使用内部 PKI 管理证书
注意: 此功能仅在 MDMP 专业版中可用。
MDM 的集成 PKI 服务器允许您直接从控制台批量签发和分发证书,简化证书管理流程。这些内部生成的证书可用于认证访问 Wi-Fi、VPN、电子邮件等资源。通过 MDM 内置的公钥基础设施(PKI),您的组织无需额外的 SCEP 服务器,从而减少潜在故障点并增强控制力。我们的内部 PKI 采用 RSA 4096 签名和 SHA-512 哈希等先进加密标准,确保您的证书管理安全可靠。
无论您是保障企业资源访问、启用加密通信,还是验证用户身份,本指南将指导您完成利用内部 PKI,在 MDM 环境中实现强大证书管理的关键步骤。
支持平台
MDM 内部 PKI 可用于为以下平台设备生成证书:
- iOS/iPadOS
- Android
- macOS
- Windows
内部 PKI 工作流程
图示展示了使用 MDM 内部 PKI 组件进行证书签发和分发的过程。工作流程详解如下:
- MDM 服务器发送配置: MDM 服务器将内部 PKI URL 和证书模板详情发送到设备。该信息对设备发起证书请求流程至关重要。
- 设备生成 CSR: 设备生成证书签名请求(CSR),其中包含设备的唯一标识符和公钥等信息。
- 设备请求证书: 设备将 CSR 发送到 MDM 服务器,基于提供的模板申请证书。
- MDM 服务器颁发证书: MDM 服务器处理 CSR,签发证书并将其交付回设备。
在 MDM 中配置内置 PKI
- 导航至 设备管理 -> 证书 -> CA 服务器 -> 添加 CA 服务器。
- 在服务器类型下拉菜单中选择 内置 PKI.
- 在内置 PKI 下,您可以添加两种不同的 CA 类型:默认和自定义。
- 默认 CA 类型:MDM 使用自身证书颁发机构和私钥签署客户端证书。保存默认 CA 类型的 CA 服务器后,您可以下载 MDM 根 CA 证书,将其配置在认证服务器上。
- 自定义 CA 类型:上传包含私钥的 .p12 签名证书。该私钥用于签署客户端证书。保存证书前,服务器将验证证书中是否包含用于签署证书所需的重要扩展。确保证书包含以下扩展:digitalSignature、keyCertSign 和 cRLSign。
- 点击保存。
创建 CA 服务器模板
为创建证书,需要配置一个模板,所有证书都将基于此模板由 CA 签发。请按以下步骤在 MDM 中配置模板:
- 导航至 设备管理 -> 证书.
- 点击 模板 选项卡,然后点击 添加模板
- 选择模板所属的服务器,此处选择之前添加的内置 PKI 服务器。
- 填写以下信息:
| 配置规范 | 描述 |
|---|---|
| 证书模板名称 | 指定证书模板名称。 |
| 主体 | 指定证书中需要包含的主题 DN。您可以使用动态键如 %username%、%email%、%firstname% 来获取设备映射的相应信息。例如,可输入 C=US,O=Zylker,OU=Zylker,CN=%firstname%。 |
| 备用主题名称类型 | 指定以下值之一, 无、RFC 822 名称、DNS 名称 或 统一资源标识符 作为备用主题名称类型。 |
| 备用主题名称值 (仅当配置了备用主题名称类型时可设置) | 指定备用主题名称值。可填写 DNS 名称、URI 或邮件地址。例如,可以使用动态键 %email% 代表邮件地址。 |
| NT 主体名称 | 指定组织中使用的 NT 主体名称。 |
| 最大失败尝试次数 | 指定允许从 CA 获取证书的最大验证失败次数。超过该限制后,用户将被暂时限制尝试验证用户账户。 |
| 尝试间隔时间 | 指定两次尝试获取证书之间的等待时间。 |
| 密钥大小 | 指定密钥位数,1024 或 2048 位。 |
| 用作数字签名 | 启用此选项确保证书可用于数字签名。 |
| 用于密钥加密 | 启用此选项确保证书可用于密钥加密。 |
| 证书自动续期 | 启用此选项确保证书在过期前自动续期。 |
| 证书自动续期提前时间 | 指定证书必须提前多少天自动续期。 |
创建 SCEP 配置文件
为了向受管设备分发证书,需要将 SCEP 配置文件与设备关联。请按以下步骤创建并关联 SCEP 配置文件:
- 导航至 设备管理 -> 配置文件 并创建 Apple、Android 或 Windows 配置文件。
- 选择 SCEP 在左侧窗格中。
- 选择已创建的证书模板。
- 点击 保存 并发布配置文件。
建议先将 配置文件分发到一台设备 进行测试,测试完成后,再使用 组.
将配置文件分发到生产环境。