Citrix Endpoint Management

SCEP 设备策略

通过此策略,您可以将 iOS 和 macOS 设备配置为通过简单证书注册协议 (SCEP) 从外部 SCEP 服务器检索证书。要从连接到 Citrix Endpoint Management 的 PKI 向使用 SCEP 的设备提供证书,请在分布式模式下创建 PKI 实体和 PKI 提供商。有关详细信息,请参阅 PKI 实体

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕

  • URL 基: 键入 SCEP 服务器的地址以定义通过 HTTP 或 HTTPS 发送 SCEP 请求的位置。由于私钥不与证书签名请求 (CSR) 一起发送,因此发送未加密的请求可能不会有什么风险。如果将一次性密码配置为重复使用,请使用 HTTPS 保护密码。此步骤不是必需步骤。
  • 实例名称: 键入 SCEP 服务器可以识别的任何字符串。例如,可以是类似 example.org 的域名。如果 CA 具有多个 CA 证书,则可以使用此字段识别所需的域。此步骤不是必需步骤。
  • 使用者 X.500 名称(RFC 2253): 键入作为一系列对象标识符 (OID) 和值的 X.500 名称的表示形式。例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar,转换为:[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]。OID 可表示为句点分隔的数字,并采用以下快捷方式:国家/地区 (C)、地点 (L)、州 (ST)、组织 (O)、组织单位 (OU) 以及公用名 (CN)。

  • 使用者备用名称类型: 选择备用名称类型。可选的备用名称类型可以提供 CA 颁发证书所需的值。可以指定RFC 822 名称DNS 名称URI
  • 最大重试次数: 键入 SCEP 服务器发送 PENDING 响应时设备应重试的次数。默认值为 3
  • 重试延迟: 键入执行下次重试之前需要等待的秒数。第一次重试尝试没有延迟。默认值为 10
  • 质询密码: 输入预共享密钥。
  • 密钥大小(位): 选择 2048 或更大值作为密钥大小,单位为位。
  • 用作数字签名: 指定是否要将证书用作数字签名。SCEP 服务器在使用公钥解密哈希之前验证用作数字签名的证书。
  • 用于密钥加密: 选择是否要将证书用于密钥加密。服务器首先检查是否允许客户端提供的证书用于密钥加密。然后,服务器使用证书中的公钥来验证是否使用私钥加密了一段数据。否则,操作将失败。
  • SHA-256 指纹(十六进制字符串): 如果 CA 使用 HTTP,请使用此字段提供 CA 证书的指纹。设备在注册期间使用指纹来确认 CA 响应的真实性。您可以提供 SHA-256 指纹,也可以选择一个证书来导入其签名。

  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。仅适用于 iOS 6.0 及更高版本。

macOS 设置

“设备策略”配置屏幕

  • URL 基: 键入 SCEP 服务器的地址以定义通过 HTTP 或 HTTPS 发送 SCEP 请求的位置。由于私钥不与证书签名请求 (CSR) 一起发送,因此发送未加密的请求可能不会有什么风险。如果将一次性密码配置为重复使用,请使用 HTTPS 保护密码。此步骤不是必需步骤。
  • 实例名称: 键入 SCEP 服务器可以识别的任何字符串。例如,可以是类似 example.org 的域名。如果 CA 具有多个 CA 证书,则可以使用此字段识别所需的域。此步骤不是必需步骤。
  • 使用者 X.500 名称(RFC 2253): 键入作为一系列对象标识符 (OID) 和值的 X.500 名称的表示形式。例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar,转换为:[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]。OID 可表示为句点分隔的数字,并采用以下快捷方式:国家/地区 (C)、地点 (L)、州 (ST)、组织 (O)、组织单位 (OU) 以及公用名 (CN)。
  • 使用者备用名称类型: 选择备用名称类型。可选的备用名称类型可以提供 CA 颁发证书所需的值。可以指定RFC 822 名称DNS 名称URI
  • 最大重试次数: 键入 SCEP 服务器发送 PENDING 响应时设备应重试的次数。默认值为 3
  • 重试延迟: 键入执行下次重试之前需要等待的秒数。第一次重试尝试没有延迟。默认值为 10
  • 质询密码: 键入预共享密钥。
  • 密钥大小(位): 选择 2048 或更大值作为密钥大小,单位为位。
  • 用作数字签名: 指定是否要将证书用作数字签名。SCEP 服务器在使用公钥解密哈希之前验证用作数字签名的证书。
  • 用于密钥加密: 选择是否要将证书用于密钥加密。服务器首先检查是否允许客户端提供的证书用于密钥加密。然后,服务器使用证书中的公钥来验证是否使用私钥加密了一段数据。否则,操作将失败。
  • SHA-256 指纹(十六进制字符串): 如果 CA 使用 HTTP,请使用此字段提供 CA 证书的指纹。设备在注册期间使用指纹来确认 CA 响应的真实性。您可以提供 SHA-256 指纹,也可以选择一个证书来导入其签名。

  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。
    • 允许用户删除策略: 可以选择用户何时可以从其设备中删除策略。从菜单中选择始终需要通行码从不。如果选择需要通行码,请在删除通行码字段中键入通行码。
    • 配置文件作用域: 选择此策略是应用于用户还是整个系统。默认值为用户。此选项仅在 macOS 10.7 及更高版本中可用。
SCEP 设备策略