Cliente Linux não gerido

Este método pode ser usado para inscrever certificados para usuários e dispositivos que não são gerenciados ou que são gerenciados por um MDM diferente do Intune.

Pré-requisitos

1. Inscrição de Autoatendimento

2. Definições do App Service

Este cenário inscreverá certificados do tipo IntuneUser.

Módulo PowerShell SCEPmanClient

Solicitações Iniciais

Você pode usar o módulo PowerShell SCEPmanClient para solicitar certificados no seu dispositivo Linux:

New-SCEPmanCertificate -Url 'scepman.contoso.com' -SubjectFromUserContext -SaveToFolder '~/certs/'

O usuário então precisará fazer login interativamente em uma sessão do navegador e um certificado para a conta com a qual fez login será criado.

Renovação de Certificado

Você também pode usar o módulo PowerShell para renovar certificados já existentes. Isso também dispensa a necessidade de usar um service principal para autenticação:

Script de Inscrição e Renovação

Se o módulo PowerShell não for uma opção para você, o enrollrenewcertificate.sh script pode ser usado para receber inicialmente um certificado, bem como para verificá-lo e tentar uma renovação caso ele esteja prestes a expirar.

Pré-requisitos do Cliente

Exemplo:

1. Comando

Define o comportamento do script

Pode ser qualquer um destes:

-u para certificado de usuário com autodetecção de se é uma inscrição inicial ou renovação

-d para certificado de dispositivo com autodetecção de se é uma inscrição inicial ou renovação

-r para renovação

-w para inscrição inicial de um usuário

-x para inscrição inicial de um dispositivo

2. URL do App Service

A URL do serviço de aplicativo SCEPman.

Exemplo: "https://scepman.contoso.net/"

3. API_SCOPE

Este é o escopo da API que você pode criar no SCEPman-api registro de aplicativo no seu ambiente.

O usuário verá a caixa de diálogo de consentimento desejada e depois poderá usar a funcionalidade de autoatendimento.

Exemplo: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

4. Diretório do Certificado

O diretório onde o certificado será criado ou para o qual será tentada a renovação.

Exemplo: ~/certs/

5. Nome do Arquivo do Certificado

O nome do arquivo (sem extensão) do certificado que será criado ou lido para renovação.

Exemplo: "myCertificate"

6. Nome do Arquivo da Chave Privada

O nome do arquivo da chave privada que será criado ou lido para renovação.

Exemplo: "myKey"

7. Limiar de Renovação

A quantidade de dias para os quais o certificado precisará estar prestes a expirar para que o script inicie o processo de renovação.

Exemplo: 30

Considerações

• Este script não criptografa as chaves geradas (isso requer a entrada de uma senha, portanto a criptografia foi omitida para permitir a renovação automática).

• Se você estiver renovando certificados protegidos por senha do Certificate Master, precisará informar essa senha para renová-los.

Configurar renovação automática

Quando o script bash acima for executado e detectar que um certificado já foi inscrito, ele renovará o certificado (se estiver próximo da expiração) usando mTLS. Se o script for executado regularmente, isso garantirá que o certificado seja renovado quando estiver perto de expirar. Você pode configurar um cronjob para conseguir isso. O comando abaixo é um exemplo de como isso pode ser feito. Ele configurará um cronjob para executar o comando diariamente (se o sistema estiver ligado) e um cronjob para executar o comando na reinicialização.

Como os comandos executados pelo Cron não necessariamente serão executados a partir do diretório em que o script/certificados estão, é importante fornecer os caminhos absolutos para o script/certificados.