Serveur XenMobile®

Stratégie d’appareil SCEP

April 16, 2026

Contributeur:

C C

Cette stratégie vous permet de configurer les appareils iOS et macOS pour récupérer un certificat à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol) à partir d’un serveur SCEP externe. Si vous souhaitez distribuer un certificat à l’appareil à l’aide de SCEP à partir d’une PKI connectée à XenMobile, vous devez créer une entité PKI et un fournisseur PKI en mode distribué. Pour plus de détails, consultez Entités PKI.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour plus d’informations, consultez Stratégies d’appareil.

Paramètres iOS

Image de l'écran de configuration des stratégies d'appareil

URL de base : Saisissez l’adresse du serveur SCEP pour définir l’endroit où les requêtes SCEP sont envoyées, via HTTP ou HTTPS. La clé privée n’est pas envoyée avec la demande de signature de certificat (CSR), il peut donc être sûr d’envoyer la requête non chiffrée. Cependant, si le mot de passe à usage unique est autorisé à être réutilisé, vous devez utiliser HTTPS pour protéger le mot de passe. Cette étape est obligatoire.
Nom d’instance : Saisissez toute chaîne de caractères que le serveur SCEP reconnaît. Par exemple, il peut s’agir d’un nom de domaine comme example.org. Si une autorité de certification (CA) possède plusieurs certificats CA, vous pouvez utiliser ce champ pour distinguer le domaine requis. Cette étape est obligatoire.
Nom du sujet X.500 (RFC 2253) : Saisissez la représentation d’un nom X.500 représenté comme un tableau d’identificateurs d’objet (OID) et de valeurs. Par exemple, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, ce qui pourrait se traduire par : [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Vous pouvez représenter les OID comme des nombres séparés par des points avec des raccourcis pour le pays (C), la localité (L), l’état (ST), l’organisation (O), l’unité organisationnelle (OU) et le nom commun (CN).
Type de noms alternatifs du sujet : Cliquez sur un type de nom alternatif dans la liste déroulante. La stratégie SCEP peut spécifier un type de nom alternatif facultatif qui fournit les valeurs requises par l’autorité de certification (CA) pour l’émission d’un certificat. Vous pouvez spécifier Aucun, Nom RFC 822, Nom DNS ou URI.
Nombre maximal de tentatives : Saisissez le nombre de fois qu’un appareil peut réessayer lorsque le serveur SCEP envoie une réponse PENDING. La valeur par défaut est 3.
Délai de nouvelle tentative : Saisissez le nombre de secondes à attendre entre les tentatives suivantes. La première tentative est effectuée sans délai. La valeur par défaut est 10.
Mot de passe de défi : Saisissez un secret pré-partagé.
Taille de la clé (bits) : Sélectionnez 2048 ou une valeur supérieure comme taille de clé en bits.
Utiliser comme signature numérique : Spécifiez si vous souhaitez que le certificat soit utilisé comme signature numérique. Si quelqu’un utilise le certificat pour vérifier une signature numérique, par exemple pour vérifier si un certificat a été émis par une autorité de certification (CA), le serveur SCEP vérifierait que le certificat peut être utilisé de cette manière avant d’utiliser la clé publique pour déchiffrer le hachage.
Utiliser pour le chiffrement de clé : Spécifiez si vous souhaitez que le certificat soit utilisé pour le chiffrement de clé. Si un serveur utilise la clé publique dans un certificat fourni par un client pour vérifier qu’une donnée a été chiffrée à l’aide de la clé privée, le serveur vérifierait d’abord si le certificat peut être utilisé pour le chiffrement de clé. Si ce n’est pas le cas, l’opération échoue.
Empreinte SHA1/MD5 (chaîne hexadécimale) : Si votre autorité de certification (CA) utilise HTTP, utilisez ce champ pour fournir l’empreinte du certificat CA, que l’appareil utilise pour confirmer l’authenticité de la réponse CA pendant l’inscription. Vous pouvez saisir une empreinte SHA1 ou MD5, ou vous pouvez sélectionner un certificat pour importer sa signature.
Paramètres de la stratégie
- Supprimer la stratégie : Choisissez une méthode pour planifier la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Durée avant suppression (en heures).
  - Sélectionner une date : Cliquez sur le calendrier pour sélectionner la date spécifique de suppression.
  - Durée avant suppression (en heures) : Saisissez un nombre, en heures, jusqu’à ce que la suppression de la stratégie ait lieu. Disponible uniquement pour iOS 6.0 et versions ultérieures.

