証明書
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
(URI) true (デフォルト)または false
説明: 証明書に拡張子 1.2.840.113556.5.14(AAD テナント ID)および 1.2.840.113556.1.5.284.2(AAD デバイス ID)を含めますか?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
(URI) true または false (デフォルト)
説明: この設定は、証明書が拡張子 1.3.6.1.4.1.311.25.2(ユーザーのセキュリティ識別子(SID))を持つことを許可するかどうかを決定します。この拡張は、を軽減するために必要です Certifried 攻撃 証明書がオンプレ AD のユーザー認証に使用される場合。
これが false に設定されている場合、SCEPman はこの拡張を持つ証明書を発行しません。これが true に設定されている場合、SCEPman は次の2つの場合にこの拡張を持つ証明書を発行する可能性があります:
第一に、Intune を介してユーザー証明書を登録する際に、ユーザーの AAD オブジェクトが属性に SID を含む場合 OnPremisesSecurityIdentifier。ユーザーの AAD オブジェクトに SID が含まれていない場合(たとえばクラウド専用ユーザーの場合)、SCEPman はこの拡張を持つ証明書を発行しません。同じことが static-aad エンドポイント.
二に、他の SCEP エンドポイントを通じてユーザー証明書を登録する際に CSR が既にその拡張を含んでいる場合。例としては Static SCEP エンドポイントや Certificate Master を通じた手動の証明書要求があります。
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
(URI) 整数
説明: 発行された証明書が有効である最大日数。デフォルトでは、この設定は 730 日に設定されています。設定が利用できない場合(SCEPman の古いインストール)、有効期間は 200 日です。SCEPman はここで定義された値より長い有効期間の証明書を発行することは決してありません。ただし、特定の証明書の有効期間を短くする方法はあります。
短い有効期間は、各 SCEP プロファイルで設定できます。詳細は Microsoft のドキュメント.
iOS/iPadOS および macOS デバイスは、Intune を介した有効期間の構成を無視します。したがって、iOS/iPadOS および macOS デバイスに対して 200 日以外の有効期間を設定したい場合は、SCEPman 側でこの設定を行う必要があります。さらに詳しくは iOS/iPadOS を参照してください。ここではより高い値を推奨しています。
また次のことを構成できます: 短い 各 SCEP エンドポイントごとに有効期間を設定できます。デフォルトでは、各エンドポイントに対して次の値が設定されています:
Jamf
<未設定>
730(グローバル設定)
Static
<未設定>
730(グローバル設定)
Certificate Master(証明書マスター)
<未設定>
730(グローバル設定)
下図は SCEPman が証明書の有効期間を制限する方法を示しています。まずエンドポイントごとに、次にグローバルに制限します。
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
(URI) 正の 整数
デフォルト: 50
説明: より多くの SCEP リクエストが SCEPman に到着すると、各リクエストの処理に時間がかかります。リクエスト頻度が高い場合(例:大量のデバイスに SCEP 構成プロファイルを割り当てた直後)、リクエストの処理が長引きタイムアウトすることがあります。クライアントは失敗したリクエストを再試行し、その結果リクエスト頻度が臨界的な過負荷レベルを超えたままになる可能性があります。
この設定により、SCEPman はこの数の SCEP リクエストのみを並列で処理します。リクエストがそれ以上ある場合、SCEPman は HTTP 329(Too Many Requests)を返します。Intune ベースのクライアントはこの場合に証明書発行を後で再試行するため、通常リクエストは失われません。これにより SCEPman はリクエストを時間内に完了し、キューを処理する機会を得られます。
最適な設定は App Service プランのパフォーマンスに依存します。経験則として、S1 App Service プランの単一インスタンスでは 12 が良い上限です。値を低く設定しすぎるとリソース使用量が閾値以下に低下し、自動スケールアウトを妨げる可能性がある点に注意してください。
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
(URI) 正の 整数
デフォルト: 1440
説明: SCEPman が証明書を発行する際、その有効性は発行日より 24 時間(1440 分)前に開始されます。これはクライアントの時計が SCEPman より遅れる可能性があり、その場合証明書がまだ有効ではないと判断されるためです。いくつかのプラットフォームは、数秒後に有効になる場合でも無効な証明書を即時に破棄します。
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
(URI) true または false
説明: 証明書の Key Usage および Extended Key Usage(EKU)拡張はリクエストどおりに設定しますか、それとも SCEPman が定義しますか?
True: 証明書の Key Usage および Extended Key Usage 拡張は MDM ソリューションによって定義されます。 False: Key Usage は常に 鍵暗号化(Key Encipherment) + デジタル署名(Digital Signature)です。Extended Key Usage は常に クライアント認証.
iOS/iPadOS デバイスはカスタムの Extended Key Usages をサポートしていません(Intune プロファイルで構成されていても AppConfig:UseRequestedKeyUsages に設定してください True)。そのため、これらのデバイスの証明書は常に クライアント認証 を Extended Key Usage として持ちます。
最終更新
役に立ちましたか?