证书提供商
凭据提供程序是您在端点管理系统的各个部分中使用的实际证书配置。凭据提供者定义证书的来源、参数和生命周期。无论证书是设备配置的一部分还是独立的(即按原样推送到设备),都会发生这些操作。
设备注册限制了证书的生命周期。也就是说,Endpoint Management在注册之前不会颁发证书,尽管Endpoint Management可以在注册过程中颁发一些证书。此外,当注册被撤销时,在一个注册的上下文中从内部PKI发出的证书也将被撤销。管理关系终止后,有效证书将不复存在。
您可以在多个地方使用一个凭据提供程序配置,这样一来,一个配置可以同时管理任意数量的证书。因此,统一是在部署资源和部署上。例如,如果凭据提供程序P作为配置C的一部分部署到设备D: P的颁发设置确定部署到D的证书。同样,更新C时应用D的更新设置。并且,当C被删除或D被撤销时,D的撤销设置也适用。
根据这些规则,端点管理中的凭据提供程序配置确定以下内容:
- 证书的来源。
- 获取证书的方法:签署新证书或获取(恢复)现有证书和密钥对。
- 发行或回收的参数。例如,CSR (Certificate Signing Request)参数,如密钥大小、密钥算法、证书扩展名等。
- 向设备下发证书的方式。
- 撤销的条件。尽管当管理关系被切断时,所有证书都将在Endpoint Management中被撤销,但配置可以指定更早的撤销。例如,配置可以指定在删除关联的设备配置时撤销证书。此外,在某些条件下,端点管理中相关证书的撤销可能会发送到后端公钥基础设施(PKI)。即“端点管理”中的证书吊销会导致PKI上的证书被吊销。
- 更新设置。通过给定凭据提供者获得的证书可以在接近过期时自动更新。或者,在这种情况下,可以在到期临近时发出通知。
配置选项的可用性主要取决于为凭据提供者选择的PKI实体类型和颁发方法。
发证方式
您可以通过以下两种方式获得证书,即证书的颁发方式:
- 签名:使用这种方法,颁发涉及创建一个新的私钥、创建一个CSR,并将CSR提交给证书颁发机构进行签名。Endpoint Management支持三个PKI实体(MS Certificate Services Entity、Generic PKI和Discretionary CA)的签名方法。
- 获取:使用这种方法,对于端点管理来说,颁发是对现有密钥对的恢复。端点管理仅支持通用PKI的获取方法。
凭证提供者使用签发的签名或获取方法。所选方法会影响可用的配置选项。值得注意的是,只有当发布方式为签名时,CSR配置和分布式交付才可用。获取的证书总是作为PKCS #12发送到设备,这相当于签名方法的集中交付模式。
证书交付
Endpoint Management提供了两种证书交付模式:集中式和分布式。分布式模式使用SCEP (Simple Certificate Enrollment Protocol)协议,仅在客户端支持该协议的情况下可用(仅iOS)。分布式模式在某些情况下是强制的。
对于支持分布式(cep辅助的)交付的凭据提供者,需要一个特殊的配置步骤:设置注册授权(Registration Authority, RA)证书。RA证书是必需的,因为如果使用SCEP协议,端点管理就像实际证书颁发机构的委托(注册商)。端点管理必须向客户证明它有这样做的权力。通过将前面提到的证书上传到Endpoint Management来建立该权限。
需要两个不同的证书角色(尽管一个证书可以同时满足这两个要求):RA签名和RA加密。这些角色的约束条件如下:
- RA签名证书必须具有X.509密钥使用数字签名。
- RA加密证书必须具有X.509密钥使用密钥加密。
要配置凭据提供程序RA证书,需要将证书上传到Endpoint Management,然后在凭据提供程序中链接到它们。
只有在提供程序为证书角色配置了证书时,才认为该凭据提供程序支持分布式交付。您可以配置每个凭据提供程序,使其采用集中式模式、分布式模式或需要分布式模式。实际结果取决于上下文:如果上下文不支持分布式模式,但凭据提供程序需要这种模式,则部署失败。同样,如果上下文需要分布式模式,但凭据提供程序不支持分布式模式,则部署失败。在所有其他情况下,采用首选设置。
下表显示了SCEP在端点管理中的分布:
| 上下文 | 连支持 | 连要求 |
|---|---|---|
| iOS配置文件服务 | 是的 | 是的 |
| iOS移动设备管理注册 | 是的 | 没有 |
| iOS配置文件 | 是的 | 没有 |
| SHTP招生 | 没有 | 没有 |
| SHTP配置 | 没有 | 没有 |
| Windows Phone和平板电脑注册 | 没有 | 没有 |
