XenMobile Server

SCEP-Geräterichtlinie

Mit dieser Richtlinie können Sie iOS- und macOS-Geräte für den Empfang eines Zertifikats über Simple Certificate Enrollment Protocol (SCEP) von einem externen SCEP-Server konfigurieren. Wenn Sie Zertifikate mit SCEP von einer mit XenMobile verbundenen PKI auf Geräten bereitstellen möchten, erstellen Sie eine PKI-Entität und einen PKI-Anbieter im verteilten Modus. Weitere Informationen finden Sie unter PKI-Entitäten.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

iOS-Einstellungen

Abbildung des Konfigurationsbildschirms für Geräterichtlinien

  • URL-Basis: Geben Sie die Adresse des SCEP-Servers ein, an den SCEP-Anforderungen über HTTP oder HTTPS gesendet werden. Der private Schlüssel wird nicht mit der Zertifikatsignieranforderung gesendet, daher kann die Anforderung ggf. unverschlüsselt gesendet werden. Wenn das Einmalkennwort jedoch wiederverwendet werden darf, sollten Sie HTTPS zum Schutz des Kennworts verwenden. Dieser Schritt ist erforderlich.
  • Instanzname: Geben Sie eine beliebige Zeichenfolge ein, die der SCEP-Server erkennt. Dies kann beispielsweise ein Domänenname wie “example.org” sein. Wenn eine Zertifizierungsstelle mehrere Zertifizierungsstellenzertifikate hat, können Sie dieses Feld zur Unterscheidung der Domäne verwenden. Dieser Schritt ist erforderlich.
  • X.500-Name des Antragstellers (RFC 2253): Geben Sie die Darstellung eines X.500-Namens als Anordnung von Objektbezeichner (OID) und Wert ein. Beispiel: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar steht für [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Sie können OIDs in Form von Zahlen mit Punkten und Abkürzungen für Land (C), Ort (L), Staat (ST), Unternehmen (O), Organisationseinheit (OU) und allgemeinen Namen (CN) darstellen.
  • Alternativer Antragstellernamenstyp: Klicken Sie in der Dropdownliste auf einen alternativen Namenstyp. In der SCEP-Richtlinie kann optional ein alternativer Namenstyp definiert sein, der die von der Zertifizierungsstelle für die Ausstellung eines Zertifikats angeforderten Werte bereitstellt. Zur Auswahl stehen Ohne, RFC 822-Name, DNS-Name und URI.
  • Wiederholungsversuche maximal: Geben Sie die Anzahl der Wiederholungsversuche für den Fall ein, dass der SCEP-Server eine AUSSTEHEND-Antwort an Geräte sendet. Der Standardwert ist 3.
  • Wiederholungsverzögerung: Geben Sie die Wartezeit in Sekunden zwischen den Wiederholungsversuchen ein. Der erste Wiederholungsversuch erfolgt ohne Verzögerung. Der Standardwert ist 10.
  • Kennwort überprüfen: Geben Sie einen gemeinsamen geheimen Schlüssel ein.
  • Schlüsselgröße (Bit): Wählen Sie 2048 oder höher als Schlüsselgröße in Bit.
  • Als digitale Signatur verwenden: Geben Sie an, ob das Zertifikat als digitale Signatur verwendet werden soll. Wenn jemand das Zertifikat verwendet, um eine digitale Signatur zu prüfen (z. B. um zu prüfen, ob ein Zertifikat von einer Zertifizierungsstelle ausgestellt wurde), prüft der SCEP-Server, ob das Zertifikat auf diese Weise verwendet werden kann, bevor er den Hashwert mit dem öffentlichen Schlüssel entschlüsselt.
  • Für Schlüsselchiffrierung verwenden: Geben Sie an, ob das Zertifikat für die Schlüsselchiffrierung verwendet werden soll. Bevor ein Server mit dem öffentlichen Schlüssel in einem von einem Client stammenden Zertifikat prüft, ob bestimmte Daten mit dem privaten Schlüssel verschlüsselt wurden, prüft er, ob das Zertifikat zur Schlüsselchiffrierung verwendet werden kann. Sonst kann die Spiegelung nicht durchgeführt werden.
  • SHA1/MD5-Fingerabdruck (hexadezimale Zeichenfolge): Wenn Ihre Zertifizierungsstelle HTTP verwendet, geben Sie hier den Fingerabdruck des ZS-Zertifikats an, anhand dessen Geräte die Echtheit der Antwort von der Zertifizierungsstelle prüfen. Sie können einen SHA1- oder MD5-Fingerabdruck eingeben oder ein Zertifikat für den Import von dessen Signatur auswählen.

