证书管理
虽然密码常用于安全和身份验证目的,但许多组织现在更倾向于使用数字签名证书在访问 Exchange 服务器、Wi-Fi、VPN 等之前对用户进行身份验证,因为这减少了忘记密码和频繁重置密码的可能性。Mobile Device Manager Plus MSP (MDM) 简化了数字签名证书的创建、分发和续订过程。
常用的证书有两种类型:
受信任证书
管理员使用单个证书,可以用于验证组织中的所有用户。此受信任证书可由所有员工用来在访问 Exchange 账户及连接 Wi-Fi 或 VPN 时对设备进行身份验证。
为允许用户验证其设备,证书必须存在于设备上。这可以通过使用 MDM 分发证书来实现。
用户专用证书
组织会集成证书颁发机构(CA),负责颁发证书并为组织中的每个用户创建证书。集成 CA 后,CA 会为所有访问 Exchange 账户、Wi-Fi 或 VPN 的用户创建并分发个别证书。
MDM 通过其证书管理功能,允许组织管理受信任证书和用户专用证书。
向 MDM 服务器添加证书
管理员可以将所需证书上传到 MDM 服务器,并分发到受管理设备。MDM 还维护证书到期信息,确保定期续订证书。
按照以下步骤向 MDM 服务器添加证书:
- 在 MDM 控制台上,导航至 设备管理 -> 证书
- 在“证书”标签页,点击 添加证书
- 上传证书文件,如适用,请提供密码。
- 点击 添加证书
证书添加成功后,MDM 控制台将显示诸如到期日、颁发者名称、证书分发的设备或组等详细信息。您可以按相同步骤添加多个证书。
向组/设备分发证书
证书添加到 MDM 服务器后,可以通过分发给组或相应设备,将证书安装到设备上。
按照以下步骤向组/设备分发证书:
- 导航至 设备管理 -> 配置文件
- 点击 创建配置文件 并选择要为其创建配置文件的操作系统。
- 选择需要配置基于证书身份验证的策略。MDM 支持 Wi-Fi、VPN、Exchange ActiveSync、电子邮件和企业单点登录(iOS 特有功能)的基于证书身份验证。
- 填写必要信息,对于 证书 选项,选择列表中任意证书。您也可以在同一页面新增证书。
将 CA 服务器与 MDM 集成
为生成用户专用证书,必须将 MDM 与 CA 服务器集成,以动态创建用户证书。
MDM 允许管理员通过简单证书注册协议 (SCEP) 服务器集成 CA 服务器。
在 MDM 中配置 SCEP
配置 SCEP 前,请确保满足所需的前置条件。有关前置条件列表及其配置步骤,请参见 此文档.
按照以下步骤在 MDM 中配置 SCEP:
- 在 MDM 控制台上,导航至 设备管理 -> 证书
- 点击 CA 服务器 标签页,然后点击 添加 CA 服务器
- 提供以下详细信息:
| 配置文件规范 | 描述 |
|---|---|
| 证书颁发机构名称 | 指定颁发证书的证书颁发机构名称。 |
| 服务器 URL | 在设备上获取证书时需指定的 URL。如果 SCEP 服务器位于组织网络内部且未暴露于外部网络,请提供 HTTP 服务器 URL。证书请求通过该 URL 发出。 对于 NDES服务器 URL 格式为: https://<your-server>/CertSrv/mscep/mscep.dll |
| CA 证书指纹 | CA 证书指纹是 CA 证书的唯一标识符。此信息可在 CA 服务器中获得,非必填项。 |
为 CA 服务器创建模板
要创建用户专用证书,需要配置模板,CA 将基于此模板颁发所有证书。
按照以下步骤在 MDM 上配置模板:
- 在 MDM 控制台上,导航至 设备管理 -> 证书.
- 点击 模板 标签页,然后点击 添加模板
- 提供以下详细信息:
<
| 配置文件规范 | 描述 |
|---|---|
| 主题 | 指定用于映射设备中相应详情的参数(%username%、%email%、%domainname%、%devicename%)。 |
| 主题备用名称类型 | 指定备用详情(RFC 822 名称、DNS 名称、统一资源标识符)。 |
| 主题备用名称类型值 (仅当配置了主题备用名称类型时可配置) | 指定备用名称类型的值。 |
| NT 主体名称 | 指定组织内使用的 NT 主体名称。 |
| 最大失败尝试次数 | 从 CA 获取证书的最大尝试次数。 |
| 尝试间隔时间 | 获取证书后续尝试之间的等待时间。 |
| 挑战类型 | 由 CA 提供的预共享密钥,增加额外的安全层。 |
| 注册挑战密码 | 提供将用于挑战的密码。挑战密码的识别方法详见 此处. |
| 密钥大小 | 指定密钥长度为 1024 或 2048 位。 |
| 用作数字签名 | 启用后确保证书可用作数字签名。 |
| 用于密钥加密 | 启用后确保证书可用于密钥加密。 |
| 证书自动续订 | 启用后确保证书在到期时自动续订。 |
修改或续订证书
大多数证书需要定期续订,MDM 会在控制台提醒管理员即将过期的受管证书。续订证书可按以下步骤上传:
- 选择要更新的证书,点击 修改.
- 上传续订后的证书,点击 修改证书 按钮上传新证书。
- 这将自动更新之前关联的配置文件上的证书。
管理员可以选择手动 重新分发已更新的配置文件到设备, 或在上传新证书时启用选项 自动重新分发修改后的配置文件到设备, 从而自动化该过程。