|
|
尽管密码是安全保护和身份验证的常用方法,但现在许多组织更喜欢在访问Exchange server、Wi-Fi、VPN等之前使用数字签名证书对用户进行身份验证,这样可以减少忘记密码和反复重置密码的几率。Mobile Device Manager Plus (MDM)简化了数字签名证书的创建、分发和更新。
常用的证书有两种:
管理员使用单个证书对组织中的所有用户进行身份验证。所有员工在访问他们的Exchange账户和连接到Wi-fi或VPN时,都可以使用这个信任证书验证设备。
为了使用户能够验证他们的设备,证书必须存在于设备上。这可以通过使用MDM分发证书来实现。
组织与负责颁发证书的证书颁发机构(CA)集成,为组织中的每个用户创建证书。与MDM集成后,CA机构将为访问Exchange帐户、Wi-fi或VPN的所有用户创建和分发单独的证书。
MDM的证书管理功能,可以帮助组织管理信任证书和特定于用户的证书。
管理员可以向MDM服务器上传所需的证书,并分发到被管设备。MDM还会维护有效期信息,确保证书定期更新。
向MDM服务器添加证书的步骤如下:
成功添加证书后,MDM控制台中就可以看到详细信息,如有效期、颁发者名称、证书分发到的设备或组等。您可以重复相同步骤添加多个证书。
证书添加到MDM服务器之后,可以通过分发到组或分发到相应的设备,安装到设备上。
向组/设备分发证书的步骤如下:
如需生成特定于用户的证书,MDM必须与CA服务器集成,为用户动态创建证书。
MDM允许管理员使用简单证书注册协议(SCEP)服务器与CA服务器集成。
在MDM中配置SCEP,需要先确保满足先决条件。关于先决条件列表和配置步骤,请参阅本文档。
在MDM中配置SCEP的步骤如下:
配置文件参数 |
说明 |
|---|---|
证书颁发机构名称 |
证书颁发机构名称。 |
服务器URL |
需要指定在设备上获取证书的URL地址。如果SCEP服务器在组织网络内部且不暴露于外部网络,则需要提供HTTP服务器URL。证书将通过此URL请求。 |
CA证书指纹 |
CA证书指纹是CA证书的唯一标识符。此信息可在CA服务器中查看,非必填项。 |
为了创建特定于用户的证书,需要配置一个模板,CA将基于该模板颁发所有证书。
在MDM上配置模板的步骤如下:
配置文件参数 |
说明 |
|---|---|
主体 |
指定在设备中映射对应信息的详细信息(%username%、 %email%、 %domainname%、%devicename%)。 |
主体备选名称类型 |
指定备用详细信息(RFC 822名称、DNS名、统一资源标识符)。 |
主体备选名称类型值 |
指定备用名称类型值 |
NT主体名称 |
指定组织中使用的NT主体名称。 |
最大失败尝试次数 |
从CA获取证书的最大尝试次数。 |
尝试间隔时间 |
下次尝试获取证书前的等待时间。 |
挑战类型 |
CA提供的预共享密钥,增加了额外的安全层。 |
注册挑战密码 |
提供要使用的挑战密码。 |
密钥长度 |
指定密钥是1024位还是2048位。 |
用作数字签名 |
启用此选项可确保证书可用于数字签名。 |
用于密钥加密 |
启用此选项可确保证书可用于密钥加密。 |
证书自动更新 |
启用此选项可确保证书在过期前自动更新。 |
大多数证书需要定期更新,MDM会在控制台中提醒管理员即将过期的被管证书。更新后的证书可按下列步骤上传:
管理员可以选择手动重新分发更新后的配置文件到设备,或在上传新证书时启用自动重新分发修改后的配置文件到设备,自动化整个过程。
| 另请参阅: | 配置Mobile Device Manager Plus、设备注册、应用管理、配置文件管理、资产管理、报表 |
|
|