Sollten Sie für Ihre Zertifikatverwaltung einen SCEP-Server verwenden, können Sie hier SCEP-Profile anlegen. Mit Hilfe dieser Profile können die mobilen Geräte der Nutzer/-innen automatisch Client-Zertifikate (SSL/TLS) beim SCEP-Server anfordern. Diese werden dann auf die Geräte geladen. Damit wird sichergestellt, dass sich nur Geräte mit den entsprechenden Client-Zertifikaten im Firmen-WLAN bzw. am Exchange-Server anmelden. Die SCEP-Profile können Sie dann in Exchange- oder Wi-Fi-Profilen auswählen.
- Gehen Sie zuerst vor, wie hier beschrieben.
- Wählen Sie danach SCEP als Profil aus, das Sie hinzufügen möchten. Es wird folgender Dialog geöffnet.
Nehmen Sie folgende Einstellungen vor:
- Profilname: Geben Sie hier einen Namen für das Profil an.
- Anzeigename: Geben Sie hier den Namen des Profils an, wie er für die Nutzer/-innen angezeigt werden soll.
- URL: Tragen Sie hier die URL des SCEP-Servers ein. Bei einem SCEP-Server von Microsoft (NDES), sollte die URL folgendermaßen aussehen:
https://servername/certsrv/mscep/mscep.dll
- Antragsteller: Geben Sie den Namen des Zertifikats ein. Verwenden Sie Platzhalter, damit dieser Name automatisch eingefügt wird (z.B. CN=#userprincipalname#)
- Typ alternativer Antragstellername: Hier können Sie wählen zwischen None, RFC 822 Name (für Nutzerzertifikate), DNS Name und Uniform Resource Identifier (für Geräte- und Serverzertifikate).
- Wert für alternativen Antragstellernamen: Geben Sie hier ggf. einen alternativen Zertifikatnamen ein. Verwenden Sie dafür Platzhalter (z.B. #useremailaddress#).
- NT Principal-Name: Geben Sie den UPN ein.
- SCEP-Server-Aufforderung: Geben Sie hier das Challenge-Passwort ein. Wenn Sie die Option Autofill auswählen, wird hier automatisch das ausgelesene Challenge-Passwort eingetragen.
- URL SCEP-Server-Aufforderung: Geben Sie hier die URL ein, von der das Challenge-Passwort ausgelesen wird. Beachten Sie dabei, dass bei einem SCEP-Server von Microsoft (NDES) hinter der Server-Adresse folgender Ausdruck steht: /certsrv/mscep_admin.
- Muster SCEP-Server-Aufforderung: Dies ist das Suchmuster (regulärer Ausdruck) zum Auslesen des Challenge-Passworts. Bei SCEP-Servern unter Windows behalten Sie den vorgegebenen Wert bei.
- SCEP-Server-Fingerabdruck: Tragen Sie hier den Thumbprint der ausstellenden Zertifizierungsstelle ein. Sie finden diesen im Root-Zertifikat Ihres SCEP-Servers.
- Muster SCEP-Server-Fingerabdruck: Dies ist das Suchmuster (regulärer Ausdruck) für den Thumbprint des Root-Zertifikats.
- Wiederholungen: Hier können Sie einstellen, wie viele Verbindungsversuche zum SCEP-Server unternommen werden, sofern Verbindungen fehlgeschlagen sind.
- Wiederholungsverzögerung in Sek.: Hier können Sie die Zeitverzögerung in Sekunden zwischen einzelnen Retries einstellen.
- Schlüsselgröße in Bits: Tragen Sie hier die Länge des Schlüssels ein.
- Verwendung als digitale Signatur: Aktivieren Sie diese Checkbox, wenn Sie das Zertifikat, das ausgestellt wird, als digitale Signatur verwenden möchten.
- Verwendung zur Schlüsselchiffrierung: Aktivieren Sie diese Checkbox, wenn ein Zertifikat mit einem Protokoll verwendet wird, das Schlüssel verschlüsselt.