Cliente Linux Gerenciado pelo Intune
Aplicável à versão 2.9 do SCEPman e posteriores
Apenas SCEPman Enterprise Edition
Este método pode ser usado para inscrever certificados para usuários e dispositivos gerenciados pelo Intune.
O Intune, neste caso, irá enviar um script para aproveitar a API REST do SCEPman que, por sua vez, irá inscrever um novo certificado ou renovar um já existente.
Nosso desenvolvedor Christoph apresentou este recurso e alguns detalhes de fundo no Workplace Ninja Usergroup Germany:
Pré-requisitos
1. Inscrição de Autoatendimento
2. Configurações do App Service
Este cenário inscreverá certificados do tipo IntuneUser e IntuneDevice dependendo da sua escolha.
3. Pré-requisitos do Cliente
Siga a documentação vinculada para inscrever seu cliente Linux no Intune.
Script de Inscrição e Renovação
O enrollrenewcertificate.sh o script será usado para receber inicialmente um certificado, bem como para verificá‑lo em uma programação regular e tentar uma renovação caso o limite seja alcançado.
Embora o script geralmente seja operado passando os parâmetros no terminal, precisaremos modificar algumas partes dele para serem implantadas via Intune.
Localize a parte do script que atribui os argumentos passados pelo terminal às variáveis e ajuste‑as conforme suas necessidades:
Exemplo de configuração:
APPSERVICE_URL
A URL do serviço de aplicativo SCEPman.
Exemplo: "https://scepman.contoso.net/"
API_SCOPE
Este é o escopo da API que você pode criar no SCEPman-api registro do aplicativo em seu ambiente.
O usuário verá a caixa de diálogo de consentimento desejada e poderá então usar a funcionalidade de autoatendimento.
Exemplo: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"
CERT_DIR
O diretório onde o certificado será criado ou tentado renovar. A chave privada e o certificado raiz também serão colocados aqui.
Exemplo: ~/certs/
CERT_NAME
O nome do arquivo (sem extensão) do certificado que será criado ou lido para renovação.
Exemplo: "myCertificate"
KEY_NAME
O nome do arquivo da chave privada que será criado ou lido para renovação.
Exemplo: "myKey"
RENEWAL_THRESHOLD_DAYS
A quantidade de dias para o certificado expirar para que o script comece o processo de renovação.
Exemplo: 30
CERT_TYPE
O tipo de certificado que será inscrito.
Pode ser "user" ou "device"
CERT_COMMAND
Isto define o comportamento do script em relação à inscrição e renovação:
"auto" irá criar um certificado inicialmente ou renovar um certificado se ele já existir e estiver prestes a expirar.
"renewal" irá renovar um certificado se ele estiver prestes a expirar, mas não criará um certificado inicialmente.
"initial" irá apenas inscrever um certificado, mas não renovará um já existente.
Se você estiver inscrevendo ou renovando um certificado de dispositivo, o DeviceId será recuperado de ~/.config/intune/registration.toml e o usuário autenticado precisará corresponder ao proprietário do objeto na configuração DeviceDirectory.
Considerações
Este script não criptografa as chaves geradas (isso requer entrada de frase de segurança, então a criptografia foi omitida para permitir renovação automática).
Se você estiver renovando certificados protegidos por frase de segurança do Certificate Master, precisará inserir essa frase de segurança para renová-los.
Implantar Script
Usando o Intune, podemos implantar o script modificado em uma programação para inscrever inicialmente um certificado com os parâmetros fornecidos e verificar regularmente se ele precisa ser renovado.
Adicione uma nova implantação de script para Linux e certifique‑se de definir o Contexto de execução para Usuário e faça o upload ou cole o conteúdo do script bash modificado que você criou na seção anterior.
Ajuste a Frequência de execução de acordo com seu limiar de renovação.
O usuário será solicitado a entrar no aplicativo Azure CLI na primeira execução, pois é necessário autenticar.
Last updated
Was this helpful?