简单证书注册协议（SCEP）

简单证书注册协议（SCEP）是一种证书管理协议，主要用于启用基于证书的身份验证。借助SCEP, Mobile Device Manager Plus允许您在被管的安卓设备上强制实施WiFi、VPN和电子邮件配置的基于证书的身份验证。

一般来说，在大型组织中，IT管理员手动为组织网络中的所有安卓设备颁发客户端证书是一项繁琐的任务。SCEP通过提供一种简单且可扩展的方法来处理组织内的证书，从而简化了证书的配置和分发。

使用SCEP的基于证书的身份验证的主要优点如下：

• 零用户干预，因为用户使用证书自动进行身份验证。
• 消除了手动配置特定于用户的客户端证书的负担。
• 使用证书对数据进行加密和身份验证，从而确保网络通信的安全。
• 通过提供双因素身份验证，客户端证书还可以作为额外的安全层；可以避免使用未经授权的设备访问业务数据或连接到与工作相关的WiFi或VPN网络而造成的安全威胁。

先决条件

• NDES必须安装在Windows服务器计算机中
• 配置证书模板
1. 点击开始菜单，选择运行，键入mmc，然后点击OK。
2. 点击文件并选择添加/移除管理单元...。选择证书模板，点击添加，然后点击OK。

    

3. 右击证书模板并选择管理。
4. 点击用户，然后选择复制模板。



5. 指定模板显示名称，然后点击OK进行保存。



6. 点击扩展，选择应用程序策略。点击编辑，然后选择客户端身份验证，以将其添加到应用程序策略。

      

7. 点击密码术并指定最小密钥大小。建议密码大小为2048，因为它可以增强安全性。在MDM中配置SCEP时指定此密钥大小。



8. 点击安全性，并选择要应用策略的组。请确保注册是所选域的允许权限。



9. 点击主体名称，并选择在请求中提供，以在证书请求中指定主体名称。



• 将证书模板映射到SCEP
1. 在Microsoft管理控制台（MMC）中添加证书颁发机构作为管理单元。

    

2. 展开证书颁发机构并右击证书模板。点击新建，然后选择要发布的证书模板。



3. 选择之前创建的证书模板并点击OK。

    

要更改Microsoft NDE使用的默认证书模板，必须更改Windows注册表值。

4. 点击开始菜单，选择运行，键入regedit，然后点击OK。
5. 展开HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP。
6. 右击加密模板并点击修改。



7. 为值日期指定创建的证书模板的名称。为通用模板和签名模板重复相同的操作。重启服务器计算机一次以使更改生效。



• 挑战密码
如果您使用的是挑战密码（推荐），则必须修改注册表值以防止挑战密码过期。

1. 打开注册表并展开HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword。
2. 右击UseSinglePassword并将data的值更改为1。



配置完成后，重启NDES服务器。

在MDM中配置SCEP