Configurare Omnissa Workspace ONE per Connector for SCEP - AWS Private Certificate Authority
PrerequisitiPassaggio 1: definire un'autorità di certificazione e un modello in Omnissa Workspace ONEPassaggio 2: configurare una configurazione del profilo Omnissa Workspace ONE UEMFase 3: Registrare i dispositivi in Omnissa Workspace ONEFase 4: Emettere un certificatoRisoluzione dei problemiConsiderazioni relative alla sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare Omnissa Workspace ONE per Connector for SCEP

È possibile utilizzarlo AWS Private CA come autorità di certificazione (CA) esterna con il sistema Omnissa Workspace ONE UEM (Unified Endpoint Management). Questa guida fornisce istruzioni su come configurare Omnissa Workspace ONE dopo aver creato un connettore SCEP in. AWS

Prerequisiti

Prima di creare un connettore SCEP per Omnissa Workspace ONE, è necessario completare i seguenti prerequisiti:

  • Crea una CA privata nella console. AWS Per ulteriori informazioni, consulta Crea una CA privata in AWS Private CA.

  • Crea un connettore SCEP per uso generico. Per ulteriori informazioni, vedere Creare un connettore.

  • Avere un account amministratore dell'ambiente Omnissa Workspace ONE attivo con un ID del gruppo organizzativo.

  • Se stai registrando un dispositivo Apple, configura l'Apple Push Notification Service () APNs per MDM. Per ulteriori informazioni, consulta APNs Certificati nella documentazione di Omnissa.

Passaggio 1: definire un'autorità di certificazione e un modello in Omnissa Workspace ONE

Dopo aver creato un connettore CA e SCEP privati nella AWS console, definisci l'autorità di certificazione e il modello in Omnissa Workspace ONE.

Aggiungi AWS Private CA come autorità di certificazione

  1. Dal menu Sistema, scegli Enterprise Integration, quindi scegli Autorità di certificazione.

  2. Scegli + AGGIUNGI e fornisci le seguenti informazioni:

    • Nome: AWS-Private-CA.

    • Descrizione: AWS Private CA per l'emissione del certificato del dispositivo.

    • Tipo di autorità: seleziona SCEP generico.

    • URL SCEP: inserisci l'URL SCEP da. AWS Private CA

    • Tipo di sfida: seleziona STATIC.

    • Sfida statica: inserisci la password statica di sfida SCEP dal Connector per la configurazione SCEP nella AWS console.

    • Inserisci i valori Retry Timeout e Max Retries.

  3. Salvare la configurazione.

Crea un modello di certificato

  1. Dal menu Sistema, scegli Enterprise Integration, scegli Autorità di certificazione, quindi scegli Modelli.

  2. Scegli Aggiungi modelli e fornisci le seguenti informazioni:

    • Nome del modello: Device-Cert-Template.

    • Autorità di certificazione: Scegli AWS-Private-CA.

    • Nome dell'oggetto: Questo è un campo personalizzabile. È possibile scegliere i valori delle variabili da un elenco di attributi. Ad esempio, CN= {DeviceReportedName}, O= {DevicePlatform}, OU= {1} CustomAttribute

    • Lunghezza della chiave privata: 2048 bit.

    • Tipo di chiave privata: selezionare Firma e crittografia come richiesto

    • Rinnovo automatico: Enabled/Disabled (in base alle tue esigenze).

  3. Salva il modello.

Passaggio 2: configurare una configurazione del profilo Omnissa Workspace ONE UEM

Crea un profilo in Omnissa Workspace ONE UEM che indirizza i dispositivi a Connector for SCEP per emettere un certificato.

Crea un profilo del dispositivo SCEP per la distribuzione dei certificati

  1. Dal menu Risorse, scegliete Profili e linee di base, quindi scegliete Profili.

  2. Scegliete Aggiungi, quindi Aggiungi profilo

  3. Seleziona la piattaforma del dispositivo (Android, iOS, macOS, Windows).

  4. Imposta il tipo di gestione e il contesto in base alle esigenze.

  5. Imposta il nome: Device-Cert-Profile.

  6. Scorri fino a SCEP Payload.

  7. Seleziona SCEP, quindi scegli +Aggiungi.

  8. Utilizzate la seguente configurazione:

    • SCEP:

      • Per Origine delle credenziali, selezionare Defined Certificate Authority (impostazione predefinita).

      • Per Certificate Authority, selezionate AWS-Private-CA

      • Per Modello di certificato, selezionate il Device-Cert-Template definito nel passaggio 1.

  9. Scegli Avanti e nella sezione Assegnazione seleziona il gruppo smart giusto dall'elenco (gruppo di assegnazione per il dispositivo).

  10. Seleziona Tipo di assegnazione come Automatico per abilitare il rinnovo automatico.

  11. Salva e pubblica il profilo.

Nota

Per ulteriori informazioni, consulta SCEP nella documentazione di Omnissa.

Fase 3: Registrare i dispositivi in Omnissa Workspace ONE

Crea o verifica un gruppo intelligente

  1. Da Gruppi e impostazioni scegli Gruppi, quindi scegli Gruppi di assegnazione.

  2. Crea o modifica il gruppo smart POC-Devices:

    • Nome: dispositivi POC.

