本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为适用于 SCEP 的连接器配置 MDM 系统
简单证书注册协议 (SCEP) 是用于证书注册和续订的标准协议。SCEP 连接器是一款基于 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 的 SCEP 服务器,可自动 AWS 私有证书颁发机构 向你的 SCEP 客户端颁发证书。创建连接器时,适用于 SCEP 的连接器会为 SCEP 客户端提供一个 HTTPS 端点,供其请求证书。客户端使用质询密码进行身份验证,该密码包含在向服务提出的证书签名请求 (CSR) 中。你可以将 Connector for SCEP 与流行的移动设备管理 (MDM) 系统(包括微软 Intune、Omnissa Workspace ONE 和 Jamf Pro)一起使用来注册移动设备。它旨在与任何支持 SCEP 的客户端或端点配合使用。
SCEP 连接器提供两种类型的连接器——通用连接器和适用于 Microsoft Intune 的 SCEP 连接器。以下各节介绍它们的工作原理,以及如何配置您的 MDM 系统以使用它们。
## 通用连接器
通用连接器旨在与支持 SCEP 的移动设备端点配合使用,但具有专用连接器的 Microsoft Intune 除外。使用通用连接器,例如 Jamf Pro 或 Omnissa Workspace ONE,您可以管理 SCEP 挑战密码。下图以移动设备管理 (MDM) 系统为例,但同样的功能适用于其他支持 SCEP 的系统或设备。
![\[描述 SCEP 通用连接器的连接器的工作原理。\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/GenPurpose.jpg)
1. MDM 系统(或其他设备或系统)向移动客户端发送 SCEP 配置文件。SCEP 配置文件包含定义证书配置文件的配置参数,例如证书有效期、质询密码以及与证书颁发相关的其他信息。
1. 移动客户端请求证书,还会发送包含质询密码的证书签名请求 (CSR)。
1. SCEP 连接器验证质询密码。如果证书有效,则该服务将 AWS 私有 CA 代表移动客户端请求证书。
1. AWS 私有 CA 颁发证书并将其发送到连接器进行 SCEP。
1. SCEP 连接器将颁发的证书发送到移动客户端。
## AWS 私有 CA 适用于微软 Intune 的 SCEP 连接器
AWS 私有 CA 适用于微软 Intune 的 SCEP 连接器专为与微软 Intune 配合使用而设计。使用适用于 Microsoft Intune 的 SCEP 连接器类型,你将使用 Microsoft Intune 来管理你的 SCEP 挑战密码。有关在 Microsoft Intune 中使用适用于 SCEP 的 Connector 的更多信息,请参阅。[为 SCEP 的 Connector 配置微软 Intune配置微软 Intune](connector-for-scep-intune.md)
要在微软 Intune 上使用 Connector for SCEP,你必须使用微软 Intune API 启用特定功能,并拥有有效的微软 Intune 许可证。你还应该查看[微软 Intune® 应用程序保护政策](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy)。
![\[适用于 Microsoft Intune 的 SCEP 连接器的工作原理。\]](http://docs.aws.amazon.com/zh_cn/privateca/latest/userguide/images/Intune.jpg)
1. Microsoft Intune 向移动客户端发送 SCEP 配置文件。该配置文件包含一个加密的质询密码,移动客户端将其放入 CSR 中。
1. 移动客户端请求证书并将 CSR 发送给 Connector 以获取 SCEP。
1. SCEP 连接器将 CSR 发送给 Microsoft Intune 进行授权。
1. 微软 Intune 对 CSR 中的质询密码进行解密。如果证书有效,Microsoft Intune 会向 Connector 发送批准,让 SCEP 向移动客户端颁发证书。
1. SCEP 连接器 AWS 私有 CA 代表移动客户端请求证书。
1. AWS 私有 CA 颁发证书并将其发送到连接器进行 SCEP。
1. SCEP 连接器将颁发的证书发送到移动客户端。
**Topics**
+ [通用连接器](#connector-for-scep-how-it-works-general-purpose)
+ [AWS 私有 CA 适用于微软 Intune 的 SCEP 连接器](#connector-for-scep-how-it-works-intune)
+ [为 SCEP 的连接器配置 Jamf Pro](connector-for-scep-general-purpose.md)
+ [为 SCEP 的 Connector 配置微软 Intune](connector-for-scep-intune.md)
+ [为 SCEP 连接器配置 Omnissa Workspace ONE](connector-for-scep-omnissa.md)
