Product Documentation

SCEP 设备策略

Nov 29, 2016

利用此策略,可以将 iOS 和 Mac OS X 设备配置为使用简单证书注册协议 (SCEP) 从外部 SCEP 服务器检索证书。 如果希望从连接到 XenMobile 的 PKI 向使用 SCEP 的设备交付证书,应采用分布式模式创建 PKI 实体和 PKI 提供程序。 有关详细信息,请参阅 PKI 实体。  

iOS 设置

Mac OS X 设置

1. 在 XenMobile 控制台中,单击配置 > 设备策略。 此时将显示设备策略页面。

2. 单击添加。 此时将显示添加新策略对话框。

3. 展开更多,然后在安全性下面,单击 SCEP。 此时将显示 SCEP 策略信息页面。

localized image

4. 在策略信息窗格中,键入以下信息:

  • 策略名称:键入策略的描述性名称。
  • 说明:键入策略的可选说明。

5. 单击下一步。 此时将显示平台页面。

6. 在平台下面,选择要添加的平台。 如果只为一个平台配置,请取消选中其他平台。

完成对平台设置的配置后,请参阅步骤 7 以了解如何设置此平台的部署规则。 

配置 iOS 设置

localized image

配置以下设置:

  • URL 库:键入 SCEP 服务器的地址以定义通过 HTTP 或 HTTPS 发送 SCEP 请求的位置。 由于私钥不与证书签名请求 (CSR) 一起发送,因此发送未加密的请求可能不会有什么风险。 但是,如果允许重复使用一次性密码,则应该使用 HTTPS 来保护密码。 此步骤不是必需步骤。
  • 实例名称:键入任何 SCEP 服务器可以识别的字符串。 例如,可以是类似 example.org 的域名。 如果 CA 具有多个 CA 证书,则可以使用此字段识别所需的域。 此步骤不是必需步骤。
  • 使用者 X.500 名称 (RFC 2253):键入表示为一系列对象标识符 (OID) 和值的 X.500 名称的表示形式。 例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar 将转换为:[ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]。 OID 可表示为句点分隔的数字,并采用以下快捷方式:国家/地区 (C)、地点 (L)、州 (ST)、组织 (O)、组织单位 (OU) 以及公用名 (CN)。
  • 使用者备用名称类型:在列表中,单击备用名称类型。 SCEP 策略可指定可选的备用名称类型,用于提供 CA 颁发证书所需的值。 可以指定RFC 822 名称DNS 名称URI
  • 最大重试次数:键入 SCEP 服务器发送 PENDING 响应时设备应重试的次数。 默认值为 3
  • 重试延迟:键入执行下次重试之前需要等待的秒数。 第一次重试尝试没有延迟。 默认值为 10
  • 质询密码:输入预共享密钥。
  • 密钥大小(位):在列表中,单击以位为单位的密钥大小 10242048。 默认值为 1024
  • 用作数字签名:指定是否要将证书用作数字签名。 如果有人使用证书来验证数字签名,如验证证书是否由 CA 颁发,SCEP 服务器将在使用公钥解密哈希之前确认该证书是否可以用于此目的。
  • 用于密匙加密:指定是否要将证书用于密匙加密。 如果服务器正在使用客户端提供的证书中包含的公钥来验证数据段是否使用私钥进行加密,服务器将首先检查证书是否可用于密钥加密。 否则,操作将失败。
  • SHA1/MD5 指纹(十六进制字符串):如果 CA 使用 HTTP,则使用此字段提供 CA 证书的指纹,供设备在注册期间用于确认 CA 响应的可靠性。 可以输入 SHA1 或 MD5 指纹,或选择证书来导入其签名。
  • 策略设置
    • 策略设置下,删除策略旁边,单击选择日期删除前保留时间(天)
    • 如果单击选择日期,请单击日历以选择具体删除日期。
    • 允许用户删除策略列表中,单击始终需要密码从不
    • 如果单击需要密码,在 Removal password(删除密码)旁边,键入必需的密码。

