# Revogação O SCEPman oferece várias maneiras de gerir e revogar um certificado. As opções disponíveis dependem de * se o certificado foi inscrito automaticamente através de uma solução MDM ou se foi gerado através da [Certificate Master UI](/pt/gestao-de-certificados/certificate-master.md) / [Enrollment REST API](/pt/gestao-de-certificados/api-certificates.md), * o sistema MDM utilizado para a inscrição (automática), e * a configuração do SCEPman. A secção abaixo apresenta uma visão geral das diferentes opções de gestão e mecanismos de revogação e em que circunstâncias estão disponíveis. ## Revogação Automática {% hint style="info" %} Disponível apenas quando **Microsoft Intune** e/ou **Jamf Pro** são usados como solução(s) MDM para a inscrição de certificados. Em alternativa, está disponível com qualquer MDM de terceiros que seja capaz de sincronizar objetos de dispositivo e/ou utilizador com Microsoft Entra ID (Azure AD) (ou seja, [Static AAD Validation](/pt/configuracao-do-scepman/application-settings/scep-endpoints/staticaad-validation.md) pode ser usado). {% endhint %} {% hint style="success" %} Suportado em **OCSP**. {% endhint %} ### Contexto A revogação automática está **sempre ativa** e permite uma gestão conveniente do ciclo de vida dos certificados ao associar cada certificado a um objeto de diretório, como uma identidade de utilizador ou de dispositivo. Através deste mecanismo de associação de objetos, o SCEPman pode inferir o estado de revogação com base em certas características do ciclo de vida do objeto ao qual foi associado. O mapeamento do estado do ciclo de vida do objeto para o estado de revogação do certificado é implementado para corresponder às melhores práticas resultantes de anos de experiência em segurança e gestão de endpoints. A associação entre o objeto de diretório (utilizador ou dispositivo) e o certificado é estabelecida através da introdução de variáveis apropriadas no perfil SCEP para as propriedades Subject Name ou Subject Alternative Name. Ao receber um Certificate Signing Request (CSR) de um cliente gerido por MDM, o SCEPman identifica o objeto associado e codifica esta informação no número de série do certificado antes de o devolver ao cliente. É o número de série que é transmitido ao respondedor OCSP do SCEPman durante a validação do certificado, permitindo ao SCEPman decodificar a informação do objeto, efetuar uma pesquisa no diretório apropriado e, por fim, tomar uma decisão sobre o estado de revogação. ### Comportamento da Revogação {% hint style="success" %} Em qualquer um dos cenários abaixo, a revogação pode ser considerada efetiva imediatamente, assim que o estado do objeto associado tenha mudado. Tenha em atenção que a cache local das respostas OCSP no cliente pode sugerir o contrário. {% endhint %} {% hint style="warning" %} Durante os testes, tenha em consideração que eliminar/remover um dispositivo da respetiva solução de diretório/MDM é uma operação irreversível que exigirá que volte a inscrever o dispositivo posteriormente. {% endhint %}
Objeto AssociadoEliminar do DiretórioDesativar no DiretórioOpcional
Dispositivo Intune {{DeviceId}}Delete, Wipe*, Retire*: revogação permanenteNão disponível
Dispositivo Entra (Azure AD)
{{AAD_Device_ID}}
Delete: revogação permanenteDesativar: revogação reversível
Utilizador Entra (Azure AD)
{{UserPrincipalName}}		Delete: revogação permanenteDesativar: revogação reversível
Jamf Computer
CN=$JSSID,OU=computers		Delete: revogação permanenteNão disponívelNão disponível
Jamf Device
CN=$JSSID,OU=devices		Delete: revogação permanenteNão disponívelNão disponível
Jamf User on Computer
CN=$JSSID,OU=users-on-computers
  • Eliminar (Computador): revogação permanente
  • Eliminar (Utilizador): revogação permanente
Não disponívelNão disponível
Jamf User on Device
CN=$JSSID,OU=users-on-devices
  • Eliminar (Dispositivo): revogação permanente
  • Eliminar (Utilizador): revogação permanente
Não disponívelNão disponível
\*: Garanta durante o wipe que "Wipe device, but keep enrollment state and associated user account" está **desativado**. A revogação só é imediata se [AppConfig:IntuneValidation:RevokeCertificatesOnWipe](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-revokecertificatesonwipe) estiver definido como verdadeiro (predefinição). ## Revogação manual {% hint style="warning" %} Apenas SCEPman Enterprise Edition {% endhint %} {% hint style="info" %} Este recurso requer a versão **2.3** ou superior. {% endhint %} {% hint style="success" %} Suportado em **OCSP** e [**CRL**](/pt/configuracao-do-scepman/application-settings/crl.md). {% endhint %} ### Contexto A revogação manual está disponível para qualquer certificado emitido pelo SCEPman - independentemente de ter sido inscrito automaticamente via MDM, emitido manualmente via Certificate Master ou implementado via a API REST de Inscrição. A revogação manual é útil quando a revogação automática não está disponível ou quando os caminhos de revogação automática não são suficientes para cumprir requisitos específicos. Para facilitar a revogação manual, o SCEPman precisa de armazenar certos metadados dos certificados que emite. Embora isso aconteça por predefinição para certificados emitidos via Certificate Master UI e a API REST de Inscrição, não acontece para outros tipos de certificado. Por conseguinte, certifique-se de rever as [definições relevantes](#storing-certificate-metadata-in-the-certificate-database) de acordo com os seus requisitos. Continue a ler para saber como a revogação manual é tratada através do Certificate Master e das suas opções de pesquisa e filtragem. ### Certificate Master O SCEPman Certificate Master permite-lhe pesquisar, inspecionar e gerir os certificados emitidos pela sua PKI SCEPman: {% content-ref url="/pages/9538d87607a378b1e0c80b74ab51018139644b6e" %} [Gerir Certificados](/pt/gestao-de-certificados/certificate-master/manage-certificates.md) {% endcontent-ref %} ## Revogação Automática versus Manual O SCEPman utiliza diferentes fontes de informação de revogação para determinar se um certificado é válido quando chega um pedido OCSP. Além disso, a lógica de revogação do SCEPman segue uma **abordagem com OR**o que significa que, se qualquer fonte de revogação considerar o certificado inválido, ele será reportado como revogado. Não existe precedência da revogação automática sobre a manual nem vice-versa. Tenha em atenção que as tabelas no Certificate Master mostram apenas o estado da revogação manual e não outras fontes. Por conseguinte, um certificado pode ser mostrado como válido na tabela, embora seja realmente considerado revogado, por exemplo, porque o dispositivo correspondente foi eliminado no Intune (revogação automática). ## Leitura Adicional * Informações sobre como testar a revogação (automática) e resolver problemas de validade do certificado em alguns dos cenários acima podem ser encontradas [aqui](/pt/outros/troubleshooting/general.md#problems-with-the-validity-of-certificates). * Informações gerais sobre os diretórios de dispositivos no Azure e M365 podem ser encontradas [aqui](/pt/configuracao-do-scepman/device-directories.md). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/pt/gestao-de-certificados/manage-certificates.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.