# 为 SCEP 的连接器配置 Jamf Pro
您可以在 Jamf Pro 移动设备管理 (MDM) 系统中 AWS 私有 CA 用作外部证书颁发机构 (CA)。本指南提供有关在创建通用连接器后如何配置 Jamf Pro 的说明。
## 为 SCEP 的连接器配置 Jamf Pro
本指南提供有关如何配置 Jamf Pro 以与适用于 SCEP 的连接器一起使用的说明。成功为 SCEP 配置 Jamf Pro 和 Connector 后,您将能够向托管设备颁 AWS 私有 CA 发证书。
### Jamf Pro 要求
您的 Jamf Pro 实施必须满足以下要求。
+ 您必须在 Jamf Pro 中**启用 “启用基于证书的身份验证**” 设置。您可以在 Jamf Pro 文档的 Jamf Pro [安全设置](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html)页面上找到有关此设置的详细信息。
### 第 1 步:(可选-推荐)获取您的私有 CA 的指纹
指纹是您的私有 CA 的唯一标识符,可用于在与其他系统或应用程序建立信任时验证您的 CA 的身份。通过使用证书颁发机构 (CA) 指纹,托管设备可以对其连接的 CA 进行身份验证,并仅向预期的 CA 请求证书。我们建议在 Jamf Pro 上使用 CA 指纹。
**为您的私有 CA 生成指纹**
1. 从 AWS 私有 CA 控制台或使用获取私有 CA 证书[GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)。将其另存为`ca.pem`文件。
1. 安装 [OpenSSL 命令行实用](https://wiki.openssl.org/index.php/Command_Line_Utilities)程序。
1. 在 OpenSSL 中,运行以下命令来生成指纹:
```
openssl x509 -in ca.pem -sha256 -fingerprint
```
### 第 2 步:在 Jamf Pro 中配置 AWS 私有 CA 为外部 CA
为 SCEP 创建连接器后,必须在 Jamf Pro 中设置 AWS 私有 CA 为外部证书颁发机构 (CA)。您可以设置 AWS 私有 CA 为全局的外部 CA。或者,您可以使用 Jamf Pro 配置文件 AWS 私有 CA 为不同的用例颁发不同的证书,例如向组织中的一部分设备颁发证书。有关实现 Jamf Pro 配置文件的指导超出了本文档的范围。
**在 Jamf Pro 中配置 AWS 私有 CA 为外部证书颁发机构 (CA)**
1. 在 Jamf Pro 控制台中,前往 **“设置” > “**全局**” > “PKI 证书**”,进入 **P** KI 证书**设置**页面。
1. 选择 “**管理证书模板**” 选项卡。
1. 选择**外部 CA**。
1. 选择**编辑**。
1. (可选)为**配置文件选择 “启用 Jamf Pro 作为 SCEP 代理”。**您可以使用 Jamf Pro 配置文件颁发针对特定用例量身定制的不同证书。有关如何在 Jamf Pro 中使用配置文件的指导,请参阅 Jamf Pro 文档中的[启用 Jamf Pro 作为配置文件的 SCEP 代理](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2)。
1. 选择 “**使用支持 SCEP 的外部 CA 注册计算机和移动设备**”。
1. (可选)选择**使用 Jamf Pro 作为 SCEP 代理进行计算机和移动设备注册**。如果您遇到配置文件安装失败的情况,请参阅[解决配置文件安装失败的问题](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot)。
1. 将 SCEP 连接器 SCE **P 网址**从连接器的详细信息中复制并粘贴到 Jamf Pro **的 URL** 字段。要查看连接器的详细信息,请从 [SCEP 连接器列表中选择该连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)。或者,您可以通过调用[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)并复制响应中的`Endpoint`值来获取 URL。
1. (可选)在名称字段中输入实例的**名称**。例如,你可以给它起个名字**AWS 私有 CA**。
1. 为挑战类型选择 “**静态**”。
1. 从连接器中复制质询密码,然后将其粘贴到**挑战**字段中。一个连接器可以有多个质询密码。要查看连接器的质询密码,请在 AWS 控制台中导航到连接器的详细信息页面,然后选择**查看密码**按钮。或者,您可以通过调用[GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)并复制响应中的`Password`值来获取连接器的质询密码。有关使用质询密码的信息,请参阅[了解 Connector 的 SCEP 注意事项和限制注意事项和限制](c4scep-considerations-limitations.md)。
1. 将质询密码粘贴到**验证质询**字段中。
1. 选择密**钥大小**。我们建议密钥大小为 2048 或更高。
1. (可选)选择 “**用作数字签名**”。选择此项进行身份验证,以授予设备对 Wi-Fi 和 VPN 等资源的安全访问权限。
