Konfigurieren Sie Omnissa Workspace ONE für Connector für SCEP - AWS Private Certificate Authority
VoraussetzungenSchritt 1: Definieren Sie eine Zertifizierungsstelle und eine Vorlage in Omnissa Workspace ONESchritt 2: Richten Sie eine Omnissa Workspace ONE UEM-Profilkonfiguration einSchritt 3: Geräte bei Omnissa Workspace ONE registrierenSchritt 4: Stellen Sie ein Zertifikat ausFehlerbehebungSicherheitsüberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie Omnissa Workspace ONE für Connector für SCEP

Sie können es AWS Private CA als externe Zertifizierungsstelle (CA) mit dem Omnissa Workspace ONE UEM-System (Unified Endpoint Management) verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration von Omnissa Workspace ONE, nachdem Sie einen SCEP-Connector in erstellt haben. AWS

Voraussetzungen

Bevor Sie einen SCEP-Connector für Omnissa Workspace ONE erstellen, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Erstellen Sie eine private Zertifizierungsstelle in der Konsole. AWS Weitere Informationen finden Sie unter Erstellen Sie eine private CA in AWS Private CA.

  • Erstellen Sie einen SCEP-Connector für allgemeine Zwecke. Weitere Informationen finden Sie unter Einen Konnektor erstellen.

  • Verfügen Sie über ein aktives Administratorkonto für die Omnissa Workspace ONE-Umgebung mit einer Organisationsgruppen-ID.

  • Wenn Sie ein Apple-Gerät registrieren, konfigurieren Sie den Apple Push Notification Service (APNs) für MDM. Weitere Informationen finden Sie in der Omnissa-Dokumentation unter APNs Zertifikate.

Schritt 1: Definieren Sie eine Zertifizierungsstelle und eine Vorlage in Omnissa Workspace ONE

Nachdem Sie eine private CA und einen SCEP-Connector in der AWS Konsole erstellt haben, definieren Sie die Zertifizierungsstelle und die Vorlage in Omnissa Workspace ONE.

AWS Private CA Als Zertifizierungsstelle hinzufügen

  1. Wählen Sie im Menü System die Option Enterprise Integration und dann Certificate Authorities aus.

  2. Wählen Sie + HINZUFÜGEN und geben Sie die folgenden Informationen ein:

    • Name: AWS-Private-CA.

    • Beschreibung: AWS Private CA für die Ausstellung von Gerätezertifikaten.

    • Autoritätstyp: Wählen Sie Generic SCEP aus.

    • SCEP-URL: Geben Sie die SCEP-URL von ein. AWS Private CA

    • Challenge-Typ: Wählen Sie STATIC aus.

    • Statische Herausforderung: Geben Sie das statische SCEP-Challenge-Passwort aus der Connector-Konfiguration in der AWS Konsole ein.

    • Geben Sie die Werte „Timeout für Wiederholungen“ und „Max. Wiederholungen“ ein.

  3. Speichern Sie die Konfiguration.

Erstellen Sie eine Zertifikatsvorlage

  1. Wählen Sie im Menü System die Option Enterprise Integration, wählen Sie Certificate Authorities und dann Templates aus.

  2. Wählen Sie „Vorlagen hinzufügen“ und geben Sie die folgenden Informationen ein:

    • Name der Vorlage: Device-Cert-Template.

    • Zertifizierungsstelle: Wählen Sie AWS-Private-CA.

    • Betreffname: Dies ist ein anpassbares Feld. Sie können Variablenwerte aus einer Liste von Attributen auswählen. Zum Beispiel CN= {DeviceReportedName}, O= {DevicePlatform}, OU= {1} CustomAttribute

    • Länge des privaten Schlüssels: 2048 Bit.

    • Typ des privaten Schlüssels: Wählen Sie nach Bedarf Signieren und Verschlüsseln

    • Automatische Verlängerung: Enabled/Disabled (Je nach Ihren Bedürfnissen).

