Kaspersky Secure Mobility Management
5.0
Русский
Работа в Kaspersky Security Center Web Console  >  Настройка и управление  >  Защита  >  Добавление профиля SCEP на iOS MDM-устройства

Добавление профиля SCEP на iOS MDM-устройства

Эти параметры применяются к устройствам в режимах "Расширенный контроль" и "Базовый контроль".

Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, нужно добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.

По умолчанию добавляется профиль SCEP со следующими параметрами:

  • Для регистрации сертификатов не используется альтернативное имя субъекта.
  • Предпринимаются три попытки опроса SCEP-сервера с интервалом 10 секунд между попытками. Если все попытки подписать сертификат были неудачными, нужно сформировать новый запрос на подписание сертификата.
  • Полученный сертификат запрещено использовать для подписи или шифрования данных.

Вы можете изменить указанные параметры при добавлении профиля SCEP.

Чтобы добавить профиль SCEP:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
  2. В окне свойств политики выберите Параметры приложения.
  3. Выберите iOS и перейдите в раздел Конфигурация устройств.
  4. На карточке SCEP нажмите Параметры.

    Откроется окно SCEP.

  5. Включите параметры с помощью переключателя SCEP.
  6. Нажмите Добавить.

    Откроется окно Добавить профиль SCEP.

  7. В разделе Сервер SCEP укажите следующие параметры SCEP-сервера:
    • В поле Имя конфигурации укажите название Центра сертификации, развернутого на SCEP-сервере. Центр сертификации обеспечивает пользователя iOS MDM-устройства сертификатами при помощи простого протокола регистрации SCEP.
    • В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.

      Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.

    • В поле Максимальное количество попыток опроса укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата. Значение по умолчанию – 3 попытки.

      Если все попытки подписать сертификат были неудачными, нужно сформировать новый запрос на подписание сертификата.

    • В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата. Значение по умолчанию – 10 секунд.
    • В поле Статическая контрольная фраза введите предварительно опубликованный ключ регистрации.

      Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.

    • В раскрывающемся списке Метод загрузки отпечатка сертификата выберите способ добавления отпечатка сертификата. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5.
      • Если вы выбрали вариант Вручную, в появившемся поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа Центра сертификации.
      • Если вы выбрали вариант Из файла, загрузите файл в формате CER, KEY или PEM. Отпечаток будет сгенерирован и добавлен автоматически.

      Отпечаток сертификата нужно указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.

  8. В разделе Субъект укажите следующие параметры:
    • В поле Имя субъекта введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.

      Атрибуты могут содержать сведения о стране (C), местоположении (L), стране (ST), организации (O), подразделении (OU) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/.

      Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.

      Атрибуты используются DNS-службами для проверки подлинности сертификата, выданного Центром сертификации по запросу пользователя.

    • Нажмите Добавить альтернативное имя субъекта, чтобы добавить поле для указания альтернативного имени субъекта:
      • В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера. Можно добавить только одно альтернативное имя каждого типа.

        Вы можете использовать альтернативное имя субъекта для идентификации пользователя iOS MDM-устройства. По умолчанию идентификация на основе альтернативного имени не используется.

        • DNS-имя. Идентификация по доменному имени.
        • Имя субъекта NT. DNS-имя пользователя iOS MDM-устройства в сети Windows NT. Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер. Вы также можете использовать имя субъекта NT для идентификации пользователя iOS MDM-устройства.
        • Адрес электронной почты. Идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
        • Унифицированный идентификатор ресурса (URI). Идентификация по IP-адресу или адресу в формате FQDN.
      • В поле Альтернативное имя субъекта (SAN) введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от выбранного типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
  9. В разделе Ключ настройте параметры ключа шифрования:
    • В раскрывающемся списке Размер ключа (бит) выберите размер ключа регистрации в битах: 1024, 2048 или 4096. По умолчанию указано значение 1024 бита.
    • Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.

      Подпись данных защищает данные от изменений. Например, Safari может проверить подлинность сертификата и установить безопасный сеанс обмена данными.

    • Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.

      Шифрование данных также защищает конфиденциальные данные при обмене данными по сети. Например, Safari может установить безопасный сеанс обмена данными с использованием шифрования. Это гарантирует подлинность сайта и подтверждает, что соединение с сайтом зашифровано для предотвращения перехвата личных и конфиденциальных данных.

      Вы не можете одновременно использовать сертификат SCEP-сервера в качестве сертификата для подписи данных и сертификата шифрования данных.

    • Если вы хотите разрешить всем установленным приложениям доступ к закрытому ключу из сертификата SCEP-сервера, установите флажок Разрешить всем приложениям доступ к закрытому ключу.
    • Если вы не хотите, чтобы закрытый ключ экспортировался из связки ключей, установите флажок Запретить экспорт закрытого ключа из связки ключей.
  10. Нажмите Добавить.

    Новый профиль SCEP отобразится в списке.

    Вы можете изменять или удалять профили SCEP с помощью кнопок Изменить и Удалить в верхней части списка.

  11. Нажмите OK.
  12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.

Идентификатор статьи: 274780, Последнее изменение: 17 мар. 2025 г.
В начало