Adicionar um perfil SCEP aos dispositivos iOS MDM

É preciso adicionar um perfil SCEP para permitir que o usuário do dispositivo iOS MDM receba automaticamente os certificados do centro de certificação por meio da Internet. O perfil SCEP permite suporte do Simple Certificate Enrollment Protocol.

Um perfil SCEP com as configurações seguintes é adicionado por padrão:

• O nome de sujeito alternativo não é usado para registrar certificados.
• São efetuadas três tentativas com uma diferença de 10 segundos entre si para checar o servidor SCEP. Se todas as tentativas de assinar o certificado falharem, você precisa gerar uma nova solicitação de assinatura do certificado.
• O certificado que foi recebido não pode ser usado para assinatura ou criptografia de dados.

Você pode editar as configurações especificadas ao adicionar o perfil SCEP.

Para adicionar um perfil SCEP:

1. No árvore do console, na pasta Dispositivos gerenciados, selecione o grupo de administração ao qual os dispositivos iOS MDM pertencem.
2. Na área de trabalho do grupo, selecione a guia Políticas.
3. Clique duas vezes para abrir a janela de propriedades da política.
4. Na janela Propriedades da política, selecione a seção SCEP.
5. Clique no botão Adicionar na seção Perfis SCEP.

   A janela Perfil SCEP é exibida.

6. No campo Endereço do servidor da Web, insira o endereço da Web do servidor SCEP onde o Centro de Certificação será implementado.

   O URL pode conter o endereço IP ou o nome de domínio completo (FQDN). Por exemplo: http://10.10.10.10/certserver/companyscep.

7. No campo Nome, insira o nome do Centro de Certificação implementado no servidor SCEP.
8. No campo Assunto, insira uma cadeia com os atributos do usuário do dispositivo iOS MDM que estão incluídos no certificado X.500.

   Atributos contêm informações sobre o país (C), organização (O) e nome comum do usuário (CN). Por exemplo: /C=RU/O=MyCompany/CN=User/. Você também pode utilizar outros atributos especificados no RFC 5280.

9. Na lista suspensa Tipo de nome alternativo do sujeito, selecione o tipo de nome alternativo do sujeito no servidor SCEP:
   • Não – a identificação de nome alternativo não é utilizada.
   • Nome RFC 822 – identificação utilizando o endereço de e-mail. O endereço de e-mail deve ser especificado de acordo com o RFC 822.
   • Nome DNS – identificação utilizando o nome de domínio.
   • URI – identificação utilizando o endereço IP ou endereço no formato FQDN.

   Você pode utilizar um nome alternativo para o sujeito para identificar o usuário do dispositivo móvel iOS MDM.

10. No campo Nome alternativo do sujeito, insira o nome alternativo do sujeito do certificado X.500. O valor do nome alternativo do sujeito depende do tipo de sujeito: o endereço de e-mail do usuário, domínio ou endereço da Web.
11. No campo Nome do assunto NT, insira o nome DNS do usuário do dispositivo móvel iOS MDM na rede Windows NT.

    O nome do assunto NT está contido na solicitação do certificado enviada ao servidor SCEP.

12. No campo Número de tentativas de amostragem no servidor SCEP, especifique o número máximo de tentativas para checar o servidor SCEP para obter o certificado assinado.
13. No campo Frequência de tentativas (seg), especifique o período em segundos entre as tentativas para checar o servidor SCEP para obter o certificado assinado.
14. No campo Solicitação de registro, insira uma chave de registro pré-publicada.

    Antes de assinar um certificado, o servidor SCEP solicita que o usuário do dispositivo móvel forneça uma chave. Se este campo estiver em branco, o SCEP não solicita a chave.

15. Na lista suspensa Tamanho da chave, selecione o tamanho da chave de registro em bits: 1024 ou 2048.
16. Se você desejar permitir que o usuário use um certificado recebido do servidor SCEP como assinar o certificado, selecione a caixa Usar para assinar.
17. Se você desejar permitir que o usuário use um certificado recebido do servidor SCEP para criptografia de dados, selecione a caixa Usar para descriptografar.

    É proibido utilizar o certificador do servidor SCEP como um certificado de assinatura de dados e um certificado de criptografia de dados ao mesmo tempo.

18. No campo Impressão digital do certificado, insira uma impressão digital de certificado para verificar a autenticidade da resposta do Centro de Certificação. Você pode utilizar impressões digitais de certificado com o algoritmo de hash SHA-1 ou MD5. Você pode copiar a impressão digital do certificado manualmente ou selecionar um certificado utilizando o botão Criar a partir do certificado…. Quando a impressão digital é criada utilizando o botão Criar a partir do certificado…, a impressão digital é adicionada ao campo automaticamente.

    A impressão digital do certificado precisa ser especificada se a troca de dados entre o dispositivo móvel e o Centro de certificação ocorre por meio de um protocolo HTTP.

19. Clique em OK.

    O novo perfil SCEP é exibido na lista.

20. Clique no botão Aplicar para salvar as alterações efetuadas.

Como resultado, após a política ser aplicada, o dispositivo móvel do usuário é configurado automaticamente para receber um certificado a partir do centro de certificação por meio da Internet.