| Windows Phone和平板电脑配置 | 不,除了网络设备策略,它支持Windows Phone 8.1, Windows 10和Windows 11版本 | 没有 |
证书撤销
撤销有三种类型。
- 内部撤销:内部撤销会影响Endpoint Management维护的证书状态。端点管理在评估提供的证书或为证书提供OCSP状态信息时考虑此状态。凭据提供程序配置确定在各种条件下如何影响此状态。例如,当证书从设备上删除时,凭据提供者可以指定将证书标记为已撤销。
- 外部传播的撤销:也称为撤销端点管理,这种类型的撤销适用于从外部PKI获得的证书。当Endpoint Management根据凭据提供程序配置定义的条件在PKI上撤销证书时,证书将被撤销。执行撤销的调用需要一个可撤销的通用PKI (GPKI)实体。
- 外部诱导撤销:也称为撤销PKI,这种类型的撤销也仅适用于从外部PKI获得的证书。每当端点管理评估给定的证书状态时,端点管理就会查询PKI的该状态。如果证书被撤销,Endpoint Management将在内部撤销该证书。该机制使用OCSP协议。
这三种类型不是相互排斥的,而是共同适用的。外部撤销或独立发现可导致内部撤销。内部撤销可能会影响外部撤销。
证书更新
证书更新是撤销现有证书和颁发另一个证书的组合。
Endpoint Management在撤销之前的证书之前首先尝试获取新证书,以避免在颁发失败时中断服务。对于分布式(支持cep)交付,也只在证书成功安装到设备上之后才会发生撤销。否则,在新证书发送到设备之前,证书会被撤销。该撤销与证书安装的成功或失败无关。
撤销配置要求您指定某个持续时间(以天为单位)。设备连接时,服务器端验证证书是否正确NotAfter日期晚于当前日期,减去指定的持续时间。如果证书满足该条件,端点管理将尝试更新证书。
创建凭证提供程序
凭据提供程序的配置主要取决于您为凭据提供程序选择的颁发实体和颁发方法。您可以区分使用内部实体或外部实体的凭据提供者:
端点管理内部的任意实体是内部实体。自由裁量实体的发行方式通常为签字。签名意味着对于每个颁发操作,Endpoint Management使用为实体选择的CA证书签署一个新的密钥对。密钥对是在设备上生成还是在服务器上生成取决于您选择的分发方式。
外部实体是企业基础设施的一部分,包括Microsoft CA或GPKI。
有关设置DigiCert Managed PKI(包括创建凭据提供者)的详细信息,请参见中的“DigiCert Managed PKI”PKI实体.
在端点管理控制台中,单击右上角的齿轮图标,然后单击设置>凭据提供程序.
在证书提供商页面,点击添加.
的证书提供者:一般信息页面出现。
在证书提供者:一般信息页面,执行以下操作:
- 名称:为新的提供程序配置键入唯一的名称。这个名称稍后用于标识Endpoint Management控制台其他部分中的配置。
- 描述:描述凭证提供者。尽管该字段是可选的,但是描述可以提供关于此凭据提供程序的有用详细信息。
- 发行单位:单击证书颁发机构。
- 发布方法:点击标志或获取作为系统从配置的实体中获取证书的方式。客户端证书认证时,使用标志.
如果模板列表可用时,请选择您在PKI实体下为凭据提供者添加的模板。
在添加Microsoft证书服务实体时,即可使用这些模板> PKI实体.
点击下一个.
的凭证提供者:证书签名请求页面出现。
在凭证提供者:证书签名请求页,根据证书配置进行如下配置:
关键算法:为新的密钥对选择密钥算法。可用值为RSA,DSA,ECDSA.
关键尺寸:键入密钥对的大小(以位为单位)。该字段为必填项。
允许的值取决于键类型。例如,DSA密钥的最大大小为2048位。为了避免误判(这取决于底层硬件和软件),Endpoint Management不强制执行密钥大小。在生产环境中激活凭据提供程序配置之前,始终在测试环境中测试它们。
签名算法:单击新证书的值。值取决于关键算法。
主题名称:必需的。键入新证书主题的唯一名称(DN)。例如:
CN = ${用户。username}, OU=${user.department}, O=${user.companyname},C=${user.c}\ endquote例如,对于客户端证书认证,使用以下设置:
- 关键算法:RSA
- 关键尺寸:2048
- 签名算法:SHA256withRSA
- 主题名称:
cn = $ user.username
控件中添加项主题替代名称表,点击添加.选择备选名称的类型,然后在第二列中键入一个值。
对于客户端证书认证,请指定:
- 类型:主体名称
值:
user.userprincipalname美元与主题名称一样,您可以在值字段中使用端点管理宏。
点击下一个.
