SCEP-Server
Extras > Modernes Gerätemanagement > MDM-Konfigurationen > Allgemeine Einstellungen > SCEP
Die Verbindung mit einem SCEP-Server ermöglicht Ihnen die dynamische Bereitstellung von Zertifikaten. Jedes Mal, wenn ein Gerät hinzugefügt wird, verteilt Ihr SCEP-Server automatisch ein Zertifikat. Dadurch werden Ihr Firmennetzwerk und Ihre Geräte wirkungsvoll vor zufälligen (Nicht-SCEP) Geräteregistrierungen und Zugriff geschützt.
Die Verwendung dieser Funktion setzt voraus, dass folgende Dienste eingerichtet und vollständig konfiguriert sind:
•Active Directory
•Zertifikatdienste, einschließlich Microsoft Network Device Enrollment Service (NDES). Es wird dringend empfohlen, dass auf diesem Server Windows Server 2012 R2 oder höher ausgeführt wird.
•Der NDES-Server sollte so konfiguriert werden, dass er mehr als die 5 Kennwörter pro Stunde zulässt. Es werden 20 Kennwörter pro Stunde über Registrierungseinstellung empfohlen.
•Netzwerkrichtlinienserver (RADIUS)
•EAP-basierte Drahtlosinfrastruktur
•Konfigurieren Sie in der LDMS-Konsole das Verzeichnis so, dass eine Verbindung mit Active Directory hergestellt wird. Eine Pass-Through-Benutzerauthentifizierung ist nicht ausreichend.
Bei der Verbindung mit einem SCEP-Server kommuniziert Endpoint Manager mit dem Server über die CSA. Der SCEP-Server muss dann alle Zertifikatanforderungen an eine Zertifizierungsstelle stellen, die daraufhin das Zertifikat an einen Access Point veröffentlicht. Anschließend wird das Zertifikat auf die einzelnen Geräte verteilt.
Das Dialogfeld "SCEP-Konfiguration" enthält die folgenden Felder:
•SCEP Server-URL: Server-Hostname oder IP. HTTP und auch HTTPS werden unterstützt, jedoch empfehlen wir HTTPS. Geben Sie nur HTTPS ein, gefolgt vom Hostnamen oder der IP-Adresse. Fügen Sie keinen vollständigen Pfad ein. Es wird nur Microsoft NDES unterstützt, also wird nur der erste Teil der URL benötigt.
•Benutzername: Der Benutzername, den Sie bei der Installation von NDES angelegt haben.
•Kennwort: Das Kennwort für den NDES-Benutzer.
•Domäne: Die Domäne des NDES-Benutzers.
Um eine ordnungsgemäße Verbindung mit Ihrem SCEP-Server zu gewährleisten, klicken Sie auf Überprüfen. Nach erfolgreicher Überprüfung klicken Sie auf Übernehmen..
Die Schaltfläche Überprüfen ist so konzipiert, dass nur eine begrenzte Anzahl von Challenge-IDs pro Stunde zur Überprüfung der Verbindung gesendet werden können. Nutzen Sie die Überprüfung daher sparsam. Um den Kennwortzähler zurückzusetzen, starten Sie IIS auf dem NDES-Server neu.
Apple-Geräteprofile anlegen, die SCEP unterstützen
Sie können SCEP-Payloads für Apple-Geräte bereitstellen. Die SCEP-Payload hat mehrere Komponenten, die Sie konfigurieren müssen, damit sie sachgerecht funktionieren.
- Konfigurieren Sie SCEP wie oben beschrieben unter Extras > Modernes Gerätemanagement > MDM-Konfigurationen > Allgemeine Einstellungen > SCEP.
- Öffnen Sie in Extras > Konfiguration > Agenteneinstellungen das Apple-Konfigurationsprofil, das geändert werden soll.
- Klicken Sie im Konfigurationsprofil-Editor die Zertifikate-Payload und die Schaltfläche Konfigurieren, wenn die Konfigurationsoptionen nicht anzeigt werden.
- Importieren Sie das SCEP-Server-Zertifizierungsstellen-Zert.
- Klicken Sie im Konfigurationsprofil-Editor die SCEP-Payload und die Schaltfläche Konfigurieren, wenn die Konfigurationsoptionen nicht anzeigt werden.
- Im ersten URL-Feld können Sie sehen, dass es eine ${SCEPURL}$-Datenbankvariable annimmt. Diese Variable wird durch die URL ersetzt, die Sie in Schritt 1 bei der Bereitstellungszeit eingegeben haben. Geben Sie diese Variable für die URL ein.
- Geben Sie im Feld Name den Namen des Zertifizierungsstellen-Stamm-Zert. ein
- In der Liste Typ des alternativen Antragstellernamens markieren Sie RFC-822-Name.
- In Wert des alternativen Antragstellernamens geben Sie ${EMAIL}$ ein, um die E-Mail-Adresse des Benutzers, der das Gerät registriert hat, abzurufen, oder geben Sie die E-Mail-Adresse des Benutzers manuell ein.
- In NT-Prinzipalname geben Sie ${UPN}$ ein, um die UPN des Benutzers abzurufen, der das Gerät registriert hat, oder geben Sie die UPN manuell ein.
- Markieren Sie Dynamic als Challengetyp.
- Im Feld URL des SCEP-Challenge-Servers geben Sie ${SCEPCHLGURL}$ ein, um den Serverwert aus der Datenbank abzurufen. Dies ist die URL zum SCEP-Server, der in Schritt 1 konfiguriert wurde.
- Im Feld Benutzername des SCEP-Challenge-Servers geben Sie ${SCEPCHLGUSRNM}$ ein, um den Benutzerwert aus der Datenbank abzurufen. Dies ist der Benutzername, der gemäß Konfiguration in Schritt 1 Zugang zum SCEP-Server hat.
- Im Feld Kennwort des SCEP-Challenge-Servers geben Sie ${SCEPCHLGPSWD}$ ein, um das Kennwort aus der Datenbank abzurufen. Dies ist das Kennwort des Benutzernamens, der gemäß Konfiguration in Schritt 1 Zugang zum SCEP-Server hat.
- Markieren Sie 2048 in der Liste Schlüsselgröße.
- Markieren Sie Digitale Signatur und Verschlüsselung in der Liste Nutzung.
- Klicken Sie im Konfigurationsprofil-Editor auf Netzwerk (WLAN)-Payload.
- Markieren Sie in der Option Sicherheitstyp die gewünschte Option für die Unternehmenssicherheit.
- Markieren Sie das TLS-Authentifizierungsprotokoll.
- In der Option Identitätszertifikat markieren Sie das in Schritt 4 hinzugefügte CARoot-Zert.
- Klicken Sie auf die Registerkarte Trust und markieren Sie das CARoot-Zert.
- Klicken Sie OK und speichern Sie Ihre Änderungen.
- Profil bereitstellen
Wenn Sie in der Seite Zertifikate-Payload mehrere X.509-Zertifikate anhängen, werden Benutzer bei der ersten Verbindung in das WLAN aufgefordert, ein Zertifikat aus der Liste der verfügbaren Zertifikate auszuwählen. Wenn Benutzer das falsche Zertifikat auswählen, schlägt die Verbindung fehl. Auf Apple-Geräten ist es eventuell nicht offensichtlich, welches Zertifikat die Benutzer auswählen sollen. Sie müssen daher eventuell Orientierungshilfe leisten.