Product Documentation

Pour ajouter une stratégie SCEP pour iOS

Jul 25, 2016
Cette stratégie vous permet de configurer des appareils iOS afin de récupérer un certificat à l'aide du protocole d'inscription du certificat simple (SCEP) à partir d'un serveur SCEP externe. Si vous souhaitez délivrer un certificat sur l'appareil à l'aide du protocole SCEP à partir d'une PKI connectée à XenMobile, vous devez créer une entité PKI et un fournisseur PKI en mode distribué. Pour plus d’informations, veuillez consulter la section Entités PKI.
  1. Dans la console XenMobile, cliquez sur ConfigurerStratégies d'appareil.

    La page Stratégies d'appareil s'affiche.

     

    Page sur les stratégies d'appareil

     

  2. Cliquez sur Ajouter.

    La page Ajouter une nouvelle stratégie apparaît.

     

    Sélection de SCEP

     

  3. Sur la page Ajouter une nouvelle stratégie, cliquez sur Plus puis sous Sécurité, cliquez sur SCEP.

    La page d'informations Stratégie SCEP s'affiche.

     

    Page d'informations sur la stratégie SCEP

     

  4. Dans la section Informations sur la stratégie, entrez les informations suivantes :
    1. Nom de la stratégie : entrez un nom descriptif pour la stratégie.
    2. Description : entrez une description pour la stratégie (facultatif).
  5. Cliquez sur Suivant.

    La page Informations sur la plate-forme iOS s'affiche.

     

    Page d'informations sur la stratégie SCEP pour iOS

     

  6. Sur la page Informations sur la plate-forme iOS, entrez les informations suivantes :
    1. URL de base : entrez l'adresse du serveur SCEP afin de définir où les demandes SCEP sont envoyées, par HTTP ou HTTPS. La clé privée n’est pas envoyée avec la demande de signature de certificat (CSR), il est donc possible d'envoyer la demande non chiffrée sans danger. Si, toutefois le mot de passe à usage unique est autorisé à être réutilisé, vous devez utiliser le protocole HTTPS pour protéger le mot de passe. Cette étape est requise.
    2. Nom d'instance : entrez une chaîne reconnue par le serveur SCEP. Par exemple, il peut s'agir d'un nom de domaine comme exemple.org. Si une autorité de certification dispose de plusieurs certificats d'autorité de certification, vous pouvez utiliser ce champ pour différencier le domaine requis. Cette étape est requise.
    3. Nom X.500 du sujet (RFC 2253) : entrez la représentation d'un nom X.500 représentée sous forme de tableau d’identificateurs d’objets (OID) et de valeurs. Par exemple, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, qui se traduirait par : [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]. Vous pouvez représenter les OID en tant que nombres en pointillé, avec des raccourcis pour le pays (C), la ville (L), l'état (ST), l'organisation (O), l'unité d'organisation (OU) et le nom commun (CN).
    4. Type de noms de sujet alternatifs : sélectionnez un type de nom alternatif dans la liste. La stratégie SCEP permet de spécifier un type de nom alternatif facultatif qui fournit les valeurs requises par l’autorité de certification pour l’émission d’un certificat. Vous pouvez spécifier Aucun, Nom RFC 822, Nom DNS ou URI.
    5. Nombre maximal de tentatives : entrez le nombre de tentatives autorisées en cas de saisie incorrecte d'un mot de passe. La valeur par défaut est 3.
    6. Délai de nouvelle tentative : Entrez un intervalle de temps suite auquel les utilisateurs dépassent le nombre maximal de tentatives et le verrou est forcé. La valeur par défaut est 10.
    7. Vérifier le mot de passe : entrez un secret pré-partagé. Cette étape est requise.
    8. Taille de la clé (bits) : dans la liste, cliquez sur la taille de la clé en bits, 1024 ou 2048. La valeur par défaut est 1024.
    9. Utiliser une signature numérique : spécifiez si vous souhaitez que le certificat soit utilisé en tant que signature numérique. Si le certificat est utilisé pour vérifier une signature numérique, comme vérifier si un certificat a été émis par une autorité de certification, le serveur SCEP vérifie que le certificat peut être utilisé de cette façon avant d'utiliser la clé publique pour déchiffrer le hachage.
    10. Utiliser pour le chiffrement des clés : spécifiez si vous souhaitez que le certificat soit utilisé pour le chiffrement des clés. Si un serveur utilise la clé publique dans un certificat fourni par un client pour vérifier qu'une partie des données a été chiffrée à l’aide de la clé privée, le serveur vérifie d’abord si le certificat peut être utilisé pour le chiffrement de la clé. Sinon, l'opération échoue.
    11. Empreinte digitale SHA1/MD5 (chaîne hexadécimale) : si votre Autorité de certification utilise le protocole HTTP, utilisez ce champ pour fournir l'empreinte digitale du certificat de la CA, que l'appareil utilise pour vérifier l'authenticité de la réponse de l'autorité de certification au cours de l'inscription. Vous pouvez entrer une empreinte digitale MD5 ou SHA1, ou vous pouvez sélectionner un certificat pour importer sa signature.
  7. Sous Paramètres de stratégie, à côté de Supprimer la stratégie, cliquez sur Sélectionner une date ou Délai avant suppression (en jours).
  8. Si vous cliquez sur Sélectionner une date, cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
  9. Dans la liste Autoriser l'utilisateur à supprimer la stratégie, cliquez sur Toujours, Mot de passe requis ou Jamais.
  10. Si vous cliquez sur Mot de passe requis, à côté de Code secret de suppression, entrez le mot de passe requis.

