Revogação
Revogação automática de certificados no Microsoft Intune ou Jamf Pro via OCSP usando o SCEPman.
O SCEPman oferece várias maneiras de gerenciar e revogar um certificado. As opções disponíveis dependem de
se o certificado foi inscrito automaticamente via uma solução MDM ou se foi gerado via o UI do Certificate Master / API REST de Inscrição,
o sistema MDM que é usado para inscrição (automática), e
a configuração do SCEPman.
A seção abaixo fornece uma visão geral das diferentes opções de gerenciamento e mecanismos de revogação e em quais circunstâncias eles estão disponíveis.
Revogação Automática
Disponível apenas quando Microsoft Intune e/ou Jamf Pro são usados como solução(ões) MDM para inscrição de certificados. Alternativamente, está disponível com qualquer MDM de terceiros que seja capaz de sincronizar objetos de dispositivo e/ou usuário com o Microsoft Entra ID (Azure AD) (ou seja, Validação AAD Estática pode ser usada).
Suportado em OCSP.
Contexto
A revogação automática está sempre ativa e permite um gerenciamento prático do ciclo de vida do certificado vinculando cada certificado a um objeto de diretório, como uma identidade de usuário ou dispositivo. Através desse mecanismo de vinculação de objetos, o SCEPman pode inferir o estado de revogação com base em certas características do ciclo de vida do objeto ao qual foi vinculado. O mapeamento do estado do ciclo de vida do objeto para o estado de revogação do certificado é implementado para corresponder às melhores práticas resultantes de anos de experiência em segurança e gerenciamento de endpoints.
A vinculação entre o objeto do diretório (usuário ou dispositivo) e o certificado é estabelecida introduzindo variáveis apropriadas no perfil SCEP para as propriedades Subject Name ou Subject Alternative Name. Ao receber um Certificate Signing Request (CSR) de um cliente gerenciado por MDM, o SCEPman identifica o objeto vinculado e codifica essa informação no número de série do certificado antes de retorná-lo ao cliente. É o número de série que é transmitido ao respondedo OCSP do SCEPman durante a validação do certificado, permitindo que o SCEPman decodifique a informação do objeto, realize uma pesquisa no diretório apropriado e, finalmente, tome uma decisão sobre o status de revogação.
Comportamento de Revogação
Em qualquer um dos cenários abaixo, a revogação pode ser considerada efetiva imediatamente, assim que o estado do objeto vinculado tiver mudado. Por favor, note que o cache local de respostas OCSP no cliente pode sugerir o contrário.
Durante os testes, considere que excluir/remover um dispositivo do respectivo diretório/solução MDM é uma operação irreversível que exigirá que você reinscreva o dispositivo posteriormente.
Dispositivo Intune {{DeviceId}}
Excluir, Limpar (Wipe)*, Retirar (Retire)*: revogação permanente
Não disponível
Conformidade de Dispositivo Intune: revogação reversível
Lista de Endpoints: revogação permanente
Dispositivo Entra (Azure AD)
{{AAD_Device_ID}}
Excluir: revogação permanente
Desabilitar: revogação reversível
Conformidade de Dispositivo Entra (Azure AD): revogação reversível
Lista de Endpoints: revogação permanente
Usuário Entra (Azure AD)
{{UserPrincipalName}}
Excluir: revogação permanente
Desabilitar: revogação reversível
Risco do Usuário: revogação reversível
Lista de Endpoints: revogação permanente
Usuário Jamf em Computador
CN=$JSSID,OU=users-on-computers
Excluir (Computador): revogação permanente
Excluir (Usuário): revogação permanente
Não disponível
Não disponível
Usuário Jamf em Dispositivo
CN=$JSSID,OU=users-on-devices
Excluir (Dispositivo): revogação permanente
Excluir (Usuário): revogação permanente
Não disponível
Não disponível
*: Garanta durante a limpeza (wipe) que "Limpar dispositivo, mas manter o estado de inscrição e a conta de usuário associada" esteja desativado. A revogação é imediata somente se AppConfig:IntuneValidation:RevokeCertificatesOnWipe estiver definido como verdadeiro (padrão).
Revogação manual
Apenas SCEPman Enterprise Edition
Este recurso requer a versão 2.3 ou superior.
Suportado em OCSP e CRL.
Contexto
A revogação manual está disponível para qualquer certificado emitido pelo SCEPman - independentemente de ter sido inscrito automaticamente via MDM, emitido manualmente via o Certificate Master, ou implantado via a Enrollment REST API. A revogação manual é útil quando a revogação automática não está disponível ou quando os caminhos de revogação automática não são suficientes para atender a requisitos específicos.
Para facilitar a revogação manual, o SCEPman precisa armazenar certos metadados dos certificados que emite. Embora isso seja o caso por padrão para certificados emitidos via a UI do Certificate Master e a Enrollment REST API, não é o caso para outros tipos de certificados. Portanto, por favor, assegure-se de revisar as configurações relevantes dependendo dos seus requisitos.
Continue lendo para aprender como a revogação manual é tratada aproveitando o Certificate Master e suas opções de pesquisa e filtragem.
Gerenciador de Certificados
O SCEPman Certificate Master permite que você pesquise, inspecione e gerencie os certificados que sua PKI SCEPman emitiu:
Gerenciar CertificadosRevogação Automática versus Manual
O SCEPman usa diferentes fontes de informação de revogação para determinar se um certificado é válido quando uma solicitação OCSP chega. Além disso, a lógica de revogação do SCEPman segue uma abordagem ou, o que significa que se qualquer fonte de revogação considerar o certificado inválido, ele será reportado como revogado. Não há precedência de revogação automática sobre a manual ou vice-versa.
Observe que as tabelas no Certificate Master mostram apenas o status da revogação manual e não outras fontes. Portanto, um certificado pode ser exibido como válido na tabela, embora na verdade seja considerado revogado, por exemplo porque o dispositivo correspondente foi excluído no Intune (revogação automática).
Leituras Adicionais
Last updated
Was this helpful?