Dodawanie profilu SCEP na urządzeniach iOS MDM

Profil SCEP należy dodać w celu umożliwienia użytkownikowi urządzenia iOS MDM automatyczne pobieranie certyfikatów z Centrum certyfikacji poprzez internet. Profil SCEP umożliwia obsługę protokołu Simple Certificate Enrollment Protocol.

Domyślnie dodawany jest profil SCEP z następującymi ustawieniami:

• Alternatywna nazwa podmiotu nie jest używana do rejestracji certyfikatów.
• Podejmowane są trzy próby przeszukiwania serwera SCEP w odstępach 10-sekundowych. Jeśli wszystkie próby podpisania certyfikatu nie powiodły się, powinieneś wygenerować nowe żądanie podpisania certyfikatu.
• Otrzymany certyfikat nie może zostać użyty do podpisania ani do szyfrowania danych.

Możesz zmodyfikować określone ustawienia podczas dodawania profilu SCEP.

W celu dodania profilu SCEP:

1. W drzewie konsoli, w folderze Zarządzane urządzenia wybierz grupę administracyjną, do której należą urządzenia iOS MDM.
2. W obszarze roboczym wybierz zakładkę Zasady.
3. Otwórz okno właściwości zasady poprzez dwukrotne kliknięcie.
4. W oknie Właściwości wybierz sekcję SCEP.
5. W sekcji Profile SCEP kliknij przycisk Dodaj.

   Zostanie otwarte okno Profil SCEP.

6. W polu Adres internetowy serwera wprowadź adres internetowy serwera SCEP, na którym znajduje się Centrum certyfikacji.

   Adres internetowy zawiera adres IP lub pełną nazwę domeny (FQDN). Na przykład: http://10.10.10.10/certserver/companyscep.

7. W polu Nazwa wprowadź nazwę Centrum certyfikacji znajdującego się na serwerze SCEP.
8. W polu Podmiot wprowadź wiersz z atrybutami użytkownika urządzenia iOS MDM, które znajdują się w certyfikacie X.500.

   Atrybuty mogą zawierać szczegóły dotyczące kraju (C), organizacji (O) i standardowej nazwy użytkownika (CN). Na przykład: /C=RU/O=MyCompany/CN=User/. Możesz użyć innych atrybutów określonych w RFC 5280.

9. Z listy rozwijalnej Typ alternatywnej nazwy podmiotu wybierz typ alternatywnej nazwy podmiotu serwera SCEP:
   • Nie – identyfikacja przy użyciu alternatywnej nazwy nie jest wykorzystywana.
   • Nazwa RFC 822 – identyfikacja przy użyciu adresu e-mail. Adres e-mail należy określić zgodnie z RFC 822.
   • Nazwa DNS – identyfikacja przy użyciu nazwy domeny.
   • URI – identyfikacja przy użyciu adresu IP lub adresu w formacie FQDN.

   Alternatywną nazwę podmiotu można użyć do identyfikacji użytkownika urządzenia mobilnego iOS MDM.

10. W polu Alternatywna nazwa podmiotu wprowadź alternatywną nazwę podmiotu certyfikatu X.500. Wartość alternatywnej nazwy podmiotu zależy od jego typu: adres e-mail użytkownika, domena lub adres internetowy.
11. W polu Nazwa podmiotu NT wpisz nazwę DNS użytkownika urządzenia mobilnego iOS MDM w sieci Windows NT.

    Nazwa podmiotu NT jest zawarta w żądaniu certyfikatu wysyłanym do serwera SCEP.

12. W polu Liczba prób przeszukiwania na serwerze SCEP określ maksymalną liczbę prób przeszukiwania na serwerze SCEP w celu uzyskania podpisanego certyfikatu.
13. W polu Częstotliwość prób (w sekundach) określ przedział czasu w sekundach pomiędzy próbami przeszukiwania serwera SCEP w celu uzyskania podpisanego certyfikatu.
14. W polu Żądanie rejestracji wprowadź wcześniej opublikowany klucz rejestracji.

    Przed podpisaniem certyfikatu serwer SCEP żąda od użytkownika urządzenia mobilnego klucza. Jeśli to pole pozostanie puste, SCEP nie będzie żądał klucza.

15. Z listy rozwijalnej Rozmiar klucza wybierz rozmiar klucza rejestracji w bitach: 1024 lub 2048.
16. Jeśli chcesz zezwolić użytkownikowi na używanie certyfikatu pobranego z serwera SCEP jako certyfikatu podpisywania, zaznacz pole Użyj do podpisywania.
17. Jeśli chcesz zezwolić użytkownikowi na używanie certyfikatu pobranego z serwera SCEP do szyfrowania danych, zaznacz pole Użyj do szyfrowania.

    Nie można używać certyfikatu serwera SCEP jako certyfikatu podpisywania danych i certyfikatu szyfrowania danych jednocześnie.

18. W polu Odcisk palca certyfikatu wprowadź unikatowy odcisk palca certyfikatu do sprawdzenia autentyczności odpowiedzi z Centrum certyfikacji. Można go użyć z algorytmem haszującym SHA-1 lub MD5. Odcisk palca certyfikatu można skopiować ręcznie lub wybrać certyfikat, korzystając z przycisku Utwórz z certyfikatu. Jeśli odcisk palca jest tworzony przy użyciu przycisku Utwórz z certyfikatu, zostanie automatycznie dodany do pola.

    Odcisk palca certyfikatu musi zostać określony, jeśli wymiana danych pomiędzy urządzeniem mobilnym a Centrum certyfikacji odbywa się po protokole HTTP.

19. Kliknij OK.

    Nowy profil SCEP pojawi się na liście.

20. Aby zapisać wprowadzone zmiany, kliknij przycisk Zastosuj.

W rezultacie, po zastosowaniu zasady, urządzenie mobilne użytkownika jest konfigurowane do automatycznego pobierania certyfikatu z Centrum certyfikacji poprzez internet.

Przejdź do góry