1. (可选)选择 “**用于密钥加密**”。
1. (可选-推荐)在 “**指纹**” 字段中输入十六进制字符串。我们建议您添加 CA 指纹以允许托管设备验证 CA,并且仅向 CA 申请证书。有关如何为私有 CA 生成指纹的说明,请参阅[第 1 步:(可选-推荐)获取您的私有 CA 的指纹](#connector-for-scep-jamf-pro-ca-fingerprint)。
1. 选择**保存**。
### 步骤 3:设置配置文件签名证书
要使用带连接器的 Jamf Pro for SCEP,您必须提供与您的连接器关联的私有 CA 的签名和 CA 证书。为此,您可以将包含两个证书的配置文件签名证书密钥库上传到 Jamf Pro。
以下是创建证书密钥库并将其上传到 Jamf Pro 的步骤:
+ 使用内部流程生成证书签名请求 (CSR)。
+ 获取由与您的连接器关联的私有 CA 签署的 CSR。
+ 创建包含配置文件签名和 CA 证书的配置文件签名证书密钥库。
+ 将证书密钥库上传到 Jamf Pro。
通过执行这些步骤,您可以确保您的设备可以验证和验证由您的私有 CA 签名的配置文件,从而允许在 Jamf Pro 中使用适用于 SCEP 的 Connector。
1. 以下示例使用 OpenSSL 和 AWS Certificate Manager,但您可以使用首选方法生成证书签名请求。
------
#### [ AWS Certificate Manager console ]
**使用 ACM 控制台创建配置文件签名证书**
1. 使用 ACM [申请私有 PKI 证书]()。包括以下内容:
+ **类型**-使用与 MDM 系统的 SCEP 证书颁发机构相同的私有 CA 类型。
+ 在**证书颁发机构详细信息**部分,选择**证书颁发机构**菜单,然后选择用作 Jamf Pro CA 的私有 CA。
+ **域名**-提供要嵌入到证书中的域名。您可以使用完全限定的域名 (FQDN),例如`www.example.com`,也可以使用裸域名或顶点域名,例如`example.com`(不`www.`包括)。
1. 使用 ACM [导出您在上一步中创建的私有证书](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。选择**导出证书、证书链和加密密钥的文件**。请随身携带**密码短语**,因为下一步你将需要它。
1. 在终端中,在包含导出文件的文件夹中运行以下命令,将 PKCS \$112 bundle 写入由您在上一步中创建的密码编码`output.p12`的文件中。
```
openssl pkcs12 -export \
-in "Exported Certificate.txt" \
-certfile "Certificate Chain.txt" \
-inkey "Exported Certificate Private Key.txt" \
-name example \
-out output.p12 \
-passin pass:your-passphrase \
-passout pass:your-passphrase
```
------
#### [ AWS Certificate Manager CLI ]
**使用 ACM CLI 创建配置文件签名证书**
+ 以下命令显示如何在 ACM 中创建证书,然后将文件导出为 PKCS \$112 捆绑包。
```
PCA=
CERTIFICATE=$(aws acm request-certificate \
--certificate-authority-arn $PCA \
--domain-name \
| jq -r '.CertificateArn')
while [[ $(aws acm describe-certificate \
--certificate-arn $CERTIFICATE \
| jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
openssl pkcs12 -export \
-in "Certificate.pem" \
-certfile "CertificateChain.pem" \
-inkey "PrivateKey.pem" \
-name example \
-out output.p12 \
-passin pass:passphrase \
-passout pass:passphrase
```
------
#### [ OpenSSL CLI ]
**使用 OpenSSL CLI 创建配置文件签名证书**
1. 使用 OpenSSL,通过运行以下命令生成私钥。
```
openssl genrsa -out local.key 2048
```
1. 生成证书签名请求 (CSR):
```
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
```
1. 使用 AWS CLI,使用您在上一步中生成的 CSR 颁发签名证书。运行以下命令,并在响应中记下证书 ARN。
```
aws acm-pca issue-certificate --certificate-authority-arn --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
```
