Citrix Endpoint Management™

SCEP-Geräterichtlinie

April 17, 2026

Beitrag von:

C C

Mit dieser Richtlinie können Sie iOS- und macOS-Geräte so konfigurieren, dass sie ein Zertifikat von einem externen SCEP-Server über das Simple Certificate Enrollment Protocol (SCEP) abrufen. Um ein Zertifikat über SCEP von einer PKI, die mit Citrix Endpoint Management verbunden ist, an Geräte zu übermitteln, erstellen Sie eine PKI-Entität und einen PKI-Anbieter im verteilten Modus. Weitere Informationen finden Sie unter PKI-Entitäten.

Um diese Richtlinie hinzuzufügen oder zu konfigurieren, navigieren Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

iOS-Einstellungen
Basis-URL: Geben Sie die Adresse des SCEP-Servers ein, um zu definieren, wohin SCEP-Anfragen über HTTP oder HTTPS gesendet werden. Der private Schlüssel wird nicht mit der Zertifikatsignieranforderung (CSR) gesendet, daher kann es sicher sein, die Anfrage unverschlüsselt zu senden. Wenn das Einmalpasswort zur Wiederverwendung konfiguriert ist, verwenden Sie HTTPS, um das Passwort zu schützen. Dieser Schritt ist erforderlich.
Instanzname: Geben Sie eine beliebige Zeichenfolge ein, die der SCEP-Server erkennt. Dies kann beispielsweise ein Domänenname wie example.org sein. Wenn eine CA mehrere CA-Zertifikate hat, können Sie dieses Feld verwenden, um die erforderliche Domäne zu unterscheiden. Dieser Schritt ist erforderlich.
X.500-Subjektname (RFC 2253): Geben Sie die Darstellung eines X.500-Namens als Array von Objektidentifikatoren (OID) und Werten ein. Zum Beispiel /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, was übersetzt wird zu: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Sie können OIDs als punktierte Zahlen mit Abkürzungen für Land (C), Ort (L), Bundesland (ST), Organisation (O), Organisationseinheit (OU) und allgemeinen Namen (CN) darstellen.
Typ der alternativen Subjektnamen: Wählen Sie einen alternativen Namenstyp aus. Ein optionaler alternativer Namenstyp kann die von der CA für die Ausstellung eines Zertifikats benötigten Werte bereitstellen. Sie können Keine, RFC 822-Name, DNS-Name oder URI angeben.
Maximale Wiederholungen: Geben Sie an, wie oft ein Gerät einen erneuten Versuch unternehmen soll, wenn der SCEP-Server eine PENDING-Antwort sendet. Der Standardwert ist 3.
Wiederholungsverzögerung: Geben Sie die Anzahl der Sekunden ein, die zwischen aufeinanderfolgenden Wiederholungen gewartet werden soll. Der erste Wiederholungsversuch wird ohne Verzögerung unternommen. Der Standardwert ist 10.
Challenge-Passwort: Geben Sie ein vorab freigegebenes Geheimnis ein.
Schlüsselgröße (Bits): Wählen Sie 2048 oder höher als Schlüsselgröße in Bits aus.
Als digitale Signatur verwenden: Wählen Sie aus, ob das Zertifikat als digitale Signatur verwendet werden soll. Der SCEP-Server überprüft die Verwendung des Zertifikats als digitale Signatur, bevor er den öffentlichen Schlüssel zum Entschlüsseln des Hashs verwendet.
Für Schlüsselverschlüsselung verwenden: Wählen Sie aus, ob das Zertifikat für die Schlüsselverschlüsselung verwendet werden soll. Ein Server prüft zunächst, ob das von einem Client bereitgestellte Zertifikat für die Schlüsselverschlüsselung zugelassen ist. Anschließend verwendet der Server den öffentlichen Schlüssel in einem Zertifikat, um zu überprüfen, ob ein Datensatz mit dem privaten Schlüssel verschlüsselt wurde. Andernfalls schlägt der Vorgang fehl.
- SHA-256-Fingerabdruck (hexadezimale Zeichenfolge): Wenn Ihre CA HTTP verwendet, verwenden Sie dieses Feld, um den Fingerabdruck des CA-Zertifikats anzugeben. Das Gerät verwendet den Fingerabdruck, um die Authentizität der CA-Antwort während der Registrierung zu bestätigen. Sie können einen SHA-256-Fingerabdruck angeben oder ein Zertifikat auswählen, um dessen Signatur zu importieren.
  - Richtlinieneinstellungen
  - Richtlinie entfernen: Wählen Sie eine Methode zur Planung der Richtlinienentfernung. Verfügbare Optionen sind Datum auswählen und Dauer bis zur Entfernung (in Stunden)
  - Datum auswählen: Klicken Sie auf den Kalender, um das spezifische Datum für die Entfernung auszuwählen.
  - Dauer bis zur Entfernung (in Stunden): Geben Sie eine Zahl in Stunden ein, bis die Richtlinie entfernt wird. Nur für iOS 6.0 und höher verfügbar.
macOS-Einstellungen