Paramètres macOS

Image de l'écran de configuration des stratégies d'appareil

URL de base : Saisissez l’adresse du serveur SCEP pour définir l’endroit où les requêtes SCEP sont envoyées, via HTTP ou HTTPS. La clé privée n’est pas envoyée avec la demande de signature de certificat (CSR), il peut donc être sûr d’envoyer la requête non chiffrée. Cependant, si le mot de passe à usage unique est autorisé à être réutilisé, vous devez utiliser HTTPS pour protéger le mot de passe. Cette étape est obligatoire.
Nom d’instance : Saisissez toute chaîne de caractères que le serveur SCEP reconnaît. Par exemple, il peut s’agir d’un nom de domaine comme example.org. Si une autorité de certification (CA) possède plusieurs certificats CA, vous pouvez utiliser ce champ pour distinguer le domaine requis. Cette étape est obligatoire.
Nom du sujet X.500 (RFC 2253) : Saisissez la représentation d’un nom X.500 représenté comme un tableau d’identificateurs d’objet (OID) et de valeurs. Par exemple, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, ce qui pourrait se traduire par : [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Vous pouvez représenter les OID comme des nombres séparés par des points avec des raccourcis pour le pays (C), la localité (L), l’état (ST), l’organisation (O), l’unité organisationnelle (OU) et le nom commun (CN).
Type de noms alternatifs du sujet : Cliquez sur un type de nom alternatif dans la liste déroulante. La stratégie SCEP peut spécifier un type de nom alternatif facultatif qui fournit les valeurs requises par l’autorité de certification (CA) pour l’émission d’un certificat. Vous pouvez spécifier Aucun, Nom RFC 822, Nom DNS ou URI.
Nombre maximal de tentatives : Saisissez le nombre de fois qu’un appareil peut réessayer lorsque le serveur SCEP envoie une réponse PENDING. La valeur par défaut est 3.
Délai de nouvelle tentative : Saisissez le nombre de secondes à attendre entre les tentatives suivantes. La première tentative est effectuée sans délai. La valeur par défaut est 10.
Mot de passe de défi : Saisissez un secret pré-partagé.
Taille de la clé (bits) : Sélectionnez 2048 ou une valeur supérieure comme taille de clé en bits.
Utiliser comme signature numérique : Spécifiez si vous souhaitez que le certificat soit utilisé comme signature numérique. Si quelqu’un utilise le certificat pour vérifier une signature numérique, par exemple pour vérifier si un certificat a été émis par une autorité de certification (CA), le serveur SCEP vérifierait que le certificat peut être utilisé de cette manière avant d’utiliser la clé publique pour déchiffrer le hachage.
Utiliser pour le chiffrement de clé : Spécifiez si vous souhaitez que le certificat soit utilisé pour le chiffrement de clé. Si un serveur utilise la clé publique dans un certificat fourni par un client pour vérifier qu’une donnée a été chiffrée à l’aide de la clé privée, le serveur vérifierait d’abord si le certificat peut être utilisé pour le chiffrement de clé. Si ce n’est pas le cas, l’opération échoue.
Empreinte SHA1/MD5 (chaîne hexadécimale) : Si votre autorité de certification (CA) utilise HTTP, utilisez ce champ pour fournir l’empreinte du certificat CA, que l’appareil utilise pour confirmer l’authenticité de la réponse CA pendant l’inscription. Vous pouvez saisir une empreinte SHA1 ou MD5, ou vous pouvez sélectionner un certificat pour importer sa signature.
Paramètres de la stratégie
- Supprimer la stratégie : Choisissez une méthode pour planifier la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Durée avant suppression (en heures).
  - Sélectionner une date : Cliquez sur le calendrier pour sélectionner la date spécifique de suppression.
  - Durée avant suppression (en heures) : Saisissez un nombre, en heures, jusqu’à ce que la suppression de la stratégie ait lieu.
- Autoriser l’utilisateur à supprimer la stratégie : Vous pouvez sélectionner quand les utilisateurs peuvent supprimer la stratégie de leur appareil. Sélectionnez Toujours, Code d’accès requis ou Jamais dans le menu. Si vous sélectionnez Code d’accès requis, saisissez un code d’accès dans le champ Code d’accès de suppression.
- Portée du profil : Sélectionnez si cette stratégie s’applique à un Utilisateur ou à un Système entier. La valeur par défaut est Utilisateur. Cette option est disponible uniquement sur macOS 10.7 et versions ultérieures.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Stratégie d’appareil SCEP

April 16, 2026

Contributeur:

C C

April 16, 2026

Contributeur:

C C

Cela vous a-t-il été utile ?