Certificados
Estas configurações devem ser aplicadas apenas ao Serviço de Aplicativo SCEPman, não ao Certificate Master. Consulte por favor Configurações do SCEPman.
AppConfig:AddMicrosoftAADExtensions
Linux: AppConfig__AddMicrosoftAADExtensions
Valor: true (padrão) ou false
Descrição: Os certificados devem ter as extensões 1.2.840.113556.5.14 (ID do Locatário AAD) e 1.2.840.113556.1.5.284.2 (ID do Dispositivo AAD)?
AppConfig:AddSidExtension
Linux: AppConfig__AddSidExtension
Aplicável à versão 2.5 e superior
Valor: true ou false (padrão)
Descrição: Esta configuração determina se os certificados podem ter a extensão 1.3.6.1.4.1.311.25.2 (Identificador de Segurança (SID) do usuário). Esta extensão é necessária para mitigar ataques Certifried se os certificados forem usados para autenticação de usuários do AD local.
Se isto estiver definido como false, o SCEPman nunca emitirá certificados com esta extensão. Se estiver definido como true, o SCEPman poderá emitir certificados com esta extensão em dois casos:
Primeiro, ao registrar certificados de usuário via Intune e o objeto AAD do usuário contiver um SID no atributo OnPremisesSecurityIdentifier. Se o objeto AAD do usuário não contiver um SID, por exemplo se for um usuário somente na nuvem, o SCEPman não emitirá um certificado com esta extensão. O mesmo se aplica ao endpoint static-aad.
Segundo, ao registrar certificados de usuário através de outros endpoints SCEP e o CSR já contiver a extensão. Exemplos são o endpoint Static SCEP e solicitações manuais de certificado através do Certificate Master.
AppConfig:ValidityPeriodDays
Linux: AppConfig__ValidityPeriodDays
Valor: Inteiro
Descrição: O número máximo de dias que um certificado emitido é válido. Por padrão, esta configuração está definida para 730 dias. Se a configuração não estiver disponível (instalações mais antigas do SCEPman) o período de validade é 200 dias. O SCEPman nunca emite certificados com validade maior do que o valor definido aqui. Existem formas de reduzir a validade para certificados específicos, entretanto.
Você pode configurar períodos de validade mais curtos em cada perfil SCEP no Intune conforme descrito na documentação da Microsoft.
Dispositivos iOS/iPadOS e macOS ignoram a configuração do período de validade via Intune. Portanto, você precisa configurar esta opção no SCEPman se quiser ter outros períodos de validade que não 200 dias para seus dispositivos iOS/iPadOS e macOS. Por favor leia iOS/iPadOS para mais detalhes onde recomendamos um valor mais alto.
Você também pode configurar mais curtos períodos de validade para cada endpoint SCEP. Por padrão, os seguintes valores estão definidos para cada endpoint:
Jamf
<Não definido>
730 (configuração global)
Static
<Não definido>
730 (configuração global)
Certificate Master
<Não definido>
730 (configuração global)
A imagem abaixo retrata como o SCEPman limita o período de validade do certificado; primeiro em nível por-endpoint e globalmente em seguida.
AppConfig:ConcurrentSCEPRequestLimit
Linux: AppConfig__ConcurrentSCEPRequestLimit
Valor: Positivo Inteiro
Padrão: 50
Descrição: Quando mais solicitações SCEP chegam ao SCEPman, leva mais tempo para cada solicitação ser concluída. Em altas frequências de solicitação, por exemplo imediatamente após atribuir um perfil de configuração SCEP a um grande número de dispositivos, o processamento das solicitações pode demorar tanto que as solicitações expiram. Os clientes tentarão novamente suas solicitações falhadas, o que pode manter a frequência de solicitações acima do nível crítico de sobrecarga.
Com esta configuração, o SCEPman trabalhará apenas neste número de solicitações SCEP em paralelo. Se houver mais solicitações, o SCEPman retorna HTTP 329 (Too Many Requests). Clientes baseados em Intune tentarão emitir o certificado novamente mais tarde neste caso, então geralmente nenhuma solicitação é perdida. Isso garante que o SCEPman possa finalizar solicitações a tempo e tenha a chance de processar a fila.
A configuração ideal depende do desempenho do Plano de Serviço de Aplicativo. Como regra prática, 12 é um bom limite para uma única instância em um Plano de Serviço de Aplicativo S1. Observe que definir um valor muito baixo pode impedir o escalonamento automático, pois pode reduzir o uso de recursos para um valor abaixo dos limites.
AppConfig:ValidityClockSkewMinutes
Linux: AppConfig__ValidityClockSkewMinutes
Valor: Positivo Inteiro
Padrão: 1440
Descrição: Quando o SCEPman emite um certificado, sua validade começará 24 horas (1440 minutos) antes da sua data de emissão. Isto ocorre porque o relógio do cliente pode estar mais lento que o do SCEPman e então assumir que o certificado ainda não é válido. Algumas plataformas descartam imediatamente certificados inválidos, mesmo que se tornem válidos alguns segundos depois.
AppConfig:UseRequestedKeyUsages
Linux: AppConfig__UseRequestedKeyUsages
Valor: true ou false
Descrição: Os certificados devem ter as extensões Key Usage e Extended Key Usage (EKU) definidas conforme solicitado, ou o SCEPman deve defini‑las?
True: As extensões Key Usage e Extended Key Usage nos certificados são definidas pela solução MDM. False: Key Usage é sempre Key Encipherment + Digital Signature. Extended Key Usage é sempre Client Authentication.
Dispositivos iOS/iPadOS não suportam Extended Key Usages personalizados (mesmo se configurados no perfil do Intune e AppConfig:UseRequestedKeyUsages definido para True). Portanto, seus certificados terão sempre Client Authentication como Extended Key Usage.
Last updated
Was this helpful?