向 iOS MDM 设备添加 SCEP 配置文件
向 iOS MDM 设备添加 SCEP 配置文件
您必须添加 SCEP 配置文件,以便 iOS MDM 设备用户通过互联网自动接收来自认证中心的证书。SCEP 配置文件可支持简单证书注册协议。
默认添加具有以下设置的 SCEP 配置文件:
- 不使用备用主题名称注册证书。
- 进行三次 SCEP 服务器轮询尝试,每次间隔 10 秒。如果证书签名的所有尝试失败,您必须生成新的证书签名请求。
- 接收的证书不能用于数据签名或加密。
您可以在添加 SCEP 配置文件时编辑指定的设置。
若要添加 SCEP 配置文件,请执行以下操作:
- 在控制台树的“受管设备”文件夹中,选择 iOS MDM 设备所属的管理组。
- 在所选组的工作区中,选择“策略”选项卡。
- 通过双击打开策略属性窗口。
- 在策略“属性”窗口中选择“SCEP”区域。
- 在“SCEP 配置文件”区域中单击“添加”按钮。
“SCEP 配置文件”窗口将打开。
- 在“服务器网址”字段中,输入认证中心部署所在的 SCEP 服务器的网址。
网址可以包含 IP 地址或完整的域名 (FQDN)。例如:http://10.10.10.10/certserver/companyscep。
- 在“名称”字段中,输入部署在 SCEP 服务器上的认证中心的名称。
- 在“主题”字段中,输入具有 X.500 证书中包含的 iOS MDM 设备用户属性的字符串。
属性可以包含国家/地区 (C)、组织 (O) 和通用用户名 (CN) 的详细信息。例如:/C=RU/O=MyCompany/CN=User/。您也可以使用 RFC 5280 中指定的其他属性。
- 在使用者可选名称类型下拉列表中,选择 SCEP 服务器的主题的备用名称的类型:
- 否 – 不使用备用名称识别。
- RFC 822 名称 – 使用电子邮件地址识别。必须根据 RFC 822 指定电子邮件地址。
- DNS 名称 – 使用域名识别。
- URI – 使用 IP 地址或 FQDN 格式地址识别。
您可以使用主题的备用名称识别 iOS MDM 移动设备的用户。
- 在使用者可选名称字段中,输入 X.500 证书的主题的备用名称。使用者可选名称的值取决于主题类型:用户电子邮件地址、域或网址。
- 在NT 使用者名称字段中,输入 Windows NT 网络上的 iOS MDM 移动设备用户的 DNS 名称。
NT 使用者名称包含在发送至 SCEP 服务器的证书请求中。
- 在“SCEP 服务器上轮询尝试次数”字段中,指定轮询 SCEP 服务器以获取签名证书的最大尝试次数。
- 在“尝试频率(秒)”字段中,指定轮询 SCEP 服务器以获取签名证书的尝试之间的时间间隔(单位:秒)。
- 在“注册申请”字段中,输入预发布的注册密钥。
在进行证书签名之前,SCEP 服务器请求移动设备用户提供密钥。如果该字段留空,则 SCEP 不会请求提供密钥。
- 在“密钥大小”下拉列表中,选择注册密钥的大小(单位:位):1024 或 2048 位。
- 若要允许用户使用从 SCEP 服务器接收的证书作为签名证书,请选择“用于签名”选框。
- 若要允许用户将从 SCEP 服务器接收的证书用于数据加密,请选择“用于加密”选框。
禁止将 SCEP 服务器证书同时用作数据签名证书和数据加密证书。
- 在“证书指纹”字段中,输入一个用于验证认证中心响应的真实性的唯一的证书指纹。您可以将证书指纹与 SHA-1 或 MD5 哈希算法配合使用。您可以手动复制证书指纹或使用“从证书创建”按钮选择证书。在使用“从证书创建”按钮创建指纹时,指纹会自动添加到该字段。
如果移动设备和认证中心之间的数据交换通过 HTTP 协议进行,则必须指定证书指纹。
- 单击“确定”。
新的 SCEP 配置文件显示在列表中。
- 单击“应用”按钮以保存所作的更改。
这样,一旦应用该策略,用户的移动设备将配置成通过互联网自动接收来自认证中心的证书。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.