将通用SCEP服务器与MDM集成
通过通用SCEP集成,IT管理员可以利用简单证书注册协议安全地将证书注册请求部署到使用MDM的设备。MDM可以与您的CA服务器集成,动态创建用户特定的证书,并大规模分发证书,通过自动配置、续订和静默安装设备上的证书,促进证书的大量部署。
在MDM中配置SCEP
按照以下步骤在MDM中配置SCEP
- 在 MDM 控制台,导航至 设备管理 -> 证书
- 点击 CA服务器 选项卡并点击 添加CA服务器
- 提供以下详细信息:
| 配置文件规范 | 描述 |
|---|---|
| 服务器类型 | 指定服务器类型为通用SCEP。 |
| 证书颁发机构名称 | 指定颁发证书的证书颁发机构名称。 |
| 服务器URL | 设备用于获取证书时需指定的URL。如果SCEP服务器位于组织网络内且未对外暴露,提供HTTP服务器URL。证书请求通过此URL发出。 |
| 添加CA证书 | 上传证书颁发机构的证书 |
为CA服务器创建模板
为创建用户特定的证书,需要基于模板配置所有由CA颁发的证书。
按以下步骤在MDM上配置模板:
- 导航至 设备管理 -> 证书.
- 点击 模板 选项卡并点击 添加模板
- 选择模板所属的服务器。本例中,选择之前添加的通用SCEP服务器
- 提供以下详细信息:
| 配置文件规范 | 描述 |
|---|---|
| 证书模板名称 | 指定证书模板名称。 |
| 主题 | 指定需要出现在证书中的主题DN。您可以使用动态键如 %username%, %email%, %firstname% 来获取映射到设备的相应详细信息。例如,您可以输入 C=US,O=Zylker,OU=Zylker,CN=%firstname%。 |
| 主题备用名称类型 | 指定以下值之一, 无,RFC 822 名称,DNS 名称 或 统一资源标识符 作为主题备用名称类型。 |
| 主题备用名称值 (仅当配置了主题备用名称类型时可设置) | 指定主题备用名称的值。输入的值可以包括DNS名称、URI或电子邮件。例如,可以使用动态键 %email% 作为邮件。 |
| NT主体名称 | 指定组织中使用的NT主体名称。 |
| 指定失败尝试次数后擦除设备 | 指定允许从CA获取证书的最大失败验证尝试次数。超过最大次数后,用户将被临时限制尝试验证用户账户。 |
| 尝试间隔时间 | 指定再次尝试获取证书之前的等待时间。 |
| 挑战类型 | 由CA提供的预共享密钥,增加额外安全层。如果选择 静态 ,挑战密码将提交给SCEP服务器进行身份验证。如果选择无 ,SCEP服务器不请求身份验证,任何设备均可通过访问SCEP URL接收证书。 |
| 注册挑战密码 (仅当选择静态挑战类型时可配置) | 提供用于身份验证的挑战密码。所有设备将使用指定密码进行身份验证。 |
| 密钥大小 | 指定密钥为1024位或2048位 |
| 用作数字签名 | 启用此选项确保证书可用于数字签名 |
| 用于密钥加密 | 启用此选项确保证书可用于密钥加密 |
| 证书自动续订 | 启用此选项确保证书在过期前自动续订。 |
| 证书自动续订提前时间 | 指定证书必须自动续订的提前天数。 |
创建SCEP配置文件
要向受管设备分发证书,需要将SCEP配置文件关联到这些设备。按以下步骤创建并将SCEP配置文件关联到设备
- 导航至 设备管理 -> 配置文件 并创建Apple、Android或Windows配置文件。
- 选择 SCEP 在左侧窗格中。
- 选择已创建的证书模板。
- 点击 保存 并发布配置文件。
建议在向生产环境分发之前,先将 配置文件分发到测试设备 进行测试。测试完成后,您可以通过 组.
将配置文件分发到生产环境。