Dodawanie profilu SCEP na urządzeniach iOS MDM
Profil SCEP należy dodać w celu umożliwienia użytkownikowi urządzenia iOS MDM automatyczne pobieranie certyfikatów z Centrum certyfikacji poprzez internet. Profil SCEP umożliwia obsługę protokołu Simple Certificate Enrollment Protocol.
Domyślnie dodawany jest profil SCEP z następującymi ustawieniami:
- Alternatywna nazwa podmiotu nie jest używana do rejestracji certyfikatów.
- Podejmowane są trzy próby przeszukiwania serwera SCEP w odstępach 10-sekundowych. Jeśli wszystkie próby podpisania certyfikatu nie powiodły się, powinieneś wygenerować nowe żądanie podpisania certyfikatu.
- Otrzymany certyfikat nie może zostać użyty do podpisania ani do szyfrowania danych.
Możesz zmodyfikować określone ustawienia podczas dodawania profilu SCEP.
W celu dodania profilu SCEP:
- W drzewie konsoli, w folderze Zarządzane urządzenia wybierz grupę administracyjną, do której należą urządzenia iOS MDM.
- W obszarze roboczym wybierz zakładkę Zasady.
- Otwórz okno właściwości zasady poprzez dwukrotne kliknięcie.
- W oknie Właściwości wybierz sekcję SCEP.
- W sekcji Profile SCEP kliknij przycisk Dodaj.
Zostanie otwarte okno Profil SCEP.
- W polu Adres internetowy serwera wprowadź adres internetowy serwera SCEP, na którym znajduje się Centrum certyfikacji.
Adres internetowy zawiera adres IP lub pełną nazwę domeny (FQDN). Na przykład: http://10.10.10.10/certserver/companyscep.
- W polu Nazwa wprowadź nazwę Centrum certyfikacji znajdującego się na serwerze SCEP.
- W polu Podmiot wprowadź wiersz z atrybutami użytkownika urządzenia iOS MDM, które znajdują się w certyfikacie X.500.
Atrybuty mogą zawierać szczegóły dotyczące kraju (C), organizacji (O) i standardowej nazwy użytkownika (CN). Na przykład: /C=RU/O=MyCompany/CN=User/. Możesz użyć innych atrybutów określonych w RFC 5280.
- Z listy rozwijalnej Typ alternatywnej nazwy podmiotu wybierz typ alternatywnej nazwy podmiotu serwera SCEP:
- Nie – identyfikacja przy użyciu alternatywnej nazwy nie jest wykorzystywana.
- Nazwa RFC 822 – identyfikacja przy użyciu adresu e-mail. Adres e-mail należy określić zgodnie z RFC 822.
- Nazwa DNS – identyfikacja przy użyciu nazwy domeny.
- URI – identyfikacja przy użyciu adresu IP lub adresu w formacie FQDN.
Alternatywną nazwę podmiotu można użyć do identyfikacji użytkownika urządzenia mobilnego iOS MDM.
- W polu Alternatywna nazwa podmiotu wprowadź alternatywną nazwę podmiotu certyfikatu X.500. Wartość alternatywnej nazwy podmiotu zależy od jego typu: adres e-mail użytkownika, domena lub adres internetowy.
- W polu Nazwa podmiotu NT wpisz nazwę DNS użytkownika urządzenia mobilnego iOS MDM w sieci Windows NT.
Nazwa podmiotu NT jest zawarta w żądaniu certyfikatu wysyłanym do serwera SCEP.
- W polu Liczba prób przeszukiwania na serwerze SCEP określ maksymalną liczbę prób przeszukiwania na serwerze SCEP w celu uzyskania podpisanego certyfikatu.
- W polu Częstotliwość prób (w sekundach) określ przedział czasu w sekundach pomiędzy próbami przeszukiwania serwera SCEP w celu uzyskania podpisanego certyfikatu.
- W polu Żądanie rejestracji wprowadź wcześniej opublikowany klucz rejestracji.
Przed podpisaniem certyfikatu serwer SCEP żąda od użytkownika urządzenia mobilnego klucza. Jeśli to pole pozostanie puste, SCEP nie będzie żądał klucza.
- Z listy rozwijalnej Rozmiar klucza wybierz rozmiar klucza rejestracji w bitach: 1024 lub 2048.
- Jeśli chcesz zezwolić użytkownikowi na używanie certyfikatu pobranego z serwera SCEP jako certyfikatu podpisywania, zaznacz pole Użyj do podpisywania.
- Jeśli chcesz zezwolić użytkownikowi na używanie certyfikatu pobranego z serwera SCEP do szyfrowania danych, zaznacz pole Użyj do szyfrowania.
Nie można używać certyfikatu serwera SCEP jako certyfikatu podpisywania danych i certyfikatu szyfrowania danych jednocześnie.
- W polu Odcisk palca certyfikatu wprowadź unikatowy odcisk palca certyfikatu do sprawdzenia autentyczności odpowiedzi z Centrum certyfikacji. Można go użyć z algorytmem haszującym SHA-1 lub MD5. Odcisk palca certyfikatu można skopiować ręcznie lub wybrać certyfikat, korzystając z przycisku Utwórz z certyfikatu. Jeśli odcisk palca jest tworzony przy użyciu przycisku Utwórz z certyfikatu, zostanie automatycznie dodany do pola.
Odcisk palca certyfikatu musi zostać określony, jeśli wymiana danych pomiędzy urządzeniem mobilnym a Centrum certyfikacji odbywa się po protokole HTTP.
- Kliknij OK.
Nowy profil SCEP pojawi się na liście.
- Aby zapisać wprowadzone zmiany, kliknij przycisk Zastosuj.
W rezultacie, po zastosowaniu zasady, urządzenie mobilne użytkownika jest konfigurowane do automatycznego pobierania certyfikatu z Centrum certyfikacji poprzez internet.