XenMobile

Scep设备策略

通过此策略,可以将iOS和macOS设备配置为使用简单证书注册协议(连)从外部连服务器检索证书。如果希望从连接到XenMobile的PKI向使用连的设备交付证书,应采用分布式模式创建PKI实体和PKI提供程序。有关详细信息,请参阅Pki实体

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS设置

“设备策略”配置屏幕图

  • 网址基:键入scep服务器的地址以定义通过HTTP或HTTPS发送scep请求的位置。由于私钥不与证书签名请求(csr)一起发送,因此发送未加密的请求可能不会有什么风险。但是,如果允许重复使用一次性密码,则应该使用HTTPS来保护密码。此步骤不是必需步骤。
  • 实例名称:键入scep服务器可以识别的任何字符串。例如,可以是类似example.org的域名。如果ca具有多个ca证书,则可以使用此字段识别所需的域。此步骤不是必需步骤。
  • 使用者x.500名称(rfc 2253):键入表示为一系列对象标识符(oid)和值的x.500名称的表示形式。例如,/ C / O = =我们苹果公司(Apple inc .) / CN = foo / 1.2.5.3 = bar将转换为:[[[“C”、“我们 ”] ], [ [“ O”、“苹果(aapl . O:行情) .”] ], ..., [ [“ 1.2.5.3”、“酒吧”]]]。OID可表示为句点分隔的数字,并采用以下快捷方式:国家/地区(C),地点(L)、州(圣),组织(O),组织单位(OU)以及公用名(CN)。
  • 使用者备用名称类型:在列表中,单击备用名称类型。Scep策略可指定可选的备用名称类型,用于提供ca颁发证书所需的值。可以指定RFC 822名称DNS名称URI
  • 最大重试次数:键入scep服务器发送pending响应时设备应重试的次数。默认值为3.
  • 重试延迟:键入执行下次重试之前需要等待的秒数。第一次重试尝试没有延迟。默认值为10
  • 质询密码:输入预共享密钥。
  • 密钥大小(位):选择2048或更大值作为密钥大小,单位为位。
  • 用作数字签名:指定是否要将证书用作数字签名。如果有人使用证书来验证数字签名,如验证证书是否由CA颁发,连服务器将在使用公钥解密哈希之前确认该证书是否可以用于此目的。
  • 用于密钥加密:指定是否要将证书用于密钥加密。如果服务器正在使用客户端提供的证书中包含的公钥来验证数据段是否使用私钥进行加密,服务器将首先检查证书是否可用于密钥加密。否则,操作将失败。
  • Sha1 / md5指纹(x六进制字符串):如果CA使用HTTP,则使用此字段提供CA证书的指纹,供设备在注册期间用于确认CA响应的真实性。可以输入sha1或md5指纹,或选择证书来导入其签名。

  • 策略设置
    • 删除策略:选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期:单击日历可选择具体删除日期。
      • 删除前的持续时间(小时):键入发生策略删除操作之前的小时数。仅适用于iOS 6.0及更高版本。

macOS设置

“设备策略”配置屏幕图

  • 网址基:键入scep服务器的地址以定义通过HTTP或HTTPS发送scep请求的位置。由于私钥不与证书签名请求(csr)一起发送,因此发送未加密的请求可能不会有什么风险。但是,如果允许重复使用一次性密码,则应该使用HTTPS来保护密码。此步骤不是必需步骤。
  • 实例名称:键入scep服务器可以识别的任何字符串。例如,可以是类似example.org的域名。如果ca具有多个ca证书,则可以使用此字段识别所需的域。此步骤不是必需步骤。
  • 使用者x.500名称(rfc 2253):键入表示为一系列对象标识符(oid)和值的x.500名称的表示形式。例如,/ C / O = =我们苹果公司(Apple inc .) / CN = foo / 1.2.5.3 = bar将转换为:[[[“C”、“我们 ”] ], [ [“ O”、“苹果(aapl . O:行情) .”] ], ..., [ [“ 1.2.5.3”、“酒吧”]]]。OID可表示为句点分隔的数字,并采用以下快捷方式:国家/地区(C),地点(L)、州(圣),组织(O),组织单位(OU)以及公用名(CN)。
  • 使用者备用名称类型:在列表中,单击备用名称类型。Scep策略可指定可选的备用名称类型,用于提供ca颁发证书所需的值。可以指定RFC 822名称DNS名称URI
  • 最大重试次数:键入scep服务器发送pending响应时设备应重试的次数。默认值为3.
  • 重试延迟:键入执行下次重试之前需要等待的秒数。第一次重试尝试没有延迟。默认值为10
  • 质询密码:键入预共享密钥。
  • 密钥大小(位):选择2048或更大值作为密钥大小,单位为位。
  • 用作数字签名:指定是否要将证书用作数字签名。如果有人使用证书来验证数字签名,如验证证书是否由CA颁发,连服务器将在使用公钥解密哈希之前确认该证书是否可以用于此目的。
  • 用于密钥加密:指定是否要将证书用于密钥加密。如果服务器正在使用客户端提供的证书中包含的公钥来验证数据段是否使用私钥进行加密,服务器将首先检查证书是否可用于密钥加密。否则,操作将失败。
  • Sha1 / md5指纹(x六进制字符串):如果CA使用HTTP,则使用此字段提供CA证书的指纹,供设备在注册期间用于确认CA响应的真实性。可以输入sha1或md5指纹,或选择证书来导入其签名。

  • 策略设置
    • 删除策略:选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期:单击日历可选择具体删除日期。
      • 删除前的持续时间(小时):键入发生策略删除操作之前的小时数。
    • 允许用户删除策略:可以选择用户何时可以从其设备中删除策略。从菜单中选择始终需要通行码从不。如果选择需要通行码,请在删除通行码字段中键入通行码。
    • 配置文件作用域:选择此策略是应用于用户还是整个系统。默认值为用户。此选项仅在macOS 10.7及更高版本中可用。
Scep设备策略