Product Documentation

Políticas de dispositivo SCEP

Oct 06, 2016

Esta política permite que você configure dispositivos iOS e Mac OS X para recuperar um certificado usando o protocolo SCEP de um servidor SCEP externo. Se você desejar entregar um certificado ao dispositivo usando o SCEP de uma PKI que esteja conectada ao XenMobile, deverá criar uma entidade PKI e um provedor PKI no modo distribuído. Para obter detalhes, consulte Entidades PKI.

Configurações do iOS

Configurações do Mac OS X

1. No console XenMobile, clique em Configurar > Políticas de dispositivo. A página Políticas de dispositivo é exibida.

2. Clique em Adicionar. A caixa de diálogo Adicionar uma nova política é exibida.

3. Expanda Mais e, em Segurança, clique em SCEP. A página de informações Política de SCEP é exibida.

localized image

4. No painel Informações sobre a política, digite as seguintes informações:

  • Nome da política: digite um nome descritivo para a política.
  • Descrição: digite uma descrição opcional para a política.

5. Clique em Avançar. A página Plataformas é exibida.

6. Em Plataformas, selecione as plataformas que você desejar adicionar. Se você estiver configurando somente para uma única plataforma, desmarque as outras.

Quando você terminar de definir as configurações de uma plataforma, consulte a Etapa 7 para saber como definir as regras de implantação dessa plataforma.

Definir as configurações do iOS

localized image

Defina estas configurações:

  • URL base: digite o endereço do servidor SCEP para definir para onde as solicitações SCEP são enviadas: sobre HTTP ou HTTPS. A chave privada não é enviada com a Solicitação de Assinatura de Certificado (CSR), portanto, pode ser seguro enviar a solicitação sem criptografia. No entanto, se a reutilização da senha de uso único for permitida, você deverá usar HTTPS para proteger a senha. Essa etapa é obrigatória.
  • Nome da instância: digite qualquer cadeia de caracteres que o servidor SCEP reconheça. Por exemplo, isso poderia ser um nome de domínio, como exemplo.org. Se uma AC tiver vários certificados de AC, você poderá usar esse campo para distinguir o domínio necessário. Essa etapa é obrigatória.
  • Nome X.500 do assunto (RFC 2253): digite a representação de um nome X.500, representado como uma matriz de Identificador de Objeto (OID) e valor. Por exemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que seria convertido em: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]. Você pode representar OIDs como números pontilhados com atalhos para o país (C), a localidade (L), o estado (ST), a organização (O), a unidade organizacional (OU) e o nome comum (CN).
  • Tipo de nomes alternativos de assunto: na lista, clique em um tipo de nome alternativo. A política de SCEP pode especificar um tipo de nome alternativo opcional que fornece os valores exigidos pela autoridade de certificação para a emissão de um certificado. Você pode especificar Nenhum, Nome RFC 822, Nome DNS ou URI.
  • Máximo de repetições: digite o número de vezes que um dispositivo deve tentar novamente quando o servidor SCEP enviar uma resposta PENDING. O padrão é 3.
  • Atraso entre cada repetição: digite o número de segundos de espera entre tentativas subsequentes. A primeira nova tentativa é realizada sem atraso. O padrão é 10.
  • Senha do desafio: digite um segredo pré-compartilhado.
  • Tamanho da chave (bits): na lista, clique no tamanho da chave em bits, 1024 ou 2048. O padrão é 1024.
  • Usar como assinatura digital: especifique se você deseja que o certificado seja usado como uma assinatura digital. Se alguém estiver usando o certificado para verificar uma assinatura digital, como para verificar se um certificado foi emitido por uma AC, o servidor SCEP verificaria se o certificado pode ser usado dessa maneira antes de utilizar a chave pública para descriptografar o hash.
  • Usar para codificação de chave: especifique se você deseja que o certificado seja usado para codificação de chave. Se um servidor estiver usando a chave pública em um certificado fornecido por um cliente para verificar se uma parte dos dados foi criptografada usando a chave privada, o servidor primeiro verificaria se o certificado pode ser usado para codificação de chave. Em caso negativo, a operação falha.
  • Impressão digital SHA1/MD5 (cadeia de caracteres hexadecimal): se sua AC usar HTTP, use esse campo para fornecer a impressão digital do certificado de AC que o dispositivo usa para confirmar a autenticidade da resposta da AC durante o registro. Você pode inserir uma impressão digital SHA1 ou MD5, ou selecionar um certificado para importar a respectiva assinatura.
  • Configurações de política
    • Em Configurações de política, ao lado de Remover política, clique em Selecionar data ou Duração até remoção (em dias).
    • Se você clicar em Selecionar data, clique no calendário para selecionar a data específica para remoção.
    • Na lista Permitir que o usuário remova a política, clique em Sempre, Senha obrigatória ou Nunca.
    • Se você clicar em Senha obrigatória, ao lado de Senha de remoção de perfil, digite a senha necessária.

