# Certificados

{% hint style="info" %}
Estas definições devem ser aplicadas apenas ao SCEPman App Service, não ao Certificate Master. Consulte [Definições do SCEPman](/pt/configuracao-do-scepman/application-settings.md).
{% endhint %}

## AppConfig:AddMicrosoftAADExtensions

*Linux: AppConfig\_\_AddMicrosoftAADExtensions*

**Valor:** *true* (predefinição) ou *false*

**Descrição:** Os certificados devem ter as extensões 1.2.840.113556.5.14 (AAD Tenant ID) e 1.2.840.113556.1.5.284.2 (AAD Device ID)?

## AppConfig:AddSidExtension

*Linux: AppConfig\_\_AddSidExtension*

{% hint style="info" %}
Aplicável à versão 2.5 e superior
{% endhint %}

**Valor:** *true* ou *false* (predefinição)

**Descrição:** Esta definição determina se os certificados podem ter a extensão 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) do utilizador). Esta extensão é necessária para mitigar [ataques Certifried](/pt/outros/troubleshooting/certifried.md) se os certificados forem utilizados para autenticação de utilizadores AD no local.

Se esta opção estiver definida como false, o SCEPman nunca emitirá certificados com esta extensão. Se estiver definida como true, o SCEPman pode emitir certificados com esta extensão em dois casos:

Primeiro, ao registar certificados de utilizador através do Intune e o objeto AAD do utilizador contiver um SID no atributo *OnPremisesSecurityIdentifier*. Se o objeto AAD do utilizador não contiver um SID, por exemplo, se for um utilizador apenas na cloud, o SCEPman não emitirá um certificado com esta extensão. O mesmo se aplica ao [endpoint static-aad](/pt/configuracao-do-scepman/application-settings/scep-endpoints/staticaad-validation.md).

Segundo, ao registar certificados de utilizador através de outros endpoints SCEP e o CSR já contiver a extensão. Exemplos são o endpoint Static SCEP e pedidos manuais de certificados através do Certificate Master.

## AppConfig:ValidityPeriodDays

*Linux: AppConfig\_\_ValidityPeriodDays*

**Valor:** *Inteiro*

**Descrição:**\
O número máximo de dias durante os quais um certificado emitido é válido. Por predefinição, esta definição está configurada para **730 dias**. Se a definição não estiver disponível (instalações mais antigas do SCEPman), o período de validade é **200 dias**. O SCEPman nunca emite certificados com uma validade superior ao valor definido aqui. No entanto, existem formas de reduzir a validade de certificados específicos.

Pode configurar períodos de validade mais curtos em cada perfil SCEP no Intune, conforme descrito na [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template).

{% hint style="warning" %}
Os dispositivos iOS/iPadOS e macOS ignoram a configuração do período de validade através do Intune. Portanto, é necessário configurar esta definição no SCEPman se pretender ter períodos de validade diferentes de 200 dias para os seus dispositivos iOS/iPadOS e macOS. Leia [iOS/iPadOS](/pt/gestao-de-certificados/microsoft-intune/ios.md) para mais detalhes, onde recomendamos um valor mais elevado.
{% endhint %}

Também pode configurar **mais curtos** períodos de validade para cada endpoint SCEP. Por predefinição, os seguintes valores estão definidos para cada endpoint:

| Endpoint           | Parâmetro                                                                                                                                                                           | Validade em dias       |
| ------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------- |
| Intune             | [AppConfig:IntuneValidation:ValidityPeriodDays](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-validityperioddays) | 365                    |
| Jamf               | \<Não definido>                                                                                                                                                                     | 730 (definição global) |
| Estático           | \<Não definido>                                                                                                                                                                     | 730 (definição global) |
| Certificate Master | \<Não definido>                                                                                                                                                                     | 730 (definição global) |

A imagem abaixo mostra como o SCEPman limita o período de validade do certificado; primeiro ao nível de cada endpoint e, posteriormente, de forma global.

<figure><img src="/files/1ce915c1595d2070c5484db7d75cd165772bdbe9" alt=""><figcaption></figcaption></figure>

## AppConfig:ConcurrentSCEPRequestLimit

*Linux: AppConfig\_\_ConcurrentSCEPRequestLimit*

**Valor:** Positivo *Inteiro*

**Predefinição:** 50

**Descrição:** Quando chegam mais pedidos SCEP ao SCEPman, cada pedido demora mais tempo a concluir. Em frequências elevadas de pedidos, por exemplo, imediatamente após atribuir um perfil de configuração SCEP a um grande número de dispositivos, o processamento dos pedidos pode demorar tanto que estes expiram. Os clientes voltarão a tentar os pedidos falhados, o que pode manter a frequência de pedidos acima do nível crítico de sobrecarga.

Com esta definição, o SCEPman processará apenas este número de pedidos SCEP em paralelo. Se houver mais pedidos, o SCEPman devolverá HTTP 329 (Too Many Requests). Nesse caso, os clientes baseados no Intune voltarão a tentar mais tarde a emissão do certificado, pelo que normalmente nenhum pedido é perdido. Isto garante que o SCEPman consegue concluir os pedidos a tempo e tem hipótese de esvaziar a fila.

## AppConfig:ValidityClockSkewMinutes

*Linux: AppConfig\_\_ValidityClockSkewMinutes*

**Valor:** Positivo *Inteiro*

**Predefinição:** 1440

**Descrição:** Quando o SCEPman emite um certificado, a sua validade começará 24 horas (1440 minutos) antes da sua data de emissão. Isto acontece porque o relógio do cliente pode estar mais lento do que o do SCEPman e, assim, assumir que o certificado ainda não é válido. Algumas plataformas descartam imediatamente certificados inválidos, mesmo que estes se tornem válidos alguns segundos depois.

## AppConfig:UseRequestedKeyUsages

*Linux: AppConfig\_\_UseRequestedKeyUsages*

**Valor:** *true* (predefinição) ou *false*

**Descrição:** Os certificados devem ter as extensões Key Usage e Extended Key Usage (EKU) definidas conforme solicitado, ou deve o SCEPman defini-las?

**True:** As extensões Key Usage e Extended Key Usage nos certificados são definidas pela solução MDM.\
**False:** Key Usage é sempre *Key Encipherment* + *Digital Signature*. A Extended Key Usage é sempre *Client Authentication*.

{% hint style="warning" %}
Os dispositivos iOS/iPadOS não suportam Extended Key Usages personalizadas (mesmo que configuradas no perfil do Intune e [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") definidas como **True**). Portanto, os seus certificados terão sempre *Client Authentication* como Extended Key Usage.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/certificates.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.