Konfigurasikan Omnissa Workspace ONE untuk Konektor untuk SCEP - AWS Private Certificate Authority
PrasyaratLangkah 1: Tentukan otoritas sertifikat dan template di Omnissa Workspace ONELangkah 2: Siapkan konfigurasi profil Omnissa Workspace ONE UEMLangkah 3: Daftarkan perangkat di Omnissa Workspace ONELangkah 4: Menerbitkan sertifikatPemecahan MasalahPertimbangan keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan Omnissa Workspace ONE untuk Konektor untuk SCEP

Anda dapat menggunakan AWS Private CA sebagai otoritas sertifikat eksternal (CA) dengan sistem Omnissa Workspace ONE UEM (Unified Endpoint Management). Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Omnissa Workspace ONE setelah Anda membuat konektor SCEP. AWS

Prasyarat

Sebelum Anda membuat konektor SCEP untuk Omnissa Workspace ONE, Anda harus menyelesaikan prasyarat berikut:

  • Buat CA pribadi di AWS konsol. Untuk informasi selengkapnya, lihat Buat CA pribadi di AWS Private CA.

  • Buat konektor SCEP tujuan umum. Untuk informasi selengkapnya, lihat Membuat konektor.

  • Memiliki akun admin lingkungan Omnissa Workspace ONE yang aktif dengan ID Grup Organisasi.

  • Jika Anda mendaftarkan perangkat Apple, konfigurasikan Layanan Pemberitahuan Push Apple (APNs) untuk MDM. Untuk informasi selengkapnya, lihat APNs Sertifikat di dokumentasi Omnissa.

Langkah 1: Tentukan otoritas sertifikat dan template di Omnissa Workspace ONE

Setelah membuat konektor CA dan SCEP pribadi di AWS konsol, tentukan otoritas sertifikat dan templat di Omnissa Workspace ONE.

Tambahkan AWS Private CA sebagai otoritas sertifikat

  1. Dari menu Sistem, pilih Integrasi Perusahaan dan kemudian pilih Otoritas Sertifikat.

  2. Pilih + ADD dan berikan informasi berikut:

    • Nama: AWS-Private-CA.

    • Deskripsi: AWS Private CA untuk penerbitan sertifikat perangkat.

    • Jenis Otoritas: Pilih SCEP Generik.

    • URL SCEP: Masukkan URL SCEP dari. AWS Private CA

    • Jenis Tantangan: Pilih STATIC.

    • Tantangan Statis: Masukkan kata sandi tantangan statis SCEP dari Konektor untuk konfigurasi SCEP di AWS konsol.

    • Masukkan nilai Try Timeout dan Max Retries.

  3. Simpan konfigurasi.

Buat templat sertifikat

  1. Dari menu Sistem, pilih Integrasi Perusahaan, pilih Otoritas Sertifikat, lalu pilih Template.

  2. Pilih Tambahkan Template dan berikan informasi berikut:

    • Nama Templat: Device-Cert-Template.

    • Otoritas Sertifikat: Pilih AWS-Private-CA.

    • Nama Subjek: Ini adalah bidang yang dapat disesuaikan. Anda dapat memilih nilai variabel dari daftar atribut. Misalnya, CN= {DeviceReportedName}, O = {}, DevicePlatform OU = {1} CustomAttribute

    • Panjang Kunci Pribadi: 2048 bit.

    • Jenis Kunci Pribadi: Pilih Penandatanganan dan Enkripsi sesuai kebutuhan

    • Pembaruan Otomatis: Enabled/Disabled (Berdasarkan kebutuhan Anda).

  3. Simpan template.

Langkah 2: Siapkan konfigurasi profil Omnissa Workspace ONE UEM

Buat profil di Omnissa Workspace ONE UEM yang mengarahkan perangkat ke Connector agar SCEP mengeluarkan sertifikat.

Membuat profil perangkat SCEP untuk distribusi sertifikat

  1. Dari menu Sumber Daya, pilih Profil & Garis Dasar, lalu pilih Profil.

  2. Pilih Tambah lalu Tambahkan Profil

  3. Pilih platform perangkat (Android, iOS, macOS, Windows).

  4. Tetapkan tipe Manajemen dan Konteks yang sesuai.

  5. Tetapkan Nama: Device-Cert-Profile.

  6. Gulir ke SCEP Payload.

  7. Pilih SCEP dan kemudian pilih +Add.

  8. Gunakan konfigurasi berikut:

    • SCEP:

      • Untuk Sumber Kredenal pilih Otoritas Sertifikat yang Ditetapkan (Default).

      • Untuk Otoritas Sertifikat pilih AWS-Private-CA

      • Untuk Templat Sertifikat pilih Device-Cert-Template yang ditentukan dalam Langkah 1.

  9. Pilih Berikutnya dan di bagian Penugasan pilih grup pintar yang tepat dari daftar (grup penugasan untuk perangkat).

  10. Pilih Jenis Penugasan sebagai Otomatis untuk mengaktifkan perpanjangan otomatis.

  11. Simpan dan publikasikan profil.

catatan

Untuk informasi selengkapnya, lihat SCEP di dokumentasi Omnissa.

Langkah 3: Daftarkan perangkat di Omnissa Workspace ONE

Membuat atau memverifikasi grup pintar

  1. Dari Grup & Pengaturan pilih Grup dan kemudian pilih Grup Penugasan.

  2. Membuat atau mengedit grup pintar perangkat POC:

    • Nama: Perangkat POC.

