Inscrição via API
Use esta REST API utilizando Identidades Microsoft para autenticação para inscrever certificados como alternativa aos endpoints SCEP que exigem o estilo de autenticação SCEP.
Apenas SCEPman Enterprise Edition
O SCEPman possui uma API REST para matricular certificados. Esta é uma alternativa aos endpoints SCEP que exigem o estilo de autenticação SCEP, enquanto a API REST utiliza Identidades Microsoft para autenticação. O protocolo também é muito mais simples que o SCEP.
Pré-requisitos
1. Principal do Serviço
Permissões de API
CSR.Request.Db
Atribua as permissões necessárias executando o Register-SCEPmanApiClient cmdlet do módulo PowerShell do SCEPman.
Exemplo:
Register-SCEPmanApiClient -ServicePrincipalId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxServicePrincipalId
O ID do objeto do Aplicativo Corporativo do Registro de Aplicativo que criamos na etapa anterior. Observe que isto não se refere ao Aplicativo Corporativo geralmente chamado SCEPman-api, que identifica o próprio SCEPman.
Para atribuir esta permissão manualmente você pode navegar para Permissões de API e adicionar uma permissão a partir de permissões que sua organização usa. Atribua o CSR.Request.Db permissão de SCEPman-api como um permissão de aplicativo.
Application.Read.All (Opcional)
Princípios de Serviço também irão requerer a permissão do Graph Application.Read.All para permitir a recuperação automática do escopo da API do SCEPman para autenticação.
A permissão pode ser adicionada manualmente da seguinte forma:
2. Configurações do App Service
Configuração
Necessário para renovação de certificado
Configure seu Serviço de Aplicativo SCEPman para aceitar certificados de cliente mTLS. No painel Configuração da seção Configurações, verifique se o modo de certificado do cliente em Certificados de cliente recebidos está definido como Interativo Opcional do Usuário.
Não defina o modo de certificado do cliente como Exigir ou Permitir, pois isso interromperia o funcionamento normal do SCEPman nos endpoints SCEP!
Variáveis de Ambiente
Para usar este cenário, você deve definir as seguintes Variáveis de Ambiente no serviço de aplicativo SCEPman.
Necessário para inscrição e renovação de certificado
Defina esta variável como true para habilitar a validação de pedidos de assinatura de certificado (CSRs).
Necessário para renovação de certificado
Defina esta variável como true para habilitar renovações de certificado.
Necessário para renovação de certificado
Defina esta variável como uma lista separada por vírgulas de tipos de certificado para os quais você deseja permitir a renovação. Consulte a documentação vinculada da variável para uma lista dos possíveis tipos de certificado.
Exemplo: Static,IntuneUser,IntuneDevice
Matriculando certificados
Depois de preparar os pré-requisitos, você pode enviar via POST um PKCS#10/CMS para o seu SCEPman com o caminho HTTP api/csr. A resposta HTTP será o certificado recém-emitido em codificação DER.
O SCEPman armazenará automaticamente todos os certificados emitidos em sua Conta de Armazenamento, para que você possa listá-los e revogá-los convenientemente através do componente Certificate Master.
Um método conveniente para enviar essas solicitações é nosso módulo PowerShell SCEPmanClient:
SCEPmanClientOutros Exemplos
Veja o nosso Repositório de Exemplos Open Source no GitHub para descobrir como usar a API REST do SCEPman.
Last updated
Was this helpful?