Создание и настройка шаблона SCEP
Создайте новый шаблон и сделайте его доступным для SCEP
CA сформирует специальный URL, по которому доступе выпуск сертификата по этому шаблону через SCEP
URL-ы SCEP доступны на Главной странице, скопируйте URL
URL является относительным!! /scep/0199a1a6-6957-7377-b295-478c40305349/pkiclient.exe Абсолютный URL: http://<hostname>//scep/0199a1a6-6957-7377-b295-478c40305349/pkiclient.exe
Выпуск первоначального challangePassword
В разделе Настройки - SCEP создайте новый пароль ( + ) для пользователя admin, укажите срок действия
Созданный пароль можно скопировать и передать на устройство-клиент SCEP
Проверка работы SCEP
Проверить работу scep можно с использованием любого доступного клиента (например, https://github.com/certnanny/sscep), ниже рассмотрен тестовый сценарий для MacOS
Создайте файл конфигурации профиля scep для MacOS scep.mobileconfig
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadUUID</key>
<string>Ignored</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadIdentifier</key>
<string>Ignored</string>
<key>PayloadDisplayName</key>
<string>Avanpost CA Configuration</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadContent</key>
<dict>
<key>URL</key>
<string>http://localhost/scep/0199a1a6-6957-7377-b295-478c40305349/pkiclient.exe</string>
<key>Name</key>
<string>AvanpostCA</string>
<key>Subject</key>
<array>
<array>
<array>
<string>CN</string>
<string>macbook.avanpost.local</string>
</array>
</array>
<array>
<array>
<string>O</string>
<string>Avanpost Ltd.</string>
</array>
</array>
<array>
<array>
<string>C</string>
<string>RU</string>
</array>
</array>
</array>
<key>Challenge</key>
<string>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3NjE4Njg4MDAsImlhdCI6MTc1OTM1MzczMH0.So3py0aEdcsHhInbtPKgDR8ZqAdXP9RbfytZRDE-9hI</string>
<key>Keysize</key>
<integer>2048</integer>
<key>Key Type</key>
<string>RSA</string>
</dict>
<key>PayloadDescription</key>
<string>Avanpost CA SCEP demo enroll</string>
<key>PayloadUUID</key>
<string>CAE1D4F6-1BBA-859F-89E2-48DFA7112F14</string>
<key>PayloadType</key>
<string>com.apple.security.scep</string>
<key>PayloadDisplayName</key>
<string>Avanpost CA SCEP</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadOrganization</key>
<string>Avanpost CA</string>
<key>PayloadIdentifier</key>
<string>no.avanpostca.mobileconfig.ipsec</string>
</dict>
</array>
</dict>
</plist>
Отредактируйте параметры:
- URL - укажите абсолютный адрес SCEP, полученный выше
Challenge - укажите сгенерированный выше challengePassword
- Отредактируйте раздел Subject, задайте значения атрибутов субъекта сертификата
Импортируем конфигурацию в MacOS: Настройки - Конфиденциальность и безопасность - Профили
Добавляем профиль scep.mobileconfig, подтверждаем его установку
В случае успеха профиль появится в списке настроек
А сертификат будет выпущен и размещен в Связке ключей
