SCEP 服务器
工具 > 现代设备管理 > MDM 配置 > 通用设置 > SCEP
连接至 SCEP 服务器时允许动态配置证书。每次添加设备时,SCEP 服务器将会向其自动分发一个证书。这将有效防止企业网络和设备遭受随机(非 SCEP)设备注册和访问。
使用此功能时需要设置和完全配置以下服务:
•Active Directory。
•证书服务,包括 Microsoft 网络设备注册服务 (NDES)。强烈建议此服务器运行 Windows Server 2012 R2 或更高版本。
•NDES 服务器应配置为每小时允许 5 个以上密码。建议通过注册表设置配置每小时 20 个密码。
•网络策略服务器 (RADIUS)。
•基于 EAP 的无线基础设施。
•在 LDMS 控制台中,配置将目录连接至 Active Directory;直接通过用户身份验证是不够的。
连接至 SCEP 服务器时,Endpoint Manager 将通过 CSA 与其进行通信。然后 SCEP 会向证书颁发机构提出任何证书请求,接着证书颁发机构会将证书发布到接入点。然后将逐个设备分发证书。
SCEP 配置对话框包含以下字段:
•SCEP 服务器 URL:NDES 服务器主机名或 IP。同时支持 HTTP 和 HTTPS,但我们建议使用 HTTPS。仅包含以主机名或 IP 结尾的 HTTPS;不包含完整路径。仅支持 Microsoft NDES,因此仅需 URL 的首部分。
•用户名:安装 NDES 时所创建的用户名。
•密码:NDES 用户的密码。
•域:NDES 用户的域。
要确保正确连接 SCEP 服务器,请单击确认。如果成功,则单击应用。
确认按钮设计为每小时只可提交有限数量的质询 ID 来确认连接,因此请谨慎使用。要复位密码计数器,请在 NDES 服务器中重新启动 IIS。
创建支持 SCEP 的 Apple 设备配置文件
可以将 SCEP 负载部署到 Apple 设备。SCEP 负载有几个组件需要配置才能正常工作。
- 按照上述方法在工具 > 现代设备管理 > MDM 配置 > 通用设置 > SCEP 中配置 SCEP。
- 在工具 > 配置 > 代理设置中,打开要修改的 Apple 配置文件。
- 在配置文件编辑器中,单击证书负载,如果看不到配置选项,请单击配置按钮。
- 导入 SCEP 服务器 CA 根证书。
- 在配置文件编辑器中,单击 SCEP 负载,如果看不到配置选项,请单击配置按钮。
- 在首个 URL 字段中,可以看到它接受 ${SCEPURL}$ 数据库变量。此变量将由部署时在步骤 1 中输入的 URL 所替换。输入此变量的 URL。
- 在名称中,指定 CA 根证书的名称。
- 在主题替换名称类型列表中,选择 RFC 822 名称。
- 在主题替换名称值中,键入 ${EMAIL}$ 以检索注册设备的用户的电子邮件或手动指定用户的电子邮件地址。
- 对于 NT 主体名称,键入 ${UPN}$ 以检索注册设备的用户的 UPN 或手动键入用户 UPN。
- 选择动态作为质询类型。
- 在 SCEP 质询服务器 URL 字段中,键入 ${SCEPCHLGURL}$ 以从数据库中获取服务器值。这是在步骤 1 中配置的 SCEP 服务器的 URL。
- 在 SCEP 质询服务器用户名字段中,键入 ${SCEPCHLGUSRNM}$ 以从数据库中获取用户值。这是在步骤 1 中配置的可以访问 SCEP 服务器的用户名。
- 在 SCEP 质询服务器密码字段中,键入 ${SCEPCHLGPSWD}$ 以从数据库中获取用户密码。这是在步骤 1 中配置的可以访问 SCEP 服务器的用户名的密码。
- 在密钥大小列表中,选择 2048。
- 在使用情况列表中,选择数字签名和加密。
- 在配置文件编辑器中,单击网络 (Wi-Fi) 负载。
- 在安全类型选项中,选择所需的企业安全选项。
- 选择 TLS 身份验证协议。
- 在身份证书选项中,选择在第 4 步中添加的 CARoot 证书。
- 单击信任选项卡并选择 CARoot 证书。
- 单击确定并保存所做的更改。
- 部署配置文件。
如果在证书负载页面上附加了多个 X.509 证书,则用户首次连接到 Wi-Fi 时,会提示用户从可用的证书列表中选择一个证书。如果用户选择错误的证书,则无法连接。在 Apple 设备上,用户应该选择哪个证书可能不太明显,因此需要给予指导。