# Certificados

{% hint style="info" %}
Estas definições só devem ser aplicadas ao SCEPman App Service, não ao Certificate Master. Consulte [Definições do SCEPman](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings).
{% endhint %}

## AppConfig:AddMicrosoftAADExtensions

*Linux: AppConfig\_\_AddMicrosoftAADExtensions*

**Valor:** *true* (predefinição) ou *falso*

**Descrição:** Os certificados devem ter as extensões 1.2.840.113556.5.14 (AAD Tenant ID) e 1.2.840.113556.1.5.284.2 (AAD Device ID)?

## AppConfig:AddSidExtension

*Linux: AppConfig\_\_AddSidExtension*

{% hint style="info" %}
Aplicável à versão 2.5 e superior
{% endhint %}

**Valor:** *true* ou *falso* (predefinição)

**Descrição:** Esta definição determina se os certificados podem ter a extensão 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) do utilizador). Esta extensão é necessária para mitigar [ataques Certifried](https://docs.scepman.com/pt/outros/troubleshooting/certifried) se os certificados forem usados para autenticação de utilizadores no AD local.

Se isto for definido como false, o SCEPman nunca emitirá certificados com esta extensão. Se isto for definido como true, o SCEPman poderá emitir certificados com esta extensão em dois casos:

Primeiro, ao inscrever certificados de utilizador através do Intune e o objeto AAD do utilizador conter um SID no atributo *OnPremisesSecurityIdentifier*. Se o objeto AAD do utilizador não contiver um SID, por exemplo se for um utilizador apenas na cloud, o SCEPman não emitirá um certificado com esta extensão. O mesmo aplica-se ao [endereço static-aad](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/staticaad-validation).

Segundo, ao inscrever certificados de utilizador através de outros endereços SCEP e o CSR já contiver a extensão. Exemplos são o endereço Static SCEP e pedidos manuais de certificados através do Certificate Master.

## AppConfig:ValidityPeriodDays

*Linux: AppConfig\_\_ValidityPeriodDays*

**Valor:** *Inteiro*

**Descrição:**\
O número máximo de dias durante os quais um certificado emitido é válido. Por predefinição, esta definição está definida para **730 dias**. Se a definição não estiver disponível (instalações mais antigas do SCEPman), o período de validade é **200 dias**. O SCEPman nunca emite certificados com uma validade superior ao valor definido aqui. No entanto, existem formas de reduzir a validade de certificados específicos.

Pode configurar períodos de validade mais curtos em cada perfil SCEP no Intune, conforme descrito no [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template).

{% hint style="warning" %}
Os dispositivos iOS/iPadOS e macOS ignoram a configuração do período de validade através do Intune. Portanto, precisa de configurar esta definição no SCEPman se pretender ter outros períodos de validade além de 200 dias para os seus dispositivos iOS/iPadOS e macOS. Leia [ios](https://docs.scepman.com/pt/gerenciamento-de-certificados/microsoft-intune/ios "mention") para mais detalhes, onde recomendamos um valor mais elevado.
{% endhint %}

Também pode configurar **mais curtos** períodos de validade para cada endereço SCEP. Por predefinição, os seguintes valores estão definidos para cada endereço:

| Endereço           | Parâmetro                                                                                                                                                                           | Validade em dias       |
| ------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------- |
| Intune             | [AppConfig:IntuneValidation:ValidityPeriodDays](https://docs.scepman.com/pt/configuracao-do-scepman/scep-endpoints/intune-validation#appconfig-intunevalidation-validityperioddays) | 365                    |
| Jamf               | \<Não definido>                                                                                                                                                                     | 730 (definição global) |
| Static             | \<Não definido>                                                                                                                                                                     | 730 (definição global) |
| Certificate Master | \<Não definido>                                                                                                                                                                     | 730 (definição global) |

A imagem abaixo mostra como o SCEPman limita o período de validade do certificado; primeiro ao nível de cada endereço e, depois, globalmente.

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-f081c17fe656bb288df20f9e8b4df6fb81aef92b%2FSCEPman%20Certificate%20Validity.jpg?alt=media" alt=""><figcaption></figcaption></figure>

## AppConfig:ConcurrentSCEPRequestLimit

*Linux: AppConfig\_\_ConcurrentSCEPRequestLimit*

**Valor:** Positivo *Inteiro*

**Predefinição:** 50

**Descrição:** Quando chegam mais pedidos SCEP ao SCEPman, cada pedido demora mais tempo a concluir. Com frequências elevadas de pedidos, por exemplo, imediatamente após atribuir um perfil de configuração SCEP a um grande número de dispositivos, o processamento dos pedidos pode demorar tanto que estes expiram. Os clientes voltarão a tentar os pedidos falhados, o que pode manter a frequência de pedidos acima do nível crítico de sobrecarga.

Com esta definição, o SCEPman trabalhará apenas neste número de pedidos SCEP em paralelo. Se houver mais pedidos, o SCEPman devolve HTTP 329 (Too Many Requests). Os clientes baseados em Intune voltarão a tentar a emissão do certificado mais tarde neste caso, pelo que normalmente nenhum pedido é perdido. Isto garante que o SCEPman consegue concluir os pedidos a tempo e tem hipótese de processar a fila.

## AppConfig:ValidityClockSkewMinutes

*Linux: AppConfig\_\_ValidityClockSkewMinutes*

**Valor:** Positivo *Inteiro*

**Predefinição:** 1440

**Descrição:** Quando o SCEPman emite um certificado, a sua validade começará 24 horas (1440 minutos) antes da respetiva data de emissão. Isto acontece porque o relógio do cliente pode correr mais devagar do que o do SCEPman e, assim, assumir que o certificado ainda não é válido. Algumas plataformas descartam imediatamente certificados inválidos, mesmo que se tornem válidos alguns segundos depois.

## AppConfig:UseRequestedKeyUsages

*Linux: AppConfig\_\_UseRequestedKeyUsages*

**Valor:** *true* ou *falso*

**Descrição:** Os certificados devem ter as extensões Key Usage e Extended Key Usage (EKU) definidas conforme solicitado, ou deve ser o SCEPman a defini-las?

**True:** As extensões Key Usage e Extended Key Usage nos certificados são definidas pela solução MDM.\
**False:** Key Usage é sempre *Key Encipherment* + *Digital Signature*. Extended Key Usage é sempre *Autenticação de cliente*.

{% hint style="warning" %}
Os dispositivos iOS/iPadOS não suportam Extended Key Usages personalizados (mesmo que configurados no perfil do Intune e [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") definido como **Verdadeiro**). Por isso, os respetivos certificados terão sempre *Autenticação de cliente* como Extended Key Usage.
{% endhint %}