本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 SCEP 连接器配置 Omnissa Workspace ONE
<a name="connector-for-scep-omnissa"></a>

您可以在 Omnissa Workspace ONE UEM（统一端点管理）系统中 AWS Private CA 用作外部证书颁发机构 (CA)。本指南提供了有关在中创建 SCEP 连接器后如何配置 Omnissa Workspace ONE 的说明。 AWS

## 先决条件
<a name="prerequisites"></a>

在为 Omnissa Workspace ONE 创建 SCEP 连接器之前，必须完成以下先决条件：
+ 在 AWS 控制台中创建私有 CA。有关更多信息，请参阅 [在中创建私有 CA AWS Private CA](create-CA.md)。
+ 创建通用的 SCEP 连接器。有关更多信息，请参阅[创建连接器](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)。
+ 拥有一个活跃的 Omnissa Workspace ONE 环境管理员帐户和组织组 ID。
+ 如果您要注册 Apple 设备，请为 MDM 配置苹果推送通知服务 (APN)。有关更多信息，请参阅 Omnis [sa 文档中的 APNs 证书](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)。

## 第 1 步：在 Omnissa Workspace ONE 中定义证书颁发机构和模板
<a name="step-1-define-certificate-authority-and-template"></a>

在 AWS 控制台中创建私有 CA 和 SCEP 连接器后，在 Omnissa Workspace ONE 中定义证书颁发机构和模板。

**添加 AWS Private CA 为证书颁发机构**

1. 从 “**系统**” 菜单中选择 “**企业集成**”，然后选择 “**证书颁发机构**”。

1. 选择 **\+ ADD** 并提供以下信息：
   + **名称**: AWS-Private-CA。
   + **描述**： AWS Private CA 用于颁发设备证书。
   + **权限类型**：选择**通用 SCEP**。
   + **SCEP 网址**：输入来自的 SCEP 网址。 AWS Private CA
   + **挑战类型**：选择**静态**。
   + **静态质询**：在控制台中输入连接器中用于 SCEP 配置的 SCEP 静态质询密码。 AWS 
   + 输入**重试超时**和**最大重试次数**值。

1. 保存配置。

**创建证书模板**

1. 从 “**系统**” 菜单中选择 “**企业集成**”，选择 “**证书颁发机构**”，然后选择 “**模板**”。

1. 选择**添加模板**并提供以下信息：
   + **模板名称**: Device-Cert-Template.
   + **证书颁发机构**：选择 **AWS-Private-CA**。
   + **主题名称**：这是一个可自定义的字段。您可以从属性列表中选择变量值。例如，CN= {DeviceReportedName}、O= {}、OU= {1DevicePlatform} CustomAttribute
   + **私钥长度**：2048 位。
   + **私钥类型**：根据需要选择**签名**和**加密**
   + **自动续订**： Enabled/Disabled （根据您的需求）。

1. 保存此模板。

## 第 2 步：设置 Omnissa Workspace ONE UEM 配置文件配置
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

在 Omnissa Workspace ONE UEM 中创建配置文件，将设备定向到 Connector，让 SCEP 颁发证书。

**为证书分发创建 SCEP 设备配置文件**

1. 从 “**资源**” 菜单中选择 “**配置文件和基准**”，然后选择 “**配置文件**”。

1. 选择**添加**，然后选择**添加个人资料**

1. 选择设备平台（**安卓**、**iOS**、**macOS**、**Windows**）。

1. 根据需要设置**管理类型**和**上下文**。

1. 设置**名称**: Device-Cert-Profile.

1. 滚动到 **SCEP 有效负载**。

1. 选择 **SCEP**，然后选择 **\+** 添加。

1. 使用以下配置：
   + **SCEP**：
     + 对于 “**凭据来源**”，选择 “**定义的证书颁发机构**（默认）”。
     + 对于**证书颁发机构**，请选择 **AWS-Private-CA**
     + 对于**证书模板**，请选择步骤 1 中**Device-Cert-Template**定义的。

1. 选择 “**下一步**”，然后在 “**任务**” 部分中，从列表中选择正确的智能组（设备的任务组）。

1. 选择 “**分配类型**” 为 “**自动**” 以启用自动续订。

1. 保存并发布个人资料。

**注意**  
有关更多信息，请参阅 Omnis [sa 文档中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)。

## 第 3 步：在 Omnissa Workspace ONE 中注册设备
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**创建或验证智能群组**

1. 从 “**群组和设置”** 中选择 “**群组**”，然后选择 “**任务小组**”。

1. 创建或编辑 POC-Devices 智能群组：
   + **姓名**: POC-Devices。
   + **设备类型**：选择**全部**或特定平台（例如 Android 或 iOS）。
   + **标准**：使用 **UserGroup**“**平台和操作系统**”、“**OEM” 和 “型号**” 来指定对目标设备进行分组的标准。
   + **所有权**：为个人或公司设备选择 “**任**意”。

