証明書

AppConfig:AddMicrosoftAADExtensions

Linux: AppConfig__AddMicrosoftAADExtensions

値: true (デフォルト) または false

説明: 証明書に拡張子 1.2.840.113556.5.14 (AAD テナント ID) および 1.2.840.113556.1.5.284.2 (AAD デバイス ID) を含めますか？

AppConfig:AddSidExtension

Linux: AppConfig__AddSidExtension

値: true または false (デフォルト)

説明: この設定は、証明書に拡張子 1.3.6.1.4.1.311.25.2（ユーザーのセキュリティ識別子（SID））を付与できるかを決定します。この拡張は、を緩和するために必要です Certifried 攻撃 証明書がオンプレ AD ユーザー認証に使用される場合。

これが false に設定されている場合、SCEPman はこの拡張を持つ証明書を一切発行しません。true に設定されている場合、SCEPman は次の2つの場合にこの拡張を持つ証明書を発行する可能性があります：

第一に、Intune 経由でユーザー証明書を登録する際にユーザーの AAD オブジェクトが属性 OnPremisesSecurityIdentifierを含む場合です。ユーザーの AAD オブジェクトに SID が含まれていない、例えばクラウドオンリーのユーザーである場合、SCEPman はこの拡張を持つ証明書を発行しません。同じことが static-aad エンドポイント.

第二に、他の SCEP エンドポイントを通じてユーザー証明書を登録する際に CSR に既にその拡張が含まれている場合です。例としては Static SCEP エンドポイントや Certificate Master を通した手動の証明書要求があります。

AppConfig:ValidityPeriodDays

Linux: AppConfig__ValidityPeriodDays

値: 整数

説明: 発行された証明書が有効である最大日数。デフォルトではこの設定は 730 日に設定されています。設定が利用できない場合（SCEPman の古いインストール）有効期間は 200 日です。SCEPman はここで定義された値より長い有効期間の証明書を発行することは決してありません。ただし、特定の証明書の有効期間を短くする方法はいくつかあります。

Intune の各 SCEP プロファイルで、有効期間を短く設定することができます（詳細は Microsoft ドキュメント.

また、各 SCEP エンドポイントごとに 短い 有効期間を構成することもできます。デフォルトでは、各エンドポイントに対して以下の値が設定されています：

下の画像は SCEPman が証明書の有効期間をどのように制限するかを示しています：まずエンドポイントごとに、次にグローバルに制限します。

AppConfig:ConcurrentSCEPRequestLimit

Linux: AppConfig__ConcurrentSCEPRequestLimit

値: 正の値 整数

デフォルト: 50

説明: より多くの SCEP リクエストが SCEPman に到着すると、それぞれのリクエストの完了により時間がかかります。高いリクエスト頻度、例えば大量のデバイスに SCEP 構成プロファイルを割り当てた直後などでは、リクエストの処理に非常に時間がかかり、リクエストがタイムアウトする場合があります。クライアントは失敗したリクエストを再試行し、その結果リクエスト頻度が臨界的な過負荷レベルを超えたままになることがあります。

この設定により、SCEPman は並列でこの数の SCEP リクエストのみを処理します。もしそれ以上のリクエストがある場合、SCEPman は HTTP 329（Too Many Requests）を返します。Intune ベースのクライアントはこの場合、後で証明書発行を再試行するため、通常リクエストが失われることはありません。これにより SCEPman はリクエストを時間内に完了でき、キューを処理する機会が得られます。

最適な設定は App Service プランの性能によります。経験則として、S1 App Service プランの単一インスタンスでは 12 が良い上限です。あまりに低い値に設定すると、リソース使用量がしきい値を下回り自動スケールアウトを妨げる可能性がある点に注意してください。

AppConfig:ValidityClockSkewMinutes

Linux: AppConfig__ValidityClockSkewMinutes

値: 正の値 整数

デフォルト: 1440

説明: SCEPman が証明書を発行する際、その有効期間は発行日より 24 時間（1440 分）早く開始されます。これはクライアントの時計が SCEPman より遅く進む可能性があり、その場合クライアントが証明書はまだ有効ではないと判断してしまうためです。一部のプラットフォームは、数秒後に有効になるような証明書であっても無効な証明書を即座に破棄します。

AppConfig:UseRequestedKeyUsages

Linux: AppConfig__UseRequestedKeyUsages

値: true または false

説明: 証明書の Key Usage および Extended Key Usage（EKU）拡張を要求どおりに設定するべきですか、それとも SCEPman が定義すべきですか？

True: 証明書の Key Usage および Extended Key Usage 拡張は MDM ソリューションによって定義されます。 False: Key Usage は常に キー暗号化（Key Encipherment） + デジタル署名（Digital Signature）になります。Extended Key Usage は常に クライアント認証（Client Authentication）.