XenMobile Server

Política de dispositivo do SCEP

Esta política permite que você configure dispositivos iOS e macOS para recuperar um certificado usando o protocolo SCEP de um servidor SCEP externo. Se você desejar entregar um certificado ao dispositivo usando o SCEP de uma PKI que esteja conectada ao XenMobile, deverá criar uma entidade PKI e um provedor PKI no modo distribuído. Para obter detalhes, consulte Entidades PKI.

Para adicionar ou configurar essa política, acesse Configurar > Políticas de dispositivo. Para obter mais informações, consulte a Política de dispositivo de VPN.

Configurações de iOS

Imagem da tela de configuração de políticas de dispositivos

  • URL base: digite o endereço do servidor SCEP para definir para onde as solicitações SCEP são enviadas: sobre HTTP ou HTTPS. A chave privada não é enviada com a Solicitação de Assinatura de Certificado (CSR), portanto, pode ser seguro enviar a solicitação sem criptografia. No entanto, se a reutilização da senha de uso único for permitida, você deverá usar HTTPS para proteger a senha. Essa etapa é obrigatória.
  • Nome da instância: digite qualquer cadeia de caracteres que o servidor SCEP reconheça. Por exemplo, isso poderia ser um nome de domínio, como exemplo.org. Se uma AC tiver vários certificados de AC, você poderá usar esse campo para distinguir o domínio necessário. Essa etapa é obrigatória.
  • Nome X.500 da entidade (RFC 2253): digite a representação de um nome X.500, representado como uma matriz de Identificador de Objeto (OID) e valor. Por exemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que seria convertido em: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Você pode representar OIDs como números pontilhados com atalhos para o país (C), a localidade (L), o estado (ST), a organização (O), a unidade organizacional (OU) e o nome comum (CN).
  • Tipo de nomes alternativos de assunto: na lista suspensa, clique em um tipo de nome alternativo. A política de SCEP pode especificar um tipo de nome alternativo opcional que fornece os valores exigidos pela autoridade de certificação para a emissão de um certificado. Você pode especificar Nenhum, nome RFC 822, nome DNS ou URI.
  • Máximo de repetições: digite o número de vezes que um dispositivo deve tentar novamente quando o servidor SCEP enviar uma resposta PENDING. O padrão é 3.
  • Atraso entre cada repetição: digite o número de segundos de espera entre tentativas subsequentes. A primeira nova tentativa é realizada sem atraso. O padrão é 10.
  • Senha do desafio: insira um segredo pré-compartilhado.
  • Tamanho da chave (bits): selecione 2048 ou superior como o tamanho da chave em bits.
  • Usar como assinatura digital: especifique se você deseja que o certificado seja usado como uma assinatura digital. Se alguém estiver usando o certificado para verificar uma assinatura digital, como para verificar se um certificado foi emitido por uma AC, o servidor SCEP verificaria se o certificado pode ser usado dessa maneira antes de utilizar a chave pública para descriptografar o hash.
  • Usar para codificação de chave: especifique se você deseja que o certificado seja usado para codificação de chave. Se um servidor estiver usando a chave pública em um certificado fornecido por um cliente para verificar se uma parte dos dados foi criptografada usando a chave privada, o servidor primeiro verificaria se o certificado pode ser usado para codificação de chave. Em caso negativo, a operação falha.
  • Impressão digital SHA1/MD5 (cadeia de caracteres hexadecimal): se sua AC usar HTTP, use esse campo para fornecer a impressão digital do certificado de AC que o dispositivo usa para confirmar a autenticidade da resposta da AC durante o registro. Você pode inserir uma impressão digital SHA1 ou MD5, ou selecionar um certificado para importar a respectiva assinatura.

  • Configurações de política
    • Remover política: escolha um método para agendar a remoção da política. As opções disponíveis são Selecionar data e Duração até remoção (em horas)
      • Selecionar data: clique no calendário para selecionar a data específica para remoção.
      • Duração até remoção (em horas): digite um número, em horas, até que a remoção da política ocorra. Disponível apenas para iOS 6.0 e posterior.

