本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 SCEP 连接器配置 Omnissa Workspace ONE
您可以在 Omnissa Workspace ONE UEM(统一端点管理)系统中 Amazon Private CA 用作外部证书颁发机构 (CA)。本指南提供有关在中创建 SCEP 连接器后如何配置 Omnissa Workspace ONE 的说明。 Amazon
先决条件
在为 Omnissa Workspace ONE 创建 SCEP 连接器之前,必须完成以下先决条件:
-
在 Amazon 控制台中创建私有 CA。有关更多信息,请参阅 在中创建私有 CA Amazon Private CA。
-
创建通用的 SCEP 连接器。有关更多信息,请参阅创建连接器。
-
拥有一个活跃的 Omnissa Workspace ONE 环境管理员帐户和组织组 ID。
-
如果您要注册 Apple 设备,请为 MDM 配置 Apple 推送通知服务 (APNs)。有关更多信息,请参阅 Omnissa 文档中的APNs 证书
。
第 1 步:在 Omnissa Workspace ONE 中定义证书颁发机构和模板
在 Amazon 控制台中创建私有 CA 和 SCEP 连接器后,在 Omnissa Workspace ONE 中定义证书颁发机构和模板。
添加 Amazon Private CA 为证书颁发机构
-
从 “系统” 菜单中选择 “企业集成”,然后选择 “证书颁发机构”。
-
选择 + ADD 并提供以下信息:
-
名称: Amazon-Private-ca。
-
描述: Amazon Private CA 用于颁发设备证书。
-
权限类型:选择通用 SCEP。
-
SCEP 网址:输入来自的 SCEP 网址。 Amazon Private CA
-
挑战类型:选择静态。
-
静态质询:在控制台中输入连接器中用于 SCEP 配置的 SCEP 静态质询密码。 Amazon
-
输入重试超时和最大重试次数值。
-
-
保存配置。
创建证书模板
-
从 “系统” 菜单中选择 “企业集成”,选择 “证书颁发机构”,然后选择 “模板”。
-
选择添加模板并提供以下信息:
-
模板名称: Device-Cert-Template.
-
证书颁发机构:选择 Amazon-Private-C A。
-
主题名称:这是一个可自定义的字段。您可以从属性列表中选择变量值。例如,CN= {DeviceReportedName}、O= {}、OU= {1DevicePlatform} CustomAttribute
-
私钥长度:2048 位。
-
私钥类型:根据需要选择签名和加密
-
自动续订: Enabled/Disabled (根据您的需求)。
-
-
保存模板。
第 2 步:设置 Omnissa Workspace ONE UEM 配置文件配置
在 Omnissa Workspace ONE UEM 中创建配置文件,将设备定向到 Connector,让 SCEP 颁发证书。
为证书分发创建 SCEP 设备配置文件
-
从 “资源” 菜单中选择 “配置文件和基准”,然后选择 “配置文件”。
-
选择添加,然后选择添加个人资料
-
选择设备平台(安卓、iOS、macOS、Windows)。
-
根据需要设置管理类型和上下文。
-
设置名称: Device-Cert-Profile.
