Outras soluções MDM
Você pode usar o SCEPman para emitir certificados via sistemas MDM diferentes do Intune. Você deve configurar uma senha de desafio estática (veja RFC 8894, Seção 7.3 para a especificação formal) tanto no SCEPman quanto no sistema MDM. Virtualmente todos os sistemas MDM suportam este modo de autenticação SCEP.
Observe, no entanto, que isso não fornece o mesmo nível de segurança que o modo de autenticação empregado com o Intune. A senha de desafio autentica solicitações vindas do sistema MDM, então o SCEPman sabe que elas provêm de uma fonte confiável. Mas se invasores roubarem a senha de desafio, eles podem autenticar qualquer solicitação de certificado e fazer o SCEPman emitir para eles qualquer certificado que desejem.
É, portanto, crucial manter a senha de desafio segura. Isso pode ser alcançado quando o sistema MDM atua como cliente SCEP e entrega o pacote final compreendendo o certificado e a chave privada aos dispositivos dos usuários finais. Dessa forma, a senha de desafio fica disponível apenas para o SCEPman e para o sistema MDM, mas não nos dispositivos dos usuários finais.
Configuração do SCEPman
Existem duas endpoints SCEP para escolher ao configurar o SCEPman para sistemas MDM diferentes do Intune e do Jamf Pro:
Static-AAD
Static
O endpoint Static-AAD é recomendado para sistemas MDM com integração ao Entra ID, como Kandji e Google Workspace. Usuário certificados distribuídos a partir do endpoint Static-AAD se beneficiarão de Revogação Automática quando o respectivo usuário for desativado no Entra ID.
O endpoint Static é recomendado para todos os outros sistemas MDM.
Adicione as seguintes configurações ao seu Serviço de Aplicativo SCEPman > Variáveis de Ambiente > Adicionar.
Depois que as configurações tiverem sido adicionadas, salve as configurações e reinicie o seu Serviço de Aplicativo SCEPman.
Habilitar validação Static-AAD
true para habilitar, false para desabilitar
As solicitações de assinatura de certificado enviadas ao SCEPman para assinatura são autenticadas com esta senha estática segura Recomendação: Armazene este segredo em Azure KeyVault.
gere uma senha de 32 caracteres
Dias em que os certificados emitidos via o endpoint Static-AAD são válidos
365
Armazenar certificados solicitados na Conta de Armazenamento, a fim de exibí‑los no SCEPman Certificate Master
true para habilitar, false para desabilitar
Adicione as seguintes configurações ao seu Serviço de Aplicativo SCEPman > Variáveis de Ambiente > Adicionar.
Depois que as configurações tiverem sido adicionadas, salve as configurações e reinicie o seu Serviço de Aplicativo SCEPman.
Habilitar validação de terceiros
true para habilitar, false para desabilitar
As solicitações de assinatura de certificado enviadas ao SCEPman para assinatura são autenticadas com esta senha estática segura Recomendação: Armazene este segredo em Azure KeyVault.
gere uma senha de 32 caracteres
Dias em que os certificados emitidos via o endpoint Static são válidos
365
Armazenar certificados solicitados na Conta de Armazenamento, a fim de exibí‑los no SCEPman Certificate Master
true para habilitar, false para desabilitar
Configuração do MDM
As etapas específicas dependem do sistema MDM que você está usando. Você deve adicionar https://scepman.contoso.de/static como URL SCEP em algum lugar e deve adicionar a senha de desafio à configuração SCEP do seu sistema MDM. Por motivos de segurança, por favor configure seu sistema MDM como um proxy SCEP.
Observe que existem duas variantes de implementações de proxy SCEP, apenas uma das quais é segura nesta configuração:
Seu sistema MDM pode atuar como cliente SCEP, gerar o par de chaves secreto e entregar o pacote completo consistindo de certificado e chave privada aos dispositivos dos usuários finais. Isto é seguro, pois a senha de desafio é usada apenas entre o sistema MDM e o SCEPman.
Seu sistema MDM retransmite mensagens SCEP entre o dispositivo do usuário final e o SCEPman. O dispositivo do usuário final gera o par de chaves secreto e adiciona a senha de desafio à solicitação de certificado. Isto é menos seguro, pois um atacante com controle sobre um único dispositivo de usuário final pode roubar a senha de desafio e solicitar todo tipo de certificados ao SCEPman. Além disso, o sistema MDM não pode controlar se o cliente solicitou corretamente um certificado ou se a solicitação de certificado está incorreta, possivelmente permitindo roubo de identidade ou outras ameaças.
Last updated
Was this helpful?