     

    Paramètres de suppression de stratégie

     

  11. Développez Règles de déploiement, puis configurez les paramètres suivants : L'onglet Base s'affiche par défaut.

     

    Des règles de déploiement

     

    1. Dans la liste, cliquez sur les options pour déterminer quand la stratégie doit être déployée.
      1. Vous pouvez déployer la stratégie lorsque toutes les conditions sont remplies ou lorsque l'une des conditions est remplie. L'option par défaut est Toutes.
      2. Cliquez sur Nouvelle règle pour définir les conditions.
      3. Dans la liste, cliquez sur les conditions, telles que Propriétaire et BYOD, comme illustré dans la figure qui précède.
      4. Cliquez sur Nouvelle règle de nouveau pour ajouter davantage de conditions. Vous pouvez ajouter autant de conditions que vous le souhaitez.
    2. Cliquez sur l'onglet Avancé pour combiner les règles avec des options booléennes.

       

      Règles de déploiement avancées avec règles de base

       

      Les conditions que vous avez choisies sur l'onglet Base s'affichent.
    3. Vous pouvez utiliser une logique booléenne plus avancée pour combiner, modifier ou ajouter des règles.
      1. Cliquez sur ET, OU ou SAUF.
      2. Dans la liste qui s'affiche, sélectionnez les conditions que vous voulez ajouter à la règle, puis cliquez sur le signe plus (+) sur le côté droit pour ajouter la condition à la règle.

        Vous pouvez à tout moment cliquer pour sélectionner une condition et cliquer sur MODIFIER pour modifier la condition ou sur Supprimer pour supprimer la condition.

      3. Cliquez sur Nouvelle règle de nouveau pour ajouter davantage de conditions.

        Dans cet exemple, le propriétaire doit être BYOD, le chiffrement sur l'appareil local doit être Vrai et l'indicatif de pays de l'appareil mobile ne peut pas être uniquement Andorre.

        Règles de déploiement avancées terminées

         

  12. Cliquez sur Suivant. La page d'attribution de la Stratégie SCEP s'affiche.
  13. En regard de Choisir des groupes de mise à disposition, tapez pour trouver un groupe de mise à disposition ou sélectionnez un ou plusieurs groupes dans la liste auxquels vous souhaitez attribuer la stratégie. Les groupes que vous sélectionnez s'affichent dans liste de droite Groupes de mise à disposition qui vont recevoir l'attribution d'applications.

     

    Page d'attribution de stratégie

     

  14. Développez Calendrier de déploiement et configurez les paramètres suivants :
    1. En regard de Déployer, cliquez sur ON pour planifier le déploiement ou cliquez sur OFF pour empêcher le déploiement. L'option par défaut est ON. Si vous choisissez OFF, aucune autre option ne doit être configurée.
    2. En regard de Calendrier de déploiement, cliquez sur Maintenant ou Plus tard. L'option par défaut est Maintenant.
    3. Si vous cliquez sur Plus tard, cliquez sur l'icône du calendrier, puis sélectionnez la date et l'heure pour le déploiement.
    4. En regard de Conditions de déploiement, cliquez sur À chaque connexion ou Uniquement lorsque le déploiement précédent a échoué. L'option par défaut est À chaque connexion.
    5. En regard de Déployer pour les connexions permanentes, cliquez sur ON ou OFF. L'option par défaut est OFF.
      Remarque : cette option s'applique lorsque vous avez configuré la clé de déploiement d'arrière-plan de planification dans Paramètres > Propriétés du serveur. L'option de calendrier permanent n'est pas disponible pour iOS.
    Remarque : le calendrier de déploiement que vous configurez est identique pour toutes les plates-formes. Les modifications que vous apportez s'appliquent à toutes les plates-formes, à l'exception de Déployer pour les connexions permanentes, qui ne s'applique pas à iOS.

     

    Une planification du déploiement

     

  15. Cliquez sur Enregistrer pour enregistrer la stratégie.