集成Generic SCEP服务器和MDM

使用Generic SCEP集成,IT管理员可以利用简单证书注册协议(SCEP),使用MDM将证书注册请求安全部署到设备上。MDM可以与CA服务器集成,动态创建特定于用户的证书,并通过在设备上自动配置、更新和静默地安装证书,实现证书的批量分发和部署。

在MDM中配置SCEP

在MDM中配置SCEP的步骤如下:

配置文件参数 说明
服务器类型 服务器类型选择Generic SCEP。
证书颁发机构名称 填写颁发证书的证书颁发机构的名称。
服务器URL 需要指定在设备上获取证书的URL地址。如果SCEP服务器在组织网络内部且不暴露于外部网络,则需要提供HTTP服务器URL。证书将通过此URL请求。
添加CA证书 上传证书颁发机构的证书。

为CA服务器创建模板

为了创建特定于用户的证书,需要配置一个模板,CA将基于该模板颁发所有证书。

在MDM上配置模板的步骤如下:

配置文件参数 说明
证书模板名称 指定证书模板名称。
主体 指定证书中需要显示的主体DN。您可以使用动态Key,%username%, %email%, %firstname%,获取映射到设备的相应详细信息。例如,输入C=US,O=Zylker,OU=Zylker,CN=%firstname%。
主体备选名称类型 指定主体备选名称类型:无、RFC 822名称、DNS名称或统一资源标识符
主体备选名称值(仅当配置了“主体备选名称类型”时可配置) 指定主体备选名称值。输入的值可以是:DNS名称、URL或电子邮件。例如,您可以使用动态Key,%email%来表示电子邮件。
NT主体名称 指定组织中使用的NT主体名称。
最大失败尝试次数 指定从CA获取证书时进行验证允许的最大失败尝试次数。
尝试间隔时间 下次尝试获取证书前的等待时间。
挑战类型 由CA提供的预共享密钥,增加了额外的安全层。如果选择静态,挑战密码将被提交给SCEP服务器进行身份验证。如果选择,SCEP服务器不需要身份验证,任何设备都可以通过访问SCEP URL接收证书。
注册挑战密码(仅当挑战类型设置为静态时可配置) 提供要使用的挑战密码。所有设备将使用指定的密码进行身份验证。
密钥长度 指定密钥是1024位还是2048位。
用作数字签名 启用此选项可确保证书可用于数字签名。
用于密钥加密 启用此选项可确保证书可用于密钥加密。
证书自动更新 启用此选项可确保证书在过期前自动更新。
证书自动更新提前天数 指定证书必须提前多少天自动更新。

创建SCEP配置文件

向被管设备分发证书前,需要将这些设备与SCEP配置文件关联,创建SCEP配置文件并关联到设备的步骤如下:

  1. 导航到设备管理 -> 配置文件,创建Apple/安卓/Windows配置文件。
  2. 从左侧栏选择SCEP
  3. 选择已创建的证书模板。
  4. 点击保存并发布配置文件。

建议在将配置文件分发到生产环境之前,先分发到设备进行测试。测试完成后,您可以通过将配置文件分发到生产环境中。

另请参阅: 配置 Mobile Device Manager Plus设备注册应用管理配置文件管理资产管理报表
Copyright © 2023, ZOHO Corp. All Rights Reserved.
ManageEngine