SCEP-Profil auf iOS MDM-Geräten hinzufügen

8. September 2023

ID 90359

Damit der Benutzer eines iOS MDM-Geräts automatisch Zertifikate aus dem Zertifizierungszentrum über das Internet erhalten kann, muss ein SCEP-Profil hinzugefügt werden. Das SCEP-Profil unterstützt das Protokoll für die einfache Registrierung von Zertifikaten.

Standardmäßig wird das SCEP-Profil mit den folgenden Parametern hinzugefügt:

  • Für die Registrierung der Zertifikate wird kein alternativer Inhabername verwendet.
  • Es werden drei Versuche für SCEP-Serverabfragen mit einem Intervall von 10 Sekunden unternommen. Wenn alle Versuche der Zertifikatsignatur fehlgeschlagen sind, muss eine neue Anfrage für die Signatur des Zertifikats erstellt werden.
  • Das erhaltene Zertifikat darf nicht für die Signatur oder Verschlüsselung von Daten verwendet werden.

Sie können die angegebenen Parameter beim Hinzufügen des SCEP-Profils ändern.

Gehen Sie folgendermaßen vor, um ein SCEP-Profil hinzuzufügen:

  1. Wählen Sie in der Konsolenstruktur im Ordner Verwaltete Geräte die Administrationsgruppe, zu der die iOS MDM-Geräte gehören.
  2. Gehen Sie Im Arbeitsbereich der Gruppe auf die Registerkarte Richtlinien.
  3. Öffnen Sie über Doppelklick das Eigenschaftenfenster der Richtlinie.
  4. Wählen Sie im Fenster Eigenschaften <Name der Richtlinie> den Abschnitt SCEP.
  5. Klicken Sie im Abschnitt SCEP-Profile auf Hinzufügen.

    Es öffnet sich das Fenster SCEP-Profil.

  6. Geben Sie im Feld Webadresse des Servers die Webadresse des SCEP-Servers ein, auf dem das Zertifizierungszentrum verteilt wurde.

    Die Webadresse kann eine IP-Adresse oder den vollständigen Domainnamen (FQDN) enthalten. Beispielsweise, http://10.10.10.10/certserver/companyscep.

  7. Geben Sie im Feld Name den Namen des Zertifizierungszentrums ein, das sich auf dem SCEP-Server befindet.
  8. Geben Sie im Feld Schlüsselkennung des Antragstellers die Zeile mit den Attributen des Nutzers eines iOS MDM-Geräts aus dem X.500-Zertifikat ein.

    Die Attribute können Angaben zum Land (C), Unternehmen (O) und dem allgemeinen Benutzernamen (CN) enthalten. Beispielsweise, /C=RU/O=MyCompany/CN=User/. Sie können auch andere Attribute, die in RFC 5280 verzeichnet sind, verwenden.

  9. Wählen Sie in der Dropdown-Liste Typ des alternativen Namens des Antragstellers den Typ des alternativen Namens des SCEP-Serverinhabers:
    • Nein – die Identifizierung mithilfe des alternativen Namens wird nicht verwendet.
    • RFC 822-Name – Identifizierung mithilfe der E-Mail-Adresse. Die E-Mail-Adresse muss gemäß RFC 822 angegeben werden.
    • DNS-Name – Identifizierung mithilfe des Domain-Namens.
    • URI – Identifizierung mithilfe der IP-Adresse oder Adresse im FQDN-Format.

    Sie können den alternativen Namen des Inhabers für die Identifizierung des Nutzers des iOS MDM-Mobilgeräts verwenden.

  10. Geben Sie im Feld Alternativer Name des Antragstellers den alternativen Namen des X.500-Zertifikatinhabers ein. Der Wert des alternativen Namens des Inhabers hängt von seinem Typ ab: E-Mail-Adresse des Benutzers, Domain oder Webadresse.
  11. Geben Sie im Feld Name des NT-Antragstellers den DNS-Benutzernamen des Nutzers des iOS MDM-Mobilgeräts im Windows NT-Netzwerk ein.

    Der Name des NT-Antragstellers ist in der Anfrage für das Zertifikat an den SCEP-Server enthalten.

  12. Geben Sie im Feld Anzahl der Versuche für SCEP-Serverabfragen die maximale Anzahl der Versuche für SCEP-Serverabfragen für die Signatur des Zertifikats ein.
  13. Legen Sie im Feld Intervall für Versuche (Sekunden) den Zeitraum und die Uhrzeit in Sekunden zwischen den Versuchen für SCEP-Serverabfragen für die Signatur des Zertifikats fest.
  14. Geben Sie im Feld Registrierungsanfrage den im Voraus veröffentlichten Registrierungsschlüssel ein.

    Vor der Signatur des Zertifikats fragt der SCEP-Server den Mobilgerätnutzer nach dem Schlüssel. Wenn das Eingabefeld leer gelassen wird, fragt der SCEP-Server nicht nach dem Schlüssel.

  15. Wählen Sie in der Dropdown-Liste Schlüssellänge die Länge des Registrierungsschlüssels in Bit aus: 1024 oder 2048.
  16. Wenn Sie dem Benutzer die Verwendung eines vom SCEP-Server erhaltenen Schlüssels als Signaturzertifikat erlauben möchten, aktivieren Sie das Kontrollkästchen Als digitale Signatur verwenden.
  17. Wenn Sie dem Benutzer die Verwendung eines vom SCEP-Server erhaltenen Schlüssels für die Datenverschlüsselung erlauben möchten, aktivieren Sie das Kontrollkästchen Zur Verschlüsselung verwenden.

    Es ist verboten, das Zertifikat des SCEP-Servers als Signaturzertifikat und Verschlüsselungszertifikat gleichzeitig zu verwenden.

  18. Geben Sie im Feld Zertifikatfingerabdruck den einzigartigen Fingerabdruck des Zertifikats für die Authentifizierung der Antwort vom Zertifizierungszentrum ein. Sie können Zertifikatfingerabdrücke mit dem Hashalgorithmus SHA-1 oder MD5 verwenden. Sie können den Zertifikatfingerabdruck manuell kopieren oder ein Zertifikat mithilfe der Schaltfläche Aus Zertifikat erstellen wählen. Beim Erstellen des Fingerabdrucks mithilfe der Schaltfläche Aus Zertifikat erstellen wird der Fingerabdruck automatisch in das Feld eingefügt.

    Der Zertifikatfingerabdruck muss angegeben werden, wenn die Datenübertragung zwischen dem Mobilgerät und dem Zertifizierungszentrum über das HTTP-Protokoll erfolgt.

  19. Klicken Sie auf OK.

    Das neue SCEP-Profil wird in der Liste angezeigt.

  20. Klicken Sie auf Anwenden, um die vorgenommenen Änderungen zu speichern.

Nach dem Anwenden der Richtlinie wird das mobile Gerät so konfiguriert, dass es automatisch über das Internet ein Zertifikat aus dem Zertifizierungszentrum abruft.

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.