SCEP 伺服器
工具 > 現代化裝置管理 > MDM 組態 > 一般設定 > SCEP
連線到 SCEP 伺服器可讓您動態部署憑證。每次新增裝置時,SCEP 伺服器都會自動將憑證分發給裝置。這能夠有效保護貴公司網路和裝置,免於隨機 (非 SCEP) 裝置註冊和存取的發生。
使用此功能表示已安裝並完全設定下列服務:
•Active Directory。
•憑證服務,包括 Microsoft Network Device Enrollment Service (NDES)。強烈建議此服務執行 Windows Server 2012 R2 (含) 以上版本。
•NDES 伺服器應該設定為允許每小時 5 組以上的密碼。建議透過登錄設定允許每小時 20 組密碼。
•網路原則伺服器 (RADIUS)。
•EAP 型無線基礎結構。
•在 LDMS 控制台中,設定目錄連線到 Active Directory;通過使用者驗證並不足夠。
連線到 SCEP 伺服器時,Endpoint Manager 將透過 CSA 進行通訊。SCEP 伺服器接著應該會向憑證授權單位提出任何憑證要求,然後將憑證發佈到存取點。接著將逐一裝置分發憑證。
「SCEP 組態」對話方塊有下列欄位:
•SCEP 伺服器 URL: NDES 伺服器主機名稱或 IP。支援 HTTP 和 HTTPS,不過建議使用 HTTPS。僅需要主機名稱或 IP 接著 HTTPS;不需要加入完整路徑。僅支援 Microsoft NDES,因此僅需要 URL 的第一個部份。
•使用者名稱: 安裝 NDES 時建立的使用者名稱。
•密碼: NDES 使用者的密碼。
•網域: NDES 使用者的網域。
若要確保與 SCEP 伺服器確實連線,請按一下驗證。如果成功,則按一下套用。
驗證按鈕的設計提供可在一小時內提交的查問 ID,用以驗證連線,由於數量有限,因此請謹慎使用。若要重設密碼計數器,請在 NDES 伺服器上重新啟動 IIS。
建立支援 SCEP 的 Apple 裝置設定檔
您可以部署 SCEP 裝載至 Apple 裝置。SCEP 裝載有需要您設定才能執行的多項元件。
- 如上所述,在工具 > 現代化裝置管理 > MDM 組態 > 一般設定 > SCEP 中設定 SCEP。
- 在工具 > 組態 > 代理程式設定中,開啟您想要修改的 Apple 組態設定檔。
- 在組態設定檔編輯器中,按一下憑證裝載,若您並未看見組態選項,請按一下設定按鈕。
- 匯入 SCEP 伺服器 CA 根憑證。
- 在組態設定檔編輯器中,按一下 SCEP 裝載,若您並未看見組態選項,請按一下設定按鈕。
- 在第一個 URL 欄位中,您可以看到它接受了 ${SCEPURL}$ 資料庫變數。此變數將會在部署期間由您於步驟 1 輸入的 URL 取代。為 URL 輸入此變數。
- 在名稱欄位中,指定 CA 根憑證的名稱。
- 在主體別名類型清單中,選擇 RFC 822 名稱。
- 在主體別名值中,鍵入 ${EMAIL}$ 以擷取註冊至裝置的使用者電子郵件,或是手動指定使用者的電子郵件地址。
- 針對 NT 主要名稱,鍵入 ${UPN}$ 以擷取已註冊裝置之使用者的 UPN,或是手動鍵入使用者 UPN。
- 選取動態做為查問類型。
- 在 SCEP 查問伺服器 URL 欄位,鍵入 ${SCEPCHLGURL}$ 以從資料庫提取伺服器值。此為連至 SCEP 伺服器的 URL,如同步驟 1 所設。
- 在 SCEP 查問伺服器使用者名稱欄位,鍵入 ${SCEPCHLGUSRNM}$ 以從資料庫提取使用者值。此為有存取權限連至 SCEP 伺服器的使用者名稱,如同步驟 1 所設。
- 在 SCEP 查問伺服器密碼欄位,鍵入 ${SCEPCHLGPSWD}$ 以從資料庫提取使用者密碼。此為有存取權限連至 SCEP 伺服器之使用者名稱的密碼,如同步驟 1 所設。
- 在金鑰大小清單中選擇 2048。
- 在用途清單中選擇數位簽章和加密。
- 在組態設定檔編輯器中,按一下網路 (Wi-Fi) 裝載。
- 在安全性類型選項中,選擇您想要的企業安全性選項。
- 選擇 TLS 驗證通訊協定。
- 在識別憑證選項中,選擇於步驟 4 所新增的 CA 根憑證。
- 按一下信任 標籤並選擇 CA 根憑證。
- 按一下確定並儲存變更。
- 部署設定檔。
若您在憑證裝載頁面中附加了多個 X.509 憑證,則使用者初次連接至 Wi-Fi 時,會提示他們從可用的憑證清單中選擇憑證。若使用者選擇了不正確的憑證,連線將失敗。使用者在 Apple 裝置上應選擇的憑證並不那麼顯而易見,所以您可能需要提供操作說明。