Cliente Linux não gerenciado
Apenas SCEPman Enterprise Edition
Este método pode ser usado para inscrever certificados para usuários e dispositivos que não são gerenciados ou que são gerenciados por um MDM diferente do Intune.
Pré-requisitos
1. Inscrição de Autoatendimento
Para inscrever certificados, os utilizadores devem ser autenticados para verificar a sua elegibilidade. Siga este guia para obter instruções passo a passo sobre como configurar isto
Inscrição de Autoatendimento2. Configurações do App Service
Configuração
Necessário para renovação de certificado
Configure seu Serviço de Aplicativo SCEPman para aceitar certificados de cliente mTLS. Na lâmina Configuração da seção Configurações, verifique se o modo de certificado do cliente em Certificados de cliente de entrada está definido como Opcional.
Não defina o modo de certificado do cliente como Exigir ou Permitir, pois isso quebraria a operação normal do SCEPman nos endpoints SCEP!
Variáveis de Ambiente
Para utilizar este cenário, você deve definir as seguintes Variáveis de Ambiente no serviço de aplicativo SCEPman.
Necessário para inscrição e renovação de certificado
Defina esta variável como true para habilitar a validação de pedidos de assinatura de certificado (CSRs).
Necessário para renovação de certificado
Defina esta variável como true para habilitar renovações de certificado.
Necessário para renovação de certificado
Defina esta variável como uma lista separada por vírgulas de tipos de certificado que você deseja permitir a renovação. Consulte a documentação vinculada da variável para uma lista dos possíveis tipos de certificado.
Exemplo: Static,IntuneUser,IntuneDevice
Este cenário inscreverá certificados do tipo IntuneUser.
Módulo PowerShell SCEPmanClient
Solicitações Iniciais
Você pode usar o módulo PowerShell SCEPmanClient para solicitar certificados no seu dispositivo Linux:
New-SCEPmanCertificate -Url 'scepman.contoso.com' -SubjectFromUserContext -SaveToFolder '~/certs/'O usuário então precisará fazer login interativamente em uma sessão de navegador e um certificado para a conta em que está logado será criado.
Renovação de Certificado
Você também pode usar o módulo PowerShell para renovar certificados já existentes. Isso também evita a necessidade de usar um principal de serviço para autenticação:
Script de Inscrição e Renovação
Se o módulo PowerShell não for uma opção para você, o enrollrenewcertificate.sh script pode ser usado para receber inicialmente um certificado, bem como para verificá-lo e tentar uma renovação caso esteja prestes a expirar.
Pré-requisitos do Cliente
Os seguintes pré-requisitos devem estar presentes no cliente/host que executa para poder usar a API REST de Registro.
Azure CLI (versão 2.61 e superior)
O Azure CLI é usado para autenticar o usuário que está registrando, verificar sua elegibilidade e recuperar o token de acesso.
cURL
Usado para enviar o CSR criado ao Endpoint da API de Registro do SCEPman e receber o certificado.
OpenSSL
O OpenSSL é usado para gerar uma chave privada e criar um CSR para registrar ou renovar um certificado.
Exemplo:
1. Comando
Define o comportamento do script
Pode ser qualquer um de:
-u para certificado de usuário com autodetecção se é uma inscrição inicial ou renovação
-d para certificado de dispositivo com autodetecção se é uma inscrição inicial ou renovação
-r para renovação
-w para inscrição inicial de um usuário
-x para inscrição inicial de um dispositivo
Se você estiver inscrevendo ou renovando um certificado de dispositivo, o DeviceId será tentado ler de ~/.config/intune/registration.toml por padrão e o usuário autenticado precisará corresponder ao proprietário do objeto no DeviceDirectory
2. URL do App Service
A URL do serviço de aplicativo SCEPman.
Exemplo: "https://scepman.contoso.net/"
3. API_SCOPE
Este é o escopo da API que você pode criar no SCEPman-api registro do aplicativo em seu ambiente.
O usuário verá a caixa de diálogo de consentimento desejada e poderá então usar a funcionalidade de autoatendimento.
Exemplo: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"
4. Diretório de Certificados
O diretório onde o certificado será criado ou tentado ser renovado.
Exemplo: ~/certs/
5. Nome do Arquivo do Certificado
O nome do arquivo (sem extensão) do certificado que será criado ou lido para renovação.
Exemplo: "myCertificate"
6. Nome do Arquivo da Chave Privada
O nome do arquivo da chave privada que será criado ou lido para renovação.
Exemplo: "myKey"
7. Limite de Renovação
A quantidade de dias para o certificado expirar para que o script comece o processo de renovação.
Exemplo: 30
Considerações
Este script não criptografa as chaves geradas (isso requer entrada de frase de segurança, então a criptografia foi omitida para permitir renovação automática).
Se você estiver renovando certificados protegidos por frase de segurança do Certificate Master, precisará inserir essa frase de segurança para renová-los.
Configurar renovação automática
Quando o script bash acima for executado e detectar que um certificado já foi inscrito, ele renovará o certificado (se estiver próximo da expiração) usando mTLS. Se o script for executado regularmente, isso garantirá que o certificado seja renovado quando estiver próximo da expiração. Você pode configurar um cronjob para conseguir isso. O comando abaixo é um exemplo de como isso pode ser feito. Ele configurará um cronjob para executar o comando diariamente (se o sistema estiver ligado) e um cronjob para executar o comando na reinicialização.
Como os comandos executados pelo Cron nem sempre serão executados a partir do diretório em que o script/certificados estão, é importante fornecer os caminhos absolutos para o script/certificados.
Last updated
Was this helpful?