本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为 SCEP 连接器配置 Omnissa Workspace ONE 配置 Omnissa 工作空间 ONE适用于 Omnissa Workspace ONE 的 SCEP 连接器现已正式上市[https://docs.amazonaws.cn/privateca/latest/userguide/connector-for-scep-omnissa.html](https://docs.amazonaws.cn/privateca/latest/userguide/connector-for-scep-omnissa.html) 适用于 Omnissa Workspace ONE 的 SCEP 连接器现已正式上市。 您可以在 Omnissa Workspace ONE UEM(统一端点管理)系统中 Amazon 私有 CA 用作外部证书颁发机构 (CA)。本指南提供有关在中创建 SCEP 连接器后如何配置 Omnissa Workspace ONE 的说明。 Amazon ## 先决条件 在为 Omnissa Workspace ONE 创建 SCEP 连接器之前,必须完成以下先决条件: + 在 Amazon 控制台中创建私有 CA。有关更多信息,请参阅 [在中创建私有 CA Amazon 私有 CA](create-CA.md)。 + 创建通用的 SCEP 连接器。有关更多信息,请参阅[创建连接器](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)。 + 拥有一个活跃的 Omnissa Workspace ONE 环境管理员账户和组织组 ID。 + 如果您要注册 Apple 设备,请为 MDM 配置 Apple 推送通知服务 (APNs)。有关更多信息,请参阅 Omnissa 文档中的[APNs 证书](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)。 ## 第 1 步:在 Omnissa Workspace ONE 中定义证书颁发机构和模板 在 Amazon 控制台中创建私有 CA 和 SCEP 连接器后,在 Omnissa Workspace ONE 中定义证书颁发机构和模板。 **添加 Amazon 私有 CA 为证书颁发机构** 1. 从 “**系统**” 菜单中选择 “**企业集成**”,然后选择 “**证书颁发机构**”。 1. 选择 **\$1 ADD** 并提供以下信息: + **名称**: Amazon-Private-ca。 + **描述**: Amazon 私有 CA 用于颁发设备证书。 + **权限类型**:选择**通用 SCEP**。 + **SCEP 网址**:输入来自的 SCEP 网址。 Amazon 私有 CA + **挑战类型**:选择**静态**。 + **静态质询**:在控制台中输入连接器中用于 SCEP 配置的 SCEP 静态质询密码。 Amazon + 输入**重试超时**和**最大重试次数**值。 1. 保存配置。 **创建证书模板** 1. 从 “**系统**” 菜单中选择 “**企业集成**”,选择 “**证书颁发机构**”,然后选择 “**模板**”。 1. 选择**添加模板**并提供以下信息: + **模板名称**: Device-Cert-Template. + **证书颁发机构**:选择 **Amazon-Private-C** A。 + **主题名称**:这是一个可自定义的字段。您可以从属性列表中选择变量值。例如,CN= \$1DeviceReportedName\$1、O= \$1\$1、OU= \$11DevicePlatform\$1 CustomAttribute + **私钥长度**:2048 位。 + **私钥类型**:根据需要选择**签名**和**加密** + **自动续订**: Enabled/Disabled (根据您的需求)。 1. 保存此模板。 ## 第 2 步:设置 Omnissa Workspace ONE UEM 配置文件配置 在 Omnissa Workspace ONE UEM 中创建配置文件,将设备定向到 Connector,让 SCEP 颁发证书。 **为证书分发创建 SCEP 设备配置文件** 1. 从 “**资源**” 菜单中选择 “**配置文件和基准**”,然后选择 “**配置文件**”。 1. 选择**添加**,然后选择**添加个人资料** 1. 选择设备平台(**安卓**、**iOS**、**macOS**、**Windows**)。 1. 根据需要设置**管理类型**和**上下文**。 1. 设置**名称**: Device-Cert-Profile. 1. 滚动到 **SCEP 有效负载**。 1. 选择 **SCEP**,然后选择 **\$1** 添加。 1. 使用以下配置: + **SCEP**: + 对于**凭据来源**,选择**定义的证书颁发机构**(默认)。 + 对于**证书颁发机构**,请选择 **Amazon-私有 C** A + 对于**证书模板**,选择步骤 **1 中定义的设备证书模板**。 1. 选择 “**下一步**”,然后在 “**任务**” 部分中,从列表中选择正确的智能组(设备的任务组)。 1. 选择 “**分配类型**” 为 “**自动**” 以启用自动续订。 1. 保存并发布个人资料。 **注意** 有关更多信息,请参阅 Omnis [sa 文档中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)。 ## 第 3 步:在 Omnissa Workspace ONE 中注册设备 **创建或验证智能群组** 1. 从 “**群组和设置”** 中选择 “**群组**”,然后选择 “**任务小组**”。 1. 