Product Documentation

Stratégie SCEP

17 avril 2018

Cette stratégie vous permet de configurer des appareils iOS et macOS afin de récupérer un certificat à l’aide du protocole d’inscription du certificat simple (SCEP) à partir d’un serveur SCEP externe. Si vous souhaitez délivrer un certificat sur l’appareil à l’aide du protocole SCEP à partir d’une PKI connectée à XenMobile, vous devez créer une entité PKI et un fournisseur PKI en mode distribué. Pour plus d’informations, veuillez consulter la section Entités PKI.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Paramètres iOS

Image de l'écran de configuration Stratégies d'appareil

  • URL de base : entrez l’adresse du serveur SCEP afin de définir où les demandes SCEP sont envoyées, par HTTP ou HTTPS. La clé privée n’est pas envoyée avec la demande de signature de certificat (CSR), il est donc possible d’envoyer la demande non chiffrée sans danger. Si, toutefois le mot de passe à usage unique est autorisé à être réutilisé, vous devez utiliser le protocole HTTPS pour protéger le mot de passe. Cette étape est requise.
  • Nom d’instance : entrez une chaîne reconnue par le serveur SCEP. Par exemple, il peut s’agir d’un nom de domaine comme exemple.org. Si une autorité de certification dispose de plusieurs certificats d’autorité de certification, vous pouvez utiliser ce champ pour différencier le domaine requis. Cette étape est requise.
  • Nom X.500 du sujet (RFC 2253) : entrez la représentation d’un nom X.500 représentée sous forme de tableau d’identificateurs d’objets (OID) et de valeurs. Par exemple, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, qui correspond à : [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Les OID peuvent être représentés en tant que nombres en pointillé, avec des raccourcis pour le pays (C), la ville (L), l’état (ST), l’organisation (O), l’unité d’organisation (OU) et le nom commun (CN).
  • Type de noms de sujet alternatifs : sélectionnez un type de nom alternatif dans la liste. La stratégie SCEP permet de spécifier un type de nom alternatif facultatif qui fournit les valeurs requises par l’autorité de certification pour l’émission d’un certificat. Vous pouvez spécifier Aucun, Nom RFC 822, Nom DNS ou URI.
  • Nombre maximal de tentatives : entrez le nombre de fois qu’un appareil doit réessayer lorsque le serveur SCEP envoie une réponse PENDING. La valeur par défaut est 3.
  • Délai entre chaque tentative : entrez le nombre de secondes entre les tentatives. La première tentative est effectuée sans délai. La valeur par défaut est 10.
  • Vérifier le mot de passe : entrez un secret pré-partagé.
  • Taille de la clé (bits) : dans la liste, cliquez sur la taille de la clé en bits, 1024 ou 2048. La valeur par défaut est 1024.
  • Utiliser une signature numérique : spécifiez si vous souhaitez que le certificat soit utilisé en tant que signature numérique. Si le certificat est utilisé pour vérifier une signature numérique, comme vérifier si un certificat a été émis par une autorité de certification, le serveur SCEP vérifie que le certificat peut être utilisé de cette façon avant d’utiliser la clé publique pour déchiffrer le hachage.
  • Utiliser pour le chiffrement des clés : spécifiez si vous souhaitez que le certificat soit utilisé pour le chiffrement des clés. Si un serveur utilise la clé publique dans un certificat fourni par un client pour vérifier qu’une partie des données a été chiffrée à l’aide de la clé privée, le serveur vérifie d’abord si le certificat peut être utilisé pour le chiffrement de la clé. Sinon, l’opération échoue.
  • Empreinte digitale SHA1/MD5 (chaîne hexadécimale) : si votre Autorité de certification utilise le protocole HTTP, utilisez ce champ pour fournir l’empreinte digitale du certificat de la CA, que l’appareil utilise pour vérifier l’authenticité de la réponse de l’autorité de certification au cours de l’inscription. Vous pouvez entrer une empreinte digitale MD5 ou SHA1, ou vous pouvez sélectionner un certificat pour importer sa signature.

Paramètres macOS

Image de l'écran de configuration Stratégies d'appareil

  • URL de base : entrez l’adresse du serveur SCEP afin de définir où les demandes SCEP sont envoyées, par HTTP ou HTTPS. La clé privée n’est pas envoyée avec la demande de signature de certificat (CSR), il est donc possible d’envoyer la demande non chiffrée sans danger. Si, toutefois le mot de passe à usage unique est autorisé à être réutilisé, vous devez utiliser le protocole HTTPS pour protéger le mot de passe. Cette étape est requise.
  • Nom d’instance : entrez une chaîne reconnue par le serveur SCEP. Par exemple, il peut s’agir d’un nom de domaine comme exemple.org. Si une autorité de certification dispose de plusieurs certificats d’autorité de certification, vous pouvez utiliser ce champ pour différencier le domaine requis. Cette étape est requise.
  • Nom X.500 du sujet (RFC 2253) : entrez la représentation d’un nom X.500 représentée sous forme de tableau d’identificateurs d’objets (OID) et de valeurs. Par exemple, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, qui correspond à : [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Les OID peuvent être représentés en tant que nombres en pointillé, avec des raccourcis pour le pays (C), la ville (L), l’état (ST), l’organisation (O), l’unité d’organisation (OU) et le nom commun (CN).
  • Type de noms de sujet alternatifs : sélectionnez un type de nom alternatif dans la liste. La stratégie SCEP permet de spécifier un type de nom alternatif facultatif qui fournit les valeurs requises par l’autorité de certification pour l’émission d’un certificat. Vous pouvez spécifier Aucun, Nom RFC 822, Nom DNS ou URI.
  • Nombre maximal de tentatives : entrez le nombre de fois qu’un appareil doit réessayer lorsque le serveur SCEP envoie une réponse PENDING. La valeur par défaut est 3.
  • Délai entre chaque tentative : entrez le nombre de secondes entre les tentatives. La première tentative est effectuée sans délai. La valeur par défaut est 10.
  • Vérifier le mot de passe : entrez un secret pré-partagé.
  • Taille de la clé (bits) : dans la liste, cliquez sur la taille de la clé en bits, 1024 ou 2048. La valeur par défaut est 1024.
  • Utiliser une signature numérique : spécifiez si vous souhaitez que le certificat soit utilisé en tant que signature numérique. Si le certificat est utilisé pour vérifier une signature numérique, comme vérifier si un certificat a été émis par une autorité de certification, le serveur SCEP vérifie que le certificat peut être utilisé de cette façon avant d’utiliser la clé publique pour déchiffrer le hachage.
  • Utiliser pour le chiffrement des clés : spécifiez si vous souhaitez que le certificat soit utilisé pour le chiffrement des clés. Si un serveur utilise la clé publique dans un certificat fourni par un client pour vérifier qu’une partie des données a été chiffrée à l’aide de la clé privée, le serveur vérifie d’abord si le certificat peut être utilisé pour le chiffrement de la clé. Sinon, l’opération échoue.
  • Empreinte digitale SHA1/MD5 (chaîne hexadécimale) : si votre Autorité de certification utilise le protocole HTTP, utilisez ce champ pour fournir l’empreinte digitale du certificat de la CA, que l’appareil utilise pour vérifier l’authenticité de la réponse de l’autorité de certification au cours de l’inscription. Vous pouvez entrer une empreinte digitale MD5 ou SHA1, ou vous pouvez sélectionner un certificat pour importer sa signature.

Stratégie SCEP