Ajout d'un profil SCEP sur les appareils MDM iOS

Afin de permettre à l'utilisateur du périphérique iOS MDM de recevoir automatiquement par Internet les certificats depuis le Centre de certification, il convient d'ajouter un profil SCEP. Un profil SCEP permet de prendre en charge le protocole simple d'enregistrement de certificats.

Par défaut, le profil SCEP est ajouté avec les paramètres suivants :

• L'enregistrement de certificats n'utilise pas de nom de sujet alternatif.
• Trois tentatives de requête sont envoyées au serveur SCEP avec un intervalle de 10 s entre chaque tentative. Si toutes les tentatives de signature du certificat se sont avérées infructueuses, il est nécessaire de créer une nouvelle requête de signature du certificat.
• Il est interdit d'utiliser le certificat obtenu pour la signature ou le chiffrement des données.

Vous pouvez modifier les paramètres établis lors de l'ajout d'un profil SCEP.

Pour ajouter un profil SCEP, procédez comme suit :

1. Dans l'arborescence de la console dans le dossier Appareils administrés, choisissez le groupe d'administration dont font partie les appareils MDM iOS.
2. Dans l'espace de travail du groupe, choisissez l'onglet Stratégies.
3. Double-cliquez sur la souris pour ouvrir la fenêtre des propriétés de la stratégie active.
4. Dans la fenêtre Propriétés de la stratégie, sélectionnez la section SCEP.
5. Dans le groupe Profils SCEP, cliquez sur le bouton Ajouter.

   La fenêtre Profil SCEP s'ouvre.

6. Dans le champ Adresse Internet du serveur, saisissez l'adresse Internet du serveur SCEP sur lequel le Centre de certification est déployé.

   L'URL peut comporter l'adresse IP ou le nom de domaine complet (FQDN). Par exemple, http://10.10.10.10/certserver/companyscep.

7. Dans le champ Nom, saisissez le nom du Centre de certification déployé sur le serveur SCEP.
8. Dans le champ Sujet, saisissez la ligne contenant les attributs de l'utilisateur du périphérique iOS MDM qui seront contenus dans le certificat X.500.

   Les caractéristiques peuvent contenir des informations sur le pays (C), l'entreprise (O) et le nom public de l'utilisateur (CN). Par exemple, /C=RU/O=MyCompany/CN=User/. Vous pouvez également utiliser d'autres caractéristiques prévues dans RFC 5280.

9. Dans la liste déroulante Type de nom alternatif du sujet, sélectionnez le type de nom alternatif du sujet du serveur SCEP :
   • Non : l'identification par un nom alternatif n'est pas utilisée.
   • Nom RFC 822 : identification en fonction de l'adresse de messagerie électronique. L'adresse email doit être conforme à RFC 822.
   • Nom DNS : identification en fonction du nom de domaine.
   • URI : identification par adresse IP ou une adresse au format FQDN.

   Vous pouvez utiliser un nom de sujet alternatif pour l'identification de l'utilisateur du périphérique mobile iOS MDM.

10. Dans le champ Nom alternatif du sujet, saisissez le nom alternatif du sujet du certificat X.500. La valeur du nom alternatif du sujet dépend du type du sujet : adresse email de l'utilisateur, domaine ou URL.
11. Dans le champ Nom du sujet NT, saisissez le nom DNS de l'utilisateur du périphérique mobile iOS MDM sur le réseau Windows NT.

    Le nom du sujet NT est repris dans la demande de certificat sur le serveur SCEP.

12. Dans le champ Nombre de tentatives auprès du serveur SCEP, indiquez le nombre maximal de tentatives de requête auprès du serveur SCEP pour la signature d'un certificat.
13. Dans le champ Intervalle entre les tentatives (en secondes), indiquez l'intervalle en secondes entre les tentatives de requête auprès du serveur SCEP pour la signature d'un certificat.
14. Dans le champ Demande d'inscription, saisissez la clé d'enregistrement préalablement publiée.

    Avant de signer le certificat, le serveur SCEP demande une clé à l'utilisateur de l'appareil mobile. Si ce champ reste vide, le serveur SCEP ne demande pas de clé.

15. Dans la liste déroulante Dimension de clé, sélectionnez la taille en octets de la clé d'enregistrement : 1024 ou 2048.
16. Si vous souhaitez permettre à l'utilisateur d'utiliser le certificat obtenu depuis le serveur SCEP en tant que certificat pour la signature, cochez la case Utiliser comme signature numérique.
17. Si vous souhaitez permettre à l'utilisateur d'utiliser le certificat obtenu depuis le serveur SCEP pour le chiffrement des données, cochez la case Utiliser pour le chiffrement.

    Il est interdit d'utiliser un certificat du serveur SCEP servant à la fois de certificat de signature des données et de certificat de chiffrement.

18. Dans le champ Empreinte digitale du certificat, saisissez l'empreinte unique du certificat pour la vérification de l'authenticité de la réponse du Centre d'authentification. Vous pouvez utiliser les empreintes des certificats avec un algorithme de mise en cache SHA-1 ou MD5. Vous pouvez copier manuellement l'empreinte du certificat ou sélectionner le certificat à l'aide du bouton Créer à partir du certificat. Si vous créez l'empreinte à l'aide du bouton Créer à partir du certificat, l'empreinte sera automatiquement ajoutée au champ.

    L'empreinte du certificat doit indiquer si l'échange de données entre l'appareil mobile et le Centre de certification s'effectue selon le protocole HTTP.

19. Cliquez sur OK.

    Le nouveau profil SCEP s'affichera dans la liste.

20. Cliquez sur le bouton Appliquer pour enregistrer les modifications effectuées.

La réception automatique par Internet du certificat depuis le Centre de certification sera ainsi configurée sur l'appareil mobile de l'utilisateur une fois la stratégie appliquée.