首页 » tvOS SCEP
pdf 图标
分类筛选
x

简单证书注册协议(SCEP)

简单证书注册协议(SCEP) 是用于证书管理的协议标准。SCEP 主要用于基于证书的认证,通过证书实现对 Wi-Fi、VPN 和通过加密确保电子邮件等服务的访问。

基于证书认证的主要优点包括:

  • 零用户干预,因为用户通过证书进行认证。
  • 安全的网络通信,因为数据使用证书进行了加密和认证。

但是,手动分发证书对于大型组织的 IT 管理员来说是一项繁琐的任务。SCEP 帮助网络管理员轻松安装设备中的证书。SCEP 为大型组织中的证书处理提供了简化且可扩展的方法。证书和 SCEP 的区别在于,SCEP 策略用于将客户端证书分发给设备,而证书策略用于将 CA 证书分发给设备。

设备直接联系 SCEP 服务器以生成证书,因此请确保设备可以访问 SCEP 服务器。SCEP 服务器不必能访问 MDM。

先决条件

配置证书模板
  1. 点击 开始 菜单,选择 运行,输入 mmc 并点击确定。
  2. 点击 文件 并选择 添加/删除管理单元...选择 证书模板,点击 添加 然后点击 确定.
    3. scep_1scep_2
  3. 右键点击 证书模板 并选择 管理.
  4. 点击 用户 并选择 复制模板.
    5. scep_3
  5. 指定一个 模板显示名称 并通过点击保存 确定.

    6. scep_4

  6. 点击 扩展,选择 应用程序策略。点击 编辑 并选择 客户端身份验证,将其添加到应用程序策略中。
    7. scep_6  scep_7  scep_8  scep_5
  7. 点击 密码学 并指定 最小密钥大小。建议的密钥大小为 2048,因为它增强了安全性。此密钥大小在配置 MDM 中的 SCEP 时指定。

    8. scep_9

  8. 点击 安全性 并选择应用此策略的组。确保 注册 是所选域的允许权限。

    9. scep_10

  9. 点击 主题名称 并选择 在请求中提供,用于指定证书请求中的主题名称。

    10. scep_11

将证书模板映射到 SCEP
  1. 在 Microsoft 管理控制台(MMC)中添加证书颁发机构作为管理单元。
    2. scep_12    scep_13
  2. 展开 证书颁发机构 并右键点击 证书模板。点击 新建 并选择 要发行的证书模板.
    3. scep_14
  3. 选择之前创建的证书模板并点击确定。
    4. scep_15    scep_16 要更改 Microsoft NDES 使用的默认证书模板,需要更改 Windows 注册表值。
  4. 点击 开始 菜单,选择 运行,输入 regedit 并点击确定。
  5. 展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP。
  6. 右键点击 Encryption Template ,点击 修改.
    7. scep_17
  7. 值数据指定已创建的证书模板名称。 GeneralPurposeTemplate SignatureTemplate
    8. scep_18
重复相同操作。更改生效后,请重启服务器机器一次。

防止挑战密码过期

  1. 如果使用挑战密码(建议),则必须修改注册表值以防止挑战密码过期。
  2. 打开 regedit 并展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword。 右键点击 UseSinglePassword 并将其 数据值
    3. scep_19
  3. 改为 1。

配置完成后,重启 NDES 服务器。

  1. 在 MDM 中配置 SCEP 主题的值应为 LDAP DN 格式,如此处所述.
  2. 你可以通过以下网址验证服务器详细信息,如注册挑战密码 https://<your-server>/CertSrv/mscep_admin GeneralPurposeTemplate https://<Your-Server>/crtsrv/mscep/mscep.dll
配置文件设置 描述
SCEP 配置名称 用户定义的配置名称,用于在其他配置(如 Wi-Fi、VPN 等)中引用此配置。
SCEP 设置
服务器 URL 设备上指定用于获取证书的 URL。如果 SCEP 服务器位于组织网络内且未暴露给外部网络,请提供 HTTP 服务器 URL。证书通过该 URL 请求。
对于 NDES,服务器 URL 格式为: https://<your-server>/CertSrv/mscep/mscep.dll
证书颁发机构名称 指定颁发证书的证书颁发机构名称。
主题 指定详细信息(%username%, %email%, %domainname%, %devicename%),以映射设备中的相应详情。
主题备用名称类型 指定备用详情(RFC 822 名称、DNS 名称、统一资源标识符)。
主题备用名称类型值 (仅在配置了主题备用名称类型时可配置) 指定备用名称类型的值。
NT 主体名称 指定组织中使用的 NT 主体名称。
最大失败尝试次数 从 CA 获取证书的尝试次数。
尝试间隔时间 获取证书的后续尝试之间的等待时间。
挑战类型 由 CA 提供的预共享密钥,增加额外的安全层。
注册挑战密码 提供要使用的挑战密码。挑战密码可按说明识别。 主题的值应为 LDAP DN 格式,如此处所述.
密钥大小 指定密钥是 1024 位还是 2048 位。
用作数字签名 启用后确保证书可用作数字签名。
用于密钥加密 启用后确保证书可用于密钥加密。
跳转到

    相关文章

    < Previous

    下一步 >