  3. Speichern Sie die Vorlage.

Schritt 2: Richten Sie eine Omnissa Workspace ONE UEM-Profilkonfiguration ein

Erstellen Sie ein Profil in Omnissa Workspace ONE UEM, das Geräte an Connector for SCEP weiterleitet, um ein Zertifikat auszustellen.

Erstellen Sie ein SCEP-Geräteprofil für die Zertifikatsverteilung

  1. Wählen Sie im Menü Ressourcen die Option Profile & Baselines und dann Profile aus.

  2. Wählen Sie „Hinzufügen“ und dann „Profil hinzufügen

  3. Wählen Sie die Geräteplattform aus (Android, iOS, macOS, Windows).

  4. Stellen Sie den Verwaltungstyp und den Kontext entsprechend ein.

  5. Stellen Sie den Namen ein: Device-Cert-Profile.

  6. Scrollen Sie zu SCEP Payload.

  7. Wählen Sie SCEP und dann +Hinzufügen.

  8. Verwenden Sie die folgende Konfiguration:

    • SCEP:

      • Wählen Sie für Credential Source die Option Defined Certificate Authority (Standard) aus.

      • Wählen Sie als Zertifizierungsstelle -Private-CAAWS

      • Wählen Sie für Certificate Template das in Schritt 1 definierte Device-Cert-Template aus.

  9. Wählen Sie Weiter und wählen Sie im Abschnitt Zuweisung die richtige Smartgroup aus der Liste aus (Zuweisungsgruppe für das Gerät).

  10. Wählen Sie als Zuweisungstyp auto aus, um die automatische Verlängerung zu aktivieren.

  11. Speichern und veröffentlichen Sie das Profil.

Anmerkung

Weitere Informationen finden Sie unter SCEP in der Omnissa-Dokumentation.

Schritt 3: Geräte bei Omnissa Workspace ONE registrieren

Erstellen oder verifizieren Sie eine Smart-Gruppe

  1. Wählen Sie unter Gruppen und Einstellungen die Option Gruppen und dann Zuweisungsgruppen aus.

  2. Erstellen oder bearbeiten Sie die Smart-Gruppe für POC-Geräte:

    • Name: POC-Geräte.

    • Gerätetyp: Wählen Sie Alle oder eine bestimmte Plattform (z. B. Android oder iOS).

    • Kriterien: Verwendung UserGroup, Plattform und Betriebssystem, OEM und Modell, um die Kriterien für die Gruppierung der Zielgeräte festzulegen.

    • Besitz: Wählen Sie „Beliebig“ für private Geräte oder Unternehmensgeräte aus.

  3. Speichern und überprüfen Sie, ob die Zielgeräte auf der Registerkarte Vorschau angezeigt werden.

Manuelle Geräteregistrierung

Android

  • Laden Sie die Workspace ONE Intelligent Hub-App von Google Play herunter.

  • Öffnen Sie die App und geben Sie die Registrierungs-URL ein oder scannen Sie einen QR-Code.

  • Melden Sie sich an und folgen Sie den Anweisungen, um sich als MDM-verwaltetes Gerät zu registrieren.

iOS/macOS

  • Öffnen Sie auf dem Gerät Safari und navigieren Sie zur Registrierungs-URL (z. B. https://<Workspace ONEUEMHostname >/enroll).

  • Melden Sie sich mit Benutzeranmeldedaten an.

  • Laden Sie die Workspace ONE Intelligent Hub-App aus dem App Store herunter und installieren Sie sie.

  • Folgen Sie den Anweisungen zur Installation des MDM-Profils unter Einstellungen > Allgemein > VPN- und Geräteverwaltung > Profil > Installieren.

Windows

  • Laden Sie den Workspace ONE Intelligent Hub vom Workspace ONE-Server oder Microsoft Store herunter.

  • Melden Sie sich über den Hub mit der Registrierungs-URL und den Anmeldeinformationen an.

Weisen Sie registrierte Geräte der POC-Devices Smart Group unter Geräte > Listenansicht > Weitere Aktionen > Zu Smart Group zuweisen zu.

Weitere Informationen finden Sie unter Automatisierte Geräteregistrierung in der Omnissa-Dokumentation.

