Certificados
Estas configurações devem ser aplicadas somente ao Serviço de Aplicativo SCEPman, não ao Certificate Master. Por favor consulte Configurações do SCEPman.
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Valor: true (padrão) ou false
Descrição: Os certificados devem ter as extensões 1.2.840.113556.5.14 (ID do Locatário AAD) e 1.2.840.113556.1.5.284.2 (ID do Dispositivo AAD)?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Aplicável à versão 2.5 e superior
Valor: true ou false (padrão)
Descrição: Esta configuração determina se os certificados podem ter a extensão 1.3.6.1.4.1.311.25.2 (Identificador de Segurança (SID) do usuário). Esta extensão é necessária para mitigar ataques Certifried se os certificados forem usados para autenticação de usuários do AD local.
Se isto estiver definido como false, o SCEPman nunca emitirá certificados com esta extensão. Se estiver definido como true, o SCEPman pode emitir certificados com esta extensão em dois casos:
Primeiro, ao matricular certificados de usuário via Intune e o objeto AAD do usuário contiver um SID no atributo OnPremisesSecurityIdentifier. Se o objeto AAD do usuário não contiver um SID, por exemplo se for um usuário somente na nuvem, o SCEPman não emitirá um certificado com esta extensão. O mesmo se aplica ao endpoint static-aad.
Segundo, ao matricular certificados de usuário através de outros endpoints SCEP e o CSR já contiver a extensão. Exemplos são o endpoint Static SCEP e solicitações manuais de certificado através do Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Valor: Inteiro
Descrição: O número máximo de dias que um certificado emitido é válido. Por padrão, essa configuração está definida para 730 dias. Se a configuração não estiver disponível (instalações mais antigas do SCEPman) o período de validade é de 200 dias. O SCEPman nunca emite certificados com validade superior ao valor definido aqui. Existem formas de reduzir a validade para certificados específicos, porém.
Você pode configurar períodos de validade mais curtos em cada perfil SCEP no Intune conforme descrito em documentação da Microsoft.
Dispositivos iOS/iPadOS e macOS ignoram a configuração do período de validade via Intune. Portanto, é necessário configurar esta opção no SCEPman se quiser ter períodos de validade diferentes de 200 dias para seus dispositivos iOS/iPadOS e macOS. Por favor leia iOS/iPadOS para mais detalhes onde recomendamos um valor mais alto.
Você também pode configurar mais curtos períodos de validade para cada endpoint SCEP. Por padrão, os seguintes valores estão definidos para cada endpoint:
Jamf
<Não definido>
730 (configuração global)
Static
<Não definido>
730 (configuração global)
Certificate Master
<Não definido>
730 (configuração global)
A imagem abaixo ilustra como o SCEPman limita o período de validade do certificado; primeiro a nível de endpoint e depois globalmente.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Valor: Positivo Inteiro
Padrão: 50
Descrição: Quando mais solicitações SCEP chegam ao SCEPman, demora mais para cada solicitação ser concluída. Em altas frequências de solicitação, por exemplo imediatamente após atribuir um perfil de configuração SCEP a um grande número de dispositivos, o processamento das solicitações pode demorar tanto que as requisições expirarem. Os clientes irão reenviar suas requisições falhadas, o que pode manter a frequência de solicitações acima do nível crítico de sobrecarga.
Com esta configuração, o SCEPman trabalhará somente neste número de solicitações SCEP em paralelo. Se houver mais solicitações, o SCEPman retorna HTTP 329 (Too Many Requests). Clientes baseados em Intune irão tentar novamente a emissão de certificados mais tarde nesse caso, então geralmente nenhuma solicitação é perdida. Isso garante que o SCEPman possa concluir as solicitações a tempo e tenha uma chance de esvaziar a fila.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Valor: Positivo Inteiro
Padrão: 1440
Descrição: Quando o SCEPman emite um certificado, sua validade começará 24 horas (1440 minutos) antes da sua data de emissão. Isso acontece porque o relógio do cliente pode estar mais lento que o do SCEPman e então assumir que o certificado ainda não é válido. Algumas plataformas descartam imediatamente certificados inválidos, mesmo que se tornem válidos alguns segundos depois.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Valor: true ou false
Descrição: Os certificados devem ter as extensões Key Usage e Extended Key Usage (EKU) definidas conforme solicitado, ou o SCEPman deve defini-las?
True: As extensões Key Usage e Extended Key Usage nos certificados são definidas pela solução MDM. False: Key Usage é sempre Key Encipherment + Assinatura Digital. Extended Key Usage é sempre Autenticação de Cliente.
Dispositivos iOS/iPadOS não suportam Extended Key Usages personalizados (mesmo se configurados no perfil do Intune e AppConfig:UseRequestedKeyUsages definido para True). Portanto, seus certificados sempre terão Autenticação de Cliente como Extended Key Usage.
Last updated
Was this helpful?