Einstellungen der MDM-Payload „SCEP“ für Apple-Geräte
Du kannst SCEP-Einstellungen konfigurieren, um für Apple-Geräte, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind, Zertifikate von einer Zertifizierungsstelle (CA) abzurufen. Mit der Payload „SCEP“ lassen sich Einstellungen festlegen, die es dem Gerät ermöglichen, Zertifikate per SCEP (Simple Certificate Enrollment Protocol) von einer Zertifizierungsstelle (CA) zu beziehen.
Die Payload „SCEP“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen. Um eine Liste der SCEP-Variablen anzuzeigen, beachte die Informationen unter Variablen-Einstellungen für MDM-Payloads für Apple-Geräte.
Nicht unterstützte Payload-ID: com.apple.security.scep
Unterstützte Betriebssysteme und Kanäle: iOS, iPadOS, Geteiltes iPad-Gerät, macOS-Gerät, macOS-Benutzer, tvOS, watchOS 10, visionOS 1.1.
Unterstützte Registrierungstypen: Benutzerregistrierung, Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – mehr als eine Payload „SCEP“ kann an einen Benutzer oder ein Gerät gesendet werden.
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „SCEP“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
URL | Die Adresse des SCEP-Servers. | Ja | |||||||||
Name | Beliebige Zeichenfolge, die von der Zertifizierungsstelle erkannt wird. Diese kann zur Unterscheidung verschiedener Instanzen verwendet werden. | Nein | |||||||||
Betreff | Hierbei handelt es sich um die Darstellung eines X.500-Namens in Form eines Datenfelds aus OID und Wert. Beispielsweise /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar – die übersetzte Form sieht wie folgt aus: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Nein | |||||||||
Typ des alternativen Namens des Inhabers | Dies ist der Typ eines Alternativnamens für den SCEP-Server. Mögliche Typen sind „RFC 822 Name“, „DNS-Name“ und „Uniform Resource Identifier (URI)“. Er kann nur die Kennung „Uniform Resource Locator (URL)“, nur die Kennung „Uniform Resource Name“ oder beide Kennungen umfassen. | Nein | |||||||||
Wert des alternativen Namens des Inhabers | Dies ist der Wert eines alternativen Namens des Inhabers. | Nein | |||||||||
NT-Benutzeranmeldename | Dies ist der Name, der für die Zertifikatanforderung verwendet wird (optional). | Nein | |||||||||
Wiederholungen | Dies ist die Anzahl der SCEP-Serveranfragen nach einem signierten Zertifikat, bevor die Anfrage abgebrochen wird. | Nein | |||||||||
Wiederholungsverzögerung | Dies ist die Wartezeit in Sekunden zwischen zwei Anfrageversuchen. | Nein | |||||||||
Challenge | Dies ist ein Schlüssel (Pre-shared Secret), anhand dessen der SCEP-Server die Anforderung oder den Benutzer identifizieren kann. | Nein | |||||||||
Schwellenwert für Benachrichtigung des Zertifikatsablaufs (macOS) | Hiermit wird festgelegt, wie viele Tage vor dem Ablaufen eines Zertifikats eine entsprechende Benachrichtigung oder Mitteilung anzeigt wird. | Nein | |||||||||
Schlüssellänge | Wähle eine Schlüssellänge (in Bit) aus und lege mit den Markierungsfeldern unter dem Feld die für den Schlüssel zulässigen Verwendungszwecke fest. Die Optionen sind 1024, 2048 und 4096. | Nein | |||||||||
Schlüsselverwendung | Wähle diese Option aus aus, um den Schlüssel für beliebige der folgenden Schritte zu verwenden:
| Nein | |||||||||
Signatur | Wenn die Zertifizierungsstelle das Protokoll HTTP verwendet, kannst du mit diesem Feld eine Signatur für das Zertifikat der Zertifizierungsstelle bereitstellen, anhand der das Gerät im Zuge der Registrierung die Authentizität der von der Zertifizierungsstelle erhaltenen Antwort überprüfen kann. Du kannst eine SHA1- oder MD5-Signatur eingeben oder ein Zertifikat auswählen, um dessen Signatur zu importieren. | Nein | |||||||||
Export aus dem Schlüsselbund erlauben (macOS) | Diese Einstellung ermöglicht es, dass der private Schlüssel aus dem Schlüsselbund exportiert werden kann. | Nein | |||||||||
Allen Apps den Zugriff erlauben (macOS) | Alle Apps dürfen auf das Zertifikat im Schlüsselbund zugreifen Hinweis: Dieser Schlüssel muss in macOS angewendet werden, damit ein VPN-Agent von Drittanbietern ein Zertifikat für die Authentifizierung verwendet. Die Zertifikat-Payload muss sich im gleichen Profil wie die SCEP-Payload befinden. | Nein | |||||||||
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie SCEP-Einstellungen auf Geräte und Benutzer angewendet werden.