Revogação
Revogação automática de certificados no Microsoft Intune ou Jamf Pro via OCSP usando o SCEPman.
O SCEPman oferece várias maneiras de gerir e revogar um certificado. As opções disponíveis dependem de
se o certificado foi inscrito automaticamente através de uma solução MDM ou se foi gerado através da Certificate Master UI / Enrollment REST API,
o sistema MDM utilizado para a inscrição (automática), e
a configuração do SCEPman.
A secção abaixo apresenta uma visão geral das diferentes opções de gestão e mecanismos de revogação e em que circunstâncias estão disponíveis.
Revogação Automática
Disponível apenas quando Microsoft Intune e/ou Jamf Pro são usados como solução(s) MDM para a inscrição de certificados. Em alternativa, está disponível com qualquer MDM de terceiros que seja capaz de sincronizar objetos de dispositivo e/ou utilizador com Microsoft Entra ID (Azure AD) (ou seja, Static AAD Validation pode ser usado).
Suportado em OCSP.
Contexto
A revogação automática está sempre ativa e permite uma gestão conveniente do ciclo de vida dos certificados ao associar cada certificado a um objeto de diretório, como uma identidade de utilizador ou de dispositivo. Através deste mecanismo de associação de objetos, o SCEPman pode inferir o estado de revogação com base em certas características do ciclo de vida do objeto ao qual foi associado. O mapeamento do estado do ciclo de vida do objeto para o estado de revogação do certificado é implementado para corresponder às melhores práticas resultantes de anos de experiência em segurança e gestão de endpoints.
A associação entre o objeto de diretório (utilizador ou dispositivo) e o certificado é estabelecida através da introdução de variáveis apropriadas no perfil SCEP para as propriedades Subject Name ou Subject Alternative Name. Ao receber um Certificate Signing Request (CSR) de um cliente gerido por MDM, o SCEPman identifica o objeto associado e codifica esta informação no número de série do certificado antes de o devolver ao cliente. É o número de série que é transmitido ao respondedor OCSP do SCEPman durante a validação do certificado, permitindo ao SCEPman decodificar a informação do objeto, efetuar uma pesquisa no diretório apropriado e, por fim, tomar uma decisão sobre o estado de revogação.
Comportamento da Revogação
Em qualquer um dos cenários abaixo, a revogação pode ser considerada efetiva imediatamente, assim que o estado do objeto associado tenha mudado. Tenha em atenção que a cache local das respostas OCSP no cliente pode sugerir o contrário.
Durante os testes, tenha em consideração que eliminar/remover um dispositivo da respetiva solução de diretório/MDM é uma operação irreversível que exigirá que volte a inscrever o dispositivo posteriormente.
Dispositivo Intune {{DeviceId}}
Não disponível
Conformidade do Dispositivo Intune: revogação reversível
Lista de Endpoints: revogação permanente
Dispositivo Entra (Azure AD)
{{AAD_Device_ID}}
Delete: revogação permanente
Desativar: revogação reversível
Conformidade do Dispositivo Entra (Azure AD): revogação reversível
Lista de Endpoints: revogação permanente
Utilizador Entra (Azure AD)
{{UserPrincipalName}}
Delete: revogação permanente
Desativar: revogação reversível
Risco do Utilizador: revogação reversível
Lista de Endpoints: revogação permanente
Jamf User on Computer
CN=$JSSID,OU=users-on-computers
Eliminar (Computador): revogação permanente
Eliminar (Utilizador): revogação permanente
Não disponível
Não disponível
Jamf User on Device
CN=$JSSID,OU=users-on-devices
Eliminar (Dispositivo): revogação permanente
Eliminar (Utilizador): revogação permanente
Não disponível
Não disponível
*: Garanta durante o wipe que "Wipe device, but keep enrollment state and associated user account" está desativado. A revogação só é imediata se AppConfig:IntuneValidation:RevokeCertificatesOnWipe estiver definido como verdadeiro (predefinição).
Revogação manual
Apenas SCEPman Enterprise Edition
Este recurso requer a versão 2.3 ou superior.
Suportado em OCSP e CRL.
Contexto
A revogação manual está disponível para qualquer certificado emitido pelo SCEPman - independentemente de ter sido inscrito automaticamente via MDM, emitido manualmente via Certificate Master ou implementado via a API REST de Inscrição. A revogação manual é útil quando a revogação automática não está disponível ou quando os caminhos de revogação automática não são suficientes para cumprir requisitos específicos.
Para facilitar a revogação manual, o SCEPman precisa de armazenar certos metadados dos certificados que emite. Embora isso aconteça por predefinição para certificados emitidos via Certificate Master UI e a API REST de Inscrição, não acontece para outros tipos de certificado. Por conseguinte, certifique-se de rever as definições relevantes de acordo com os seus requisitos.
Continue a ler para saber como a revogação manual é tratada através do Certificate Master e das suas opções de pesquisa e filtragem.
Certificate Master
O SCEPman Certificate Master permite-lhe pesquisar, inspecionar e gerir os certificados emitidos pela sua PKI SCEPman:
Gerir certificadosRevogação Automática versus Manual
O SCEPman utiliza diferentes fontes de informação de revogação para determinar se um certificado é válido quando chega um pedido OCSP. Além disso, a lógica de revogação do SCEPman segue uma abordagem com ORo que significa que, se qualquer fonte de revogação considerar o certificado inválido, ele será reportado como revogado. Não existe precedência da revogação automática sobre a manual nem vice-versa.
Tenha em atenção que as tabelas no Certificate Master mostram apenas o estado da revogação manual e não outras fontes. Por conseguinte, um certificado pode ser mostrado como válido na tabela, embora seja realmente considerado revogado, por exemplo, porque o dispositivo correspondente foi eliminado no Intune (revogação automática).
Leitura Adicional
Last updated
Was this helpful?