circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Certificados

circle-info

Estas configurações devem ser aplicadas apenas ao Serviço de Aplicativo SCEPman, não ao Certificate Master. Por favor consulte Configurações do SCEPman.

hashtag
AppConfig:AddMicrosoftAADExtensions

Linux: AppConfig__AddMicrosoftAADExtensions

Valor: true (padrão) ou false

Descrição: Os certificados devem ter as extensões 1.2.840.113556.5.14 (ID do locatário AAD) e 1.2.840.113556.1.5.284.2 (ID do dispositivo AAD)?

hashtag
AppConfig:AddSidExtension

Linux: AppConfig__AddSidExtension

circle-info

Aplicável à versão 2.5 e posteriores

Valor: true ou false (padrão)

Descrição: Esta configuração determina se os certificados podem ter a extensão 1.3.6.1.4.1.311.25.2 (Identificador de Segurança (SID) do usuário). Esta extensão é necessária para mitigar ataques Certifried se os certificados forem usados para autenticação de usuários do AD local.

Se isso estiver definido como false, o SCEPman nunca emitirá certificados com essa extensão. Se estiver definido como true, o SCEPman pode emitir certificados com essa extensão em dois casos:

Primeiro, ao inscrever certificados de usuário via Intune e o objeto AAD do usuário contiver um SID no atributo OnPremisesSecurityIdentifier. Se o objeto AAD do usuário não contiver um SID, por exemplo, se for um usuário apenas na nuvem, o SCEPman não emitirá um certificado com essa extensão. O mesmo se aplica ao endpoint static-aad.

Segundo, ao inscrever certificados de usuário por meio de outros endpoints SCEP e o CSR já contiver a extensão. Exemplos são o endpoint Static SCEP e solicitações manuais de certificado através do Certificate Master.

hashtag
AppConfig:ValidityPeriodDays

Linux: AppConfig__ValidityPeriodDays

Valor: Inteiro

Descrição: O número máximo de dias pelo qual um certificado emitido é válido. Por padrão, esta configuração é definida para 730 dias. Se a configuração não estiver disponível (instalações antigas do SCEPman) o período de validade é 200 dias. O SCEPman nunca emite certificados com uma validade mais longa do que o valor definido aqui. Existem formas de reduzir a validade para certificados específicos, entretanto.

Você pode configurar períodos de validade mais curtos em cada perfil SCEP no Intune conforme descrito em documentação da Microsoftarrow-up-right.

circle-exclamation

dispositivos iOS/iPadOS e macOS ignoram a configuração do período de validade via Intune. Portanto, é necessário configurar essa opção no SCEPman se quiser ter períodos de validade diferentes de 200 dias para seus dispositivos iOS/iPadOS e macOS. Por favor leia iOS/iPadOS para mais detalhes onde recomendamos um valor mais alto.

Você também pode configurar mais curtos períodos de validade para cada endpoint SCEP. Por padrão, os seguintes valores estão definidos para cada endpoint:

Endpoint
Parâmetro
Validade em dias

Intune

AppConfig:IntuneValidation:ValidityPeriodDays

365

Jamf

<Não definido>

730 (configuração global)

Static

<Não definido>

730 (configuração global)

Gerenciador de Certificados

<Não definido>

730 (configuração global)

A imagem abaixo ilustra como o SCEPman limita o período de validade do certificado; primeiro em nível por-endpoint e globalmente em seguida.

hashtag
AppConfig:ConcurrentSCEPRequestLimit

Linux: AppConfig__ConcurrentSCEPRequestLimit

Valor: Positivo Inteiro

Padrão: 50

Descrição: Quando mais solicitações SCEP chegam ao SCEPman, leva mais tempo para cada solicitação ser concluída. Em altas frequências de requisições, por exemplo imediatamente após atribuir um perfil de configuração SCEP a um grande número de dispositivos, o processamento das solicitações pode demorar tanto que elas expiram por tempo. Os clientes irão tentar novamente suas solicitações falhadas, o que pode manter a frequência de requisições acima do nível crítico de sobrecarga.

Com esta configuração, o SCEPman trabalhará apenas neste número de solicitações SCEP em paralelo. Se houver mais solicitações, o SCEPman retorna HTTP 329 (Too Many Requests). Clientes baseados em Intune irão tentar emitir o certificado novamente mais tarde nesse caso, então normalmente nenhuma solicitação é perdida. Isso garante que o SCEPman consiga concluir solicitações a tempo e tenha chance de reduzir a fila.

A configuração ótima depende do desempenho do App Service Plan. Como regra prática, 12 é um bom limite para uma única instância em um App Service Plan S1. Note que definir um valor muito baixo pode impedir o escalonamento automático, pois pode reduzir o uso de recursos para um valor abaixo dos limiares.

hashtag
AppConfig:ValidityClockSkewMinutes

Linux: AppConfig__ValidityClockSkewMinutes

Valor: Positivo Inteiro

Padrão: 1440

Descrição: Quando o SCEPman emite um certificado, sua validade começará 24 horas (1440 minutos) antes da sua data de emissão. Isso ocorre porque o relógio do cliente pode estar mais lento que o do SCEPman e então assumir que o certificado ainda não é válido. Algumas plataformas descartam imediatamente certificados inválidos, mesmo que se tornem válidos alguns segundos depois.

hashtag
AppConfig:UseRequestedKeyUsages

Linux: AppConfig__UseRequestedKeyUsages

Valor: true ou false

Descrição: Os certificados devem ter as extensões Key Usage e Extended Key Usage (EKU) preenchidas conforme solicitado ou o SCEPman deve defini-las?

Verdadeiro: As extensões Key Usage e Extended Key Usage nos certificados são definidas pela solução MDM. Falso: Key Usage é sempre Key Encipherment + Digital Signature. Extended Key Usage é sempre Autenticação de Cliente.

circle-exclamation

Dispositivos iOS/iPadOS não suportam Extended Key Usages personalizados (mesmo se configurados no perfil Intune e AppConfig:UseRequestedKeyUsages definir para Verdadeiro). Portanto, seus certificados sempre terão Autenticação de Cliente como Extended Key Usage.

Last updated

Was this helpful?