XenMobile Server

SCEP 设备策略

通过此策略,可以将 iOS 和 macOS 设备配置为使用简单证书注册协议 (SCEP) 从外部 SCEP 服务器检索证书。如果希望从连接到 XenMobile 的 PKI 向使用 SCEP 的设备交付证书,应采用分布式模式创建 PKI 实体和 PKI 提供程序。有关详细信息,请参阅 PKI 实体

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕图

  • URL 基: 键入 SCEP 服务器的地址以定义通过 HTTP 或 HTTPS 发送 SCEP 请求的位置。由于私钥不与证书签名请求 (CSR) 一起发送,因此发送未加密的请求可能不会有什么风险。但是,如果允许重复使用一次性密码,则应该使用 HTTPS 来保护密码。此步骤不是必需步骤。
  • 实例名称: 键入 SCEP 服务器可以识别的任何字符串。例如,可以是类似 example.org 的域名。如果 CA 具有多个 CA 证书,则可以使用此字段识别所需的域。此步骤不是必需步骤。
  • 使用者 X.500 名称(RFC 2253): 键入表示为一系列对象标识符 (OID) 和值的 X.500 名称的表示形式。例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar 将转换为:[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]。OID 可表示为句点分隔的数字,并采用以下快捷方式:国家/地区 (C)、地点 (L)、州 (ST)、组织 (O)、组织单位 (OU) 以及公用名 (CN)。
  • 使用者备用名称类型: 在下拉列表中,单击备用名称类型。SCEP 策略可指定可选的备用名称类型,用于提供 CA 颁发证书所需的值。可以指定RFC 822 名称DNS 名称URI
  • 最大重试次数: 键入 SCEP 服务器发送 PENDING 响应时设备应重试的次数。默认值为 3
  • 重试延迟: 键入执行下次重试之前需要等待的秒数。第一次重试尝试没有延迟。默认值为 10
  • 质询密码: 输入预共享密钥。
  • 密钥大小(位): 选择 2048 或更大值作为密钥大小,单位为位。
  • 用作数字签名: 指定是否要将证书用作数字签名。如果有人使用证书来验证数字签名,如验证证书是否由 CA 颁发,SCEP 服务器将在使用公钥解密哈希之前确认该证书是否可以用于此目的。
  • 用于密钥加密: 指定是否要将证书用于密钥加密。如果服务器正在使用客户端提供的证书中包含的公钥来验证数据段是否使用私钥进行加密,服务器将首先检查证书是否可用于密钥加密。否则,操作将失败。
  • SHA1/MD5 指纹(X六进制字符串): 如果 CA 使用 HTTP,则使用此字段提供 CA 证书的指纹,供设备在注册期间用于确认 CA 响应的真实性。可以输入 SHA1 或 MD5 指纹,或选择证书来导入其签名。

  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。仅适用于 iOS 6.0 及更高版本。

macOS 设置

“设备策略”配置屏幕图

  • URL 基: 键入 SCEP 服务器的地址以定义通过 HTTP 或 HTTPS 发送 SCEP 请求的位置。由于私钥不与证书签名请求 (CSR) 一起发送,因此发送未加密的请求可能不会有什么风险。但是,如果允许重复使用一次性密码,则应该使用 HTTPS 来保护密码。此步骤不是必需步骤。
  • 实例名称: 键入 SCEP 服务器可以识别的任何字符串。例如,可以是类似 example.org 的域名。如果 CA 具有多个 CA 证书,则可以使用此字段识别所需的域。此步骤不是必需步骤。
  • 使用者 X.500 名称(RFC 2253): 键入表示为一系列对象标识符 (OID) 和值的 X.500 名称的表示形式。例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar 将转换为:[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]。OID 可表示为句点分隔的数字,并采用以下快捷方式:国家/地区 (C)、地点 (L)、州 (ST)、组织 (O)、组织单位 (OU) 以及公用名 (CN)。
  • 使用者备用名称类型: 在下拉列表中,单击备用名称类型。SCEP 策略可指定可选的备用名称类型,用于提供 CA 颁发证书所需的值。可以指定RFC 822 名称DNS 名称URI
  • 最大重试次数: 键入 SCEP 服务器发送 PENDING 响应时设备应重试的次数。默认值为 3
  • 重试延迟: 键入执行下次重试之前需要等待的秒数。第一次重试尝试没有延迟。默认值为 10
  • 质询密码: 键入预共享密钥。
  • 密钥大小(位): 选择 2048 或更大值作为密钥大小,单位为位。
  • 用作数字签名: 指定是否要将证书用作数字签名。如果有人使用证书来验证数字签名,如验证证书是否由 CA 颁发,SCEP 服务器将在使用公钥解密哈希之前确认该证书是否可以用于此目的。
  • 用于密钥加密: 指定是否要将证书用于密钥加密。如果服务器正在使用客户端提供的证书中包含的公钥来验证数据段是否使用私钥进行加密,服务器将首先检查证书是否可用于密钥加密。否则,操作将失败。
  • SHA1/MD5 指纹(X六进制字符串): 如果 CA 使用 HTTP,则使用此字段提供 CA 证书的指纹,供设备在注册期间用于确认 CA 响应的真实性。可以输入 SHA1 或 MD5 指纹,或选择证书来导入其签名。

  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。
    • 允许用户删除策略: 可以选择用户何时可以从其设备中删除策略。从菜单中选择始终需要通行码从不。如果选择需要通行码,请在删除通行码字段中键入通行码。
    • 配置文件作用域: 选择此策略是应用于用户还是整个系统。默认值为用户。此选项仅在 macOS 10.7 及更高版本中可用。
SCEP 设备策略