使用Mobile Device Manager Plus管理DigiCert证书
DigiCert是一个证书颁发机构(CA),向移动设备颁发证书,提高应用和数据的安全性。Mobile Device Manager Plus与DigiCert集成,简化了特定于用户的证书创建和分发流程,减轻IT管理员工作量。
DigiCert CA与Mobile Device Manager Plus集成后,企业可以提供移动设备的无密码身份验证,减少用户的密码重置请求和密码疲劳。IT管理员还可以自动更新证书,保证设备上的证书不过期。
本文档介绍了使用Mobile Device Manager Plus管理DigiCert证书必须的两大步骤:创建CA服务器和模板。
添加CA服务器
在MDM中添加DigiCert CA服务器的步骤如下:
生成证书签名请求(CSR)
- 打开MDM服务器,导航到设备管理 -> 证书,打开CA服务器选项卡。
- 点击添加CA服务器,在MDM上创建一个新的CA服务器。
- 在服务器类型下,选择DigiCert。
- 复制生成的证书签名请求(CSR)。用于在DigiCert门户上生成注册机构(RA)证书。
从DigiCert PKI Manager获取RA证书
- 登录到DigiCert PKI Manager,创建RA证书。
- 从任务菜单中,选择获取RA证书。
- 粘贴从MDM控制台复制的CSR,并在输入证书友好名称下指定一个用于识别证书的名称。
- 点击继续并下载RA证书。
在DigiCert PKI Manager中创建证书配置文件
- 在DigiCert PKI Manager控制台,点击管理证书配置文件。
- 从顶部菜单选择添加证书配置文件。
- 为创建的配置文件选择配置模式。可选模式如下:
- 测试模式:此配置文件将用于测试。测试完成后,配置文件和证书就可以转移到生产中。
- 生产模式:此配置文件将用于管理活动用户和证书。
- 点击继续。
- 配置文件类型选择MDM。这表示CA服务器将向MDM解决方案中注册的设备颁发证书。点击继续。
- 在证书友好名称下为证书模板指定名称。
- 点击高级设置配置其他详细信息。
- 在主体DN下,点击添加字段。
- 在证书字段下拉列表中,选择唯一标识符。在字段值的来源下拉列表中,选择Scep请求。
- 在SubjectAltName中,点击添加字段。在证书字段下,选择其他名称(UPN)。
- 字段值的来源选择Scep请求。
- 点击保存和继续,保存证书配置文件。
- 复制证书配置文件OID和SCEP注册URL,粘贴到MDM控制台。
向MDM服务器添加DigiCert服务器详细信息
- 打开MDM控制台,粘贴配置文件OID和DigiCert URL。上传DigiCert门户生成的RA证书。
- 点击保存,添加DigiCert服务器到MDM。
创建证书模板
证书模板包含了CA服务器生成并向被管设备颁发证书所需的信息。配置证书模板的步骤如下:
- 打开MDM服务器,点击模板选项卡,新建模板并命名。
- 使用动态变量主体字段,如%username%或者%email%。
- 主体备选名称类型选择RFC 822名称,主体备选名称类型值输入%email%。
- 选择密钥长度和密钥使用字段。
- 您还可以为证书自动更新勾选是,将证书配置为到期后自动更新,并指定证书必须提前多少天自动更新。
将证书配置为到期后自动更新
向被管设备分发证书前,需要将这些设备与SCEP配置文件关联,创建SCEP配置文件并关联到设备的步骤如下:
-
导航到设备管理 -> 配置文件,创建Apple/安卓/Windows配置文件。
- 从支持的策略列表中选择SCEP。
- 选择已创建的证书模板。
- 点击保存并发布配置文件。
建议在将配置文件分发到生产环境之前,先关联到设备进行测试。测试完成后,您可以通过组将配置文件分发到生产环境中。
Copyright © 2023,
ZOHO Corp. All Rights Reserved.
