Windows

Neste caso, estamos a configurar um certificado de dispositivo

Recomendado: Use {{DeviceName}}para o CN RDN para ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.

Opcional: Se configurado para CN={{DeviceId}} ou CN={{AAD_Device_ID}}, o SCEPman usa o campo CN do nome do assunto para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

• {{DeviceId}}: Este ID é gerado e usado pelo Intune. (requer SCEPman 2.0 ou superior e AppConfig:IntuneValidation:DeviceDirectory para estar definido como Intune ou AADAndIntune)

• {{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).

Caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} sejam usados no campo CN (por exemplo, CN={{DeviceName}}), o SCEPman identificará o dispositivo com base no Intune Device ID ((URI)Valor: IntuneDeviceId://{{DeviceId}}) fornecido no nome alternativo do assunto (SAN).

Importante: A escolha do campo CN afeta o comportamento de revogação automática dos certificados emitidos para os seus dispositivos geridos pelo Intune.

Pode adicionar outros RDNs, se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no respetivo Intune Device ID. O valor deve ser:

O campo URI é obrigatório caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} seja usado no campo Formato do nome do assunto .

Outros valores SAN, como DNS, podem ser adicionados, se necessário.

A quantidade de tempo restante antes de o certificado expirar. O padrão é de um ano.

O SCEPman limita a validade do certificado ao máximo configurado na definição AppConfig:ValidityPeriodDays, mas, de resto, usa a validade configurada no pedido.

Esta definição determina o local de armazenamento da chave privada para os certificados do utilizador final. O armazenamento no TPM é mais seguro do que o armazenamento por software, porque o TPM fornece uma camada adicional de segurança para impedir o roubo da chave.

Nota: Existe um erro em algumas versões mais antigas do firmware TPM que invalida algumas assinaturas criadas com uma chave privada suportada por TPM. Nestes casos, o certificado não pode ser usado para autenticação EAP, como é comum em ligações Wi‑Fi e VPN. Além disso, isto pode interromper o seu processo de integração do Autopilot.

As versões de firmware TPM afetadas incluem:

• STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

• Intel: 11.8.50.3399, 2.0.0.2060

• Infineon: 7.63.3353.0

• IFX: Versão 3.19 / Especificação 1.2

• IFX versão 7.63.3353.0 especificação 2.0

Se usar TPM com este firmware, atualize o firmware para uma versão mais recente ou selecione "Software KSP" como fornecedor de armazenamento de chaves.

Atualização: Pode contornar o erro do TPM removendo os algoritmos de assinatura RSA-PSS - que estão a causar o problema - do registo; para mais informações, consulte o artigo de Richard Hicks e Microsoft Q&A

Ative ambas as ações criptográficas.

O SCEPman define automaticamente a utilização da chave como Assinatura digital e Cifragem de chave e substitui a definição aqui, a menos que a definição AppConfig:UseRequestedKeyUsages esteja definida como true.

O SCEPman suporta 2048 bits.

O SCEPman suporta o algoritmo SHA-2.

Selecione o perfil do Intune em #Root Certificate. Se estiver a usar uma CA intermédia, tem de selecionar o perfil de certificado confiável para a CA intermédia, não para a CA raiz!

Escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Este valor define quando o dispositivo está autorizado a renovar o respetivo certificado (com base no tempo de vida restante de um certificado existente). Leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 20% permitiria ao dispositivo com um certificado válido por 1 ano iniciar a renovação 73 dias antes da expiração.

Exemplo

Nesta secção, estamos a configurar um certificado de utilizador.

Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como definição de base.

Tem de adicionar o nome principal do utilizador como nome alternativo do assunto. Adicione '{{UserPrincipalName}}' como Subject Alternative Name do tipo nome principal do utilizador (UPN). Isto garante que o SCEPman pode associar certificados a objetos de utilizador no AAD. A definição de "Formato do nome do assunto" é livremente selecionável.

Outros valores SAN, como um endereço de e-mail, podem ser adicionados, se necessário.

• (obrigatório) Nome principal do utilizador (UPN): {{UserPrincipalName}}

• (obrigatório) Endereço de e-mail: {{EmailAddress}}

Ao implementar um certificado de assinatura digital, tem de adicionar o UPN e o endereço de e-mail.

Escolha Secure Email (1.3.6.1.5.5.7.3.4) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Recomendamos definir o Limite de renovação (%) para um valor que garanta que os certificados são renovados pelo menos 6 meses antes da expiração ao emitir certificados de assinatura S/MIME. Isto deve-se ao facto de os e-mails assinados com certificados expirados aparecerem com assinaturas inválidas no Outlook, o que confunde os utilizadores. Ter um novo certificado muito antes de o antigo expirar garante que apenas os e-mails mais antigos mostram este comportamento, aos quais os utilizadores têm menos probabilidade de aceder. Por exemplo, se os seus certificados de assinatura forem válidos por um ano, deverá definir o Limite de renovação para, pelo menos, 50 %.