Citrix Endpoint Management

SCEP-Geräterichtlinie

Mit dieser Richtlinie können Sie iOS- und macOS-Geräte für den Empfang eines Zertifikats über Simple Certificate Enrollment Protocol (SCEP) von einem externen SCEP-Server konfigurieren. Um Zertifikate mit SCEP von einer mit Endpoint Management verbundenen PKI auf Geräten bereitzustellen, erstellen Sie eine PKI-Entität und einen PKI-Anbieter im verteilten Modus. Einzelheiten finden Sie unter PKI-Entitäten.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

iOS-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

  • URL-Basis: Geben Sie die Adresse des SCEP-Servers ein, an den SCEP-Anforderungen über HTTP oder HTTPS gesendet werden. Der private Schlüssel wird nicht mit der Zertifikatsignieranforderung gesendet, daher kann die Anforderung ggf. unverschlüsselt gesendet werden. Wenn das Einmalkennwort wiederverwendet werden soll, verwenden Sie HTTPS, um das Kennwort zu schützen. Dieser Schritt ist erforderlich.
  • Instanzname: Geben Sie eine beliebige Zeichenfolge ein, die der SCEP-Server erkennt. Dies kann beispielsweise ein Domänenname wie “example.org” sein. Wenn eine Zertifizierungsstelle mehrere Zertifizierungsstellenzertifikate hat, können Sie dieses Feld zur Unterscheidung der Domäne verwenden. Dieser Schritt ist erforderlich.
  • X.500-Name des Antragstellers (RFC 2253): Geben Sie die Darstellung eines X.500-Namens als Anordnung von Objektbezeichner (OID) und Wert ein. Beispiel: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar. Dies wird übersetzt in [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Sie können OIDs in Form von Zahlen mit Punkten und Abkürzungen für Land (C), Ort (L), Staat (ST), Unternehmen (O), Organisationseinheit (OU) und allgemeinen Namen (CN) darstellen.

  • Alternativer Antragstellernamenstyp: Wählen Sie einen alternativen Namenstyp. Ein optional verwendeter, alternativer Namenstyp kann die von der Zertifizierungsstelle für die Ausstellung eines Zertifikats angeforderten Werte bereitstellen. Zur Auswahl stehen Ohne, RFC 822-Name, DNS-Name und URI.
  • Wiederholungsversuche maximal: Geben Sie die Anzahl der Wiederholungsversuche für den Fall ein, dass der SCEP-Server eine AUSSTEHEND-Antwort an Geräte sendet. Der Standardwert ist 3.
  • Wiederholungsverzögerung: Geben Sie die Wartezeit in Sekunden zwischen den Wiederholungsversuchen ein. Der erste Wiederholungsversuch erfolgt ohne Verzögerung. Die Standardeinstellung ist 10.
  • Kennwort überprüfen: Geben Sie einen gemeinsamen geheimen Schlüssel ein.
  • Schlüsselgröße (Bit): Wählen Sie 2048 oder höher als Schlüsselgröße in Bit.
  • Als digitale Signatur verwenden: Wählen Sie, ob das Zertifikat als digitale Signatur verwendet werden soll. Der SCEP-Server überprüft die Verwendung des Zertifikats als digitale Signatur, bevor der Hash mit dem öffentlichen Schlüssel entschlüsselt wird.
  • Für Schlüsselchiffrierung verwenden: Wählen Sie, ob das Zertifikat für die Schlüsselchiffrierung verwendet werden soll. Ein Server prüft zunächst, ob das vom Client bereitgestellte Zertifikat für die Schlüsselverschlüsselung zulässig ist. Anschließend verwendet der Server den öffentlichen Schlüssel in einem Zertifikat, um zu überprüfen, ob ein Datenelement mit dem privaten Schlüssel verschlüsselt wurde. Sonst kann die Spiegelung nicht durchgeführt werden.
  • SHA-256-Fingerabdruck (hexadezimale Zeichenfolge): Wenn Ihre Zertifizierungsstelle HTTP verwendet, geben Sie hier den Fingerabdruck des ZS-Zertifikats an. Mit dem Fingerabdruck bestätigt das Gerät die Authentizität der Antwort der Zertifizierungsstelle bei der Registrierung. Sie können einen SHA-256-Fingerabdruck bereitstellen oder ein Zertifikat für den Import von dessen Signatur auswählen.

