Добавление профиля SCEP на iOS MDM-устройства

Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, следует добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.

По умолчанию добавляется профиль SCEP со следующими параметрами:

Вы можете изменить указанные параметры при добавлении профиля SCEP.

Чтобы добавить профиль SCEP, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши.
  4. В политике, в окне Свойства выберите раздел SCEP.
  5. В блоке Профили SCEP нажмите на кнопку Добавить.

    Откроется окно Профиль SCEP.

  6. В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.

    Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.

  7. В поле Название введите название Центра сертификации, развернутого на SCEP-сервере.
  8. В поле Субъект введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.

    Атрибуты могут содержать сведения о стране (С), организации (O) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/. Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.

  9. В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера:
    • Нет – идентификация по альтернативному имени не используется.
    • RFC 822 имя – идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
    • DNS-имя – идентификация по доменному имени.
    • URI – идентификация по IP-адресу или адресу в формате FQDN.

    Вы можете использовать альтернативное имя субъекта для идентификации пользователя мобильного устройства iOS MDM.

  10. В поле Альтернативное имя субъекта введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
  11. В поле Имя субъекта NT введите DNS-имя пользователя мобильного устройства iOS MDM в сети Windows NT.

    Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер.

  12. В поле Количество попыток опроса SCEP-сервера укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата.
  13. В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата.
  14. В поле Запрос регистрации введите предварительно опубликованный ключ регистрации.

    Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.

  15. В раскрывающемся списке Размер ключа выберите размер ключа регистрации в битах: 1024 или 2048.
  16. Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.
  17. Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.

    Запрещено использовать сертификат SCEP-сервера в качестве сертификата подписи данных и сертификата шифрования данных одновременно.

  18. В поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа от Центра сертификации. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5. Вы можете скопировать отпечаток сертификата вручную или выбрать сертификат с помощью кнопки Создать из сертификата. При создании отпечатка с помощью кнопки Создать из сертификата отпечаток будет добавлен в поле автоматически.

    Отпечаток сертификата требуется указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.

  19. Нажмите кнопку OK.

    Новый профиль SCEP отобразится в списке.

  20. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.

В начало