1. 运行以下命令获取签名证书。指定上一步中的证书 ARN。
```
aws acm-pca get-certificate --certificate-authority-arn --certificate-arn | jq -r '.Certificate' >local.crt
```
1. 运行以下命令获取 CA 证书。
```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn | jq -r '.Certificate' > ca.crt
```
1. 使用 OpenSSL,以 p12 格式输出签名证书密钥库。使用您在步骤四和步骤五中生成的 CRT 文件。
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
1. 出现提示时,输入导出密码。此密码是您提供给 Jamf Pro 的密钥库密码。
------
1. 在 Jamf Pro 中,导航到**管理证书模板**并转到**外部 CA** 窗格。
1. 在 “**外部 CA**” 窗格的底部,选择 “**更改签名和 CA 证书**”。
1. 按照屏幕上的说明上传外部 CA 的签名证书和 CA 证书。
### 步骤 4:(可选)在用户启动的注册过程中安装证书
要在您的客户端设备和私有 CA 之间建立信任,必须确保您的设备信任 Jamf Pro 颁发的证书。当客户端设备在[注册过程中申请证书时,您可以使用 Jamf Pro AWS 私有 CA的用户启动注册设置](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.)自动在客户端设备上安装您的 CA 证书。
### 解决配置文件安装失败的问题
如果您在**为计算机和移动设备注册启用 “使用 Jamf Pro 作为 SCEP 代理**” 后遇到配置文件安装失败,请查阅您的设备日志并尝试以下操作。
| 设备日志错误消息 | 缓解方法 |
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 如果您在尝试注册时收到此错误消息,请重试注册。注册成功可能需要几次尝试。 |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 您的质询密码可能配置错误。确认 Jamf Pro 中的质询密码是否与连接器的质询密码相匹配。 |
# 为 SCEP 的 Connector 配置微软 Intune
你可以用微软 Intune 移动设备管理 (MDM) 系统 AWS 私有 CA 作为外部证书颁发机构 (CA)。本指南提供有关在为微软 Intune 创建 SCEP 连接器后如何配置 Microsoft Intune 的说明。
## 先决条件
在为 Microsoft Intune 的 SCEP 创建连接器之前,必须完成以下先决条件。
+ 创建入口 ID。
+ 创建微软 Intune 租户。
+ 在你的 Microsoft Entra ID 中创建应用程序注册。有关如何管理应用程序[注册的应用程序级权限的信息,请参阅 Microsoft Entra 文档中的 Microsoft Entra ID 中更新应用程序请求](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane)的权限。应用程序注册必须具有以下权限:
+ 在 **Intune** 下设置 **sc** ep\$1challenge\$1provider。
+ **对于 **Microsoft Graph**,设置**应用程序.Read.All 和 User.Read。****
+ 您必须在应用程序注册管理员同意中授予该应用程序。有关信息,请参阅 Microsoft Entra 文档中的[授予整个租户对应用程序的管理员同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
**提示**
创建应用程序注册时,请记下**应用程序(客户端)ID** 和**目录(租户)ID 或主域**。当你为 Microsoft Intune 的 SCEP 创建连接器时,你需要输入这些值。有关如何获取这些值的信息,请参阅 Microsoft E [ntra 文档中的创建可以访问资源的 Microsoft Entra 应用程序和服务主体](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal)。
## 第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS 私有 CA 权限
为 Microsoft Intune 创建 SCEP 连接器后,必须在 Microsoft 应用程序注册下创建联合凭据,这样 SCEP 连接器才能与微软 Intune 通信。
**在 Microsoft Intune 中配置 AWS 私有 CA 为外部 CA**
1. 在 Microsoft Entra ID 控制台中,导航到**应用程序注册**。
1. 选择您创建的用于连接器 for SCEP 的应用程序。您单击的应用程序的应用程序(客户端)ID 必须与您在创建连接器时指定的 ID 相匹配。
1. 从 “**托管**” 下拉菜单中选择 “**证书和密钥**”。
1. 选择 “**联合证书**” 选项卡。
1. 选择**添加凭据**。
1. 从 “**联邦证书方案**” 下拉菜单中,选择 “**其他颁发者**”。
