XenMobile

Política de dispositivo do SCEP

January 13, 2022

Contribuição de:

Esta política permite que você configure dispositivos iOS e macOS para recuperar um certificado usando o protocolo SCEP de um servidor SCEP externo. Se você desejar entregar um certificado ao dispositivo usando o SCEP de uma PKI que esteja conectada ao XenMobile, deverá criar uma entidade PKI e um provedor PKI no modo distribuído. Para obter detalhes, consulte Entidades PKI.

Para adicionar ou configurar essa política, acesse Configurar > Políticas de dispositivo. Para obter mais informações, consulte a Política de dispositivo de VPN.

Configurações de iOS

Imagem da tela de configuração de políticas de dispositivos

URL base: digite o endereço do servidor SCEP para definir para onde as solicitações SCEP são enviadas: sobre HTTP ou HTTPS. A chave privada não é enviada com a Solicitação de Assinatura de Certificado (CSR), portanto, pode ser seguro enviar a solicitação sem criptografia. No entanto, se a reutilização da senha de uso único for permitida, você deverá usar HTTPS para proteger a senha. Essa etapa é obrigatória.
Nome da instância: digite qualquer cadeia de caracteres que o servidor SCEP reconheça. Por exemplo, isso poderia ser um nome de domínio, como exemplo.org. Se uma AC tiver vários certificados de AC, você poderá usar esse campo para distinguir o domínio necessário. Essa etapa é obrigatória.
Nome X.500 da entidade (RFC 2253): digite a representação de um nome X.500, representado como uma matriz de Identificador de Objeto (OID) e valor. Por exemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que seria convertido em: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Você pode representar OIDs como números pontilhados com atalhos para o país (C), a localidade (L), o estado (ST), a organização (O), a unidade organizacional (OU) e o nome comum (CN).
Tipo de nomes alternativos de assunto: na lista, clique em um tipo de nome alternativo. A política de SCEP pode especificar um tipo de nome alternativo opcional que fornece os valores exigidos pela autoridade de certificação para a emissão de um certificado. Você pode especificar Nenhum, nome RFC 822, nome DNS ou URI.
Máximo de repetições: digite o número de vezes que um dispositivo deve tentar novamente quando o servidor SCEP enviar uma resposta PENDING. O padrão é 3.
Atraso entre cada repetição: digite o número de segundos de espera entre tentativas subsequentes. A primeira nova tentativa é realizada sem atraso. O padrão é 10.
Senha do desafio: insira um segredo pré-compartilhado.
Tamanho da chave (bits): selecione 2048 ou superior como o tamanho da chave em bits.
Usar como assinatura digital: especifique se você deseja que o certificado seja usado como uma assinatura digital. Se alguém estiver usando o certificado para verificar uma assinatura digital, como para verificar se um certificado foi emitido por uma AC, o servidor SCEP verificaria se o certificado pode ser usado dessa maneira antes de utilizar a chave pública para descriptografar o hash.
Usar para codificação de chave: especifique se você deseja que o certificado seja usado para codificação de chave. Se um servidor estiver usando a chave pública em um certificado fornecido por um cliente para verificar se uma parte dos dados foi criptografada usando a chave privada, o servidor primeiro verificaria se o certificado pode ser usado para codificação de chave. Em caso negativo, a operação falha.
Impressão digital SHA1/MD5 (cadeia de caracteres hexadecimal): se sua AC usar HTTP, use esse campo para fornecer a impressão digital do certificado de AC que o dispositivo usa para confirmar a autenticidade da resposta da AC durante o registro. Você pode inserir uma impressão digital SHA1 ou MD5, ou selecionar um certificado para importar a respectiva assinatura.
Configurações de política
- Remover política: escolha um método para agendar a remoção da política. As opções disponíveis são Selecionar data e Duração até remoção (em horas)
  - Selecionar data: clique no calendário para selecionar a data específica para remoção.
  - Duração até remoção (em horas): digite um número, em horas, até que a remoção da política ocorra. Disponível apenas para iOS 6.0 e posterior.

