Adicionar um perfil SCEP aos dispositivos iOS MDM
É preciso adicionar um perfil SCEP para permitir que o usuário do dispositivo iOS MDM receba automaticamente os certificados do centro de certificação por meio da Internet. O perfil SCEP permite suporte do Simple Certificate Enrollment Protocol.
Um perfil SCEP com as configurações seguintes é adicionado por padrão:
- O nome de sujeito alternativo não é usado para registrar certificados.
- São efetuadas três tentativas com uma diferença de 10 segundos entre si para checar o servidor SCEP. Se todas as tentativas de assinar o certificado falharem, você precisa gerar uma nova solicitação de assinatura do certificado.
- O certificado que foi recebido não pode ser usado para assinatura ou criptografia de dados.
Você pode editar as configurações especificadas ao adicionar o perfil SCEP.
Para adicionar um perfil SCEP:
- No árvore do console, na pasta Dispositivos gerenciados, selecione o grupo de administração ao qual os dispositivos iOS MDM pertencem.
- Na área de trabalho do grupo, selecione a guia Políticas.
- Clique duas vezes para abrir a janela de propriedades da política.
- Na janela Propriedades da política, selecione a seção SCEP.
- Clique no botão Adicionar na seção Perfis SCEP.
A janela Perfil SCEP é exibida.
- No campo Endereço do servidor da Web, insira o endereço da Web do servidor SCEP onde o Centro de Certificação será implementado.
O URL pode conter o endereço IP ou o nome de domínio completo (FQDN). Por exemplo: http://10.10.10.10/certserver/companyscep.
- No campo Nome, insira o nome do Centro de Certificação implementado no servidor SCEP.
- No campo Assunto, insira uma cadeia com os atributos do usuário do dispositivo iOS MDM que estão incluídos no certificado X.500.
Atributos contêm informações sobre o país (C), organização (O) e nome comum do usuário (CN). Por exemplo: /C=RU/O=MyCompany/CN=User/. Você também pode utilizar outros atributos especificados no RFC 5280.
- Na lista suspensa Tipo de nome alternativo do sujeito, selecione o tipo de nome alternativo do sujeito no servidor SCEP:
- Não – a identificação de nome alternativo não é utilizada.
- Nome RFC 822 – identificação utilizando o endereço de e-mail. O endereço de e-mail deve ser especificado de acordo com o RFC 822.
- Nome DNS – identificação utilizando o nome de domínio.
- URI – identificação utilizando o endereço IP ou endereço no formato FQDN.
Você pode utilizar um nome alternativo para o sujeito para identificar o usuário do dispositivo móvel iOS MDM.
- No campo Nome alternativo do sujeito, insira o nome alternativo do sujeito do certificado X.500. O valor do nome alternativo do sujeito depende do tipo de sujeito: o endereço de e-mail do usuário, domínio ou endereço da Web.
- No campo Nome do assunto NT, insira o nome DNS do usuário do dispositivo móvel iOS MDM na rede Windows NT.
O nome do assunto NT está contido na solicitação do certificado enviada ao servidor SCEP.
- No campo Número de tentativas de amostragem no servidor SCEP, especifique o número máximo de tentativas para checar o servidor SCEP para obter o certificado assinado.
- No campo Frequência de tentativas (seg), especifique o período em segundos entre as tentativas para checar o servidor SCEP para obter o certificado assinado.
- No campo Solicitação de registro, insira uma chave de registro pré-publicada.
Antes de assinar um certificado, o servidor SCEP solicita que o usuário do dispositivo móvel forneça uma chave. Se este campo estiver em branco, o SCEP não solicita a chave.
- Na lista suspensa Tamanho da chave, selecione o tamanho da chave de registro em bits: 1024 ou 2048.
- Se você desejar permitir que o usuário use um certificado recebido do servidor SCEP como assinar o certificado, selecione a caixa Usar para assinar.
- Se você desejar permitir que o usuário use um certificado recebido do servidor SCEP para criptografia de dados, selecione a caixa Usar para descriptografar.
É proibido utilizar o certificador do servidor SCEP como um certificado de assinatura de dados e um certificado de criptografia de dados ao mesmo tempo.
- No campo Impressão digital do certificado, insira uma impressão digital de certificado para verificar a autenticidade da resposta do Centro de Certificação. Você pode utilizar impressões digitais de certificado com o algoritmo de hash SHA-1 ou MD5. Você pode copiar a impressão digital do certificado manualmente ou selecionar um certificado utilizando o botão Criar a partir do certificado…. Quando a impressão digital é criada utilizando o botão Criar a partir do certificado…, a impressão digital é adicionada ao campo automaticamente.
A impressão digital do certificado precisa ser especificada se a troca de dados entre o dispositivo móvel e o Centro de certificação ocorre por meio de um protocolo HTTP.
- Clique em OK.
O novo perfil SCEP é exibido na lista.
- Clique no botão Aplicar para salvar as alterações efetuadas.
Como resultado, após a política ser aplicada, o dispositivo móvel do usuário é configurado automaticamente para receber um certificado a partir do centro de certificação por meio da Internet.