1. **将你的 Connector for SCEP for Microsoft Intune 详细信息中的 **OpenID 发行**者值复制并粘贴到发行者字段中。**要查看连接器的详细信息,请从 AWS 控制台的 [SCEP 连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)列表中选择该连接器。或者,您可以通过调用获取 URL,[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)然后从响应中复制该`Issuer`值。
1. 在 “**类型**” 中,选择 “**显式主题标识符**”。
1. 将 **OpenID 主题**值从您的连接器复制并粘贴到**值**字段中。您可以在控制台的连接器详细信息页面中查看 OpenID 颁发者 AWS 值。或者,您可以通过调用获取 URL,[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)然后从响应中复制该`Audience`值。
1. (可选)在名称字段中输入实例的**名称**。例如,你可以给它起个名字**AWS 私有 CA**。
1. (可选)在描述字段中输入**描述**。
1. **将 **OpenID 受众**值从 Connector for Microsoft Intune 的 SCEP 详细信息复制并粘贴到 “受众” 字段中。**要查看连接器的详细信息,请从 AWS 控制台的 [SCEP 连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)列表中选择该连接器。或者,您可以通过调用获取 URL,[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)然后从响应中复制该`Subject`值。
1. 选择**添加**。
## 第 2 步:设置微软 Intune 配置文件
在你授予 AWS 私有 CA 调用 Microsoft Intune 的权限后,你必须使用 Microsoft Intune 创建微软 Intune 配置文件,指示设备联系 Connector 获取 SCEP 以获取证书。
1. 创建可信证书配置文件。你必须将与 Connector for SCEP 一起使用的链的根 CA 证书上传到 Microsoft Intune 才能建立信任。有关如何创建可信证书配置文件的信息,请参阅 Microsoft Intune 文档中的 [Microsoft Intune 的可信根证书配置文件](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root)。
1. 创建 SCEP 证书配置文件,当您的设备需要新证书时,该配置文件可将设备指向连接器。配置文件的配置文件**类型应为** **SCEP 证书**。对于配置文件的根证书,请确保使用在上一步中创建的可信证书。
对于 **SCEP 服务器 URLs**,请将连接器详细信息中的 **SCEP URL** 复制并粘贴到 **SCEP 服务器字段**中。 URLs要查看连接器的详细信息,请从 [SCEP 连接器列表中选择该连接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)。或者,您可以通过调用获取 URL [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html),然后从响应中复制`Endpoint`值。有关在 Microsoft Intune 中创建配置文件的指南,请参阅微软 Intune 文档中的在 [Microsoft Intune 中创建和分配 SCEP 证书配置文件](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)。
**注意**
对于非 Mac OS 和 iOS 设备,如果您未在配置文件中设置有效期,则适用于 SCEP 的 Connector 会颁发有效期为一年的证书。如果您未在配置文件中设置扩展密钥用法 (EKU) 值,则 SCEP 的 Connector 将颁发一个 EKU 设置为的证书。`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`对于 macOS `ExtendedKeyUsage` 或 iOS 设备,Microsoft Intune 不尊重你的`Validity`配置文件中的任何参数。对于这些设备,Connector for SCEP 通过客户端身份验证向这些设备颁发有效期为一年的证书。
## 步骤 3:验证与 SCEP 连接器的连接
创建指向 SCEP 连接器端点的 Microsoft Intune 配置文件后,请确认注册的设备可以申请证书。要进行确认,请确保没有任何策略分配失败。要进行确认,请在 Intune 门户中导航到 “**设备**” > “**管理设备**” > “**配置**”,并确认**配置策略分配失败**下没有列出任何内容。如果有,请使用上述过程中的信息确认您的设置。如果您的设置正确但仍然出现故障,请查阅[从移动设备收集可用数据](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)。