1. 保存并验证目标设备是否显示在 “**预览**” 选项卡中。

### 手动注册设备
<a name="manual-device-enrollment"></a>

Android  
+ 从 Google Play 下载 **Workspace ONE 智能中心**应用程序。
+ 打开应用程序并输入注册网址或扫描二维码。
+ 登录并按照提示注册为 MDM-managed设备。

iOS/macOS  
+ 在设备上，打开 **Safari** 浏览并导航到注册网址（<WorkspaceONEUEMHostname>例如 https: ///enroll）。
+ 使用用户凭据登录。
+ 从 App St **ore 下载并安装 Workspace ONE 智能中心**应用程序。
+ 按照提示在 **“设置” > “**常规**” > “**VPN 和设备管理**” > “**配置文件” > “安装” 中**安装** MDM **配置文件**。

Windows  
+ 从 **Workspace ONE 服务器或微软商店下载 Workspace ONE 智能中心**。
+ 使用注册 URL 和凭据通过 Hub 注册。

在 “设备” > “**列表视图” > “**更多操作**”** > “分配到 POC-Devices 智能组” 中将注册的**设备****分配给智能组**。

有关更多信息，请参阅 Omnissa 文档中的[自动设备注册](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)。

**验证注册**

1. **在 Omnissa Workspace ONE UEM 控制台中，前往 “**设备**”，然后转到 “列表视图”。**

1. 确认已注册设备的状态设置为 “**已注册**”。

1. 在 “设备**详细信息” 的 “群**组**” 选项卡中，验证设备**是否在 POC-Devices 智能组中。

## 步骤 4：颁发证书
<a name="step-4-certificate-issuance"></a>

**触发颁发证书**

1. 在**设备****列表视图中**，选择已注册的设备。

1. 选择 “**查询**” 按钮以提示办理登机手续。

1.  Device-Cert-Profile 应通过以下方式签发证书。 AWS Private CA

**验证证书安装**

Android  
依次选择**设置**、**安全**、**可信凭证**和**用户**来验证证书。

iOS  
前往 **“设置”**，然后选择 “**常规**”、“**VPN 和设备管理**”，然后选择 “**配置文件”**。验证来自的证书 AWS-Private-CA 是否存在。

macOS  
打开 “**钥匙串访问权限**”，然后打开 “**系统钥匙串**” 并验证证书。

Windows  
打开 **certmgr.msc**，然后打开 “**个人**”，然后打开 “证书” 以**验证证书**。

## 问题排查
<a name="troubleshooting"></a>

SCEP 错误（例如 “22013-SCEP 服务器返回的响应无效”）  
+ 验证 Workspace ONE 中的 SCEP 网址和静态质询密码是否匹配 AWS Private CA。
+ <SCEP\_URL>测试 SCEP 端点连接：curl。
+ 检查 AWS CloudTrail 日志中是否有 AWS Private CA 错误（例如`IssueCertificate`失败）。

APN 问题 () iOS/macOS  
+ 确保 APNs 证书有效且已分配给正确的组织组。
+ 测试 APN 的连接：telnet [gat](http://gateway.push.apple.com/) eway.push.apple.com 2195。

配置文件安装失败  
+ 确认设备位于正确的智能组中（依次选择 “**设备**”、“**列表视图”** 和 “**群组**”）。
+ 强制同步个人资料：依次选择 “**更多操作**”、“**发送**” 和 “**个人资料列表”**。

日志  
+ 安卓系统：使用 **Logcat** 或 Workspace ONE
+ iOS/macOS: log show--predicate 'process == “mdmclient” '--最后 1 小时（通过配置器）。 Xcode/Apple 
+ Windows：“**事件查看器**”，然后选择 “**应用程序和服务日志**”，然后是**Microsoft-Windows-DeviceManagement**。
+ Workspace ONE UEM：**监控**，然后是**报告和分析**，然后是**事件**，然后是**设备事件**。

有关中用于 SCEP 监控的连接器的详细信息 AWS，请参阅 SCEP 的[https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)

## 安全注意事项
<a name="security-considerations"></a>
+ 安全地存储 SCEP 网址和密钥。有关更多信息，请参阅[AWS Secrets Manager 服务](https://docs.aws.amazon.com/secretsmanager/)。
+ 将智能组标准仅限于目标设备。
+ 定期续订 Apple 推送通知 (APN) 证书（有效期为 1 年）。
+ 为概念验证项目设置较短的证书有效期，以最大限度地降低风险。
+ 对于个人设备，请确保清理会删除所有配置文件和证书。

有关如何使用 SCEP 连接器配置 Omnissa Workspace ONE UEM 和 CA 集成的信息，请参阅 Omnissa Workspace ONE 文档[中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)。