主页 » Android SCEP
pdf 图标
分类过滤器
x

简单证书注册协议 (SCEP)

简单证书注册协议 (SCEP) 是一种证书管理协议,主要用于实现基于证书的身份验证。通过 SCEP,Mobile Device Manager Plus 允许您对受管的 Android 设备上的 Wi-Fi、VPN 和电子邮件配置强制执行基于证书的身份验证。
通常,在大型组织中,IT 管理员手动为组织网络内所有 Android 设备颁发客户端证书是一项繁琐的任务。SCEP 通过提供一种简单且可扩展的方法,简化了组织内证书的配置和分发。
使用 SCEP 进行基于证书的身份验证的主要优点如下:

  • 零用户干预,因为用户会自动使用证书进行身份验证。
  • 消除了手动配置用户专用客户端证书的负担。
  • 网络通信安全,因为数据通过证书进行加密和认证。
  • 客户端证书还作为安全的附加层,提供双因素认证;可以避免使用未经授权设备访问业务数据或连接到工作相关的 Wi-Fi 或 VPN 网络所引起的安全威胁。

设备直接联系 SCEP 服务器生成证书,因此需确保设备可以访问 SCEP 服务器。无须确保 SCEP 服务器可被 MDM MSP 访问。

前提条件

配置证书模板
  1. 点击 开始 菜单,选择 运行,输入 mmc 并点击确定。
  2. 点击 文件 并选择 添加/删除管理单元...。选择 证书模板,点击 添加 ,然后点击 确定.

    3. 为 Android 配置 SCEP 第一步

    为 Android 配置 SCEP 第二步

  3. 右键点击 证书模板 并选择 管理.
  4. 点击 用户 并选择 复制模板.

    5. 为 Android 配置 SCEP 第三步

  5. 指定 模板显示名称 ,然后点击保存 确定.

    6. 为 Android 配置 SCEP 第四步

  6. 点击 扩展,选择 应用程序策略。点击 编辑 并选择 客户端身份验证,将其添加到应用程序策略中。

    7. 为 Android 配置 SCEP 第五步

    配置 Android 的 SCEP 第 6 步

    配置 Android 的 SCEP 第 7 步

    配置 Android 的 SCEP 第 8 步

  7. 点击 密码学 并指定 最小密钥大小。推荐的密钥大小为 2048,因为它增强了安全性。此密钥大小需在 MDM MSP 中配置 SCEP 时指定。

    8. 配置 Android 的 SCEP 第 9 步

  8. 点击 安全性 并选择要应用策略的组。确保 注册 是选定域的允许权限。

    9. 配置 Android 的 SCEP 第 10 步

  9. 点击 主体名称 并选择 在请求中提供,用于在证书请求中指定主体名称。

    10. 配置 Android 的 SCEP 第 11 步

将证书模板映射到 SCEP
  1. 将证书授权机构添加为 Microsoft 管理控制台(MMC)中的管理单元。

    2. 配置 Android 的 SCEP 第 12 步

    配置 Android 的 SCEP 第 13 步

  2. 展开 证书授权机构 ,右键点击 证书模板。点击 新建 并选择 要颁发的证书模板.

    3. 配置 Android 的 SCEP 第 14 步

  3. 选择之前创建的证书模板并点击确定。

    4. 配置 Android 的 SCEP 第 15 步    配置 Android 的 SCEP 第 16 步

    若要更改 Microsoft NDES 使用的默认证书模板,需修改 Windows 注册表值。

  4. 点击 开始 菜单,选择 运行,输入 regedit 并点击确定。
  5. 展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP。
  6. 右键点击 加密模板 并点击 修改.

    7. 配置 Android 的 SCEP 第 17 步

  7. 数值数据指定所创建的证书模板名称。对 通用用途模板签名模板重复相同操作。修改完成后,重启服务器机器以使更改生效。

    8. 配置 Android 的 SCEP 第 18 步

防止质询密码过期

    如果使用质询密码(推荐),则必须修改注册表值以防止质询密码过期。

  1. 打开 regedit 并展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword。
  2. 右键点击 UseSinglePassword 并将 数据 改为 1。

    3. 配置 Android 的 SCEP 第 19 步

配置完成后,重启 NDES 服务器。

在 MDM MSP 中配置 SCEP

  1. 主体的值应采用 LDAP DN 格式,如此处所示 这里.
  2. 您可以验证服务器详细信息,例如注册质询密码,网址为 https://<your-server>/CertSrv/mscep_adminhttps://<Your-Server>/crtsrv/mscep/mscep.dll。
  3. 如果无法访问 SCEP 服务器,请尝试通过设备访问格式为 https://<your-server>/CertSrv/mscep/mscep.dll 的 SCEP 服务器 URL。如果无法访问该 URL,请尝试连接至本地 WiFi 后访问该 URL,然后再分发配置文件。
配置文件规范 描述
SCEP 配置名称 用户定义的配置名称,用于在其他配置(如 Wi-Fi、VPN 等)中引用此配置。
SCEP 设置
服务器 URL 设备上用于获取证书的 URL。若 SCEP 服务器位于组织网络内且未暴露于外部网络,则提供 HTTP 服务器 URL。证书通过此 URL 请求。
对于 NDES,服务器 URL 格式为: https://<your-server>/CertSrv/mscep/mscep.dll
证书授权机构名称 指定颁发证书的证书授权机构名称。
主体 指定具体信息(%username%、%email%、%domainname%、%devicename%)以映射设备中的对应信息。
主体备用名称类型 指定备用详情(RFC 822 名称、DNS 名称、统一资源标识符)。
主体备用名称类型值 (仅在配置了主体备用名称类型时可配置) 指定备用名称类型的值。
NT 主体名称 指定组织中使用的 NT 主体名称。
最大失败尝试次数 从 CA 获取证书的尝试次数。
尝试之间的时间间隔 进行后续尝试获取证书前的等待时间。
质询类型 由 CA 提供的预共享密钥,增加额外的安全层。
注册质询密码 提供要使用的质询密码。质询密码的识别方法如上所述。 这里.
密钥大小 指定密钥是 1024 位还是 2048 位。
用作数字签名 启用后确保证书可以用作数字签名。
用于密钥加密 启用后确保证书可以用于密钥加密。
跳转到

    相关文章

    < Previous

    下一步 >