Citrix Endpoint Management

Stratégie SCEP

Cette stratégie vous permet de configurer des appareils iOS et macOS afin de récupérer un certificat à l’aide du protocole d’inscription du certificat simple (SCEP) à partir d’un serveur SCEP externe. Pour mettre à disposition un certificat sur l’appareil à l’aide du protocole SCEP à partir d’une PKI connectée à Citrix Endpoint Management, créez une entité PKI et un fournisseur PKI en mode distribué. Pour plus d’informations, veuillez consulter la section Entités PKI.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Paramètres iOS

Écran de configuration Stratégies d'appareil

  • URL de base : entrez l’adresse du serveur SCEP afin de définir où les demandes SCEP sont envoyées, par HTTP ou HTTPS. La clé privée n’est pas envoyée avec la demande de signature de certificat (CSR) ; il est donc possible d’envoyer la demande non chiffrée sans danger. Si le mot de passe à usage unique est configuré pour être réutilisé, utilisez HTTPS pour protéger le mot de passe. Cette étape est requise.
  • Nom d’instance : entrez une chaîne reconnue par le serveur SCEP. Par exemple, il peut s’agir d’un nom de domaine comme exemple.org. Si une autorité de certification dispose de plusieurs certificats d’autorité de certification, vous pouvez utiliser ce champ pour différencier le domaine requis. Cette étape est requise.
  • Nom X.500 du sujet (RFC 2253) : entrez la représentation d’un nom X.500 sous forme de tableau d’identificateurs d’objets (OID) et de valeurs. Par exemple, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, qui se traduit par [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Les OID peuvent être représentés en tant que nombres en pointillé, avec des raccourcis pour le pays (C), la ville (L), l’état (ST), l’organisation (O), l’unité d’organisation (OU) et le nom commun (CN).

  • Type de noms de sujet alternatifs : sélectionnez un type de nom alternatif. Un type de nom alternatif facultatif fournit les valeurs requises par l’autorité de certification pour l’émission d’un certificat. Vous pouvez spécifier Aucun, Nom RFC 822, Nom DNS ou URI.
  • Nombre maximal de tentatives : entrez le nombre de fois qu’un appareil doit réessayer lorsque le serveur SCEP envoie une réponse PENDING. La valeur par défaut est 3.
  • Délai entre chaque tentative : entrez le nombre de secondes entre les tentatives. La première tentative est effectuée sans délai. La valeur par défaut est 10.
  • Vérifier le mot de passe : entrez un secret pré-partagé.
  • Taille de la clé (bits) : sélectionnez 2048 ou une taille en bits plus élevée pour la clé.
  • Utiliser une signature numérique : spécifiez si vous souhaitez utiliser le certificat en tant que signature numérique. Le serveur SCEP vérifie l’utilisation du certificat en tant que signature numérique avant d’utiliser la clé publique pour déchiffrer le hachage.
  • Utiliser pour le chiffrement des clés : spécifiez si vous souhaitez utiliser le certificat pour le chiffrement des clés. Un serveur vérifie d’abord si le certificat fourni par un client est autorisé pour le chiffrement des clés. Le serveur utilise ensuite la clé publique dans un certificat pour vérifier qu’un élément de données a été crypté à l’aide de la clé privée. Sinon, l’opération échoue.
  • Empreinte digitale SHA-256 (chaîne hexadécimale) : si votre autorité de certification utilise le protocole HTTP, utilisez ce champ pour fournir l’empreinte digitale du certificat CA. The device uses the fingerprint to confirm the authenticity of the CA response during enrollment. Vous pouvez fournir une empreinte digitale SHA-256, ou vous pouvez sélectionner un certificat pour importer sa signature.

  • Paramètre de stratégie
    • Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
      • Sélectionner une date : cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
      • Délai avant suppression (en heures) : saisissez un nombre, en heures, jusqu’à ce que la suppression de la stratégie ait lieu. Disponible uniquement pour iOS 6.0 et versions ultérieures.

