|
|
微软活动目录证书服务(AD CS)提供的数字证书,可用于加密、数字签名和对网络上的用户和设备进行身份验证。通过将Microsoft AD CS与Mobile Device Manager Plus集成,IT管理员可以利用AD和组策略进行证书注册和分配。这样,企业可以动态创建特定于用户的证书,批量分发证书,并自动更新设备上的证书,从而确保数据安全性和合规性,满足组织标准。
在MDM中配置Microsoft AD CS的步骤如下:
| 配置文件参数 | 说明 |
|---|---|
| 服务器类型 | 服务器类型选择Microsoft AD CS。 |
| 证书颁发机构名称 | 填写颁发证书的证书颁发机构的名称。 |
| 服务器URL | 需要指定在设备上获取证书的URL地址。如果SCEP服务器在组织网络内部且不暴露于外部网络,则需要提供HTTP服务器URL。证书将通过此URL请求。 |
| 添加CA证书 | 上传证书颁发机构的证书。 |
为了创建特定于用户的证书,需要配置一个模板,CA将基于该模板颁发所有证书。
在MDM上配置模板的步骤如下:
| 配置文件参数 | 说明 |
|---|---|
| 证书模板名称 | 指定证书模板名称。 |
| 主体 | 指定证书中需要显示的主体DN。您可以使用动态Key,%username%, %email%, %firstname%,获取映射到设备的相应详细信息。例如,输入C=US,O=Zylker,OU=Zylker,CN=%firstname%。 |
| 主体备选名称类型 | 指定主体备选名称类型:无、RFC 822名称、DNS名称或统一资源标识符。 |
| 主体备选名称值(仅当配置了“主体备选名称类型”时可配置) | 指定主体备选名称值。输入的值可以是:DNS名称、URL或电子邮件。例如,您可以使用动态Key,%email%来表示电子邮件。 |
| NT主体名称 | 指定组织中使用的NT主体名称。 |
| 最大失败尝试次数 | 指定从CA获取证书时进行验证允许的最大失败尝试次数。超过最大次数后,用户将被暂时限制验证用户帐户。 |
| 尝试间隔时间 | 下次尝试获取证书前的等待时间。 |
| 挑战类型 | CA提供的预共享密钥,增加了额外的安全层。如果选择静态,挑战密码将被提交给SCEP服务器进行身份验证。如果选择动态,每个设备都将通过唯一的挑战密码进行身份验证。如果选择无,SCEP服务器不需要身份验证,任何设备都可以通过访问SCEP URL接收证书。 |
| 注册挑战密码(仅当挑战类型设置为静态时可配置) | 提供用于身份验证的挑战密码。 |
| 挑战URL(仅当挑战类型设置为动态时可配置) | 指定AD CS MSCEP管理员终端URL。 |
| 挑战用户名(仅当挑战类型设置为动态时可配置) | 指定要使用的AD CS MSCEP管理员用户名。 |
| 挑战密码(仅当挑战类型设置为动态时可配置) | 指定要使用的AD CS MSCEP管理员密码。 |
| 密钥长度 | 指定密钥是1024位还是2048位。 |
| 用作数字签名 | 启用此选项可确保证书可用于数字签名。 |
| 用于密钥加密 | 启用此选项可确保证书可用于密钥加密。 |
| 证书自动更新 | 启用此选项可确保证书在过期前自动更新。 |
| 证书自动更新提前天数 | 指定证书必须提前多少天自动更新。 |
向被管设备分发证书前,需要将这些设备与SCEP配置文件关联,创建SCEP配置文件并关联到设备的步骤如下:
建议在将配置文件分发到生产环境之前,先分发到设备进行测试。测试完成后,您可以通过组将配置文件分发到生产环境中。
| 另请参阅: | 配置 Mobile Device Manager Plus,设备注册, 应用管理,配置文件管理,资产管理,报表 |
|
|