オブジェクトが属性に SID を含む場合 OnPremisesSecurityIdentifier. ユーザーの AAD オブジェクトが SID を含まない場合(例: クラウド専用ユーザー)、SCEPman はこの拡張子を含む証明書を発行しません。同じことが static-aad エンドポイント.

第二に、他の SCEP エンドポイントを通じてユーザー証明書を登録する際に CSR に既にその拡張子が含まれている場合です。例としては Static SCEP エンドポイントや Certificate Master を通した手動の証明書要求があります。

hashtag
AppConfig:ValidityPeriodDays

Linux: AppConfig__ValidityPeriodDays

値: 整数

説明: 発行された証明書が有効である最大日数。既定ではこの設定は 730 日に設定されています。設定が利用できない場合(古い SCEPman のインストール)有効期間は 200 日です。SCEPman はここで定義された値より長い有効期限の証明書を決して発行しません。ただし、特定の証明書について有効期間を短くする方法はあります。

Intune 内の各 SCEP プロファイルで、有効期間を短く設定できます(詳細は Microsoft のドキュメントarrow-up-right.

circle-exclamation

iOS/iPadOS および macOS デバイスは Intune 経由での有効期間の構成を無視します。したがって、iOS/iPadOS および macOS デバイスに対して 200 日以外の有効期間を設定したい場合は、SCEPman でこの設定を構成する必要があります。推奨のより高い値については iOS/iPadOS 詳細をご覧ください。

また、各 SCEP エンドポイントに対して 短い 有効期間を設定することもできます。既定では、各エンドポイントに対して次の値が設定されています:

エンドポイント
パラメーター
有効日数

Intune

AppConfig:IntuneValidation:ValidityPeriodDays

365

Jamf

<未設定>

730(グローバル設定)

Static

<未設定>

730(グローバル設定)

Certificate Master

<未設定>

730(グローバル設定)

下の画像は SCEPman がどのように証明書の有効期間を制限するかを示しています。まずエンドポイントごとに、次にグローバルに制限します。

hashtag
AppConfig:ConcurrentSCEPRequestLimit

Linux: AppConfig__ConcurrentSCEPRequestLimit

値: 正の値 整数

既定: 50

説明: より多くの SCEP リクエストが SCEPman に到着すると、各リクエストの処理が長くなります。高頻度のリクエスト、例えば多数のデバイスに SCEP 構成プロファイルを割り当てた直後などでは、リクエストの処理に時間がかかりすぎてタイムアウトすることがあります。クライアントは失敗したリクエストを再試行し、リクエスト頻度が臨界的な過負荷レベルを上回ったままになる可能性があります。

この設定により、SCEPman は並列でこの数の SCEP リクエストのみを処理します。リクエストがそれ以上ある場合、SCEPman は HTTP 329(Too Many Requests)を返します。Intune ベースのクライアントはこの場合に後で証明書発行を再試行するため、通常リクエストが失われることはありません。これにより SCEPman はリクエストを時間内に完了でき、キューを処理する機会を持てます。

hashtag
AppConfig:ValidityClockSkewMinutes

Linux: AppConfig__ValidityClockSkewMinutes

値: 正の値 整数

既定: 1440

説明: SCEPman が証明書を発行する際、その有効性は発行日より 24 時間(1440 分)早く開始されます。これはクライアントの時計が SCEPman より遅く動作する可能性があり、その場合クライアントが証明書はまだ有効ではないと判断するためです。いくつかのプラットフォームは、数秒後に有効になったとしても無効な証明書を即座に破棄します。

hashtag
AppConfig:UseRequestedKeyUsages

Linux: AppConfig__UseRequestedKeyUsages

値: true または false

説明: 証明書の Key Usage と Extended Key Usage(EKU)拡張は要求どおりに設定するべきですか、それとも SCEPman が定義するべきですか?

True: 証明書の Key Usage と Extended Key Usage の拡張は MDM ソリューションによって定義されます。 False: Key Usage は常に Key Encipherment + Digital Signatureです。Extended Key Usage は常に Client Authentication.

circle-exclamation

iOS/iPadOS デバイスはカスタマイズされた Extended Key Usages をサポートしていません(Intune プロファイルで構成され、 AppConfig:UseRequestedKeyUsages に設定されている場合でも True)。そのため、これらのデバイスの証明書には常に Client Authentication が Extended Key Usage として含まれます。

最終更新

役に立ちましたか?