的证书提供者:分发页面出现。
在证书提供者:分发页面,执行以下操作:
- 在签发CA证书列表中,单击提供的CA证书。由于凭据提供者使用全权裁量的CA实体,因此凭据提供者的CA证书始终是在实体本身上配置的CA证书。此处提供CA证书是为了与使用外部实体的配置保持一致。
- 在选择分销模式,按下列其中一种方式生成和分发密钥:
- 偏爱集中式:服务器端密钥生成:Citrix推荐这种集中式选项。它支持Endpoint Management支持的所有平台,并且在使用Citrix Gateway身份验证时是必需的。私钥生成后存储在服务器上,并分发给用户设备。
- 首选分布式:设备端键生成:私钥生成后存储在用户设备上。这种分布式模式使用SCEP协议,需要RA加密证书(keyUsage keyEncryption)和RA签名证书(keyUsage digitalSignature)。同一个证书可以用于加密和签名。
- 仅分布式:设备端密钥生成:此选项的工作原理与Prefer分布式:设备端密钥生成相同,但由于它是“Only”,而不是“Prefer”,因此如果设备端密钥生成失败或不可用,则没有可用选项。
如果你选择了首选分布式:设备端密钥生成或仅分布式:设备端密钥生成,单击RA签名证书和RA加密证书。同一证书可用于两者。这些证书将出现新的字段。
点击下一个.
的凭据提供者:撤销端点管理页面出现。在此页上,您可以配置Endpoint Management在内部将通过此提供程序配置颁发的证书标记为已撤销的条件。
在凭据提供者:撤销端点管理页面,执行以下操作:
- 在撤销已颁发的证书,选择指示何时撤销证书的选项之一。
若要指导端点管理在证书被吊销时发送通知:设置的值发送通知来在并选择通知模板。
- 从Endpoint Management撤销证书时,在PKI上撤销证书:设置撤销PKI上的证书来在而且,在实体列表,单击模板。实体列表显示了所有具有撤销功能的可用GPKI实体。当从端点管理撤销证书时,将向从实体列表中选择的PKI发送撤销调用。
点击下一个.
的证书提供者:撤销PKI页面出现。在此页上,您将确定如果证书被撤销,将对PKI采取什么操作。您还可以选择创建通知消息。
在证书提供者:撤销PKI页,若要撤销PKI的证书,请执行以下操作:
- 更改启用外部撤销检查来在.出现了更多与撤销PKI相关的字段。
在OCSP响应器CA证书列表中,单击证书主题的区别名称(DN)。
对于DN字段值,可以使用端点管理宏。例如:
CN = ${用户。username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\ endquote在当证书被撤销时列表中,单击证书被吊销时对PKI实体采取的操作之一:
- 什么也不做。
- 更新证书。
- 撤销并擦除设备。
若要指导端点管理在证书被吊销时发送通知:设置的值发送通知来在.
您可以选择以下两个通知选项:
- 如果您选择选择通知模板,你可以选择预先写好的通知讯息,然后自订。这些模板在通知模板列表中。
- 如果您选择输入通知细节,您可以编写自己的通知消息。除了提供收件人的电子邮件地址和消息外,您还可以设置通知发送的频率。
点击下一个.
的证书提供者:更新页面出现。在这个页面上,您可以配置端点管理执行以下操作:
- 更新证书。您可以选择发送关于更新的通知,也可以选择从操作中排除已经过期的证书。
- 为即将到期的证书发出通知(更新前通知)。
在证书提供者:更新页,如果您想在证书过期时更新证书,请执行以下操作:
集更新的证书到期时在.会出现更多字段。
- 在当证书到期时更新字段,键入在证书过期前多少天更新。
- 可选地,选择不更新已经过期的证书.在这种情况下,“already expired”意味着
NotAfter日期是过去的,并不是说它被撤销了。端点管理在内部撤销证书后不会更新证书。
指示端点管理在证书更新时发送通知:设置发送通知来在.指示端点管理在证书接近过期时发送通知:设置当证书即将过期时通知来在.对于这两种选择,您可以在两个通知选项中进行选择:
- 选择通知模板:选择一个预先写好的通知消息,然后可以自定义。这些模板在通知模板列表中。
- 输入通知详细信息:写你自己的通知消息。提供收件人的电子邮件地址、消息和发送通知的频率。
在当证书出现时通知字段,输入发送通知的证书到期前几天。
点击保存.
凭据提供程序出现在凭据提供程序表中。