向 iOS MDM 裝置新增 SCEP 設定檔

您必須新增 SCEP 設定檔，以便 iOS MDM 裝置使用者透過網際網路自動接收來自憑證中心的憑證。SCEP 設定檔可支援簡單憑證註冊協定。

預設新增具有以下設定的 SCEP 設定檔：

• 不使用備用主題名稱註冊憑證。
• 進行三次 SCEP 伺服器輪詢嘗試，每次間隔 10 秒。如果憑證簽章的所有嘗試失敗，您必須產生新的憑證簽章請求。
• 接收的憑證不能用於資料簽章或加密。

您可以在新增 SCEP 設定檔時編輯指定的設定。

若要新增 SCEP 設定檔，請執行以下操作：

1. 在主控台樹狀目錄的「受管裝置」資料夾中，選擇 iOS MDM 裝置所屬的管理群組。
2. 在所選群組的工作台中，選擇「政策」標籤。
3. 透過點擊開啟政策內容視窗。
4. 在政策「內容」視窗中選擇「SCEP」區域。
5. 按一下「SCEP 設定檔」區域中的「新增」按鈕。

   「SCEP 設定檔」視窗將開啟。

6. 在「伺服器網址」欄位中，輸入認證中心佈署所在的 SCEP 伺服器的網址。

   網址可以包含 IP 位址或完整的網域名稱 (FQDN)。例如：http://10.10.10.10/certserver/companyscep。

7. 在「名稱」欄位中，輸入佈署在 SCEP 伺服器上的認證中心的名稱。
8. 在「主題」欄位中，輸入具有 X.500 憑證中包含的 iOS MDM 裝置使用者內容的字串。

   內容可以包含國家/地區 (C)、組織 (O) 和通用使用者名稱 (CN) 的詳細資訊。範例：/C=RU/O=MyCompany/CN=User/。您也可以使用 RFC 5280 中指定的其他內容。

9. 在使用者可選名稱類型下拉清單中，選擇 SCEP 伺服器的主題的備用名稱的類型：
   • 否 – 不使用備用名稱識別。
   • RFC 822 名稱 – 使用電子郵件信箱識別。必須根據 RFC 822 指定電子郵件信箱。
   • DNS 名稱 – 使用網域名稱識別。
   • URI – 使用 IP 位址或 FQDN 格式位址識別。

   您可以使用主題的備用名稱識別 iOS MDM 行動裝置的使用者。

10. 在「使用者可選名稱」欄位中，輸入 X.500 憑證的主題備用名稱。使用者可選名稱的值取決於主題類型：使用者電子郵件信箱、網域或網址。
11. 在「NT 使用者名稱」欄位中，輸入 Windows NT 網路上的 iOS MDM 行動裝置使用者的 DNS 名稱。

    NT 使用者名稱包含在傳送至 SCEP 伺服器的憑證請求中。

12. 在「SCEP 伺服器上輪詢嘗試次數」欄位中，指定輪詢 SCEP 伺服器以獲取簽章憑證的最大嘗試次數。
13. 在「嘗試頻率（秒）」欄位中，指定輪詢 SCEP 伺服器以獲取簽章憑證的嘗試之間的時間間隔（單位：秒）。
14. 在「註冊申請」欄位中，輸入預發佈的註冊金鑰。

    在進行憑證簽章之前，SCEP 伺服器請求行動裝置使用者提供金鑰。如果該欄位留空，則 SCEP 不會請求提供金鑰。

15. 在「金鑰大小」下拉清單中，選擇註冊金鑰的大小（單位：位元）：1024 或 2048 位元。
16. 若要允許使用者使用從 SCEP 伺服器接收的憑證作為簽章憑證，請選擇「用於簽章」核取方塊。
17. 若要允許使用者將從 SCEP 伺服器接收的憑證用於資料加密，請選擇「用於加密」核取方塊。

    禁止將 SCEP 伺服器憑證同時用作資料簽章憑證和資料加密憑證。

18. 在「憑證指紋」欄位中，輸入一個用於驗證認證中心回應的真實性的唯一的憑證指紋。您可以將憑證指紋與 SHA-1 或 MD5 雜湊演算法配合使用。您可以手動複製憑證指紋或使用「從憑證建立」按鈕選擇憑證。在使用「從憑證建立」按鈕建立指紋時，指紋會自動新增到該欄位。

    如果行動裝置和認證中心之間的資料交換透過 HTTP 協定進行，則必須指定憑證指紋。

19. 點擊「確定」。

    新的 SCEP 設定檔顯示在清單中。

20. 點擊「套用」按鈕以儲存所作的變更。

這樣，一旦套用該政策，使用者的行動裝置將配置成透過網際網路自動接收來自憑證中心的憑證。