首页 » iOS SCEP
pdf 图标
分类筛选
x

简单证书注册协议(SCEP)

简单证书注册协议(SCEP) 是用于证书管理的协议标准。SCEP 主要用于基于证书的身份验证,通过证书实现对 Wi-Fi、VPN 以及通过加密保护电子邮件等服务的访问。

基于证书的身份验证的主要优势如下:

  • 零用户干预,因为用户通过证书进行身份验证。
  • 安全的网络通信,因为数据通过证书加密和认证。

然而,对于大型组织的 IT 管理员来说,手动分发证书是一项繁琐的任务。SCEP 帮助网络管理员轻松在设备中安装证书。SCEP 提供了一种简化且可扩展的方法来处理大型组织中的证书。证书与 SCEP 的区别在于,SCEP 策略用于向设备分发客户端证书,而证书策略则分发 CA 证书。

设备直接联系 SCEP 服务器以生成证书,因此请确保设备能够访问 SCEP 服务器。SCEP 服务器不必对 MDM 可访问。

前提条件

必须在 Windows Server 机器上安装 NDES

配置证书模板
  1. 单击 开始 菜单,选择 运行,输入 mmc 并点击确定。
  2. 点击 文件 并选择 添加/删除管理单元...。选择 证书模板,点击 添加 ,然后点击 确定.

    3. 配置 iOS 的 SCEP 步骤 1    配置 iOS 的 SCEP 步骤 2

  3. 右键点击 证书模板 并选择 管理.
  4. 单击 用户 并选择 复制模板.

    5. 配置 iOS 的 SCEP 步骤 3

  5. 指定一个 模板显示名称 并点击保存 确定.

    6. 配置 iOS 的 SCEP 步骤 4

  6. 单击 扩展,选择 应用程序策略。点击 编辑 并选择 客户端身份验证,将其添加到应用程序策略。

    7. 配置 iOS 的 SCEP 步骤 5

    配置 iOS 的 SCEP 步骤 6

    配置 iOS 的 SCEP 步骤 7

    配置 iOS 的 SCEP 步骤 8

  7. 单击 密码学 并指定 最小密钥长度。推荐的密钥长度为 2048,以增强安全性。此密钥长度需要在 MDM 配置 SCEP 时指定。

    8. 配置 iOS 的 SCEP 步骤 9

  8. 单击 安全性 并选择应用此策略的组。确保 注册 是所选域的允许权限。

    9. 配置 iOS 的 SCEP 第10步

  9. 单击 主体名称 并选择 在请求中提供,以在证书请求中指定主体名称。

    10. 配置 iOS 的 SCEP 第11步

将证书模板映射到 SCEP
  1. 在 Microsoft 管理控制台(MMC)中添加证书颁发机构作为管理单元。

    2. 配置 iOS 的 SCEP 第12步    配置 iOS 的 SCEP 第13步

  2. 展开 证书颁发机构 并右键点击 证书模板。点击 新建 并选择 要颁发的证书模板.

    3. 配置 iOS 的 SCEP 第14步

  3. 选择之前创建的证书模板并点击确定。

    4. 配置 iOS 的 SCEP 第15步    配置 iOS 的 SCEP 第16步

    要更改 Microsoft NDES 使用的默认证书模板,需要修改 Windows 注册表的值。

  4. 单击 开始 菜单,选择 运行,输入 regedit 并点击确定。
  5. 展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP。
  6. 右键点击 Encryption Template 并点击 修改.

    7. 配置 iOS 的 SCEP 第17步

  7. 值数据中指定创建的证书模板名称。 GeneralPurposeTemplate SignatureTemplate

    8. 配置 iOS 的 SCEP 第18步

重复相同操作。完成后重启服务器以使更改生效。
  1. 防止挑战密码过期
  2. 打开 regedit,展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword。 右键点击 UseSinglePassword 并将 数据

    3. 配置 iOS 的 SCEP 第19步

值更改为 1。

如果您使用的是挑战密码(推荐),则必须修改注册表值以防止挑战密码过期。

配置完成后,重启 NDES 服务器。

  1. 在 MDM 中配置 SCEP Subject 的值应为 LDAP DN 格式,如此处所述.
  2. 您可以通过以下链接验证服务器详细信息,如注册挑战密码 https://<your-server>/CertSrv/mscep_admin GeneralPurposeTemplate https://<Your-Server>/crtsrv/mscep/mscep.dll
配置文件设置 描述
SCEP 配置名称 用户定义的配置名称,用于在其他配置(如 Wi-Fi、VPN 等)中引用此配置。
SCEP 设置
服务器 URL 设备中指定的用于获取证书的 URL。如果 SCEP 服务器位于组织网络内部且未对外暴露,请提供 HTTP 服务器 URL。证书通过此 URL 申请。
对于 NDES,服务器 URL 格式为: https://<your-server>/CertSrv/mscep/mscep.dll
证书颁发机构名称 指定颁发证书的证书颁发机构名称。
主体 指定详细信息(%username%,%email%,%domainname%,%devicename%)以映射设备中的相应信息。
主体备用名称类型 指定备用信息(RFC 822 名称、DNS 名称、统一资源标识符)。
主体备用名称类型值 (仅当配置了主体备用名称类型时可配置) 指定备用名称类型的值。
NT 主体名称 指定组织中使用的 NT 主体名称。
最大失败尝试次数 从 CA 获取证书的尝试次数。
尝试之间的时间间隔 下一次尝试获取证书前的等待时间。
挑战类型 由 CA 提供的预共享密钥,增加额外的安全层。
注册挑战密码 提供要使用的挑战密码。挑战密码的识别方式如解释所述。 Subject 的值应为 LDAP DN 格式,如此处所述.
密钥大小 指定密钥是 1024 还是 2048 位。
用作数字签名 启用后确保证书可用作数字签名。
用于密钥加密 启用后确保证书可用于密钥加密。
跳转至

    相关文章

    < Previous

    下一步 >