Windows

Neste caso estamos configurando um certificado de dispositivo

Recomendado: Use {{DeviceName}}para o RDN CN ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.

Opcional: Se configurado para CN={{DeviceId}} ou CN={{AAD_Device_ID}}, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

• {{DeviceId}}: Este ID é gerado e usado pelo Intune. (requer SCEPman 2.0 ou superior e AppConfig:IntuneValidation:DeviceDirectory a ser definido como Intune ou AADAndIntune)

• {{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).

Caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} seja usado para o campo CN (por exemplo CN={{DeviceName}}), o SCEPman identificará o dispositivo com base no ID de Dispositivo do Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) fornecido no nome alternativo do sujeito (SAN).

Importante: A escolha do campo CN afeta o comportamento de revogação automática dos certificados emitidos aos seus dispositivos gerenciados pelo Intune.

Você pode adicionar outros RDNs se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no seu ID de Dispositivo do Intune. O valor deve ser:

O campo URI é obrigatório caso nenhum CN={{DeviceId}} nem CN={{AAD_Device_ID}} seja usado no campo Formato do nome do sujeito .

Outros valores SAN como DNS podem ser adicionados se necessário.

A quantidade de tempo restante antes do certificado expirar. O padrão é definido para um ano.

O SCEPman limita a validade do certificado ao máximo configurado na configuração AppConfig:ValidityPeriodDays, mas caso contrário usa a validade configurada na solicitação.

Esta configuração determina o local de armazenamento da chave privada para os certificados do usuário final. O armazenamento no TPM é mais seguro que o armazenamento em software porque o TPM fornece uma camada adicional de segurança para evitar o roubo da chave.

Observação: Há um bug em algumas versões antigas de firmware de TPM que invalida algumas assinaturas criadas com uma chave privada suportada pelo TPM. Nesses casos, o certificado não pode ser usado para autenticação EAP, como é comum para conexões Wi-Fi e VPN. Além disso, isso pode quebrar seu processo de integração Autopilot.

Versões de firmware TPM afetadas incluem:

• STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

• Intel: 11.8.50.3399, 2.0.0.2060

• Infineon: 7.63.3353.0

• IFX: Versão 3.19 / Especificação 1.2

• IFX versão 7.63.3353.0 especificação 2.0

Se você usar TPM com esse firmware, atualize seu firmware para uma versão mais recente ou selecione "Software KSP" como provedor de armazenamento de chaves.

Atualização: Você pode contornar o bug do TPM removendo os algoritmos de assinatura RSA-PSS - que estão causando o problema - do registro; para mais informações, verifique por favor o artigo de Richard Hicks e Microsoft Q&A

Por favor ative ambas as ações criptográficas.

O SCEPman define automaticamente o Uso da chave para Assinatura digital e Ciframento de chave e substitui a configuração aqui, a menos que a configuração AppConfig:UseRequestedKeyUsages esteja definida para true.

O SCEPman suporta 2048 bits.

O SCEPman suporta o algoritmo SHA-2.

Por favor selecione o perfil do Intune de #Certificado raiz. Se você estiver usando uma CA intermediária, você deve selecionar o perfil de certificado confiável para a CA intermediária, não a CA raiz!

Por favor escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Este valor define quando o dispositivo tem permissão para renovar seu certificado (com base na vida útil remanescente de um certificado existente). Por favor leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 20% permitiria que o dispositivo com certificado válido por 1 ano iniciasse a renovação 73 dias antes da expiração.

Exemplo

Nesta seção estamos configurando um certificado de usuário.

Você pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de usuário (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como configuração básica.

Você deve adicionar o nome principal do usuário como o Nome alternativo do sujeito. Adicione '{{UserPrincipalName}}' como Nome Alternativo do Sujeito do tipo Nome principal do usuário (UPN). Isso garante que o SCEPman possa vincular certificados a objetos de usuário no AAD. A configuração para 'Formato do nome do sujeito' é livremente selecionável.

Outros valores SAN como um endereço de e-mail podem ser adicionados se necessário.

• (obrigatório) Nome principal do usuário (UPN): {{UserPrincipalName}}

• (obrigatório) Endereço de e-mail: {{EmailAddress}}

Ao implantar um certificado de assinatura digital, você deve adicionar o UPN e o endereço de e-mail.

Por favor escolha Email seguro (1.3.6.1.5.5.7.3.4) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Recomendamos definir o Limite de Renovação (%) para um valor que garanta que os certificados sejam renovados pelo menos 6 meses antes da expiração ao emitir certificados de assinatura S/MIME. Isso ocorre porque e-mails assinados com certificados expirados são exibidos como tendo assinaturas inválidas no Outlook, o que confunde os usuários. Ter um novo certificado muito antes do antigo expirar garante que apenas e-mails mais antigos exibam esse comportamento, os quais os usuários são menos propensos a visualizar. Por exemplo, se seus certificados de assinatura forem válidos por um ano, você deve definir o Limite de Renovação para pelo menos 50%.