EJBCA是一个开源的证书颁发机构(CA),颁发和管理用户证书,确保合规性,并通过数字身份验证,保护企业数据和资产。Mobile Device Manager Plus (MDM)与EJBCA集成,简化了数字签名证书的创建、分发和更新。
EJBCA与Mobile Device Manager Plus集成后,企业可以为用户动态创建证书,并在移动设备上提供无密码身份验证。IT管理员还可以自动更新证书,避免服务中断、安全漏洞和不合规。
设置EJBCA服务器,请参阅EJBCA文档。
在MDM中配置EJBCA的步骤如下:
配置文件参数 | 说明 |
---|---|
服务器类型 | 服务器类型选择EJBCA。 |
证书颁发机构名称 | 填写颁发证书的证书颁发机构的名称。 |
服务器URL | 需要指定在设备上获取证书的URL地址。如果SCEP服务器在组织网络内部且不暴露于外部网络,则需要提供HTTP服务器URL。证书将通过此URL请求。 |
添加CA证书 | 上传证书颁发机构的证书。 |
为了创建特定于用户的证书,需要配置一个模板,CA将基于该模板颁发所有证书。
在MDM上配置模板的步骤如下:
配置文件参数 | 说明 |
---|---|
证书模板名称 | 指定证书模板名称。 |
主体 | 指定证书中需要显示的主体DN。您可以使用动态Key,%username%, %email%, %firstname%,获取映射到设备的相应详细信息。例如,输入C=US,O=Zylker,OU=Zylker,CN=%firstname%。 |
主体备选名称类型 | 指定主体备选名称类型:无、RFC 822名称、DNS名称或统一资源标识符。 |
主体备选名称值(仅当配置了“主体备选名称类型”时可配置) | 指定主体备选名称值。输入的值可以是:DNS名称、URL或电子邮件。例如,您可以使用动态Key,%email%来表示主体备选名称值电子邮件。 |
NT主体名称 | 指定组织中使用的NT主体名称。 |
最大失败尝试次数 | 指定从CA获取证书时进行验证允许的最大失败尝试次数。超过最大次数后,用户将被暂时限制验证用户帐户。 |
尝试间隔时间 | 下次尝试获取证书前的等待时间。 |
挑战类型 | CA提供的预共享密钥,增加了额外的安全层。如果选择静态,挑战密码将被提交给SCEP服务器进行身份验证。如果选择动态,每个设备都将通过唯一的挑战密码进行身份验证。如果选择无,SCEP服务器不需要身份验证,任何设备都可以通过访问SCEP URL接收证书。 |
注册挑战密码(仅当挑战类型设置为静态时可配置) | 提供要使用的挑战密码。所有设备都将使用指定的密码进行身份验证。 |
密钥长度 | 指定密钥是1024位还是2048位。 |
用作数字签名 | 启用此选项可确保证书可用于数字签名。 |
用于密钥加密 | 启用此选项可确保证书可用于密钥加密。 |
证书自动更新 | 启用此选项可确保证书在过期前自动更新。 |
证书自动更新提前天数 | 指定证书必须提前多少天自动更新。 |
向被管设备分发证书前,需要将这些设备与SCEP配置文件关联,创建SCEP配置文件并关联到设备的步骤如下:
建议在将配置文件分发到生产环境之前,先分发到设备进行测试。测试完成后,您可以通过组将配置文件分发到生产环境中。
另请参阅: | 配置 Mobile Device Manager Plus,设备注册, 应用管理,配置文件管理,资产管理,报表 |