SCEP设备策略

此策略允许配置iOS和macOS设备通过SCEP (Simple certificate Enrollment Protocol)协议从外部SCEP服务器获取证书。如果要使用SCEP从连接到Endpoint Management的PKI向设备交付证书，需要以分布式方式创建PKI实体和PKI提供程序。详细信息请参见PKI实体．

若要添加或配置此策略，请转到配置>设备策略．有关更多信息，请参见设备的政策．

iOS设置

• URL基地:输入SCEP服务器的地址，以定义通过HTTP或HTTPS发送SCEP请求的位置。私钥不会随证书签名请求(Certificate Signing Request, CSR)一起发送，因此不加密地发送请求可能是安全的。如果设置了重复使用一次性密码，请使用HTTPS协议对密码进行保护。此步骤为必填项。
• 实例名称:键入SCEP服务器识别的任何字符串。例如，它可以是一个域名，如example.org。当CA有多个CA证书时，可以使用该字段区分需要的域。此步骤为必填项。

• 主题X.500名称(RFC 2253):输入X.500名称的表示形式，作为对象标识符(OID)和值的数组。例如,/ C / O = =我们苹果公司(Apple inc .) / CN = foo / 1.2.5.3 = bar，翻译过来就是:[[[“C”、“我们 ”] ], [ [“ O”、“苹果(aapl . O:行情) .”] ], ..., [ [“ 1.2.5.3”、“酒吧”]]]．可以将oid表示为带有国家(C)、位置(L)、州(ST)、组织(O)、组织单元(OU)和通用名称(CN)的快捷方式的虚线数字。

• 主题替代名称类型:选择另一种名称类型。可选的替代名称类型可以提供CA颁发证书所需的值。你可以指定没有一个，rfc822名称，DNS名称,或URI．
• 最大重试:输入当SCEP服务器发送PENDING响应时设备应该重试的次数。默认为3.．
• 重试延迟:键入两次重试之间要等待的秒数。第一次重试没有延迟。默认为10．
• 挑战密码:输入一个预共享的秘密。
• 密钥大小(位):选择2048或更高的键大小(以比特为单位)。
• 用作数字签名:选择是否使用证书作为数字签名。在使用公钥解密散列之前，SCEP服务器验证作为数字签名的证书。
• 用于密钥加密:选择是否使用证书进行密钥加密。服务器首先检查客户端提供的证书是否允许进行密钥加密。然后，服务器使用证书中的公钥来验证一段数据是否使用私钥加密。否则，操作失败。

• SHA-256指纹(十六进制字符串):如果CA使用HTTP，则使用此字段提供CA证书的指纹。设备在注册时使用指纹验证CA响应的真实性。您可以自己提供SHA-256指纹，也可以选择证书导入签名。

• 策略设置
  • 删除政策:选择移除调度策略的方法。可用的选项有选择日期而且移除前持续时间(小时)
    • 选择日期:单击日历以选择要删除的特定日期。
    • 移除前持续时间(小时):键入一个数字(以小时为单位)，直到策略删除发生。仅支持iOS 6.0及以上版本。

macOS设置

• URL基地:输入SCEP服务器的地址，以定义通过HTTP或HTTPS发送SCEP请求的位置。私钥不会随证书签名请求(Certificate Signing Request, CSR)一起发送，因此不加密地发送请求可能是安全的。如果设置了重复使用一次性密码，请使用HTTPS协议对密码进行保护。此步骤为必填项。
• 实例名称:键入SCEP服务器识别的任何字符串。例如，它可以是一个域名，如example.org。当CA有多个CA证书时，可以使用该字段区分需要的域。此步骤为必填项。
• 主题X.500名称(RFC 2253):输入X.500名称的表示形式，作为对象标识符(OID)和值的数组。例如,/ C / O = =我们苹果公司(Apple inc .) / CN = foo / 1.2.5.3 = bar，翻译过来就是:[[[“C”、“我们 ”] ], [ [“ O”、“苹果(aapl . O:行情) .”] ], ..., [ [“ 1.2.5.3”、“酒吧”]]]．可以将oid表示为带有国家(C)、位置(L)、州(ST)、组织(O)、组织单元(OU)和通用名称(CN)的快捷方式的虚线数字。
• 主题替代名称类型:选择另一种名称类型。可选的替代名称类型可以提供CA颁发证书所需的值。你可以指定没有一个，rfc822名称，DNS名称,或URI．
• 最大重试:输入当SCEP服务器发送PENDING响应时设备应该重试的次数。默认为3.．
• 重试延迟:键入两次重试之间要等待的秒数。第一次重试没有延迟。默认为10．
• 挑战密码:键入一个预共享的秘密。
• 密钥大小(位):选择2048或更高的键大小(以比特为单位)。
• 用作数字签名:选择是否使用证书作为数字签名。在使用公钥解密散列之前，SCEP服务器验证作为数字签名的证书。
• 用于密钥加密:选择是否使用证书进行密钥加密。服务器首先检查客户端提供的证书是否允许进行密钥加密。然后，服务器使用证书中的公钥来验证一段数据是否使用私钥加密。否则，操作失败。

• SHA-256指纹(十六进制字符串):如果CA使用HTTP，则使用此字段提供CA证书的指纹。设备在注册时使用指纹验证CA响应的真实性。您可以自己提供SHA-256指纹，也可以选择证书导入签名。

• 策略设置
  • 删除政策:选择移除调度策略的方法。可用的选项有选择日期而且移除前持续时间(小时)
    • 选择日期:单击日历以选择要删除的特定日期。
    • 移除前持续时间(小时):键入一个数字(以小时为单位)，直到策略删除发生。
  • 允许用户删除策略:您可以选择用户何时可以从其设备上删除策略。选择总是，密码需要,或从来没有菜单上的。如果您选择密码需要，在删除密码字段。
  • 概要范围:选择此策略是否适用于用户或者整个系统．默认为用户．此选项仅在macOS 10.7及更高版本上可用。