Definir as configurações do Mac OS X

localized image

Defina estas configurações:

  • URL base: digite o endereço do servidor SCEP para definir para onde as solicitações SCEP são enviadas: sobre HTTP ou HTTPS. A chave privada não é enviada com a Solicitação de Assinatura de Certificado (CSR), portanto, pode ser seguro enviar a solicitação sem criptografia. No entanto, se a reutilização da senha de uso único for permitida, você deverá usar HTTPS para proteger a senha. Essa etapa é obrigatória.
  • Nome da instância: digite qualquer cadeia de caracteres que o servidor SCEP reconheça. Por exemplo, isso poderia ser um nome de domínio, como exemplo.org. Se uma AC tiver vários certificados de AC, você poderá usar esse campo para distinguir o domínio necessário. Essa etapa é obrigatória.
  • Nome X.500 do assunto (RFC 2253): digite a representação de um nome X.500, representado como uma matriz de Identificador de Objeto (OID) e valor. Por exemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que seria convertido em: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]. Você pode representar OIDs como números pontilhados com atalhos para o país (C), a localidade (L), o estado (ST), a organização (O), a unidade organizacional (OU) e o nome comum (CN).
  • Tipo de nomes alternativos de assunto: na lista, clique em um tipo de nome alternativo. A política de SCEP pode especificar um tipo de nome alternativo opcional que fornece os valores exigidos pela autoridade de certificação para a emissão de um certificado. Você pode especificar Nenhum, Nome RFC 822, Nome DNS ou URI.
  • Máximo de repetições: digite o número de vezes que um dispositivo deve tentar novamente quando o servidor SCEP enviar uma resposta PENDING. O padrão é 3.
  • Atraso entre cada repetição: digite o número de segundos de espera entre tentativas subsequentes. A primeira nova tentativa é realizada sem atraso. O padrão é 10.
  • Verificar senha: insira um segredo pré-compartilhado.
  • Tamanho da chave (bits): na lista, clique no tamanho da chave em bits, 1024 ou 2048. O padrão é 1024.
  • Usar como assinatura digital: especifique se você deseja que o certificado seja usado como uma assinatura digital. Se alguém estiver usando o certificado para verificar uma assinatura digital, como para verificar se um certificado foi emitido por uma AC, o servidor SCEP verificaria se o certificado pode ser usado dessa maneira antes de utilizar a chave pública para descriptografar o hash.
  • Usar para codificação de chave: especifique se você deseja que o certificado seja usado para codificação de chave. Se um servidor estiver usando a chave pública em um certificado fornecido por um cliente para verificar se uma parte dos dados foi criptografada usando a chave privada, o servidor primeiro verificaria se o certificado pode ser usado para codificação de chave. Em caso negativo, a operação falha.
  • Impressão digital SHA1/MD5 (cadeia de caracteres hexadecimal): se sua AC usar HTTP, use esse campo para fornecer a impressão digital do certificado de AC que o dispositivo usa para confirmar a autenticidade da resposta da AC durante o registro. Você pode inserir uma impressão digital SHA1 ou MD5, ou selecionar um certificado para importar a respectiva assinatura.
  • Configurações de política
    • Em Configurações de política, ao lado de Remover política, clique em Selecionar data ou Duração até remoção (em dias).
    • Se você clicar em Selecionar data, clique no calendário para selecionar a data específica para remoção.
    • Na lista Permitir que o usuário remova a política, clique em Sempre, Senha obrigatória ou Nunca.
    • Se você clicar em Senha obrigatória, ao lado de Senha de remoção de perfil, digite a senha necessária.
    • Ao lado de Escopo do perfil, clique em Usuário ou Sistema. O padrão é Usuário. Essa opção está disponível somente no OS X 10.7 e versões posteriores.
7. Configure as regras de implantação

8. Clique em Avançar. A página de atribuição Política de SCEP é exibida.

9. Ao lado de Escolher grupos de entrega, digite para localizar um grupo de entrega ou selecione na lista um grupo ou grupos aos quais você deseja atribuir a política. Os grupos que você selecionar aparecerão na lista Grupos de entrega que receberão a atribuição de aplicativos à direita.

10. Expanda Cronograma de implantação e defina as seguintes configurações:

  • Ao lado de Implantar, clique em I para agendar a implantação ou em O para impedi-la. A opção padrão é I. Se você escolher O, nenhuma outra opção precisará ser configurada.
  • Ao lado de Cronograma de implantação, clique em Agora ou em Mais tarde. A opção padrão é Agora.
  • Se você clicar em Mais tarde, clique no ícone de calendário e selecione a data e a hora da implantação.
  • Ao lado de Condição de implantação, clique em Em cada conexão ou em Somente quando a implantação anterior tiver falhado. A opção padrão é Em cada conexão.
  • Ao lado de Implantar para conexões permanentes, clique em I ou O. A opção padrão é O.

Observação:

  • Essa opção se aplica quando você tiver configurado a chave de implantação de plano de fundo de programação em Configurações > Propriedades do servidor. A opção sempre conectada não está disponível para dispositivos iOS.
  • O cronograma de implantação que você configura é o mesmo para todas as plataformas. Todas as alterações feitas se aplicam a todas as plataformas, exceto Implantar para conexões permanentes, que não se aplica ao iOS.

11. Clique em Salvar para salvar a política.