Серверы SCEP

Сервис > Управление современными устройствами > Конфигурации MDM > Общие настройки > SCEP (Tools > Modern Device Management > MDM Configurations > Common Settings > SCEP)

Подключение к серверу SCEP позволяет вам динамически подготавливать сертификаты. Каждый раз во время добавления устройства ваш сервер SCEP будет автоматически пересылать для него сертификат. Это эффективно защищает вашу корпоративную сеть и устройства от случайных подписок и доступа других устройств (не-SCEP).

Использование этой функции предполагает, что следующие службы уже установлены и полностью сконфигурированы:

Active Directory.

Службы сертификатов, включая Microsoft Network Device Enrollment Service (NDES). Настоятельно рекомендуется использовать на этом сервере ОС Windows Server 2012 R2 или новее.

Сервер NDES должен быть сконфигурирован с разрешением ввода более 5 паролей в час. Рекомендуется разрешить ввод 20 паролей с помощью установки раздела реестра.

Сервер сетевых политик (RADIUS).

Беспроводная инфраструктура EAP.

На консоли LDMS сконфигурируйте каталог для подключения к Active Directory. Сквозной проверки подлинности пользователей недостаточно.

После подключения к серверу SCEP Endpoint Manager взаимодействует с ним через CSA. Сервер SCEP затем должен выполнять любые запросы сертификатов в Центр сертификации, который затем опубликует их для точки доступа. После этого сертификат последовательно распространяется на устройства.

Диалог конфигурации SCEP содержит следующие поля:

URL-адрес сервера SCEP: Имя компьютера или IP-адрес сервера NDES. Поддерживаются протоколы HTTP и HTTPS, хотя мы рекомендуем использовать HTTPS. Укажите только HTTPS после имени компьютера или IP-адреса. Не указывайте полный путь. Поддерживается только Microsoft NDES, поэтому нужно указать только первую часть URL-адреса.

Имя пользователя (Username): Имя пользователя, созданного во время установки NDES.

Пароль: Пароль пользователя NDES.

Домен: Домен пользователя NDES.

Для обеспечения правильного подключения к серверу SCEP нажмите Проверить (Verify). В случае успеха нажмите кнопку Применить (Verify).

Кнопка Проверить создана с учетом ограниченного числа попыток ввода идентификатора, поэтому следующий раз они могут быть выполнены только через час - используйте их с осторожностью. Для сброса счетчика паролей перезапустите службу IIS на сервере.

Создание профилей устройств Apple с поддержкой SCEP

Вы можете развернуть на устройствах Apple приложения SCEP. Приложение SCEP содержит несколько компонентов, которые необходимо сконфигурировать для корректной работы.

  1. Сконфигурируйте SCEP, как это было представлено ранее в Сервис > Управление современными устройствами > Конфигурации MDM > Общие настройки > SCEP (Tools > Modern Device Management > MDM Configurations > Common Settings > SCEP).
  2. В меню Сервис > Конфигурация > Настройки агента (Tools > Configuration > Agent settings) откройте профиль конфигурации Apple для изменения.
  3. В редакторе профилей конфигурации нажмите Сертификаты (Certificates) и нажмите кнопку Конфигурация (Configure), если параметры конфигурации не отображены.
  4. Импортируйте корневой сертификат ЦС для сервера SCEP.
  5. В редакторе профилей конфигурации нажмите SCEP и нажмите кнопку Конфигурация (Configure), если параметры конфигурации не отображены.
  6. В первом поле URL-адрес (URL) используется переменная базы данных ${SCEPURL}$. Эта переменная будет заменена URL-адресом, который вы указали в действии 1 во время развертывания. Введите эту переменную для URL-адреса.
  7. В поле Имя (Name) укажите имя корневого сертификата ЦС.
  8. В списке Тип альтернативного имени (Subject Alternative Name Type) выберите Имя RFC 822 (RFC 822 Name).
  9. В поле Значение альтернативного имени (Subject Alternative Name Value) введите ${EMAIL}$ для получения адреса электронной почты пользователя, который выполнил подписку устройства, или укажите адрес электронной почты пользователя вручную.
  10. В поле Имя принципала NT (NT Principle Name) введите ${UPN}$ для получения UPN пользователя, который выполнил подписку устройства, или укажите UPN пользователя вручную.
  11. Выберите Динамически (Dynamic) в качестве Тип проблемы (Challenge type).
  12. В поле URL-адрес сервера проблемы SCEP (SCEP challenge server URL) введите ${SCEPCHLGURL}$ для извлечения значения данных сервера из базы данных. Это URL-адрес сервера SCEP, указанный в действии 1.
  13. В поле Имя пользователя сервера проблемы SCEP (SCEP challenge server username) введите ${SCEPCHLGUSRNM}$ для получения значения пользователя из базы данных. Это имя пользователя, который имеет доступ к серверу SCEP, как это было сконфигурировано в действии 1.
  14. В поле Пароль сервера проблемы SCEP (SCEP challenge server password) введите ${SCEPCHLGPSWD}$ для получения пароля пользователя из базы данных. Это пароль для имени пользователя, который имеет доступ к серверу SCEP, как это было сконфигурировано в действии 1.
  15. Выберите 2048 в списке Размер ключа (Key size).
  16. Выберите Цифровая подпись и шифрование (Digital Signature and Encryption) в списке Использование (Usage).
  17. В редакторе профилей конфигурации нажмите Сеть (Wi-Fi) (Network (Wi-Fi)).
  18. Для параметра Тип безопасности (Security type) выберите вариант нужной корпоративной безопасности.
  19. Выберите TLS в качестве протокола аутентификации.
  20. Для параметра Сертификат идентификации (Identity certificate) выберите сертификат CARoot, добавленный в действии 4.
  21. Перейдите на вкладку Доверие (Trust) и выберите сертификат CARoot Cert.
  22. Нажмите OK для сохранения изменений.
  23. Установите профиль.

Если на странице приложения Сертификаты (Certificates) вы добавите несколько сертификатов X.509, во время первого подключения пользователя к сети Wi-Fi ему будет предложено выбрать сертификат из списка доступных сертификатов. Если пользователь выберет неверный сертификат, подключение окажется неудачным. На устройствах Apple может быть непонятно, какой сертификат необходимо выбрать, поэтому вам, возможно, придется дать разъяснения.