Instellingen voor de MDM-payload 'SCEP' voor Apple apparaten
Je kunt SCEP-instellingen configureren voor het ontvangen van certificaten van een CA (certificaatautoriteit) voor Apple apparaten die zijn ingeschreven bij een MDM-oplossing (Mobile Device Management). Met de payload 'SCEP' kun je instellingen opgeven waarmee het apparaat certificaten van een CA (certificaatautoriteit) kan ontvangen via het SCEP-protocol (Simple Certificate Enrollment Protocol).
Besturingssysteem en kanaal | Ondersteunde inschrijvingstypen | Interactie | Duplicaten |
|---|---|---|---|
iOS iPadOS Gedeelde iPad tvOS macOS-apparaat macOS-gebruiker | Gebruiker Apparaat Apparaat (automatisch) | Gecombineerd | Meerdere |
Instelling | Beschrijving | Vereist |
|---|---|---|
URL | Het adres van de SCEP-server. | Ja |
Naam | Een tekenreeks die door de certificaatautoriteit wordt begrepen. Je kunt de naam bijvoorbeeld gebruiken om onderscheid te maken tussen de verschillende exemplaren. | Nee |
Onderwerp | De X.500-naam, aangeduid als een matrix van een OID en een waarde. Bijvoorbeeld /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, wat resulteert in: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ [ "1.2.5.3", "bar" ] ] ] | Nee |
Type alternatieve naam onderwerp | Geef het type van een alternatieve naam voor de SCEP-server op. Mogelijke typen zijn 'RFC 822-naam', 'DNS-naam' en 'Uniform Resource Identifier' (URI). Dit kan de URL (Uniform Resource Locator), de URN (Uniform Resource Name) of beide zijn. | Nee |
Waarde alternatieve naam onderwerp | De waarde van de alternatieve naam voor het onderwerp. | Nee |
NT-principalnaam | De principalnaam die in de certificaataanvraag wordt gebruikt. (Optioneel.) | Nee |
Nieuwe pogingen | Het aantal keren dat de SCEP-server om een ondertekend certificaat wordt verzocht. | Nee |
Vertraging nieuwe poging | Het aantal seconden dat moet worden gewacht voordat een nieuw verzoek wordt ingediend. | Nee |
Challenge | Het vooraf gedeelde geheim waarmee de SCEP-server de aanvraag of de gebruiker kan identificeren. | Nee |
Drempel voor melding verlopen certificaat (alleen macOS) | Hoelang van tevoren een bericht moet worden weergegeven dat een certificaat binnenkort verloopt (aangegeven in dagen). | Nee |
Sleutelgrootte | Selecteer een sleutelgrootte (in bits) en geef met behulp van de aankruisvakken onder dit veld aan hoe de sleutel kan worden gebruikt. De opties zijn '1024', '2048' en '4096'. | Nee |
Sleutelgebruik | Geef aan waarvoor je de sleutel wilt gebruiken:
| Nee |
Vingerafdruk | Als je CA gebruikmaakt van HTTP, kun je met dit veld de vingerafdruk van het CA-certificaat opgeven. Aan de hand van de vingerafdruk kan het apparaat tijdens het inschrijvingsproces de echtheid van de antwoorden van de CA bevestigen. Je kunt een SHA1- of MD5-vingerafdruk invoeren of je kunt een certificaat selecteren om de bijbehorende handtekening te importeren. | Nee |
Sta exporteren uit sleutelhanger toe (alleen macOS) | Hiermee kan de private sleutel worden geëxporteerd vanuit Sleutelhanger. | Nee |
Sta toegang tot alle apps toe (alleen macOS) | Geef alle apps toegang tot het certificaat in de sleutelhanger. | Nee |
Variabelen
In macOS kun je de volgende variabelen gebruiken in de velden 'Onderwerp', 'Alternatieve naam onderwerp' en 'NT-principalnaam' bij de SCEP-instellingen. Deze variabelen worden tijdens de installatie op het apparaat omgezet, waardoor je de inschrijvingsaanvraag voor het certificaat dynamisch kunt aanpassen. Je kunt deze variabelen combineren met statische tekst, zoals 'Mac. %ComputerName%', om een samengesteld onderwerp aan te maken.
Raadpleeg de documentatie van je MDM-leverancier voor informatie over welke variabelen worden ondersteund.
Variabele | Vervanging |
|---|---|
%AD_ComputerID% | De computer-ID voor Active Directory |
%AD_Domain% | Het Active Directory-domein |
%AD_DomainForestName% | De naam van het Active Directory-forest |
%AD_DomainGuid% | De Active Directory-GUID |
%AD_DomainNameDNS% | De DNS-naam voor Active Directory |
%AD_KerberosID% | De Kerberos-ID voor Active Directory |
%ComputerName% | De naam van de computer die is ingesteld via 'Systeemvoorkeuren' > 'Delen' |
%HardwareUUID% | De unieke ID van de computer |
%HostName% | De DNS-naam van de computer, zoals 'mac1.example.com' |
%LocalHostName% | De lokale netwerknaam van de computer, zoals 'Mac1.local' |
%MACAddress% | Het Ethernet MAC-adres (en0) van de computer |
%SerialNumber% | Het serienummer van de computer |