    • Jenis Perangkat: Pilih Semua atau platform tertentu (Android atau iOS, misalnya).

    • Kriteria: Gunakan UserGroup, Platform dan OS, OEM dan Model untuk menentukan kriteria untuk mengelompokkan perangkat target.

    • Kepemilikan: Pilih Apa saja untuk perangkat pribadi atau perusahaan.

  3. Simpan dan verifikasi perangkat target muncul di tab Pratinjau.

Pendaftaran perangkat manual

Android

  • Unduh aplikasi Workspace ONE Intelligent Hub dari Google Play.

  • Buka aplikasi dan masukkan URL pendaftaran atau pindai kode QR.

  • Masuk dan ikuti petunjuk untuk mendaftar sebagai perangkat yang dikelola MDM.

iOS/macOS

  • Pada perangkat, buka Safari dan arahkan ke URL pendaftaran (https://<Workspace ONEUEMHostname >/daftar, misalnya).

  • Masuk dengan kredensi pengguna.

  • Unduh dan instal aplikasi Workspace ONE Intelligent Hub dari App Store.

  • Ikuti petunjuk untuk menginstal profil MDM di Settings > General > VPN & Device Management > Profile > Install.

Windows

  • Unduh Workspace ONE Intelligent Hub dari server Workspace ONE atau Microsoft Store.

  • Mendaftar melalui Hub menggunakan URL pendaftaran dan kredensialnya.

Tetapkan perangkat yang terdaftar ke Grup Cerdas Perangkat POC di Perangkat > Tampilan Daftar > Tindakan Lainnya > Tetapkan ke Grup Cerdas.

Untuk informasi selengkapnya, lihat Pendaftaran Perangkat Otomatis di dokumentasi Omnissa.

Verifikasi pendaftaran

  1. Di Omnissa Workspace ONE UEM Console, buka Devices dan kemudian List View.

  2. Konfirmasikan bahwa perangkat terdaftar Anda muncul dengan status yang disetel ke Terdaftar.

  3. Verifikasi perangkat berada dalam grup pintar perangkat POC di tab Grup pada Detail Perangkat.

Langkah 4: Menerbitkan sertifikat

Pemicu mengeluarkan sertifikat

  1. Di Tampilan Daftar Perangkat, pilih perangkat yang terdaftar.

  2. Pilih pada tombol Query untuk meminta check-in.

  3. Device-Cert-ProfileHarus mengeluarkan sertifikat melalui. AWS Private CA

Verifikasi instalasi sertifikat

Android

Pilih Setelan, lalu Keamanan, lalu Kredensial Tepercaya, lalu Pengguna untuk memverifikasi sertifikat.

iOS

Buka Pengaturan, lalu pilih Umum, lalu VPN & Manajemen Perangkat, dan kemudian Profil Konfigurasi. Verifikasi bahwa sertifikat dari AWS-Private-CA ada.

macOS

Buka Keychain Access dan kemudian System Keychain dan verifikasi sertifikat.

Windows

Buka certmgr.msc, lalu Pribadi, dan kemudian Sertifikat untuk memverifikasi sertifikat.

Pemecahan Masalah

Kesalahan SCEP (“22013 - Server SCEP mengembalikan respons yang tidak valid” misalnya)

  • Verifikasi URL SCEP dan kata sandi tantangan statis di Workspace ONE match. AWS Private CA

  • <SCEP_URL>Uji konektivitas titik akhir SCEP: curl.

  • Periksa AWS CloudTrail log untuk AWS Private CA kesalahan (IssueCertificatekegagalan, misalnya).

APNs masalah (iOS/macOS)

  • Pastikan APNs sertifikat valid dan ditetapkan ke Grup Organisasi yang benar.

  • Uji APNs konektivitas: telnet gateway.push.apple.com 2195.

Kegagalan instalasi profil

  • Konfirmasikan perangkat berada di Grup Cerdas yang benar (Perangkat, lalu Tampilan Daftar, dan kemudian Grup).

  • Memaksa sinkronisasi profil: Tindakan Lainnya, lalu Kirim, dan kemudian Daftar Profil.

Log

  • Android: Gunakan log Logcat atau Workspace ONE.

  • iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleKonfigurator).

  • Windows: Event Viewer, lalu Aplikasi dan Layanan Log dan kemudian Microsoft-Windows -. DeviceManagement

  • Workspace ONE UEM: Pantau, lalu Laporan & Analisis, lalu Acara, dan kemudian Acara Perangkat.

Untuk detail Konektor untuk pemantauan SCEP AWS, lihat Konektor Monitor untuk SCEP.

Pertimbangan keamanan

  • Simpan SCEP URLs dan rahasia dengan aman. Untuk informasi selengkapnya, lihat AWS Secrets Manager layanannya.

  • Batasi kriteria grup pintar hanya untuk menargetkan perangkat.

  • Perbarui sertifikat Pemberitahuan Push Apple (APNs) secara teratur (berlaku selama 1 tahun).

  • Tetapkan periode validitas sertifikat singkat untuk bukti proyek konsep untuk meminimalkan risiko.

  • Untuk perangkat pribadi, pastikan pembersihan menghapus semua profil dan sertifikat.

Untuk informasi tentang cara mengkonfigurasi integrasi Omnissa Workspace ONE UEM dan CA menggunakan konektor SCEP, lihat dokumentasi SCEP di Omnissa Workspace ONE.