Configurações do macOS

Imagem da tela de configuração de políticas de dispositivos

  • URL base: digite o endereço do servidor SCEP para definir para onde as solicitações SCEP são enviadas: sobre HTTP ou HTTPS. A chave privada não é enviada com a Solicitação de Assinatura de Certificado (CSR), portanto, pode ser seguro enviar a solicitação sem criptografia. No entanto, se a reutilização da senha de uso único for permitida, você deverá usar HTTPS para proteger a senha. Essa etapa é obrigatória.
  • Nome da instância: digite qualquer cadeia de caracteres que o servidor SCEP reconheça. Por exemplo, isso poderia ser um nome de domínio, como exemplo.org. Se uma AC tiver vários certificados de AC, você poderá usar esse campo para distinguir o domínio necessário. Essa etapa é obrigatória.
  • Nome X.500 da entidade (RFC 2253): digite a representação de um nome X.500, representado como uma matriz de Identificador de Objeto (OID) e valor. Por exemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que seria convertido em: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Você pode representar OIDs como números pontilhados com atalhos para o país (C), a localidade (L), o estado (ST), a organização (O), a unidade organizacional (OU) e o nome comum (CN).
  • Tipo de nomes alternativos de assunto: na lista suspensa, clique em um tipo de nome alternativo. A política de SCEP pode especificar um tipo de nome alternativo opcional que fornece os valores exigidos pela autoridade de certificação para a emissão de um certificado. Você pode especificar Nenhum, nome RFC 822, nome DNS ou URI.
  • Máximo de repetições: digite o número de vezes que um dispositivo deve tentar novamente quando o servidor SCEP enviar uma resposta PENDING. O padrão é 3.
  • Atraso entre cada repetição: digite o número de segundos de espera entre tentativas subsequentes. A primeira nova tentativa é realizada sem atraso. O padrão é 10.
  • Senha do desafio: digite um segredo pré-compartilhado.
  • Tamanho da chave (bits): selecione 2048 ou superior como o tamanho da chave em bits.
  • Usar como assinatura digital: especifique se você deseja que o certificado seja usado como uma assinatura digital. Se alguém estiver usando o certificado para verificar uma assinatura digital, como para verificar se um certificado foi emitido por uma AC, o servidor SCEP verificaria se o certificado pode ser usado dessa maneira antes de utilizar a chave pública para descriptografar o hash.
  • Usar para codificação de chave: especifique se você deseja que o certificado seja usado para codificação de chave. Se um servidor estiver usando a chave pública em um certificado fornecido por um cliente para verificar se uma parte dos dados foi criptografada usando a chave privada, o servidor primeiro verificaria se o certificado pode ser usado para codificação de chave. Em caso negativo, a operação falha.
  • Impressão digital SHA1/MD5 (cadeia de caracteres hexadecimal): se sua AC usar HTTP, use esse campo para fornecer a impressão digital do certificado de AC que o dispositivo usa para confirmar a autenticidade da resposta da AC durante o registro. Você pode inserir uma impressão digital SHA1 ou MD5, ou selecionar um certificado para importar a respectiva assinatura.

  • Configurações de política
    • Remover política: escolha um método para agendar a remoção da política. As opções disponíveis são Selecionar data e Duração até remoção (em horas)
      • Selecionar data: clique no calendário para selecionar a data específica para remoção.
      • Duração até remoção (em horas): digite um número, em horas, até que a remoção da política ocorra.
    • Permitir que o usuário remova a política: você pode selecionar quando os usuários podem remover a política do dispositivo. Selecione Sempre, Código secreto obrigatório ou Nunca no menu. Se você selecionar Código secreto obrigatório, digite um código secreto no campo Código secreto de remoção.
    • Escopo do perfil: selecione se esta política se aplica a um Usuário ou a um Sistema inteiro. O padrão é Usuário. Essa opção está disponível somente no macOS 10.7 e versões posteriores.
Política de dispositivo do SCEP