有关设备注册的信息,请参阅[什么是设备注册?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done) 在微软 Intune 文档中。
# 为 SCEP 连接器配置 Omnissa Workspace ONE
您可以在 Omnissa Workspace ONE UEM(统一端点管理)系统中 AWS 私有 CA 用作外部证书颁发机构 (CA)。本指南提供有关在中创建 SCEP 连接器后如何配置 Omnissa Workspace ONE 的说明。 AWS
## 先决条件
在为 Omnissa Workspace ONE 创建 SCEP 连接器之前,必须完成以下先决条件:
+ 在 AWS 控制台中创建私有 CA。有关更多信息,请参阅 [在中创建私有 CA AWS 私有 CA](create-CA.md)。
+ 创建通用的 SCEP 连接器。有关更多信息,请参阅[创建连接器](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)。
+ 拥有一个活跃的 Omnissa Workspace ONE 环境管理员账户和组织组 ID。
+ 如果您要注册 Apple 设备,请为 MDM 配置 Apple 推送通知服务 (APNs)。有关更多信息,请参阅 Omnissa 文档中的[APNs 证书](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)。
## 第 1 步:在 Omnissa Workspace ONE 中定义证书颁发机构和模板
在 AWS 控制台中创建私有 CA 和 SCEP 连接器后,在 Omnissa Workspace ONE 中定义证书颁发机构和模板。
**添加 AWS 私有 CA 为证书颁发机构**
1. 从 “**系统**” 菜单中选择 “**企业集成**”,然后选择 “**证书颁发机构**”。
1. 选择 **\$1 ADD** 并提供以下信息:
+ **名称**: AWS-Private-ca。
+ **描述**: AWS 私有 CA 用于颁发设备证书。
+ **权限类型**:选择**通用 SCEP**。
+ **SCEP 网址**:输入来自的 SCEP 网址。 AWS 私有 CA
+ **挑战类型**:选择**静态**。
+ **静态质询**:在控制台中输入连接器中用于 SCEP 配置的 SCEP 静态质询密码。 AWS
+ 输入**重试超时**和**最大重试次数**值。
1. 保存配置。
**创建证书模板**
1. 从 “**系统**” 菜单中选择 “**企业集成**”,选择 “**证书颁发机构**”,然后选择 “**模板**”。
1. 选择**添加模板**并提供以下信息:
+ **模板名称**: Device-Cert-Template.
+ **证书颁发机构**:选择 **AWS-Private-C** A。
+ **主题名称**:这是一个可自定义的字段。您可以从属性列表中选择变量值。例如,CN= \$1DeviceReportedName\$1、O= \$1\$1、OU= \$11DevicePlatform\$1 CustomAttribute
+ **私钥长度**:2048 位。
+ **私钥类型**:根据需要选择**签名**和**加密**
+ **自动续订**: Enabled/Disabled (根据您的需求)。
1. 保存此模板。
## 第 2 步:设置 Omnissa Workspace ONE UEM 配置文件配置
在 Omnissa Workspace ONE UEM 中创建配置文件,将设备定向到 Connector,让 SCEP 颁发证书。
**为证书分发创建 SCEP 设备配置文件**
1. 从 “**资源**” 菜单中选择 “**配置文件和基准**”,然后选择 “**配置文件**”。
1. 选择**添加**,然后选择**添加个人资料**
1. 选择设备平台(**安卓**、**iOS**、**macOS**、**Windows**)。
1. 根据需要设置**管理类型**和**上下文**。
1. 设置**名称**: Device-Cert-Profile.
1. 滚动到 **SCEP 有效负载**。
1. 选择 **SCEP**,然后选择 **\$1** 添加。
1. 使用以下配置:
+ **SCEP**:
+ 对于**凭据来源**,选择**定义的证书颁发机构**(默认)。
+ 对于**证书颁发机构**,请选择 **AWS-私有 C** A
+ 对于**证书模板**,选择步骤 **1 中定义的设备证书模板**。
1. 选择 “**下一步**”,然后在 “**任务**” 部分中,从列表中选择正确的智能组(设备的任务组)。
1. 选择 “**分配类型**” 为 “**自动**” 以启用自动续订。
1. 保存并发布个人资料。
**注意**
有关更多信息,请参阅 Omnis [sa 文档中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)。
## 第 3 步:在 Omnissa Workspace ONE 中注册设备
**创建或验证智能群组**
1. 从 “**群组和设置”** 中选择 “**群组**”,然后选择 “**任务小组**”。
1. 创建或编辑 POC 设备智能组:
+ **名称**:POC 设备。
+ **设备类型**:选择**全部**或特定平台(例如 Android 或 iOS)。