创建或编辑 POC 设备智能组: + **名称**:POC 设备。 + **设备类型**:选择**全部**或特定平台(例如 Android 或 iOS)。 + **标准**:使用 **UserGroup**“**平台和操作系统**”、“**OEM” 和 “型号**” 来指定对目标设备进行分组的标准。 + **所有权**:为个人或公司设备选择 “**任**意”。 1. 保存并验证目标设备是否显示在 “**预览**” 选项卡中。 ### 手动注册设备 Android + 从 Google Play 下载 **Workspace ONE 智能中心**应用程序。 + 打开应用程序并输入注册网址或扫描二维码。 + 登录并按照提示注册为 MDM 管理的设备。 iOS/macOS + 在设备上,打开 **Safari** 浏览并导航到注册网址(例如 https:///enroll)。 + 使用用户凭据登录。 + 从 App St **ore 下载并安装 Workspace ONE 智能中心**应用程序。 + 按照提示在 **“设置” > “**常规**” > “**VPN 和设备管理**” > “**配置文件” > “安装” 中**安装** MDM **配置文件**。 Windows + 从 **Workspace ONE 服务器或微软商店下载 Workspace ONE 智能中心**。 + 使用注册 URL 和凭据通过 Hub 注册。 在 “设备” > “**列表视图**” > “**更多操作**” > “分配到智能组” 中将注册的**设备****分配给 POC-Devices 智能**组。 有关更多信息,请参阅 Omnissa 文档中的[自动设备注册](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)。 **验证注册** 1. **在 Omnissa Workspace ONE UEM 控制台中,前往 “**设备**”,然后转到 “列表视图”。** 1. 确认已注册设备的状态设置为 “**已注册**”。 1. **在 “设备详细信息” 的 “群组” 选项卡中,验证设备是否在 POC-devices 智能**组**中。** ## 第 4 步:颁发证书 **触发颁发证书** 1. 在**设备****列表视图中**,选择已注册的设备。 1. 选择 “**查询**” 按钮以提示办理登机手续。 1. Device-Cert-Profile应通过以下方式签发证书。 Amazon 私有 CA **验证证书安装** Android 依次选择**设置**、**安全**、**可信凭证**和**用户**来验证证书。 iOS 前往 **“设置”**,然后选择 “**常规**”、“**VPN 和设备管理**”,然后选择 “**配置文件”**。验证来自的证书 AWS-Private-CA是否存在。 macOS 打开 “**钥匙串访问权限**”,然后打开 “**系统钥匙串**” 并验证证书。 Windows 打开 **certmgr.msc**,然后打开 “**个人**”,然后打开 “证书” 以**验证证书**。 ## 问题排查 SCEP 错误(例如 “22013-SCEP 服务器返回的响应无效”) + 验证 Workspace ONE 中的 SCEP 网址和静态质询密码是否匹配 Amazon 私有 CA。 + 测试 SCEP 端点连接:curl。 + 检查 Amazon CloudTrail 日志中是否有 Amazon 私有 CA 错误(例如`IssueCertificate`失败)。 APNs 问题(iOS/macOS) + 确保 APNs 证书有效且已分配给正确的组织组。 + 测试 APNs 连接:telnet [gateway](http://gateway.push.apple.com/) .push.apple.com 2195。 配置文件安装失败 + 确认设备位于正确的智能组中(依次选择 “**设备**”、“**列表视图”** 和 “**群组**”)。 + 强制同步个人资料:依次选择 “**更多操作**”、“**发送**” 和 “**个人资料列表”**。 日志 + 安卓系统:使用 **Logcat** 或 Workspace ONE + iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/Apple配置器)。 + Windows:**事件查看器**,然后是**应用程序和服务日志**,然后是**微软-** Windows-。DeviceManagement + Workspace ONE UEM:**监控**,然后是**报告和分析**,然后是**事件**,然后是**设备事件**。 有关中用于 SCEP 监控的连接器的详细信息 Amazon,请参阅 SCEP 的[https://docs.amazonaws.cn/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.amazonaws.cn/privateca/latest/userguide/c4scep-monitoring-overview.html) ## 安全注意事项 + 安全地存储 SCEP URLs 和机密。有关更多信息,请参阅[Amazon Secrets Manager 服务](https://docs.amazonaws.cn/secretsmanager/)。 + 将智能组标准仅限于目标设备。 + 定期续订 Apple 推送通知 (APNs) 证书(有效期为 1 年)。 + 为概念验证项目设置较短的证书有效期,以最大限度地降低风险。 + 对于个人设备,请确保清理会删除所有配置文件和证书。 有关如何使用 SCEP 连接器配置 Omnissa Workspace ONE UEM 和 CA 集成的信息,请参阅 Omnissa Workspace ONE 文档[中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)。