Установка цифровых сертификатов в Windows 10 Mobile
Цифровые сертификаты привязывают удостоверение пользователя или компьютера к паре ключей, которую можно использовать для шифрования и подписания цифровой информации. Сертификаты выдаются центром сертификации (ЦС), подтверждающим удостоверение владельца сертификата, и обеспечивают безопасную связь клиента с веб-сайтами и службами.
В Windows 10 Mobile сертификаты применяются преимущественно для следующих целей:
- Создание безопасного канала между телефоном и веб-сервером или службой с использованием протокола SSL.
- Проверка подлинности пользователя на обратном прокси-сервере, используемом для включения Microsoft Exchange ActiveSync (EAS) для электронной почты.
- Установка и лицензирование приложений (из Магазина Windows Phone или настраиваемого сайта распространения организации).
Установка сертификатов с помощью Internet Explorer
Сертификат можно разместить на веб-сайте и сделать доступным для пользователей посредством URL-адреса, перейдя по которому на устройстве, они смогут скачать сертификат. Когда пользователь заходит на страницу и касается сертификата, сертификат открывается на устройстве. Пользователь может проверить сертификат, и в случает подтверждения сертификат устанавливается на устройство с Windows 10 Mobile.
Установка сертификатов с помощью электронной почты
Установщик сертификатов Windows 10 Mobile поддерживает файлы CER, P7B, PEM и PFX. Для установки сертификатов с помощью электронной почты убедитесь, что ваши почтовые фильтры не блокируют CER-файлы. Сертификаты, отправляемые по электронной почте, отображаются в виде вложений сообщения. После получения сертификата пользователь может коснуться один раз для просмотра содержимого и еще раз — для установки сертификата. Как правило, после установки сертификата удостоверения пользователю предлагается ввести пароль (или парольную фразу), который используется для его защиты.
Установка сертификатов с помощью системы управления мобильными устройствами (MDM)
Windows 10 Mobile поддерживает настройку через систему MDM корневых и клиентских сертификатов, а также сертификатов ЦС. С помощью MDM администратор может напрямую добавлять, удалять или запрашивать корневые сертификаты и сертификаты ЦС, а также настроить устройство для регистрации клиентского сертификата на сервере регистрации сертификатов, поддерживающем протокол SCEP. Зарегистрированные SCEP сертификаты клиента используются Wi-Fi, VPN, электронной почтой и браузером для проверки подлинности клиента на основе сертификатов. Сервер MDM также может запрашивать и удалять зарегистрированные SCEP сертификаты клиента (включая установленные пользователем) и инициировать новый запрос на регистрацию до истечения срока действия текущего сертификата.
Предупреждение
Не используйте SCEP для сертификатов шифрования для S/MIME. Для поддержки S/MIME в Windows 10 Mobile необходимо использовать профиль сертификата PFX. Инструкции по созданию профиля сертификат PFX в Microsoft Intune см. в разделе Разрешение доступа к ресурсам компании с помощью Microsoft Intune.
Процесс установки сертификатов с помощью MDM
Сервер MDM создает первоначальный запрос на регистрацию сертификата, который содержит пароль вызова, URL-адрес сервера SCEP и другие связанные с регистрацией параметры.
Политика преобразовывается в запрос OMA DM и отправляется на устройство.
Сертификат доверенного ЦС устанавливается непосредственно во время запроса MDM.
Устройство принимает запрос на регистрацию сертификата.
Устройство создает пару из закрытого и открытого ключей.
Устройство подключается к предоставленной MDM-сервером точке доступа в Интернете.
Сервер MDM создает сертификат, подписанный соответствующим ЦС, и возвращает его на устройство.
Примечание
Устройство поддерживает функцию ожидания, которая позволяет провести на стороне сервера дополнительную проверку перед выдачей сертификата. В этом случае на устройство отправляется состояние "ожидание". Устройство периодически связывается с сервером с учетом заданных параметров количества и периода повторений. Повторные попытки прекращаются в любом из следующих случаев:
Сертификат успешно получен от сервера
Сервер возвращает ошибку
Число повторных попыток достигло предварительно настроенного ограничения
Сертификат установлен на устройство. Браузер, Wi-Fi, VPN, электронная почта и другие основные приложения имеют доступ к этому сертификату.
Примечание
Если MDM запрашивает сохранение закрытого ключа в доверенном платформенном модуле (TPM) (настраивается в ходе запроса на регистрацию), закрытый ключ будет сохранен в TPM. Обратите внимание, что зарегистрированные SCEP сертификаты, защищенные TPM, не защищаются ПИН-кодом. При этом сертификаты, импортированные в поставщик хранилища ключей (KSP) службы Passport for Work, защищены ПИН-кодом Passport.