Teil 2 des Apple-Blogs zur Planung des Lebenszyklus von iOS-Geräten und Zertifikaten.
CSS hat das Certificate Management System (CMS) - ehemals Certificate Reporting Tool (CRT), auf das in diesem Blog Bezug genommen wird - vor einigen Jahren entwickelt, um Unternehmen dabei zu helfen, den Ablauf von Zertifikaten besser in den Griff zu bekommen. Nachfolgend finden Sie Beispiele für zwei verschiedene Architekturen, die das CMS nutzen, um die Ausstellung und Erneuerung von Zertifikaten für iOS-basierte Zertifikate zu unterstützen.
Option 1: Einschreibestation
Diese Lösung setzt voraus, dass die Sicherheitseinstellungen eines Geräts manuell überprüft werden müssen, bevor es mit Unternehmensdaten interagieren kann.
Abbildung 1 - Manuelle Inspektion und Erteilung
Der allgemeine Ablauf würde folgendermaßen aussehen:
- Eine benannte Sicherheitsfachkraft des Unternehmens prüft die Konfiguration des mobilen Geräts auf Übereinstimmung mit den Richtlinien (z. B. Passcode, Verschlüsselung und/oder Löschfunktion usw.) und erhält ein SCEP-Einmalpasswort vom SCEP-Server.
- Mit dem iPhone-Konfigurationsprogramm (iPCU) konfiguriert die Sicherheitsfachkraft ein iOS-Profil mit den Informationen des Benutzers und der SCEP-Challenge und konfiguriert das Gerät des Benutzers.
- Gemäß den Anweisungen des neuen Profils kontaktiert das iPad oder iPhone des Benutzers den SCEP-Server des Unternehmens und fordert das neue Zertifikat an und installiert es.
- Das Zertifikat kann dann je nach Bedarf zur Authentifizierung von drahtlosen Unternehmens-, VPN- oder ActiveSync-Verbindungen verwendet werden. Das Certificate Reporting Tool (CRT) von CSS überwacht kontinuierlich die CAs in der Unternehmens-PKI und sucht nach Zertifikaten, die bald ablaufen.
- In ein oder zwei Jahren, wenn das Zertifikat des Benutzers bald abläuft, wird eine E-Mail an den Benutzer (und/oder die Sicherheitsfachkraft) geschickt, in der sie darüber informiert werden, dass sie die Schritte 1 bis 3 wiederholen müssen.
Option 2: Nutzung des CRT iOS Add-On
CSS hat eine Zusatzkomponente für das Certificate Reporting Tool entwickelt, die die Verwendung von benutzerdefinierten Plug-ins nutzt, um die Registrierung und Erneuerung von Zertifikaten zu rationalisieren.
Abbildung 2 - CSS' CRT iOS-Lösung
Der allgemeine Sprachgebrauch sieht folgendermaßen aus:
- Eine benannte Sicherheitsfachkraft des Unternehmens verwendet den CRT iOS Enrollment Software , um eine Person oder eine Gruppe von Personen für die Registrierung auszuwählen.
- Das Enrollment Software kontaktiert den SCEP-Server, um die einmalige SCEP-Enrollment-Challenge zu erhalten, und verwendet die iPCU-Skriptfunktionalität, um automatisch ein iOS-Profil mit den richtigen Informationen zu erstellen. Relevante Benutzerinformationen wie Common Name und Subject Alternative Name werden aus Active Directory abgerufen und in die Konfiguration aufgenommen.
- Dieses Profil wird an den CRT iOS-Webanwendungsserver übermittelt und eine E-Mail an den Benutzer gesendet, um ihm mitzuteilen, dass das System bereit ist, sein Gerät zu registrieren.
- Der Benutzer besucht die SSL-geschützte CRT iOS-Website mit dem Safari-Browser auf seinem Gerät und authentifiziert sich mit seinen Active Directory-Anmeldedaten.
- Gemäß den Anweisungen des Profils erstellt das Gerät des Benutzers ein RSA-Schlüsselpaar, kontaktiert den SCEP-Server des Unternehmens und fordert dann sein Zertifikat unter Verwendung der einmaligen Herausforderung an und installiert es.
- Das Zertifikat kann dann je nach Bedarf zur Authentifizierung von drahtlosen Unternehmens-, VPN- oder ActiveSync-Verbindungen verwendet werden. Das Certificate Reporting Tool (CRT) von CSS überwacht kontinuierlich die CAs in der Unternehmens-PKI und sucht nach Zertifikaten, die bald ablaufen.
- In ein oder zwei Jahren, wenn das Zertifikat des Benutzers abläuft, ruft CRT automatisch wieder das CRT iOS Enrollment Software auf, und die Schritte 2 bis 5 werden wiederholt, ohne dass ein administrativer Eingriff erforderlich ist.