证书管理

虽然密码通常用于安全和认证目的,但许多组织现在更喜欢在访问Exchange server、Wi-Fi、VPN等之前使用数字签名证书对用户进行身份验证,因为这样可以减少忘记密码和大量重置密码的几率。Mobile Device Manager Plus (MDM)简化了数字签名证书的创建、分发和更新。

常用的证书有两种:

信任证书

管理员使用一个可以认证组织中所有用户的证书。所有员工都可以使用此信任证书在访问他们的Exchange账户和连接到Wi-fi或VPN时对设备进行身份验证。

要允许用户对其设备进行身份验证,证书必须存在于设备中。这可以通过MDM分发证书来实现。

特定于用户的证书

组织与证书授权(CA)集成,CA负责颁发证书,并为组织中的每个用户创建证书。CA授权在与MDM集成时,为访问其Exchange帐户、Wi-fi或VPN的所有用户创建和分发单个证书。

MDM的“证书管理”功能可以帮助组织管理信任证书和特定于用户的证书。

向MDM服务器添加证书

管理员可以在MDM服务器上上传所需的证书,并将其分发到被管设备。MDM还会维护过期信息,以确保定期更新证书。

按照下面给出的步骤向MDM服务器添加证书:

成功添加证书后,MDM控制台中将提供有效期、颁发者名称、分发证书的设备或组等详细信息。您可以按照相同的步骤添加多个证书。

向组/设备分发证书

在将证书添加到MDM服务器之后,可以通过将它们分发到组或分发到相应的设备来将它们安装到设备上。

按照下面给出的步骤向组/设备分发证书:

将CA服务器与MDM集成

为了生成特定于用户的证书,MDM必须与CA服务器集成,以便动态地为用户创建证书。

MDM允许管理员使用简单证书注册协议(SCEP)服务器与CA服务器集成。

在MDM中配置SCEP

要在MDM中配置SCEP,首先要确保满足所需的环境要求。对于环境要求列表和配置步骤,请参考此文档

按照以下步骤在MDM中配置SCEP

配置文件规范

描述

证书颁发机构名称

指定颁发证书的机构名称。

服务器URL

在设备中指定的以获得证书的URL。如果SCEP服务器在组织内部网络中并不暴露于外部网络,提供HTTP服务器URL。通过此URL请求证书。
对于NDES(网络设备登记服务)
服务器URL格式:http://<your-server>/CertSrv/mscep/mscep.dll

CA证书的指纹

CA证书的指纹是CA证书的唯一标识符。此信息在CA服务器中,不是强制性的。

为CA服务器创建模板

为了创建特定于用户的证书,需要配置一个模板,CA将根据该模板颁发所有证书。

按照以下步骤在MDM上配置模板:

配置文件规范

描述

主题

指定在设备中映射对应信息的详细信息(%username%、 %email%、 %domainname%、%devicename%)

主题备用名称类型(SAN)

指定备用信息(RFC 822名称、DNS名、统一资源标识符)

主题备用名称类型值
(只有在配置了主题备用名称类型时才能配置)

指定备用名称类型值

NT主体名称

指定组织中使用的NT主体名称

失败尝试最大次数

从CA获得证书的最大尝试次数

尝试间隔时间

在下一次尝试获得证书之前等待的时间

Challenge Type

CA提供的预共享密钥,它增加了额外的安全层

登记Challenge Password

提供要使用的Challenge Password。识别Challenge Password,请参考这里

密钥长度

指定密钥是1024位还是2048位

用作数字签名

启用可确保证书可以用作数字签名

用于密钥加密

启用可确保证书可以用作密钥加密

证书自动更新

启用可确保证书在到期时立即更新

修改或更新证书

大多数证书需要定期更新,MDM会在MDM控制台中提醒管理员即将过期的被管证书。更新后的证书可按下列步骤上传:

管理员可以选择手动将更新后的配置文件重新分发到设备,或在上传新证书时启用选项自动将修改后的配置文件重新分发到设备以自动化该过程。

另请参阅: 配置Mobile Device Manager Plus设备登记位置跟踪应用管理配置文件管理资产管理安全管理报表
版权所有 © 2021, 卓豪(中国)技术有限公司。保留一切权利。
ManageEngine卓豪 - IT管理 新体验