  • Richtlinieneinstellungen
    • Richtlinie entfernen: Wählen Sie eine Methode, um das Entfernen von Richtlinien zu planen. Verfügbare Optionen sind Datum auswählen und Zeit bis zum Entfernen (in Stunden)
      • Datum auswählen: Klicken Sie auf den Kalender, um das Datum für das Entfernen anzugeben.
      • Zeit bis zum Entfernen (in Stunden): Geben Sie ein, in wie vielen Stunden die Richtlinie entfernt wird. Nur für iOS 6.0 und höher verfügbar.

macOS-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

  • URL-Basis: Geben Sie die Adresse des SCEP-Servers ein, an den SCEP-Anforderungen über HTTP oder HTTPS gesendet werden. Der private Schlüssel wird nicht mit der Zertifikatsignieranforderung gesendet, daher kann die Anforderung ggf. unverschlüsselt gesendet werden. Wenn das Einmalkennwort wiederverwendet werden soll, verwenden Sie HTTPS, um das Kennwort zu schützen. Dieser Schritt ist erforderlich.
  • Instanzname: Geben Sie eine beliebige Zeichenfolge ein, die der SCEP-Server erkennt. Dies kann beispielsweise ein Domänenname wie “example.org” sein. Wenn eine Zertifizierungsstelle mehrere Zertifizierungsstellenzertifikate hat, können Sie dieses Feld zur Unterscheidung der Domäne verwenden. Dieser Schritt ist erforderlich.
  • X.500-Name des Antragstellers (RFC 2253): Geben Sie die Darstellung eines X.500-Namens als Anordnung von Objektbezeichner (OID) und Wert ein. Beispiel: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar. Dies wird übersetzt in [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Sie können OIDs in Form von Zahlen mit Punkten und Abkürzungen für Land (C), Ort (L), Staat (ST), Unternehmen (O), Organisationseinheit (OU) und allgemeinen Namen (CN) darstellen.
  • Alternativer Antragstellernamenstyp: Wählen Sie einen alternativen Namenstyp. Ein optional verwendeter, alternativer Namenstyp kann die von der Zertifizierungsstelle für die Ausstellung eines Zertifikats angeforderten Werte bereitstellen. Zur Auswahl stehen Ohne, RFC 822-Name, DNS-Name und URI.
  • Wiederholungsversuche maximal: Geben Sie die Anzahl der Wiederholungsversuche für den Fall ein, dass der SCEP-Server eine AUSSTEHEND-Antwort an Geräte sendet. Der Standardwert ist 3.
  • Wiederholungsverzögerung: Geben Sie die Wartezeit in Sekunden zwischen den Wiederholungsversuchen ein. Der erste Wiederholungsversuch erfolgt ohne Verzögerung. Die Standardeinstellung ist 10.
  • Kennwort überprüfen: Geben Sie einen gemeinsamen geheimen Schlüssel ein.
  • Schlüsselgröße (Bit): Wählen Sie 2048 oder höher als Schlüsselgröße in Bit.
  • Als digitale Signatur verwenden: Wählen Sie, ob das Zertifikat als digitale Signatur verwendet werden soll. Der SCEP-Server überprüft die Verwendung des Zertifikats als digitale Signatur, bevor der Hash mit dem öffentlichen Schlüssel entschlüsselt wird.
  • Für Schlüsselchiffrierung verwenden: Wählen Sie, ob das Zertifikat für die Schlüsselchiffrierung verwendet werden soll. Ein Server prüft zunächst, ob das vom Client bereitgestellte Zertifikat für die Schlüsselverschlüsselung zulässig ist. Anschließend verwendet der Server den öffentlichen Schlüssel in einem Zertifikat, um zu überprüfen, ob ein Datenelement mit dem privaten Schlüssel verschlüsselt wurde. Sonst kann die Spiegelung nicht durchgeführt werden.
  • SHA-256-Fingerabdruck (hexadezimale Zeichenfolge): Wenn Ihre Zertifizierungsstelle HTTP verwendet, geben Sie hier den Fingerabdruck des ZS-Zertifikats an. Mit dem Fingerabdruck bestätigt das Gerät die Authentizität der Antwort der Zertifizierungsstelle bei der Registrierung. Sie können einen SHA-256-Fingerabdruck bereitstellen oder ein Zertifikat für den Import von dessen Signatur auswählen.

  • Richtlinieneinstellungen
    • Richtlinie entfernen: Wählen Sie eine Methode, um das Entfernen von Richtlinien zu planen. Verfügbare Optionen sind Datum auswählen und Zeit bis zum Entfernen (in Stunden)
      • Datum auswählen: Klicken Sie auf den Kalender, um das Datum für das Entfernen anzugeben.
      • Zeit bis zum Entfernen (in Stunden): Geben Sie ein, in wie vielen Stunden die Richtlinie entfernt wird.
    • Benutzer darf Richtlinie entfernen: Sie können auswählen, wann Benutzer die Richtlinie von ihrem Gerät entfernen dürfen. Wählen Sie Immer, Passcode erforderlich oder Nie aus dem Menü. Wenn Sie Passcode erforderlich auswählen, geben Sie den Passcode in das Feld Passcode zum Entfernen ein.
    • Gültigkeitsbereich für Profil: Wählen Sie aus, ob diese Richtlinie für einen Benutzer oder ein ganzes System gilt. Die Standardeinstellung ist Benutzer. Diese Option ist nur für macOS 10.7 und höher verfügbar.
SCEP-Geräterichtlinie