Aggiunta di un profilo SCEP ai dispositivi MDM iOS

È necessario aggiungere un profilo SCEP per consentire all'utente del dispositivo MDM iOS di ricevere automaticamente i certificati dal centro di certificazione via Internet. Il profilo SCEP fornisce il supporto per il protocollo Simple Certificate Enrollment Protocol.

Per impostazione predefinita, viene aggiunto un profilo SCEP con le seguenti impostazioni:

• Il nome alternativo dell'oggetto non viene utilizzato per la registrazione dei certificati.
• Vengono effettuati tre tentativi di polling del server SCEP a distanza di 10 secondi. Se tutti i tentativi di firmare il certificato hanno esito negativo, è necessario generare una nuova richiesta di firma del certificato.
• Il certificato ricevuto non può essere utilizzato per la firma o il criptaggio dei dati.

È possibile modificare le impostazioni specificate durante l'aggiunta del profilo SCEP.

Per aggiungere un profilo SCEP:

1. Nella struttura della console, nella cartella Dispositivi gestiti, selezionare il gruppo di amministrazione a cui appartengono i dispositivi iOS MDM.
2. Nell'area di lavoro di un gruppo selezionare la scheda Criteri.
3. Aprire la finestra delle proprietà del criterio facendo doppio clic.
4. Nella finestra Proprietà del criterio selezionare la sezione SCEP.
5. Fare clic sul pulsante Aggiungi nella sezione Profili SCEP.

   Verrà visualizzata la finestra Profilo SCEP.

6. Nel campo Indirizzo Web server immettere l'indirizzo Web del server SCEP in cui è distribuito il centro di certificazione.

   L'URL può contenere l'indirizzo IP o il nome di dominio completo (FQDN). Ad esempio: http://10.10.10.10/servercert/scepazienda.

7. Nel campo Nome immettere il nome del centro di certificazione distribuito nel server SCEP.
8. Nel campo Oggetto immettere una stringa con gli attributi dell'utente del dispositivo MDM iOS che sono contenuti nel certificato X.500.

   Gli attributi possono contenere i dettagli sul paese (C), l'organizzazione (O) e il nome comune dell'utente (CN). Ad esempio: /C=IT/O=Azienda/CN=Utente/. È anche possibile utilizzare gli altri attributi specificati nella specifica RFC 5280.

9. Nell'elenco a discesa Tipo di nome alternativo dell'oggetto selezionare il tipo di nome alternativo dell'oggetto del server SCEP:
   • No – l'identificazione tramite nome alternativo non viene utilizzata.
   • Nome RFC 822 – identificazione tramite l'indirizzo e-mail. L'indirizzo e-mail deve essere specificato in base alla specifica RFC 822.
   • Nome DNS – identificazione tramite nome di dominio.
   • URI – identificazione tramite indirizzo IP o indirizzo in formato FQDN.

   È possibile utilizzare un nome alternativo dell'oggetto per identificare l'utente del dispositivo mobile MDM iOS.

10. Nel campo Nome alternativo dell'oggetto immettere il nome alternativo dell'oggetto del certificato X.500. Il valore del nome alternativo dell'oggetto dipende dal tipo di oggetto: indirizzo e-mail dell'utente, dominio o indirizzo Web.
11. Nel campo Nome dell'oggetto NT immettere il nome DNS dell'utente del dispositivo mobile MDM iOS nella rete Windows NT.

    Il nome dell'oggetto NT è contenuto nella richiesta di certificato inviata al server SCEP.

12. Nel campo Numero di tentativi di polling nel server SCEP specificare il numero massimo di tentativi di polling del server SCEP per ottenere il certificato firmato.
13. Nel campo Frequenza dei tentativi (sec) specificare il periodo di tempo in secondi tra i tentativi di polling del server SCEP per ottenere il certificato firmato.
14. Nel campo Richiesta di registrazione immettere una chiave di registrazione prepubblicata.

    Prima di firmare un certificato, il server SCEP richiede all'utente del dispositivo mobile di specificare una chiave. Se questo campo viene lasciato vuoto, il server SCEP non richiede la chiave.

15. Nell'elenco a discesa Dimensioni chiave selezionare la dimensione della chiave di registrazione in bit: 1024 o 2048.
16. Se si desidera consentire all'utente di utilizzare un certificato ricevuto dal server SCEP come certificato di firma, selezionare la casella Usa per la firma.
17. Se si desidera consentire all'utente di utilizzare un certificato ricevuto dal server SCEP per il criptaggio dei dati, selezionare la casella Usa per il criptaggio.

    Non è consentito utilizzare il certificato del server SCEP come certificato di firma e certificato di criptaggio dei dati contemporaneamente.

18. Nel campo Impronta digitale del certificato immettere l'impronta digitale univoca del certificato per la verifica dell'autenticità della risposta dal centro di certificazione. È possibile utilizzare le impronte digitali dei certificati con l'algoritmo di hashing SHA-1 o MD5. È possibile copiare manualmente l'impronta digitale del certificato o selezionare un certificato utilizzando il pulsante Crea a partire dal certificato. Quando si crea l'impronta digitale utilizzando il pulsante Crea a partire dal certificato, l'impronta digitale viene aggiunta automaticamente al campo.

    È necessario specificare l'impronta digitale del certificato se lo scambio dei dati tra il dispositivo mobile e il centro di certificazione avviene tramite il protocollo HTTP.

19. Fare clic su OK.

    Il nuovo profilo SCEP viene visualizzato nell'elenco.

20. Fare clic sul pulsante Applica per salvare le modifiche apportate.

Come risultato, una volta applicato il criterio, il dispositivo mobile dell'utente è configurato per ricevere automaticamente un certificato dal centro di certificazione via Internet.