Configurações do macOS

Imagem da tela de configuração de políticas de dispositivos

URL base: digite o endereço do servidor SCEP para definir para onde as solicitações SCEP são enviadas: sobre HTTP ou HTTPS. A chave privada não é enviada com a Solicitação de Assinatura de Certificado (CSR), portanto, pode ser seguro enviar a solicitação sem criptografia. No entanto, se a reutilização da senha de uso único for permitida, você deverá usar HTTPS para proteger a senha. Essa etapa é obrigatória.
Nome da instância: digite qualquer cadeia de caracteres que o servidor SCEP reconheça. Por exemplo, isso poderia ser um nome de domínio, como exemplo.org. Se uma AC tiver vários certificados de AC, você poderá usar esse campo para distinguir o domínio necessário. Essa etapa é obrigatória.
Nome X.500 da entidade (RFC 2253): digite a representação de um nome X.500, representado como uma matriz de Identificador de Objeto (OID) e valor. Por exemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que seria convertido em: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Você pode representar OIDs como números pontilhados com atalhos para o país (C), a localidade (L), o estado (ST), a organização (O), a unidade organizacional (OU) e o nome comum (CN).
Tipo de nomes alternativos de assunto: na lista, clique em um tipo de nome alternativo. A política de SCEP pode especificar um tipo de nome alternativo opcional que fornece os valores exigidos pela autoridade de certificação para a emissão de um certificado. Você pode especificar Nenhum, nome RFC 822, nome DNS ou URI.
Máximo de repetições: digite o número de vezes que um dispositivo deve tentar novamente quando o servidor SCEP enviar uma resposta PENDING. O padrão é 3.
Atraso entre cada repetição: digite o número de segundos de espera entre tentativas subsequentes. A primeira nova tentativa é realizada sem atraso. O padrão é 10.
Senha do desafio: digite um segredo pré-compartilhado.
Tamanho da chave (bits): selecione 2048 ou superior como o tamanho da chave em bits.
Usar como assinatura digital: especifique se você deseja que o certificado seja usado como uma assinatura digital. Se alguém estiver usando o certificado para verificar uma assinatura digital, como para verificar se um certificado foi emitido por uma AC, o servidor SCEP verificaria se o certificado pode ser usado dessa maneira antes de utilizar a chave pública para descriptografar o hash.
Usar para codificação de chave: especifique se você deseja que o certificado seja usado para codificação de chave. Se um servidor estiver usando a chave pública em um certificado fornecido por um cliente para verificar se uma parte dos dados foi criptografada usando a chave privada, o servidor primeiro verificaria se o certificado pode ser usado para codificação de chave. Em caso negativo, a operação falha.
Impressão digital SHA1/MD5 (cadeia de caracteres hexadecimal): se sua AC usar HTTP, use esse campo para fornecer a impressão digital do certificado de AC que o dispositivo usa para confirmar a autenticidade da resposta da AC durante o registro. Você pode inserir uma impressão digital SHA1 ou MD5, ou selecionar um certificado para importar a respectiva assinatura.
Configurações de política
- Remover política: escolha um método para agendar a remoção da política. As opções disponíveis são Selecionar data e Duração até remoção (em horas)
  - Selecionar data: clique no calendário para selecionar a data específica para remoção.
  - Duração até remoção (em horas): digite um número, em horas, até que a remoção da política ocorra.
- Permitir que o usuário remova a política: você pode selecionar quando os usuários podem remover a política do dispositivo. Selecione Sempre, Código secreto obrigatório ou Nunca no menu. Se você selecionar Código secreto obrigatório, digite um código secreto no campo Código secreto de remoção.
- Escopo do perfil: selecione se esta política se aplica a um Usuário ou a um Sistema inteiro. O padrão é Usuário. Essa opção está disponível somente no macOS 10.7 e versões posteriores.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Política de dispositivo do SCEP

January 13, 2022

Contribuição de:

January 13, 2022

Contribuição de:

Isso foi útil?