Cliente Linux Gerenciado pelo Intune
Apenas SCEPman Enterprise Edition
Este método pode ser usado para inscrever certificados para usuários e dispositivos gerenciados pelo Intune.
O Intune, neste caso, irá enviar um script para aproveitar a API REST do SCEPman que, por sua vez, irá inscrever um novo certificado ou renovar um já existente.
Nosso desenvolvedor Christoph apresentou este recurso e alguns detalhes de fundo no Workplace Ninja Usergroup Germany:
Pré-requisitos
1. Inscrição de Autoatendimento
Para inscrever certificados, os utilizadores devem ser autenticados para verificar a sua elegibilidade. Siga este guia para obter instruções passo a passo sobre como configurar isto
Inscrição de Autoatendimento2. Configurações do App Service
Configuração
Necessário para renovação de certificado
Configure seu Serviço de Aplicativo SCEPman para aceitar certificados de cliente mTLS. Na lâmina Configuração da seção Configurações, verifique se o modo de certificado do cliente em Certificados de cliente de entrada está definido como Opcional.
Não defina o modo de certificado do cliente como Exigir ou Permitir, pois isso quebraria a operação normal do SCEPman nos endpoints SCEP!
Variáveis de Ambiente
Para utilizar este cenário, você deve definir as seguintes Variáveis de Ambiente no serviço de aplicativo SCEPman.
Necessário para inscrição e renovação de certificado
Defina esta variável como true para habilitar a validação de pedidos de assinatura de certificado (CSRs).
Necessário para renovação de certificado
Defina esta variável como true para habilitar renovações de certificado.
Necessário para renovação de certificado
Defina esta variável como uma lista separada por vírgulas de tipos de certificado que você deseja permitir a renovação. Consulte a documentação vinculada da variável para uma lista dos possíveis tipos de certificado.
Exemplo: Static,IntuneUser,IntuneDevice
Este cenário inscreverá certificados do tipo IntuneUser e IntuneDevice dependendo da sua escolha.
3. Pré-requisitos do Cliente
Os seguintes pré-requisitos devem estar presentes no cliente/host que executa para poder usar a API REST de Registro.
Azure CLI (versão 2.61 e superior)
O Azure CLI é usado para autenticar o usuário que está registrando, verificar sua elegibilidade e recuperar o token de acesso.
cURL
Usado para enviar o CSR criado ao Endpoint da API de Registro do SCEPman e receber o certificado.
OpenSSL
O OpenSSL é usado para gerar uma chave privada e criar um CSR para registrar ou renovar um certificado.
Siga a documentação vinculada para inscrever seu cliente Linux no Intune.
Script de Inscrição e Renovação
O enrollrenewcertificate.sh o script será usado para receber inicialmente um certificado, bem como para verificá‑lo em uma programação regular e tentar uma renovação caso o limite seja alcançado.
Embora o script geralmente seja operado passando os parâmetros no terminal, precisaremos modificar algumas partes dele para serem implantadas via Intune.
Localize a parte do script que atribui os argumentos passados pelo terminal às variáveis e ajuste‑as conforme suas necessidades:
Exemplo de configuração:
APPSERVICE_URL
A URL do serviço de aplicativo SCEPman.
Exemplo: "https://scepman.contoso.net/"
API_SCOPE
Este é o escopo da API que você pode criar no SCEPman-api registro do aplicativo em seu ambiente.
O usuário verá a caixa de diálogo de consentimento desejada e poderá então usar a funcionalidade de autoatendimento.
Exemplo: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"
CERT_DIR
O diretório onde o certificado será criado ou tentado renovar. A chave privada e o certificado raiz também serão colocados aqui.
Exemplo: ~/certs/
CERT_NAME
O nome do arquivo (sem extensão) do certificado que será criado ou lido para renovação.
Exemplo: "myCertificate"
KEY_NAME
O nome do arquivo da chave privada que será criado ou lido para renovação.
Exemplo: "myKey"
RENEWAL_THRESHOLD_DAYS
A quantidade de dias para o certificado expirar para que o script comece o processo de renovação.
Exemplo: 30
CERT_TYPE
O tipo de certificado que será inscrito.
Pode ser "user" ou "device"
CERT_COMMAND
Isto define o comportamento do script em relação à inscrição e renovação:
"auto" irá criar um certificado inicialmente ou renovar um certificado se ele já existir e estiver prestes a expirar.
"renewal" irá renovar um certificado se ele estiver prestes a expirar, mas não criará um certificado inicialmente.
"initial" irá apenas inscrever um certificado, mas não renovará um já existente.
Se você estiver inscrevendo ou renovando um certificado de dispositivo, o DeviceId será recuperado de ~/.config/intune/registration.toml e o usuário autenticado precisará corresponder ao proprietário do objeto na configuração DeviceDirectory.
Considerações
Este script não criptografa as chaves geradas (isso requer entrada de frase de segurança, então a criptografia foi omitida para permitir renovação automática).
Se você estiver renovando certificados protegidos por frase de segurança do Certificate Master, precisará inserir essa frase de segurança para renová-los.
Implantar Script
Usando o Intune, podemos implantar o script modificado em uma programação para inscrever inicialmente um certificado com os parâmetros fornecidos e verificar regularmente se ele precisa ser renovado.
Adicione uma nova implantação de script para Linux e certifique‑se de definir o Contexto de execução para Usuário e faça o upload ou cole o conteúdo do script bash modificado que você criou na seção anterior.
Ajuste a Frequência de execução de acordo com seu limiar de renovação.
Last updated
Was this helpful?