Basis-URL: Geben Sie die Adresse des SCEP-Servers ein, um zu definieren, wohin SCEP-Anfragen über HTTP oder HTTPS gesendet werden. Der private Schlüssel wird nicht mit der Zertifikatsignieranforderung (CSR) gesendet, daher kann es sicher sein, die Anfrage unverschlüsselt zu senden. Wenn das Einmalpasswort zur Wiederverwendung konfiguriert ist, verwenden Sie HTTPS, um das Passwort zu schützen. Dieser Schritt ist erforderlich.
Instanzname: Geben Sie eine beliebige Zeichenfolge ein, die der SCEP-Server erkennt. Dies kann beispielsweise ein Domänenname wie example.org sein. Wenn eine CA mehrere CA-Zertifikate hat, können Sie dieses Feld verwenden, um die erforderliche Domäne zu unterscheiden. Dieser Schritt ist erforderlich.
X.500-Subjektname (RFC 2253): Geben Sie die Darstellung eines X.500-Namens als Array von Objektidentifikatoren (OID) und Werten ein. Zum Beispiel /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, was übersetzt wird zu: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Sie können OIDs als punktierte Zahlen mit Abkürzungen für Land (C), Ort (L), Bundesland (ST), Organisation (O), Organisationseinheit (OU) und allgemeinen Namen (CN) darstellen.
Typ der alternativen Subjektnamen: Wählen Sie einen alternativen Namenstyp aus. Ein optionaler alternativer Namenstyp kann die von der CA für die Ausstellung eines Zertifikats benötigten Werte bereitstellen. Sie können Keine, RFC 822-Name, DNS-Name oder URI angeben.
Maximale Wiederholungen: Geben Sie an, wie oft ein Gerät einen erneuten Versuch unternehmen soll, wenn der SCEP-Server eine PENDING-Antwort sendet. Der Standardwert ist 3.
Wiederholungsverzögerung: Geben Sie die Anzahl der Sekunden ein, die zwischen aufeinanderfolgenden Wiederholungen gewartet werden soll. Der erste Wiederholungsversuch wird ohne Verzögerung unternommen. Der Standardwert ist 10.
Challenge-Passwort: Geben Sie ein vorab freigegebenes Geheimnis ein.
Schlüsselgröße (Bits): Wählen Sie 2048 oder höher als Schlüsselgröße in Bits aus.
- Als digitale Signatur verwenden: Wählen Sie aus, ob das Zertifikat als digitale Signatur verwendet werden soll. Der SCEP-Server überprüft die Verwendung des Zertifikats als digitale Signatur, bevor er den öffentlichen Schlüssel zum Entschlüsseln des Hashs verwendet.
  - Für Schlüsselverschlüsselung verwenden: Wählen Sie aus, ob das Zertifikat für die Schlüsselverschlüsselung verwendet werden soll. Ein Server prüft zunächst, ob das von einem Client bereitgestellte Zertifikat für die Schlüsselverschlüsselung zugelassen ist. Anschließend verwendet der Server den öffentlichen Schlüssel in einem Zertifikat, um zu überprüfen, ob ein Datensatz mit dem privaten Schlüssel verschlüsselt wurde. Andernfalls schlägt der Vorgang fehl.
  - SHA-256-Fingerabdruck (hexadezimale Zeichenfolge): Wenn Ihre CA HTTP verwendet, verwenden Sie dieses Feld, um den Fingerabdruck des CA-Zertifikats anzugeben. Das Gerät verwendet den Fingerabdruck, um die Authentizität der CA-Antwort während der Registrierung zu bestätigen. Sie können einen SHA-256-Fingerabdruck angeben oder ein Zertifikat auswählen, um dessen Signatur zu importieren.
- Richtlinieneinstellungen
- Richtlinie entfernen: Wählen Sie eine Methode zur Planung der Richtlinienentfernung. Verfügbare Optionen sind Datum auswählen und Dauer bis zur Entfernung (in Stunden)
  - Datum auswählen: Klicken Sie auf den Kalender, um das spezifische Datum für die Entfernung auszuwählen.
  - Dauer bis zur Entfernung (in Stunden): Geben Sie eine Zahl in Stunden ein, bis die Richtlinie entfernt wird.
- Benutzer darf Richtlinie entfernen: Sie können auswählen, wann Benutzer die Richtlinie von ihrem Gerät entfernen dürfen. Wählen Sie Immer, Passcode erforderlich oder Nie aus dem Menü. Wenn Sie Passcode erforderlich auswählen, geben Sie einen Passcode in das Feld Entfernungs-Passcode ein.
- Profilbereich: Wählen Sie aus, ob diese Richtlinie für einen Benutzer oder ein gesamtes System gilt. Der Standardwert ist Benutzer. Diese Option ist nur unter macOS 10.7 und höher verfügbar.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

SCEP-Geräterichtlinie

April 17, 2026

Beitrag von:

C C

April 17, 2026

Beitrag von:

C C

War dieser Artikel hilfreich?

SCEP-Geräterichtlinie

iOS-Einstellungen

macOS-Einstellungen

In diesem Artikel