配置 Mac OS X 设置

localized image

配置以下设置:

  • URL 库:键入 SCEP 服务器的地址以定义通过 HTTP 或 HTTPS 发送 SCEP 请求的位置。 由于私钥不与证书签名请求 (CSR) 一起发送,因此发送未加密的请求可能不会有什么风险。 但是,如果允许重复使用一次性密码,则应该使用 HTTPS 来保护密码。 此步骤不是必需步骤。
  • 实例名称:键入任何 SCEP 服务器可以识别的字符串。 例如,可以是类似 example.org 的域名。 如果 CA 具有多个 CA 证书,则可以使用此字段识别所需的域。 此步骤不是必需步骤。
  • 使用者 X.500 名称 (RFC 2253):键入表示为一系列对象标识符 (OID) 和值的 X.500 名称的表示形式。 例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar 将转换为:[ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]。 OID 可表示为句点分隔的数字,并采用以下快捷方式:国家/地区 (C)、地点 (L)、州 (ST)、组织 (O)、组织单位 (OU) 以及公用名 (CN)。
  • 使用者备用名称类型:在列表中,单击备用名称类型。 SCEP 策略可指定可选的备用名称类型,用于提供 CA 颁发证书所需的值。 可以指定RFC 822 名称DNS 名称URI
  • 最大重试次数:键入 SCEP 服务器发送 PENDING 响应时设备应重试的次数。 默认值为 3
  • 重试延迟:键入执行下次重试之前需要等待的秒数。 第一次重试尝试没有延迟。 默认值为 10
  • 质询密码:键入预共享密钥。
  • 密钥大小(位):在列表中,单击以位为单位的密钥大小 10242048。 默认值为 1024
  • 用作数字签名:指定是否要将证书用作数字签名。 如果有人使用证书来验证数字签名,如验证证书是否由 CA 颁发,SCEP 服务器将在使用公钥解密哈希之前确认该证书是否可以用于此目的。
  • 用于密匙加密:指定是否要将证书用于密匙加密。 如果服务器正在使用客户端提供的证书中包含的公钥来验证数据段是否使用私钥进行加密,服务器将首先检查证书是否可用于密钥加密。 否则,操作将失败。
  • SHA1/MD5 指纹(十六进制字符串):如果 CA 使用 HTTP,则使用此字段提供 CA 证书的指纹,供设备在注册期间用于确认 CA 响应的可靠性。 可以输入 SHA1 或 MD5 指纹,或选择证书来导入其签名。
  • 策略设置
    • 策略设置下,删除策略旁边,单击选择日期删除前保留时间(天)
    • 如果单击选择日期,请单击日历以选择具体删除日期。
    • 允许用户删除策略列表中,单击始终需要密码从不
    • 如果单击需要密码,在 Removal password(删除密码)旁边,键入必需的密码。
    • 配置文件作用域旁边,单击用户系统。 默认值为用户。 此选项仅适用于 OS X 10.7 及更高版本。
7. 配置部署规则

8. 单击下一步。 此时将显示 SCEP 策略分配页面。

9. 在选择交付组旁边,键入以查找交付组,或在列表中选择一个或多个要向其分配策略的交付组。 选择的组显示在右侧用于接收应用程序分配的交付组列表中。

10. 展开部署计划,然后配置以下设置:

  • 部署旁边,单击以计划部署,或单击以阻止部署。 默认选项为。 如果选择,无需配置其他选项。
  • 部署计划旁边,单击立即稍后。 默认选项为立即。
  • 如果单击稍后,请单击日历图标,然后选择部署的日期和时间。
  • 部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。 默认选项为每次连接时
  • 为始终启用的连接部署旁边,单击。 默认选项为

注意

  • 已在设置 > 服务器属性中配置了计划后台部署密钥的情况下此选项适用。 始终启用选项不适用于 iOS 设备。
  • 配置的部署计划对所有平台相同。 您所做的更改适用于所有平台,为始终启用的连接部署除外,它不适用于 iOS。

11. 单击保存以保存此策略。