Überprüfen Sie die Registrierung

  1. Gehen Sie in der Omnissa Workspace ONE UEM Console zu Geräte und dann zu Listenansicht.

  2. Vergewissern Sie sich, dass Ihre registrierten Geräte mit dem Status „Registriert“ angezeigt werden.

  3. Stellen Sie auf der Registerkarte Gruppen der Gerätedetails sicher, dass sich die Geräte in der Smart-Gruppe POC-Geräte befinden.

Schritt 4: Stellen Sie ein Zertifikat aus

Auslöser für die Ausstellung eines Zertifikats

  1. Wählen Sie in der Gerätelistenansicht das registrierte Gerät aus.

  2. Klicken Sie auf die Schaltfläche „Abfragen“, um zum Einchecken aufzufordern.

  3. Sie Device-Cert-Profile sollten ein Zertifikat ausstellen über. AWS Private CA

Überprüfen Sie die Installation des Zertifikats

Android

Wählen Sie Einstellungen, dann Sicherheit, vertrauenswürdige Anmeldeinformationen und dann Benutzer, um das Zertifikat zu überprüfen.

iOS

Gehen Sie zu Einstellungen und wählen Sie dann Allgemein, dann VPN- und Geräteverwaltung und dann Konfigurationsprofil. Stellen Sie sicher, dass das Zertifikat von vorhanden AWS-Private-CA ist.

macOS

Öffnen Sie Keychain Access und dann System Keychain und überprüfen Sie das Zertifikat.

Windows

Öffnen Sie certmgr.msc, dann Personal und dann Certificates, um das Zertifikat zu verifizieren.

Fehlerbehebung

SCEP-Fehler (z. B. „22013 — Der SCEP-Server hat eine ungültige Antwort zurückgegeben“)

  • Stellen Sie sicher, dass die SCEP-URL und das statische Challenge-Passwort in Workspace ONE übereinstimmen. AWS Private CA

  • <SCEP_URL>Testen Sie die SCEP-Endpunktkonnektivität: curl.

  • Überprüfen Sie die AWS CloudTrail Protokolle AWS Private CA auf Fehler (z. B. IssueCertificate Ausfälle).

APNs Probleme (iOS/macOS)

  • Stellen Sie sicher, dass das APNs Zertifikat gültig und der richtigen Organisationsgruppe zugewiesen ist.

  • Testen Sie die APNs Konnektivität: telnet gateway.push.apple.com 2195.

Fehler bei der Profilinstallation

  • Vergewissern Sie sich, dass sich die Geräte in der richtigen Smartgroup befinden (Geräte, dann Listenansicht und dann Gruppen).

  • Eine Profilsynchronisierung erzwingen: Weitere Aktionen, dann Senden und dann Profilliste.

Logs (Protokolle)

  • Android: Verwenden Sie Logcat - oder Workspace ONE-Protokolle.

  • iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleKonfigurator).

  • Windows: Event Viewer, dann Anwendungs- und Dienstprotokolle und dann Microsoft-Windows -. DeviceManagement

  • Workspace ONE UEM: Monitor, dann Reports & Analytics, dann Events und dann Device Events.

Ausführliche Informationen zum Connector für die SCEP-Überwachung finden Sie unter Monitor-Connector für SCEP. AWS

Sicherheitsüberlegungen

  • Speichern Sie SCEP URLs und geheime Daten sicher. Weitere Informationen finden Sie im AWS Secrets Manager Service.

  • Beschränken Sie die Smart-Group-Kriterien nur auf Zielgeräte.

  • Erneuern Sie regelmäßig die Zertifikate für Apple Push Notifications (APNs) (gültig für 1 Jahr).

  • Lege kurze Gültigkeitszeiträume für Zertifikate für Machbarkeitsstudien fest, um das Risiko zu minimieren.

  • Stellen Sie bei privaten Geräten sicher, dass bei der Bereinigung alle Profile und Zertifikate entfernt werden.

Informationen zur Konfiguration der Omnissa Workspace ONE UEM- und CA-Integration mithilfe eines SCEP-Connectors finden Sie in der Dokumentation zu SCEP in Omnissa Workspace ONE.