+ **标准**:使用 **UserGroup**“**平台和操作系统**”、“**OEM” 和 “型号**” 来指定对目标设备进行分组的标准。
+ **所有权**:为个人或公司设备选择 “**任**意”。
1. 保存并验证目标设备是否显示在 “**预览**” 选项卡中。
### 手动注册设备
Android
+ 从 Google Play 下载 **Workspace ONE 智能中心**应用程序。
+ 打开应用程序并输入注册网址或扫描二维码。
+ 登录并按照提示注册为 MDM 管理的设备。
iOS/macOS
+ 在设备上,打开 **Safari** 浏览并导航到注册网址(例如 https:///enroll)。
+ 使用用户凭据登录。
+ 从 App St **ore 下载并安装 Workspace ONE 智能中心**应用程序。
+ 按照提示在 **“设置” > “**常规**” > “**VPN 和设备管理**” > “**配置文件” > “安装” 中**安装** MDM **配置文件**。
Windows
+ 从 **Workspace ONE 服务器或微软商店下载 Workspace ONE 智能中心**。
+ 使用注册 URL 和凭据通过 Hub 注册。
在 “设备” > “**列表视图**” > “**更多操作**” > “分配到智能组” 中将注册的**设备****分配给 POC-Devices 智能**组。
有关更多信息,请参阅 Omnissa 文档中的[自动设备注册](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)。
**验证注册**
1. **在 Omnissa Workspace ONE UEM 控制台中,前往 “**设备**”,然后转到 “列表视图”。**
1. 确认已注册设备的状态设置为 “**已注册**”。
1. **在 “设备详细信息” 的 “群组” 选项卡中,验证设备是否在 POC-devices 智能**组**中。**
## 第 4 步:颁发证书
**触发颁发证书**
1. 在**设备****列表视图中**,选择已注册的设备。
1. 选择 “**查询**” 按钮以提示办理登机手续。
1. Device-Cert-Profile应通过以下方式签发证书。 AWS 私有 CA
**验证证书安装**
Android
依次选择**设置**、**安全**、**可信凭证**和**用户**来验证证书。
iOS
前往 **“设置”**,然后选择 “**常规**”、“**VPN 和设备管理**”,然后选择 “**配置文件”**。验证来自的证书 AWS-Private-CA是否存在。
macOS
打开 “**钥匙串访问权限**”,然后打开 “**系统钥匙串**” 并验证证书。
Windows
打开 **certmgr.msc**,然后打开 “**个人**”,然后打开 “证书” 以**验证证书**。
## 问题排查
SCEP 错误(例如 “22013-SCEP 服务器返回的响应无效”)
+ 验证 Workspace ONE 中的 SCEP 网址和静态质询密码是否匹配 AWS 私有 CA。
+ 测试 SCEP 端点连接:curl。
+ 检查 AWS CloudTrail 日志中是否有 AWS 私有 CA 错误(例如`IssueCertificate`失败)。
APNs 问题(iOS/macOS)
+ 确保 APNs 证书有效且已分配给正确的组织组。
+ 测试 APNs 连接:telnet [gateway](http://gateway.push.apple.com/) .push.apple.com 2195。
配置文件安装失败
+ 确认设备位于正确的智能组中(依次选择 “**设备**”、“**列表视图”** 和 “**群组**”)。
+ 强制同步个人资料:依次选择 “**更多操作**”、“**发送**” 和 “**个人资料列表”**。
日志
+ 安卓系统:使用 **Logcat** 或 Workspace ONE
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/Apple配置器)。
+ Windows:**事件查看器**,然后是**应用程序和服务日志**,然后是**微软-** Windows-。DeviceManagement
+ Workspace ONE UEM:**监控**,然后是**报告和分析**,然后是**事件**,然后是**设备事件**。
有关中用于 SCEP 监控的连接器的详细信息 AWS,请参阅 SCEP 的[https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)
## 安全注意事项
+ 安全地存储 SCEP URLs 和机密。有关更多信息,请参阅[AWS Secrets Manager 服务](https://docs.aws.amazon.com/secretsmanager/)。
+ 将智能组标准仅限于目标设备。
+ 定期续订 Apple 推送通知 (APNs) 证书(有效期为 1 年)。
+ 为概念验证项目设置较短的证书有效期,以最大限度地降低风险。
+ 对于个人设备,请确保清理会删除所有配置文件和证书。
有关如何使用 SCEP 连接器配置 Omnissa Workspace ONE UEM 和 CA 集成的信息,请参阅 Omnissa Workspace ONE 文档[中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)。