    • Tipo di dispositivo: seleziona Tutto o una piattaforma specifica (Android o iOS, ad esempio).

    • Criteri: utilizzo UserGroup, piattaforma e sistema operativo, OEM e modello per specificare i criteri per raggruppare i dispositivi di destinazione.

    • Proprietà: seleziona Qualsiasi per dispositivi personali o aziendali.

  3. Salva e verifica che i dispositivi di destinazione vengano visualizzati nella scheda Anteprima.

Registrazione manuale dei dispositivi

Android

  • Scarica l'app Workspace ONE Intelligent Hub da Google Play.

  • Apri l'app e inserisci l'URL di registrazione o scansiona un codice QR.

  • Accedi e segui le istruzioni per registrarti come dispositivo gestito da MDM.

iOS/macOS

  • Sul dispositivo, apri Safari e vai all'URL di registrazione (https://<Workspace ONEUEMHostname >/enroll, ad esempio).

  • Accedi con le credenziali utente.

  • Scarica e installa l'app Workspace ONE Intelligent Hub dall'App Store.

  • Segui le istruzioni per installare il profilo MDM in Impostazioni > Generali > Gestione VPN e dispositivi > Profilo > Installa.

Windows

  • Scarica Workspace ONE Intelligent Hub dal server Workspace ONE o da Microsoft Store.

  • Registrazione tramite l'Hub utilizzando l'URL e le credenziali di registrazione.

Assegna i dispositivi registrati allo Smart Group di dispositivi POC in Dispositivi > Visualizzazione elenco > Altre azioni > Assegna a Smart Group.

Per ulteriori informazioni, consulta Registrazione automatica dei dispositivi nella documentazione di Omnissa.

Verifica l'iscrizione

  1. Nella console Omnissa Workspace ONE UEM, vai su Dispositivi, quindi su Visualizzazione elenco.

  2. Conferma che i dispositivi registrati vengano visualizzati con lo stato impostato su Registrati.

  3. Verifica che i dispositivi siano nel gruppo smart POC-Devices nella scheda Gruppi di Dettagli dispositivo.

Fase 4: Emettere un certificato

Attivare l'emissione di un certificato

  1. Nella visualizzazione elenco dei dispositivi, seleziona il dispositivo registrato.

  2. Scegli il pulsante Query per richiedere un check-in.

  3. Device-Cert-ProfileDovrebbero emettere un certificato tramite. AWS Private CA

Verifica l'installazione del certificato

Android

Scegli Impostazioni, Sicurezza, Credenziali attendibili e quindi Utente per verificare il certificato.

iOS

Vai su Impostazioni, quindi scegli Generale, quindi VPN e gestione dei dispositivi e infine Profilo di configurazione. Verifica che il certificato di AWS-Private-CA sia presente.

macOS

Apri Keychain Access, quindi System Keychain e verifica il certificato.

Windows

Apri certmgr.msc, quindi Personale e quindi Certificati per verificare il certificato.

Risoluzione dei problemi

Errori SCEP («22013 - Il server SCEP ha restituito una risposta non valida», ad esempio)

  • Verifica l'URL SCEP e la password di sfida statica in Workspace ONE Match. AWS Private CA

  • <SCEP_URL>Verifica la connettività degli endpoint SCEP: curl.

  • Controlla AWS CloudTrail i log per verificare la presenza di AWS Private CA errori (IssueCertificateerrori, ad esempio).

APNs problemi (iOS/macOS)

  • Assicurati che il APNs certificato sia valido e assegnato al gruppo organizzativo corretto.

  • APNs Connettività di test: telnet gateway.push.apple.com 2195.

Errori di installazione del profilo

  • Verifica che i dispositivi rientrino nel gruppo smart corretto (Dispositivi, quindi Visualizzazione elenco e quindi Gruppi).

  • Forza la sincronizzazione del profilo: Altre azioni, quindi Invia, quindi Elenco profili.

Log

  • Android: utilizza i log Logcat o Workspace ONE.

  • iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfiguratore).

  • Windows: Visualizzatore eventi, quindi registri delle applicazioni e dei servizi e quindi Microsoft-Windows -. DeviceManagement

  • Workspace ONE UEM: Monitor, quindi Reports & Analytics, quindi Events e infine Device Events.

Per informazioni dettagliate su Connettore per il monitoraggio SCEP in AWS, vedi Monitor Connector for SCEP.

Considerazioni relative alla sicurezza

  • Archivia SCEP URLs e segreti in modo sicuro. Per ulteriori informazioni, consulta il AWS Secrets Manager servizio.

  • Limita i criteri del gruppo intelligente solo ai dispositivi di destinazione.

  • Rinnova regolarmente i certificati Apple Push Notifications (APNs) (validi per 1 anno).

  • Imposta brevi periodi di validità dei certificati per i progetti proof of concept per ridurre al minimo i rischi.

  • Per i dispositivi personali, assicurati che cleanup rimuova tutti i profili e i certificati.

Per informazioni su come configurare l'integrazione di Omnissa Workspace ONE UEM e CA utilizzando un connettore SCEP, consulta la documentazione SCEP in Omnissa Workspace ONE.