Windows

Neste caso estamos configurando um certificado de dispositivo

Recomendado: Use {{DeviceName}}para o RDN CN para ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.

Opcional: Se configurado para CN={{DeviceId}} ou CN={{AAD_Device_ID}}, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

• {{DeviceId}}: Este ID é gerado e usado pelo Intune. (requer SCEPman 2.0 ou superior e AppConfig:IntuneValidation:DeviceDirectory a ser definido para Intune ou AADAndIntune)

• {{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).

Caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} sejam usados para o campo CN (por exemplo CN={{DeviceName}}), o SCEPman identificará o dispositivo com base no ID do Dispositivo do Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) fornecido no nome alternativo do sujeito (SAN).

Importante: A escolha do campo CN afeta o comportamento automático de revogação de certificados emitidos para seus dispositivos gerenciados pelo Intune.

Você pode adicionar outros RDNs, se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no ID do Dispositivo do Intune. O valor deve ser:

O campo URI é obrigatório caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} seja usado no campo Formato do nome do sujeito .

Outros valores SAN como DNS podem ser adicionados, se necessário.

A quantidade de tempo restante antes do certificado expirar. O padrão é definido em um ano.

O SCEPman limita a validade do certificado ao máximo configurado na configuração AppConfig:ValidityPeriodDays, mas caso contrário usa a validade configurada na solicitação.

Esta configuração determina o local de armazenamento da chave privada para os certificados de usuário final. O armazenamento no TPM é mais seguro do que o armazenamento em software porque o TPM fornece uma camada adicional de segurança para evitar o roubo da chave.

Observação: Existe um bug em algumas versões antigas de firmware de TPM que invalida algumas assinaturas criadas com uma chave privada suportada pelo TPM. Nesses casos, o certificado não pode ser usado para autenticação EAP, como é comum para conexões Wi-Fi e VPN. Além disso, isso pode quebrar seu processo de integração Autopilot.

As versões de firmware TPM afetadas incluem:

• STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

• Intel: 11.8.50.3399, 2.0.0.2060

• Infineon: 7.63.3353.0

• IFX: Versão 3.19 / Especificação 1.2

• IFX versão 7.63.3353.0 especificação 2.0

Se você usar TPM com esse firmware, atualize seu firmware para uma versão mais recente ou selecione "Software KSP" como provedor de armazenamento de chave.

Atualização: Você pode contornar o bug do TPM removendo os algoritmos de assinatura RSA-PSS - que estão causando o problema - do registro; para mais informações, verifique o artigo de Richard Hicks e Microsoft Q&A

Por favor, ative ambas as ações criptográficas.

O SCEPman automaticamente define o Uso da chave para Assinatura digital e Ciframento de chave e substitui a configuração aqui, a menos que a configuração AppConfig:UseRequestedKeyUsages esteja definida para true.

O SCEPman suporta 2048 bits.

O SCEPman suporta o algoritmo SHA-2.

Por favor, selecione o perfil do Intune de #Certificado Raiz. Se você estiver usando uma CA Intermediária, você deve selecionar o perfil de certificado Confiável para a CA Intermediária, não para a CA Raiz!

Por favor, escolha Autenticação de Cliente (1.3.6.1.5.5.7.3.2) em Valores pré-definidos. Os outros campos serão preenchidos automaticamente.

Este valor define quando o dispositivo está autorizado a renovar seu certificado (com base no tempo de vida restante de um certificado existente). Por favor, leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado por um longo período. Um valor de 20% permitiria que o dispositivo com um certificado válido por 1 ano começasse a renovação 73 dias antes do vencimento.

Exemplo

Nesta seção estamos configurando um certificado de usuário.

Você pode definir RDNs com base em suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de usuário (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como configuração básica.

Você deve adicionar o nome principal do usuário como Nome alternativo do sujeito. Adicione '{{UserPrincipalName}}' como Nome Alternativo do Sujeito do tipo Nome principal do usuário (UPN). Isso garante que o SCEPman possa vincular certificados a objetos de usuário no AAD. A configuração para 'Formato do nome do sujeito' é livremente selecionável.

Outros valores SAN, como um endereço de Email, podem ser adicionados se necessário.

• (obrigatório) Nome principal do usuário (UPN): {{UserPrincipalName}}

• (obrigatório) Endereço de email: {{EmailAddress}}

Ao implantar um certificado de assinatura digital, você deve adicionar o UPN e o endereço de e-mail.

Por favor, escolha Email Seguro (1.3.6.1.5.5.7.3.4) em Valores pré-definidos. Os outros campos serão preenchidos automaticamente.

Recomendamos definir o Limite de Renovação (%) para um valor que garanta que os certificados sejam renovados pelo menos 6 meses antes da expiração ao emitir certificados de assinatura S/MIME. Isso porque e-mails assinados com certificados expirados aparecem com assinaturas inválidas no Outlook, o que confunde os usuários. Ter um novo certificado muito antes de o antigo expirar garante que apenas e-mails mais antigos mostrem esse comportamento, que os usuários têm menos probabilidade de consultar. Por exemplo, se seus certificados de assinatura são válidos por um ano, você deve definir o Limite de Renovação para pelo menos 50%.