Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, следует добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.
По умолчанию добавляется профиль SCEP со следующими параметрами:
Для регистрации сертификатов не используется альтернативное имя субъекта.
Предпринимаются три попытки опроса SCEP-сервера с интервалом 10 секунд между попытками. Если все попытки подписать сертификат были неудачными, следует сформировать новый запрос на подписание сертификата.
Полученный сертификат запрещено использовать для подписи или шифрования данных.
Вы можете изменить указанные параметры при добавлении профиля SCEP.
Чтобы добавить профиль SCEP, выполните следующие действия:
В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
В рабочей области группы выберите закладку Политики.
Откройте окно свойств политики двойным щелчком мыши.
В политике, в окне Свойства выберите раздел SCEP.
В блоке Профили SCEP нажмите на кнопку Добавить.
Откроется окно Профиль SCEP.
В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.
Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.
В поле Название введите название Центра сертификации, развернутого на SCEP-сервере.
В поле Субъект введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.
Атрибуты могут содержать сведения о стране (С), организации (O) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/. Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.
В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера:
Нет – идентификация по альтернативному имени не используется.
RFC 822 имя – идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
DNS-имя – идентификация по доменному имени.
URI – идентификация по IP-адресу или адресу в формате FQDN.
Вы можете использовать альтернативное имя субъекта для идентификации пользователя мобильного устройства iOS MDM.
В поле Альтернативное имя субъекта введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
В поле Имя субъекта NT введите DNS-имя пользователя мобильного устройства iOS MDM в сети Windows NT.
Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер.
В поле Количество попыток опроса SCEP-сервера укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата.
В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата.
В поле Запрос регистрации введите предварительно опубликованный ключ регистрации.
Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.
В раскрывающемся списке Размер ключа выберите размер ключа регистрации в битах: 1024 или 2048.
Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.
Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.
Запрещено использовать сертификат SCEP-сервера в качестве сертификата подписи данных и сертификата шифрования данных одновременно.
В поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа от Центра сертификации. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5. Вы можете скопировать отпечаток сертификата вручную или выбрать сертификат с помощью кнопки Создать из сертификата. При создании отпечатка с помощью кнопки Создать из сертификата отпечаток будет добавлен в поле автоматически.
Отпечаток сертификата требуется указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.
Нажмите кнопку OK.
Новый профиль SCEP отобразится в списке.
Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.