  • Richtlinieneinstellungen
    • Richtlinie entfernen: Wählen Sie eine Methode, um das Entfernen von Richtlinien zu planen. Verfügbare Optionen sind Datum auswählen und Zeit bis zum Entfernen (in Stunden)
      • Datum auswählen: Klicken Sie auf den Kalender, um das Datum für das Entfernen anzugeben.
      • Zeit bis zum Entfernen (in Stunden): Geben Sie ein, in wie vielen Stunden die Richtlinie entfernt wird. Nur für iOS 6.0 und höher verfügbar.

macOS-Einstellungen

Abbildung des Konfigurationsbildschirms für Geräterichtlinien

  • URL-Basis: Geben Sie die Adresse des SCEP-Servers ein, an den SCEP-Anforderungen über HTTP oder HTTPS gesendet werden. Der private Schlüssel wird nicht mit der Zertifikatsignieranforderung gesendet, daher kann die Anforderung ggf. unverschlüsselt gesendet werden. Wenn das Einmalkennwort jedoch wiederverwendet werden darf, sollten Sie HTTPS zum Schutz des Kennworts verwenden. Dieser Schritt ist erforderlich.
  • Instanzname: Geben Sie eine beliebige Zeichenfolge ein, die der SCEP-Server erkennt. Dies kann beispielsweise ein Domänenname wie “example.org” sein. Wenn eine Zertifizierungsstelle mehrere Zertifizierungsstellenzertifikate hat, können Sie dieses Feld zur Unterscheidung der Domäne verwenden. Dieser Schritt ist erforderlich.
  • X.500-Name des Antragstellers (RFC 2253): Geben Sie die Darstellung eines X.500-Namens als Anordnung von Objektbezeichner (OID) und Wert ein. Beispiel: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar steht für [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Sie können OIDs in Form von Zahlen mit Punkten und Abkürzungen für Land (C), Ort (L), Staat (ST), Unternehmen (O), Organisationseinheit (OU) und allgemeinen Namen (CN) darstellen.
  • Alternativer Antragstellernamenstyp: Klicken Sie in der Dropdownliste auf einen alternativen Namenstyp. In der SCEP-Richtlinie kann optional ein alternativer Namenstyp definiert sein, der die von der Zertifizierungsstelle für die Ausstellung eines Zertifikats angeforderten Werte bereitstellt. Zur Auswahl stehen Ohne, RFC 822-Name, DNS-Name und URI.
  • Wiederholungsversuche maximal: Geben Sie die Anzahl der Wiederholungsversuche für den Fall ein, dass der SCEP-Server eine AUSSTEHEND-Antwort an Geräte sendet. Der Standardwert ist 3.
  • Wiederholungsverzögerung: Geben Sie die Wartezeit in Sekunden zwischen den Wiederholungsversuchen ein. Der erste Wiederholungsversuch erfolgt ohne Verzögerung. Der Standardwert ist 10.
  • Kennwort überprüfen: Geben Sie einen gemeinsamen geheimen Schlüssel ein.
  • Schlüsselgröße (Bit): Wählen Sie 2048 oder höher als Schlüsselgröße in Bit.
  • Als digitale Signatur verwenden: Geben Sie an, ob das Zertifikat als digitale Signatur verwendet werden soll. Wenn jemand das Zertifikat verwendet, um eine digitale Signatur zu prüfen (z. B. um zu prüfen, ob ein Zertifikat von einer Zertifizierungsstelle ausgestellt wurde), prüft der SCEP-Server, ob das Zertifikat auf diese Weise verwendet werden kann, bevor er den Hashwert mit dem öffentlichen Schlüssel entschlüsselt.
  • Für Schlüsselchiffrierung verwenden: Geben Sie an, ob das Zertifikat für die Schlüsselchiffrierung verwendet werden soll. Bevor ein Server mit dem öffentlichen Schlüssel in einem von einem Client stammenden Zertifikat prüft, ob bestimmte Daten mit dem privaten Schlüssel verschlüsselt wurden, prüft er, ob das Zertifikat zur Schlüsselchiffrierung verwendet werden kann. Sonst kann die Spiegelung nicht durchgeführt werden.
  • SHA1/MD5-Fingerabdruck (hexadezimale Zeichenfolge): Wenn Ihre Zertifizierungsstelle HTTP verwendet, geben Sie hier den Fingerabdruck des ZS-Zertifikats an, anhand dessen Geräte die Echtheit der Antwort von der Zertifizierungsstelle prüfen. Sie können einen SHA1- oder MD5-Fingerabdruck eingeben oder ein Zertifikat für den Import von dessen Signatur auswählen.

  • Richtlinieneinstellungen
    • Richtlinie entfernen: Wählen Sie eine Methode, um das Entfernen von Richtlinien zu planen. Verfügbare Optionen sind Datum auswählen und Zeit bis zum Entfernen (in Stunden)
      • Datum auswählen: Klicken Sie auf den Kalender, um das Datum für das Entfernen anzugeben.
      • Zeit bis zum Entfernen (in Stunden): Geben Sie ein, in wie vielen Stunden die Richtlinie entfernt wird.
    • Benutzer darf Richtlinie entfernen: Sie können auswählen, wann Benutzer die Richtlinie von ihrem Gerät entfernen dürfen. Wählen Sie Immer, Passcode erforderlich oder Nie aus dem Menü. Wenn Sie Passcode erforderlich auswählen, geben Sie den Passcode in das Feld Passcode zum Entfernen ein.
    • Gültigkeitsbereich für Profil: Wählen Sie aus, ob diese Richtlinie für einen Benutzer oder ein ganzes System gilt. Die Standardeinstellung ist Benutzer. Diese Option ist nur für macOS 10.7 und höher verfügbar.
SCEP-Geräterichtlinie