-
滚动到 SCEP 有效负载。
-
选择 SCEP,然后选择 + 添加。
-
使用以下配置:
-
SCEP:
-
对于凭据来源,选择定义的证书颁发机构(默认)。
-
对于证书颁发机构,请选择 Amazon-Private-
-
对于证书模板,选择步骤 1 中定义的设备证书模板。
-
-
-
选择 “下一步”,然后在 “任务” 部分中,从列表中选择正确的智能组(设备的任务组)。
-
选择 “分配类型” 为 “自动” 以启用自动续订。
-
保存并发布个人资料。
注意
有关更多信息,请参阅 Omnis sa 文档中的 SCEP
第 3 步:在 Omnissa Workspace ONE 中注册设备
创建或验证智能群组
-
从 “群组和设置” 中选择 “群组”,然后选择 “任务小组”。
-
创建或编辑 POC 设备智能组:
-
名称:POC 设备。
-
设备类型:选择全部或特定平台(例如 Android 或 iOS)。
-
标准:使用 UserGroup“平台和操作系统”、“OEM” 和 “型号” 来指定对目标设备进行分组的标准。
-
所有权:为个人或公司设备选择 “任意”。
-
-
保存并验证目标设备是否显示在 “预览” 选项卡中。
手动注册设备
- Android
-
-
从 Google Play 下载 Workspace ONE 智能中心应用程序。
-
打开应用程序并输入注册网址或扫描二维码。
-
登录并按照提示注册为 MDM 管理的设备。
-
- iOS/macOS
-
-
在设备上,打开 Safari 浏览并导航到注册网址(例如 https://<Workspace ONEUEMHostname >/enroll)。
-
使用用户凭据登录。
-
从 App St ore 下载并安装 Workspace ONE 智能中心应用程序。
-
按照提示在 “设置” > “通用” > “VPN 和设备管理” > “配置文件” > “安装” 中安装 MDM 配置文件。
-
- Windows
-
-
从 Workspace ONE 服务器或微软商店下载 Workspace ONE 智能中心。
-
使用注册 URL 和凭据通过 Hub 注册。
-
在 “设备” > “列表视图” > “更多操作” > “分配到智能组” 中将注册的设备分配给 POC-Devices 智能组。
有关更多信息,请参阅 Omnissa 文档中的自动设备注册
验证注册
-
在 Omnissa Workspace ONE UEM 控制台中,前往 “设备”,然后转到 “列表视图”。
-
确认已注册设备的状态设置为 “已注册”。
-
在 “设备详细信息” 的 “群组” 选项卡中,验证设备是否在 POC-devices 智能组中。
步骤 4:颁发证书
触发颁发证书
-
在设备列表视图中,选择已注册的设备。
-
选择 “查询” 按钮以提示办理登机手续。
-
Device-Cert-Profile应通过以下方式签发证书。 Amazon Private CA
验证证书安装
- Android
-
依次选择设置、安全、可信凭证和用户来验证证书。
- iOS
-
前往 “设置”,然后选择 “常规”、“VPN 和设备管理”,然后选择 “配置文件”。验证来自的证书 AWS-Private-CA是否存在。
- macOS
-
打开钥匙串访问权限,然后打开系统钥匙串并验证证书。
- Windows
-
打开 certmgr.msc,然后打开 “个人”,然后打开 “证书” 以验证证书。
故障排除
- SCEP 错误(例如 “22013-SCEP 服务器返回的响应无效”)
-
-
验证 Workspace ONE 中的 SCEP 网址和静态质询密码是否匹配 Amazon Private CA。
-
<SCEP_URL>测试 SCEP 端点连接:curl。
-
检查 Amazon CloudTrail 日志中是否有 Amazon Private CA 错误(例如
IssueCertificate失败)。
-
- APNs 问题(iOS/macOS)
-
-
确保 APNs 证书有效且已分配给正确的组织组。
-
测试 APNs 连接:telnet gateway
.push.apple.com 2195。
-
- 配置文件安装失败
-
-
确认设备位于正确的智能组中(依次选择 “设备”、“列表视图” 和 “群组”)。
-
强制同步个人资料:依次选择 “更多操作”、“发送” 和 “个人资料列表”。
-
- 日志
-
-
安卓系统:使用 Logcat 或 Workspace ONE
-
iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/Apple配置器)。
-
Windows:事件查看器,然后是应用程序和服务日志,然后是微软- Windows-。DeviceManagement
-
Workspace ONE UEM:监控,然后是报告和分析,然后是事件,然后是设备事件。
-
有关中用于 SCEP 监控的连接器的详细信息 Amazon,请参阅 SCEP 的监视器连接器。
安全性注意事项
-
安全地存储 SCEP URLs 和机密。有关更多信息,请参阅Amazon Secrets Manager 服务。
-
将智能组标准仅限于目标设备。
-
定期续订 Apple 推送通知 (APNs) 证书(有效期为 1 年)。
-
为概念验证项目设置较短的证书有效期,以最大限度地降低风险。
-
对于个人设备,请确保清理会删除所有配置文件和证书。
有关如何使用 SCEP 连接器配置 Omnissa Workspace ONE UEM 和 CA 集成的信息,请参阅 Omnissa Workspace ONE 文档中的 SCEP