Добавление профиля SCEP на iOS MDM-устройства

Эти параметры применяются к устройствам в режимах "Расширенный контроль" и "Базовый контроль".

Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, нужно добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.

По умолчанию добавляется профиль SCEP со следующими параметрами:

• Для регистрации сертификатов не используется альтернативное имя субъекта.
• Предпринимаются три попытки опроса SCEP-сервера с интервалом 10 секунд между попытками. Если все попытки подписать сертификат были неудачными, нужно сформировать новый запрос на подписание сертификата.
• Полученный сертификат запрещено использовать для подписи или шифрования данных.

Вы можете изменить указанные параметры при добавлении профиля SCEP.

Чтобы добавить профиль SCEP:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке SCEP нажмите Параметры.

   Откроется окно SCEP.

5. Включите параметры с помощью переключателя SCEP.
6. Нажмите Добавить.

   Откроется окно Добавить профиль SCEP.

7. В разделе Сервер SCEP укажите следующие параметры SCEP-сервера:
   • В поле Имя конфигурации укажите название Центра сертификации, развернутого на SCEP-сервере. Центр сертификации обеспечивает пользователя iOS MDM-устройства сертификатами при помощи простого протокола регистрации SCEP.
   • В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.

     Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.

   • В поле Максимальное количество попыток опроса укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата. Значение по умолчанию – 3 попытки.

     Если все попытки подписать сертификат были неудачными, нужно сформировать новый запрос на подписание сертификата.

   • В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата. Значение по умолчанию – 10 секунд.
   • В поле Статическая контрольная фраза введите предварительно опубликованный ключ регистрации.

     Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.

   • В раскрывающемся списке Метод загрузки отпечатка сертификата выберите способ добавления отпечатка сертификата. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5.
     • Если вы выбрали вариант Вручную, в появившемся поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа Центра сертификации.
     • Если вы выбрали вариант Из файла, загрузите файл в формате CER, KEY или PEM. Отпечаток будет сгенерирован и добавлен автоматически.

     Отпечаток сертификата нужно указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.

8. В разделе Субъект укажите следующие параметры:
   • В поле Имя субъекта введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.

     Атрибуты могут содержать сведения о стране (C), местоположении (L), стране (ST), организации (O), подразделении (OU) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/.

     Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.

     Атрибуты используются DNS-службами для проверки подлинности сертификата, выданного Центром сертификации по запросу пользователя.

   • Нажмите Добавить альтернативное имя субъекта, чтобы добавить поле для указания альтернативного имени субъекта:
     • В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера. Можно добавить только одно альтернативное имя каждого типа.

       Вы можете использовать альтернативное имя субъекта для идентификации пользователя iOS MDM-устройства. По умолчанию идентификация на основе альтернативного имени не используется.

       • DNS-имя. Идентификация по доменному имени.
       • Имя субъекта NT. DNS-имя пользователя iOS MDM-устройства в сети Windows NT. Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер. Вы также можете использовать имя субъекта NT для идентификации пользователя iOS MDM-устройства.
       • Адрес электронной почты. Идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
       • Унифицированный идентификатор ресурса (URI). Идентификация по IP-адресу или адресу в формате FQDN.
     • В поле Альтернативное имя субъекта (SAN) введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от выбранного типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
9. В разделе Ключ настройте параметры ключа шифрования:
   • В раскрывающемся списке Размер ключа (бит) выберите размер ключа регистрации в битах: 1024, 2048 или 4096. По умолчанию указано значение 1024 бита.
   • Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.

     Подпись данных защищает данные от изменений. Например, Safari может проверить подлинность сертификата и установить безопасный сеанс обмена данными.

   • Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.

     Шифрование данных также защищает конфиденциальные данные при обмене данными по сети. Например, Safari может установить безопасный сеанс обмена данными с использованием шифрования. Это гарантирует подлинность сайта и подтверждает, что соединение с сайтом зашифровано для предотвращения перехвата личных и конфиденциальных данных.

     Вы не можете одновременно использовать сертификат SCEP-сервера в качестве сертификата для подписи данных и сертификата шифрования данных.

   • Если вы хотите разрешить всем установленным приложениям доступ к закрытому ключу из сертификата SCEP-сервера, установите флажок Разрешить всем приложениям доступ к закрытому ключу.
   • Если вы не хотите, чтобы закрытый ключ экспортировался из связки ключей, установите флажок Запретить экспорт закрытого ключа из связки ключей.
10. Нажмите Добавить.

    Новый профиль SCEP отобразится в списке.

    Вы можете изменять или удалять профили SCEP с помощью кнопок Изменить и Удалить в верхней части списка.

11. Нажмите OK.
12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.

В начало