向 iOS MDM 设备添加 SCEP 配置文件

您必须添加 SCEP 配置文件，以便 iOS MDM 设备用户通过互联网自动接收来自认证中心的证书。SCEP 配置文件可支持简单证书注册协议。

默认添加具有以下设置的 SCEP 配置文件：

• 不使用备用主题名称注册证书。
• 进行三次 SCEP 服务器轮询尝试，每次间隔 10 秒。如果证书签名的所有尝试失败，您必须生成新的证书签名请求。
• 接收的证书不能用于数据签名或加密。

您可以在添加 SCEP 配置文件时编辑指定的设置。

若要添加 SCEP 配置文件，请执行以下操作：

1. 在控制台树的“受管设备”文件夹中，选择 iOS MDM 设备所属的管理组。
2. 在所选组的工作区中，选择“策略”选项卡。
3. 通过双击打开策略属性窗口。
4. 在策略“属性”窗口中选择“SCEP”区域。
5. 在“SCEP 配置文件”区域中单击“添加”按钮。

   “SCEP 配置文件”窗口将打开。

6. 在“服务器网址”字段中，输入认证中心部署所在的 SCEP 服务器的网址。

   网址可以包含 IP 地址或完整的域名 (FQDN)。例如：http://10.10.10.10/certserver/companyscep。

7. 在“名称”字段中，输入部署在 SCEP 服务器上的认证中心的名称。
8. 在“主题”字段中，输入具有 X.500 证书中包含的 iOS MDM 设备用户属性的字符串。

   属性可以包含国家/地区 (C)、组织 (O) 和通用用户名 (CN) 的详细信息。例如：/C=RU/O=MyCompany/CN=User/。您也可以使用 RFC 5280 中指定的其他属性。

9. 在使用者可选名称类型下拉列表中，选择 SCEP 服务器的主题的备用名称的类型：
   • 否 – 不使用备用名称识别。
   • RFC 822 名称 – 使用电子邮件地址识别。必须根据 RFC 822 指定电子邮件地址。
   • DNS 名称 – 使用域名识别。
   • URI – 使用 IP 地址或 FQDN 格式地址识别。

   您可以使用主题的备用名称识别 iOS MDM 移动设备的用户。

10. 在使用者可选名称字段中，输入 X.500 证书的主题的备用名称。使用者可选名称的值取决于主题类型：用户电子邮件地址、域或网址。
11. 在NT 使用者名称字段中，输入 Windows NT 网络上的 iOS MDM 移动设备用户的 DNS 名称。

    NT 使用者名称包含在发送至 SCEP 服务器的证书请求中。

12. 在“SCEP 服务器上轮询尝试次数”字段中，指定轮询 SCEP 服务器以获取签名证书的最大尝试次数。
13. 在“尝试频率（秒）”字段中，指定轮询 SCEP 服务器以获取签名证书的尝试之间的时间间隔（单位：秒）。
14. 在“注册申请”字段中，输入预发布的注册密钥。

    在进行证书签名之前，SCEP 服务器请求移动设备用户提供密钥。如果该字段留空，则 SCEP 不会请求提供密钥。

15. 在“密钥大小”下拉列表中，选择注册密钥的大小（单位：位）：1024 或 2048 位。
16. 若要允许用户使用从 SCEP 服务器接收的证书作为签名证书，请选择“用于签名”选框。
17. 若要允许用户将从 SCEP 服务器接收的证书用于数据加密，请选择“用于加密”选框。

    禁止将 SCEP 服务器证书同时用作数据签名证书和数据加密证书。

18. 在“证书指纹”字段中，输入一个用于验证认证中心响应的真实性的唯一的证书指纹。您可以将证书指纹与 SHA-1 或 MD5 哈希算法配合使用。您可以手动复制证书指纹或使用“从证书创建”按钮选择证书。在使用“从证书创建”按钮创建指纹时，指纹会自动添加到该字段。

    如果移动设备和认证中心之间的数据交换通过 HTTP 协议进行，则必须指定证书指纹。

19. 单击“确定”。

    新的 SCEP 配置文件显示在列表中。

20. 单击“应用”按钮以保存所作的更改。

这样，一旦应用该策略，用户的移动设备将配置成通过互联网自动接收来自认证中心的证书。