Paramètres macOS

Écran de configuration Stratégies d'appareil

  • URL de base : entrez l’adresse du serveur SCEP afin de définir où les demandes SCEP sont envoyées, par HTTP ou HTTPS. La clé privée n’est pas envoyée avec la demande de signature de certificat (CSR) ; il est donc possible d’envoyer la demande non chiffrée sans danger. Si le mot de passe à usage unique est configuré pour être réutilisé, utilisez HTTPS pour protéger le mot de passe. Cette étape est requise.
  • Nom d’instance : entrez une chaîne reconnue par le serveur SCEP. Par exemple, il peut s’agir d’un nom de domaine comme exemple.org. Si une autorité de certification dispose de plusieurs certificats d’autorité de certification, vous pouvez utiliser ce champ pour différencier le domaine requis. Cette étape est requise.
  • Nom X.500 du sujet (RFC 2253) : entrez la représentation d’un nom X.500 sous forme de tableau d’identificateurs d’objets (OID) et de valeurs. Par exemple, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, qui se traduit par [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Les OID peuvent être représentés en tant que nombres en pointillé, avec des raccourcis pour le pays (C), la ville (L), l’état (ST), l’organisation (O), l’unité d’organisation (OU) et le nom commun (CN).
  • Type de noms de sujet alternatifs : sélectionnez un type de nom alternatif. Un type de nom alternatif facultatif fournit les valeurs requises par l’autorité de certification pour l’émission d’un certificat. Vous pouvez spécifier Aucun, Nom RFC 822, Nom DNS ou URI.
  • Nombre maximal de tentatives : entrez le nombre de fois qu’un appareil doit réessayer lorsque le serveur SCEP envoie une réponse PENDING. La valeur par défaut est 3.
  • Délai entre chaque tentative : entrez le nombre de secondes entre les tentatives. La première tentative est effectuée sans délai. La valeur par défaut est 10.
  • Vérifier le mot de passe : entrez un secret pré-partagé.
  • Taille de la clé (bits) : sélectionnez 2048 ou une taille en bits plus élevée pour la clé.
  • Utiliser une signature numérique : spécifiez si vous souhaitez utiliser le certificat en tant que signature numérique. Le serveur SCEP vérifie l’utilisation du certificat en tant que signature numérique avant d’utiliser la clé publique pour déchiffrer le hachage.
  • Utiliser pour le chiffrement des clés : spécifiez si vous souhaitez utiliser le certificat pour le chiffrement des clés. Un serveur vérifie d’abord si le certificat fourni par un client est autorisé pour le chiffrement des clés. Le serveur utilise ensuite la clé publique dans un certificat pour vérifier qu’un élément de données a été crypté à l’aide de la clé privée. Sinon, l’opération échoue.
  • Empreinte digitale SHA-256 (chaîne hexadécimale) : si votre autorité de certification utilise le protocole HTTP, utilisez ce champ pour fournir l’empreinte digitale du certificat CA. The device uses the fingerprint to confirm the authenticity of the CA response during enrollment. Vous pouvez fournir une empreinte digitale SHA-256, ou vous pouvez sélectionner un certificat pour importer sa signature.

  • Paramètre de stratégie
    • Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
      • Sélectionner une date : cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
      • Délai avant suppression (en heures) : saisissez un nombre, en heures, jusqu’à ce que la suppression de la stratégie ait lieu.
    • Autoriser l’utilisateur à supprimer la stratégie : vous pouvez sélectionner quand les utilisateurs peuvent supprimer la stratégie de leur appareil. Sélectionnez Toujours, Code secret requis ou Jamais dans le menu. Si vous sélectionnez Code secret requis, saisissez un code dans le champ Mot de passe de suppression.
    • Étendue du profil : indiquez si cette stratégie s’applique à un utilisateur ou à un système entier. La valeur par défaut est Utilisateur. Cette option est disponible uniquement sur macOS 10.7 et versions ultérieures.
Stratégie SCEP